EU-Paket 27. Mai: Verbot von US-Cloud für Gesundheitsdaten

Neue Datenschutzvorgaben, das Tech-Souveränitätspaket der EU-Kommission und die ersten Fristen des AI Acts treffen auf eine Branche, die zunehmend auf Künstliche Intelligenz für die Wirkstoffforschung setzt.

Verbot von US-Cloud-Diensten für Gesundheitsdaten

Ein Kernstück des am 27. Mai 2026 vorgestellten Tech-Souveränitätspakets ist ein striktes Verbot von US-Cloud-Diensten für sensible Datenkategorien – darunter Gesundheits-, Finanz- und Justizinformationen. Die EU-Kommission begründet diesen Schritt mit Sicherheitslücken im US-FedRAMP-Rahmenwerk und dem extraterritorialen Zugriff durch den US-CLOUD Act. Für Pharmakonzerne, die riesige Mengen an Patientendaten und Forschungsgeheimnissen verwalten, bedeutet das den Zwangsumzug zu europäischen Anbietern.

Angesichts der neuen regulatorischen Anforderungen durch den EU AI Act müssen forschende Unternehmen ihre Compliance-Strategien jetzt grundlegend anpassen. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Fristen, Risikoklassen und Dokumentationspflichten für KI-Systeme. EU AI Act in 5 Schritten verstehen

Die EU fördert den Aufbau unabhängiger Infrastruktur mit mehreren Initiativen. Das Programm „Next Frontier AI" – verwaltet von der Bundesagentur für Sprunginnovationen (SPRIND) – ist mit 125 Millionen Euro ausgestattet und soll europäische Alternativen zu bestehenden KI-Modellen entwickeln. Ein Konsortium aus T-Systems, SVA und SAP erhielt zudem einen 250-Millionen-Euro-Auftrag für eine souveräne KI-Cloud für Hochsicherheitsanwendungen.

Auch technisch verschärfen sich die Anforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 7. April 2026 den C5:2026-Cloud-Standard. Die 168 Anforderungen in 17 Themenbereichen – darunter neue Abschnitte zu Container-Management, Post-Quanten-Kryptografie und Confidential Computing – werden zwar erst am 1. Juni 2027 verbindlich. Doch die Pharmaindustrie nutzt die Kriterien bereits jetzt zur Überprüfung ihrer Lieferanten.

KI in der Wirkstoffforschung und neue Haftungsrisiken

Während die Regulierung strenger wird, beschleunigt sich der KI-Einsatz in der Pharmaforschung. Erst Anfang der Woche gab Redwood AI Corp. eine Kooperation mit Resilience Biosciences Inc. bekannt. Ziel ist die Entwicklung von niedermolekularen Verbindungen mithilfe Künstlicher Intelligenz – von der computergestützten Chemie über Synthesewegplanung bis zur Prüfung geistigen Eigentums. Im Fokus stehen nicht-opioide Therapeutika gegen Opioid-Entzugssymptome.

Doch der Einsatz solcher Systeme bringt Pharmaunternehmen direkt in den Geltungsbereich des EU AI Acts. Neue Leitlinien der EU-Kommission vom 22. Mai 2026 präzisieren die Transparenz- und Kennzeichnungspflichten, die ab dem 2. August 2026 gelten. Systeme für Kreditwürdigkeit oder Personalmanagement gelten als hochriskant – die allgemeinen Transparenzregeln für KI-generierte Inhalte betreffen aber die gesamte Branche.

In Deutschland setzt der Gesetzesentwurf KI-MIG die Vorgaben um. Die Bundesnetzagentur (BNetzA) wird zur zentralen Marktüberwachungsbehörde für KI. Verstöße gegen Mitwirkungspflichten können mit bis zu 50.000 Euro geahndet werden, schwerwiegende Verstöße gegen den AI Act selbst mit bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Sicherheitslücken bei autonomen KI-Agenten

Zum zehnten Jahrestag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2016 zeigen Branchenberichte: Herkömmliche Compliance-Maßnahmen halten mit autonomen KI-Agenten nicht Schritt. Der Kiteworks Report 2026 offenbart, dass 63 Prozent der Organisationen keine Zweckbindungsregeln für KI-Agenten durchsetzen können. 60 Prozent fehlt die technische Fähigkeit, Agenten mit unerwünschtem Verhalten zu stoppen. Und 55 Prozent können ihre KI-Systeme bei einer Sicherheitsverletzung nicht wirksam isolieren.

Die zunehmende Vernetzung und der Einsatz autonomer Systeme in der Cloud erhöhen die Angriffsfläche für komplexe Cyberbedrohungen massiv. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit stärken und Sicherheitslücken schließen, um die neuen gesetzlichen Anforderungen proaktiv zu erfüllen. Gratis-Ratgeber zur Cyber-Security jetzt sichern

Die in Artikel 32 DSGVO geforderten technischen und organisatorischen Maßnahmen (TOMs) – viele zwischen 2018 und 2022 formuliert – sind für aktuelle KI-Anwendungen unzureichend. Experten fordern einen Umstieg von der rollenbasierten Zugriffskontrolle (RBAC) auf attributbasierte Verfahren (ABAC) sowie manipulationssichere Prüfpfade auf Datenebene. Zentralisierte KI-Governance ist selten: Nur 43 Prozent der befragten Organisationen haben sie eingeführt.

Verschärft wird die Lage durch spezialisierte KI-Modelle wie Mythos, die selbstständig Software-Sicherheitslücken identifizieren und verknüpfen können. Sicherheitsanalysten stellen fest: Neun von zehn Cyberangriffen basieren inzwischen auf kompromittierten Identitäten. Das 24-Stunden-Meldefenster der NIS2-Richtlinie und des Digital Operational Resilience Acts (DORA) setzt Pharmafirmen enorm unter Druck. Seit DORA im Dezember 2025 in Kraft trat, verzeichnete die BaFin bereits mehr als 600 schwerwiegende Vorfälle.

Hemmnisse für den KI-Einsatz in Europa

Trotz des Potenzials für schnellere Wirkstoffentwicklung bleiben europäische Unternehmen zurückhaltend. Eine Eurostat-Erhebung von 2025 identifiziert fehlendes technisches Know-how als Haupthindernis – betroffen sind rund 10,5 Prozent der mittleren und großen Unternehmen. Datenschutzbedenken und Rechtsunsicherheit folgen mit etwa acht bis neun Prozent.

Kosten sind selten das Hauptproblem: Nur rund 5,6 Prozent der Firmen nennen sie als Barriere. Der Nutzen von KI wird kaum infrage gestellt – weniger als 2,1 Prozent der Unternehmen sehen die Technologie als nicht sinnvoll an. Dennoch ist die Compliance-Last enorm. Eine Bitkom-Studie mit 603 Unternehmen vom 22. Mai 2026 zeigt: 97 Prozent der Befragten bewerten den Aufwand für DSGVO-Anforderungen als hoch. 69 Prozent sagen, dass Datenschutzregeln das Training von KI-Modellen erheblich erschweren.

Die Rechtsprechung zeichnet allmählich klare Linien. Anfang 2025 sprach der Bundesgerichtshof (BGH) 500 Euro Schadensersatz für eine DSGVO-Verletzung bei fehlerhafter Datenmeldung an eine Auskunftei zu. Zwar entschieden andere Gerichte, dass „bloßes Unbehagen" keinen Schadensersatz rechtfertigt – die Durchsetzungspraxis zu Artikel 82 DSGVO wird aber klarer. Das Oberlandesgericht (OLG) Düsseldorf urteilte im April 2026 zudem, dass KI-generierte Illustrationen nicht zwangsläufig Urheberrechte verletzen – eine wichtige Klarstellung für Unternehmen, die generative Werkzeuge für Dokumentation oder Marketing nutzen.

Ausblick: Security-by-Design als neuer Standard

Die kommenden Monate werden für Pharmakonzerne entscheidend. Die Registrierungsfrist für die NIS2-Richtlinie am 6. März 2026 nutzten nur 11.000 der erwarteten 29.500 Unternehmen – ein erheblicher Rückstand bei der regulatorischen Compliance.

OpenAI bereitet einen Börsengang für Herbst 2026 vor, die geschätzte Bewertung liegt bei 920 Milliarden Euro. Der kommerzielle Druck, große KI-Modelle zu integrieren, wird steigen. Doch die EU-Kommission prognostiziert, dass 91 Prozent der Cloud-Migrationen bis 2028 abgeschlossen sein werden. Der Fokus der Branche verschiebt sich zu „Security-by-Design". Diesen Ansatz propagiert die Deutsche Cyberagentur in einem Weißbuch vom 26. Mai 2026: Kleine Sprachmodelle (SLMs) sollen die digitale Souveränität wahren und die Abhängigkeit von externen Anbietern reduzieren. Für die Pharmaindustrie bleibt die Herausforderung, hohe Sicherheits- und Souveränitätsanforderungen mit dem rasanten Tempo der KI-gestützten medizinischen Innovation zu vereinbaren.

de | wirtschaft | 69423911 |