EU-Kommission beschließt Technology Sovereignty Package am 3. Juni

Neue Gesetze zur operativen Resilienz, künstlichen Intelligenz und Datensouveränität treiben die Compliance-Kosten in die Höhe – während die Branche bei der Umsetzung noch hinterherhinkt.

DORA wird zum Prüfstein für die Branche

Die Aufsichtsbehörden verschärfen den Druck. Nachdem die Digital Operational Resilience Act (DORA) am 17. Januar 2025 vollständig in Kraft trat, hat die BaFin die Umsetzung zur obersten Prüfpriorität für 2026 erklärt. Besonders im Fokus: die Überwachung externer Dienstleister nach Pillar 4.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Jetzt kostenlos herunterladen: Der Umsetzungsleitfaden zum EU AI Act mit allen relevanten Übergangsfristen

Rund 22.000 Finanzinstitute in der gesamten EU müssen nun eine dokumentierte und unabhängige Prüfung ihrer Technologieanbieter nachweisen. Ein Härtetest der europäischen Aufsichtsbehörden (ESAs) im Jahr 2024 offenbarte jedoch eklatante Lücken: Nur 6,5 Prozent von rund 1.000 teilnehmenden Firmen bestanden alle Datenqualitätsprüfungen für ihre Informationsregister.

Das Bundesfinanzministerium warnte bereits im Februar 2026 vor einer zunehmenden Bedrohungslage. Cyberangriffe nehmen zu – und werden durch künstliche Intelligenz noch gefährlicher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht KI als Katalysator für ausgefeiltere Phishing- und Aufklärungsoperationen.

KI-Regulierung: Kaum ein Modell ist compliant

Mit dem EU AI Act kommt eine weitere regulatorische Hürde auf die Finanzbranche zu. Besonders betroffen sind General-Purpose AI (GPAI)-Modelle mit systemischen Risiken. Nach Artikel 55 müssen Modelle, die einen Trainingsaufwand von 10^25 FLOPs überschreiten, zusätzliche Auflagen erfüllen: verpflichtende Modellbewertungen, Adversarial Testing und Cybersicherheitsprüfungen. Die Betreiber müssen die KI-Behörde innerhalb von zwei Wochen nach Erreichen dieser Schwelle informieren.

Eine aktuelle Studie von Aithos vom 30. Mai 2026 zeigt: Kein großes KI-Modell erfüllt derzeit vollständig die Anforderungen von DSGVO und EU AI Act. Das beste Modell erreichte gerade einmal 54 Prozent Konformität. Google Gemini etwa kam auf magere zehn Prozent. Ein Bericht von Amnesty International vom selben Tag wirft mehreren prominenten Modellen zudem vor, weiterhin auf illegale Web-Scraping-Praktiken für ihre Trainingsdaten zurückzugreifen.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act in 5 Schritten verstehen

Cloud-Souveränität: Europa will unabhängiger werden

Die EU-Kommission wird am 3. Juni 2026 ein umfassendes „Technology Sovereignty Package" vorlegen. Kernstück: ein neues Cloud- und KI-Entwicklungsgesetz, das die Abhängigkeit von nicht-europäischen Anbietern reduzieren soll. Der Handlungsdruck ist enorm: Aktuelle Marktdaten vom 1. Juni 2026 zeigen, dass US-Anbieter rund 70 Prozent des europäischen Cloud-Marktes kontrollieren. 69 Prozent aller Unternehmen und 62 Prozent der Start-ups nutzen primär US-basierte Dienste.

Die geplanten Regeln sollen strenge Kriterien für Cloud-Dienste in sensiblen Sektoren wie Banken, Energie und Gesundheitswesen einführen. Europäische Anbieter sollen bei strategischen öffentlichen Ausschreibungen bevorzugt werden.

Parallel dazu forderten Branchenverbände wie der ZVEI am 31. Mai 2026 eine grundlegende Reform der DSGVO. Das aktuelle Verbotsprinzip sei für eine datengetriebene Wirtschaft nicht mehr geeignet und stehe im Widerspruch zum EU-Datengesetz.

NIS-2: Neue Meldepflichten für Unternehmen

Die deutsche Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) – vom Bundestag am 13. November 2025 und vom Bundesrat am 21. November 2025 verabschiedet – hat eine verpflichtende Selbstidentifikation für Unternehmen eingeführt. Seit dem Inkrafttreten Anfang 2026 betrifft das Gesetz Firmen mit 50 oder mehr Mitarbeitern oder einem Jahresumsatz von mindestens zehn Millionen Euro in regulierten Sektoren.

Finanzinstitute und andere als „wesentlich" oder „bedeutend" eingestufte Einrichtungen müssen strenge Risikomanagementprotokolle nach dem BSI-Gesetz einhalten. Dazu gehören die formelle Registrierung beim BSI, die Einführung umfassender Governance-Strukturen und die Einhaltung spezifischer Meldefristen für Sicherheitsvorfälle.

Datenübermittlung in die USA bleibt Risiko

Ein weiterer Unsicherheitsfaktor: der internationale Datentransfer. Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs von 2020, das frühere Datenübermittlungsrahmen für ungültig erklärte, wird für Ende 2026 oder 2027 eine neue Entscheidung zum EU-US-Datenschutzrahmen erwartet. Bis dahin bleibt das Compliance-Risiko für Finanzfirmen, die US-basierte Tracking- und Marketing-Tools nutzen, hoch. Deutsche Behörden haben seit 2021 bereits über 200 Verwaltungsanordnungen in diesem Bereich erlassen.

de | wirtschaft | 69466241 |