EU verschärft Regulierung: KI-Gesetz und Datenschutz in neuer Phase

Die europäische Regulierungslandschaft für Künstliche Intelligenz und Datenschutz tritt in eine entscheidende Phase ein – von der Theorie zur aktiven Durchsetzung.

Brüssel und die nationalen Aufsichtsbehörden ziehen die Zügel an. Mit neuen Leitlinien für Hochrisiko-KI-Systeme und Rekordzahlen bei Datenschutzbeschwerden steigt der Druck auf Unternehmen massiv. Hinzu kommen spektakuläre Cyberangriffe wie der jüngste auf einen deutschen Medizinabrechnungsdienst, der die Verwundbarkeit sensibler Patientendaten schononlos offenlegte.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. Kostenlosen Umsetzungsleitfaden zum EU AI Act herunterladen

EU-Kommission legt Leitlinien für Hochrisiko-KI vor

Am 22. Mai 2026 veröffentlichte die EU-Kommission einen Entwurf für Leitlinien zu Hochrisiko-KI-Systemen. Das Papier konkretisiert die Einstufungskriterien nach Artikel 6 des EU AI Acts. Betroffen sind acht kritische Bereiche – von Biometrie über kritische Infrastruktur bis hin zu Bildung und Beschäftigung.

Die Verantwortung liegt zunächst bei den Anbietern: Sie müssen selbst prüfen, ob ihre Systeme als hochriskant einzustufen sind. Die Regulierungsbehörden behalten sich jedoch das Recht vor, nachträglich zu kontrollieren. Ein Filtermechanismus in Artikel 6(3) soll Ausnahmen ermöglichen, wenn die KI nur eng umrissene Aufgaben erfüllt.

Bereits seit Februar 2025 gilt eine weitere Pflicht: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Die Praxis zeigt jedoch ein düsteres Bild. Branchenbeobachter schätzen, dass fast ein Viertel der Fachkräfte nicht autorisierte KI-Tools nutzt – ein Phänomen, das als „Bring Your Own AI" bekannt ist.

Die Strafen für Verstöße sind happig: Bis zu 30 Millionen Euro oder sechs Prozent des globalen Jahresumsatzes drohen bei Verstößen gegen die Hochrisiko-Regeln. Während einige Transparenzpflichten bereits im August 2026 in Kraft treten, könnten bestimmte Fristen für mittelständische Unternehmen auf Ende 2027 oder 2028 verschoben werden – das deuteten politische Einigungen aus dem Frühjahr an.

Rekordbeschwerden: GDPR-Belastung wächst rasant

Die Datenschutzbehörden verzeichnen einen beispiellosen Anstieg öffentlicher Beschwerden. In Niedersachsen meldete der Landesdatenschutzbeauftragte für 2025 rekordverdächtige 4.022 Beschwerden – eine Vervierfachung im Vergleich zu 2018, als die DSGVO in Kraft trat. Auch die Meldungen von Datenschutzverletzungen stiegen von 370 (2018) auf über 1.600 im jüngsten Berichtsjahr.

Die Haupttreiber: Videoüberwachung, Web-Tracking und der Einsatz Künstlicher Intelligenz.

Die Wirtschaft stöhnt unter der Last. Eine Bitkom-Umfrage vom 22. Mai 2026 zeigt: 81 Prozent der Unternehmen empfinden die DSGVO als erhebliche Belastung – vor einem Jahrzehnt waren es nur 25 Prozent. 63 Prozent der Befragten fürchten zudem, dass die aktuellen Datenschutzregeln KI-Entwickler aus der EU vertreiben könnten. Die Industrie fordert Reformen.

Für zusätzliche Komplexität sorgt ein BGH-Urteil aus dem Jahr 2023: Aktionäre haben demnach ein Recht auf Einsicht in Namen, Adressen und Beteiligungshöhen ihrer Mitaktionäre – etwa für Kaufangebote. Das Gericht stellte klar: Solche Anfragen sind gesellschaftsrechtlich zulässig und datenschutzkonform, selbst wenn andere Aktionäre widersprechen.

Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist, damit Ihr Unternehmen optimal vorbereitet ist. Kostenloses E-Book: EU AI Act in 5 Schritten verstehen

Cyberangriff auf Unimed: 100.000 Patientendaten betroffen

Ende Mai 2026 erschütterte ein schwerer Hackerangriff den Medizinabrechnungsdienst Unimed. Rund 100.000 Patientendaten deutschlandweit sind betroffen, darunter etwa 27.000 von der Uniklinik Köln und 3.000 von der Uniklinik Düsseldorf. Die Klinikabläufe blieben zwar funktionsfähig, doch die Angreifer erbeuteten sensible Informationen – Namen, Adressen und Daten der behandelnden Ärzte – bevor sie die Systeme verschlüsselten.

Rechtsexperten sehen mögliche Schadensersatzansprüche der Betroffenen.

Der Vorfall fällt in die aktive Durchsetzungsphase der NIS2-Richtlinie und des deutschen Umsetzungsgesetzes (NIS2UmsuCG), das seit dem 6. Dezember 2025 gilt. Die Vorschriften verlangen strenge Lieferketten-Sicherheit und machen Vorstände persönlich haftbar für Cybersicherheitsmängel. Strafen: bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes.

Dennoch: Von den rund 29.500 betroffenen Unternehmen in Deutschland hatten bis zum Stichtag am 6. März 2026 nur etwa 11.000 ihre Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) abgeschlossen. Die Behörden kündigen für das Frühjahr 2026 verschärfte Kontrollen an.

Souveräne KI-Cloud: 250 Millionen Euro für deutsche Verwaltung

Um Risiken durch internationale Datentransfers und den US CLOUD Act zu minimieren, investiert Europa in eigene Infrastruktur. Das Bundesministerium für Digitales und Verkehr (BMDV) vergab Ende Mai 2026 einen 250-Millionen-Euro-Auftrag an ein Konsortium aus T-Systems, SVA und SAP. Ziel: eine souveräne KI-Cloud für die öffentliche Verwaltung.

Parallel dazu setzt die Industrie auf neue Standards. Die ISO/IEC 27701:2025, veröffentlicht am 14. Oktober 2025, führt das erste unabhängig zertifizierbare Privacy Information Management System (PIMS) ein. Dutzende neue Sicherheitskontrollen und eine direkte DSGVO-Abbildung sind enthalten. Unternehmen mit älteren Rahmenwerken müssen bis Oktober 2028 migrieren.

Ausblick: Fristen und neue Technologien

Die kommenden Monate bringen entscheidende Termine:

• August 2026: Neue Transparenzpflichten für KI-Systeme treten EU-weit in Kraft
• 1. Oktober 2026: Erweiterte Dokumentationspflichten für Unternehmen in Österreich
• 2028: Geplante Einführung eines EU-weiten Ransomware-Meldesystems und eines paneuropäischen Cybersicherheitszertifikats

Auf technischer Seite reagieren Sicherheitsanbieter. Netskope brachte im Mai 2026 eine Suite speziell zum Schutz von KI-Agenten vor „Jailbreaking"-Angriffen auf den Markt. Check Point Software startete eine agentenbasierte Sicherheitsorchestrierungsplattform zur automatisierten Netzwerkrisikoanalyse.

Der globale Handel mit KI-relevanten Gütern erreicht schätzungsweise 3,8 Billionen US-Dollar. Der Druck auf europäische Unternehmen, Innovation, digitale Souveränität und strenge Datenschutzauflagen unter einen Hut zu bringen, wird weiter steigen.

de | wirtschaft | 69409213 |