EU verschärft KI-Gesetz: Milliardenstrafen und neue Verbote

Die EU einigt sich auf die erste große Reform des AI Acts – mit drastischen Strafen und strengeren Fristen für Hochrisiko-Systeme.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Neuer „Omnibus“-Deal: Was sich ändert

Am 7. Mai 2026 erzielten die EU-Gesetzgeber eine politische Einigung zur Verschärfung des bestehenden KI-Gesetzes. Das sogenannte AI Act Omnibus führt sofortige Verbote für bestimmte generative Anwendungen ein und verschiebt gleichzeitig die Compliance-Fristen für Hochrisiko-Systeme. Der Deal markiert den Übergang von der Politikgestaltung zur aktiven Durchsetzung – mit einem Strafrahmen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Im Zentrum der neuen Regeln steht ein gezieltes Verbot von sogenannten „Nudifier“-Anwendungen: KI-Systeme, die nicht-einvernehmliche sexuell explizite Inhalte oder intime Bilder generieren. Auch die Erstellung von Material über sexuellen Kindesmissbrauch (CSAM) wird untersagt. Anbieter solcher Systeme müssen die neuen Verbote bis zum 2. Dezember 2026 umsetzen.

Erleichterungen für Unternehmen – aber nicht für alle

Die EU betont, dass das Omnibus-Paket die Regulierungslandschaft vereinfachen und die europäische Wettbewerbsfähigkeit stärken soll. Der Deal klärt das Zusammenspiel zwischen dem KI-Gesetz und bestehenden sektoralen Vorschriften wie der Maschinenverordnung. Produkte wie Industrieanlagen oder medizinische Geräte sollen keine doppelten Compliance-Lasten tragen.

Zudem werden vereinfachte Anforderungen, die bisher kleinen und mittleren Unternehmen (KMU) vorbehalten waren, auf kleine Mid-Cap-Unternehmen ausgeweitet – insbesondere bei der technischen Dokumentation.

Das KI-Büro der Europäischen Kommission mit seinen 140 Fachleuten erhält gestärkte Aufsichtsbefugnisse. Es wird künftig die zentrale Kontrolle über KI-Systeme haben, die auf allgemeiner KI (GPAI) basieren oder in sehr große Online-Plattformen integriert sind.

Gestaffelte Fristen: Mehr Zeit für Hochrisiko-Systeme

Während die EU bei schädlichen Anwendungen hart durchgreift, räumt sie der Industrie mehr Zeit für komplexe Anforderungen ein. Die Compliance-Frist für eigenständige Hochrisiko-KI-Systeme – etwa in den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und Grenzkontrolle – wurde auf den 2. Dezember 2027 verschoben.

Die wichtigsten Meilensteine im Überblick:

• 2. August 2026: Transparenzpflichten für Chatbots und andere KI-Systeme mit menschlicher Interaktion werden vollständig durchsetzbar
• 2. Dezember 2026: Frist für bereits auf dem Markt befindliche generative KI zur Implementierung von Wasserzeichen und Content-Kennzeichnung
• 2. August 2027: Compliance-Frist für Hochrisiko-KI, die als Sicherheitskomponenten in regulierte Produkte wie Medizin- oder Luftfahrtgeräte eingebettet ist

Die Verbote für Praktiken mit „unannehmbarem Risiko“ – etwa Social Scoring oder subliminale Manipulation – sind bereits seit Februar 2025 in Kraft.

Das strengste Bußgeldregime der Welt

Der Durchsetzungsrahmen nach Artikel 99 des AI Acts bleibt eines der schärfsten Instrumente im globalen Technologiesektor. Die Geldstrafen sind in drei Stufen unterteilt:

• Höchste Stufe: Verbotene KI-Praktiken – bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes
• Mittlere Stufe: Verstöße gegen Hochrisiko-Anforderungen (Risikomanagement, Daten-Governance, fehlende Prüfpfade) – bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes
• Niedrige Stufe: Verfahrensverstöße (falsche oder irreführende Informationen an Behörden) – bis zu 7,5 Millionen Euro oder 1 Prozent des Umsatzes

Für KMU und Start-ups gilt stets der niedrigere der beiden Beträge. Die Marktüberwachungsbehörden können zudem die sofortige Rücknahme nicht konformer KI-Systeme vom europäischen Markt anordnen – ein Risiko, das Experten für noch gravierender halten als die Geldstrafen selbst.

Erste Konflikte mit KI-Anbietern

Die verschärfte Gangart der EU zeigt sich bereits in konkreten Fällen. Mitte Mai 2026 gewährte OpenAI der Kommission Zugang zu einem neuen KI-Modell, das Cyber-Sicherheitslücken identifizieren und ausnutzen kann – eine Kooperation nach einem entsprechenden Angebot des Unternehmens.

Ganz anders die Lage bei Anthropic: Europäische Beamte zeigten sich frustriert über mangelnden Zugang zum Claude-Mythos-Modell für Cybersicherheitsbewertungen. Die Direktorin des KI-Büros, Lucilla Sioli, stellte bei einer Anhörung am 6. Mai 2026 klar: Sobald die vollen Durchsetzungsbefugnisse im August 2026 greifen, unterliegen alle Anbieter von Frontier-KI-Modellen der EU-Jurisdiktion.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt über Risikoklassen und Dokumentationspflichten auf. Kostenlosen AI Act Umsetzungsleitfaden herunterladen

Ein am 15. Mai 2026 veröffentlichter Bericht europäischer Datenschutzbehörden zeigt zudem rund 1,16 Milliarden Euro an Verwaltungsstrafen in grenzüberschreitenden Fällen. Viele basierten auf GDPR-Verstößen, doch die Behörden betrachten GDPR und AI Act zunehmend als zusammenhängenden Durchsetzungsblock. Die italienische Datenschutzbehörde verhängte beispielsweise rund 12,5 Millionen Euro gegen Banking-Apps wegen rechtswidriger Datenverarbeitung durch invasive Überwachungsmaßnahmen.

Countdown zur Transparenz-Deadline

Mit dem nahenden Stichtag 2. August 2026 für die Transparenzregeln werden Unternehmen aufgefordert, ihre „Artikel-50-Bereitschaft“ sicherzustellen. Das bedeutet: Front-End-Architekturen müssen Nutzer von Anfang an informieren, wenn sie mit einem künstlichen System interagieren, und CI/CD-Pipelines müssen unveränderliche Protokolle zur Dokumentation menschlicher Aufsicht erfassen.

Die EU-Kommission unterstützt den Übergang weiterhin durch Initiativen wie den KI-Pakt, ein freiwilliges Programm, das Entwickler zur vorzeitigen Einhaltung zentraler Pflichten einlädt. Doch mit der Verabschiedung des AI Act Omnibus im Mai 2026 neigt sich die Ära der freiwilligen Compliance rapide dem Ende zu. Der Fokus für den Rest des Jahres 2026 und 2027 liegt nun auf der Einrichtung von mindestens einer KI-Regulierungs-Sandbox pro Mitgliedstaat – kontrollierte Testumgebungen für Unternehmen unter den wachsamen Augen der neuen europäischen Regulierungsmaschinerie.

de | wirtschaft | 69349551 |