EU verschiebt KI-Gesetz: Unternehmen bekommen mehr Zeit für Hochrisiko-Systeme

Das am 7. Mai 2026 besiegelte „Omnibus"-Abkommen gibt Unternehmen mehr Zeit für die Umsetzung von Hochrisiko-KI-Systemen – verschärft aber gleichzeitig die Regeln für bestimmte gefährliche Anwendungen.

Während die EU neue Fristen für Hochrisiko-Anwendungen festlegt, müssen Unternehmen die bereits geltenden Sorgfaltspflichten des AI Acts dringend im Blick behalten. Dieser kostenlose Umsetzungsleitfaden hilft Ihnen, Risikoklassen richtig einzustufen und die notwendige Compliance rechtssicher zu organisieren. EU AI Act in 5 Schritten verstehen

Neue Fristen für Hochrisiko-KI

Die EU-Kommission, der Rat und das Parlament haben die Durchsetzungstermine für Hochrisiko-KI-Anwendungen deutlich nach hinten verschoben. Standalone-Hochrisiko-Systeme – etwa in den Bereichen Biometrie, kritische Infrastruktur oder Bildung – müssen nun erst ab dem 2. Dezember 2027 die neuen Anforderungen erfüllen. Das sind 16 Monate später als ursprünglich geplant.

Noch mehr Zeit bekommen Hersteller von KI-Systemen, die in regulierte Produkte eingebettet sind: Medizingeräte, Fahrzeuge, Aufzüge oder Spielzeug müssen die Regeln erst ab dem 2. August 2028 einhalten. Der Verband Bitkom begrüßte diese Entscheidung, da sie Doppelregulierungen vermeide. Siemens-Vertreter hatten zuvor gewarnt, zu strenge Auflagen könnten Innovationen aus Europa vertreiben.

Doch die Verzögerung hat ihren Preis: Bestimmte sicherheitskritische Verbote treten früher in Kraft. Bereits am 2. Dezember 2026 werden KI-Systeme zur Erstellung nicht-einvernehmlicher sexueller Deepfakes und von Material sexuellen Kindesmissbrauchs verboten. Gleichzeitig müssen Unternehmen, die generative KI einsetzen, bis Ende 2026 Wasserzeichen und Transparenzmaßnahmen für KI-generierte Inhalte implementieren.

Explodierende Kosten für Datenschutz und Compliance

Die Verschiebung der KI-Regulierung kommt zu einem Zeitpunkt, an dem die Compliance-Kosten für Unternehmen Rekordhöhen erreichen. Laut einer Studie von DLA Piper haben die kumulierten GDPR-Strafen seit 2018 die Marke von 7,1 Milliarden Euro überschritten. Allein 2025 verhängten die Behörden rund 1,2 Milliarden Euro an Bußgeldern. Die Zahl der Datenschutzverletzungen stieg auf durchschnittlich 443 pro Tag – ein Anstieg von 22 Prozent.

In Deutschland zeigt sich die finanzielle Belastung besonders deutlich im Finanzsektor. Daten von InvestmentWeek zufolge geben deutsche Unternehmen jährlich rund 5,6 Milliarden Euro für „Know Your Business"-Prüfungen und Geldwäscheprävention aus. Experten schätzen, dass eine Automatisierung und KI-gestützte Prüfverfahren diese Kosten um 15 bis 20 Prozent senken könnten.

Die Komplexität der Lage unterstreicht der Bundesbeauftragte für den Datenschutz: 11.800 Beschwerden im Jahr 2025 bedeuten einen Anstieg von 36 Prozent. Branchenanalysten zufolge fühlen sich 82 Prozent der IT-Verantwortlichen unsicher, ob sie die wachsenden Compliance-Anforderungen überhaupt erfüllen können.

Durchsetzung und Infrastruktur-Schwachstellen

Während die Politik an den künftigen Regeln feilt, greifen die Behörden weiter durch. Anfang Mai gewährte die EU-Kommission Google zusätzliche Zeit, um Bedenken zum Digital Markets Act auszuräumen – eine erste Lösung war als unzureichend bewertet worden. Gleichzeitig warnt Google vor „Re-Identifikations"-Risiken bei geplanten Datenweitergaben: Interne Tests hätten gezeigt, dass Nutzer aus anonymisierten Datensätzen in weniger als zwei Stunden identifiziert werden könnten.

In den USA einigte sich General Motors mit dem Bundesstaat Kalifornien auf einen Vergleich über 12,75 Millionen Euro zur Beilegung einer Datenschutzuntersuchung. In Kanada stellte der Datenschutzbeauftragte fest, dass OpenAI persönliche Daten – darunter sensible medizinische und politische Informationen – ohne Einwilligung zum Training von ChatGPT genutzt hatte. OpenAI sagte daraufhin verbesserte Maskierungswerkzeuge und Datenlöschungsverfahren zu.

Ein massiver Sicherheitsvorfall erschüttert derweil den Bildungssektor: Die Hackergruppe Shinyhunters erbeutete Daten von 275 Millionen Studenten weltweit aus der Lernplattform Canvas. Rund 9.000 Bildungseinrichtungen sind betroffen. Zwar wurden keine Passwörter oder Bankdaten gestohlen, aber Namen, E-Mail-Adressen und Studentenausweisnummern sind im Umlauf.

Angesichts steigender Cyberangriffe und strenger EU-Vorgaben müssen Unternehmen ihre IT-Infrastruktur jetzt proaktiv absichern. Dieses kostenlose E-Book enthüllt aktuelle Bedrohungstrends und zeigt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken und Unternehmen schützen

Datensouveränität und öffentliche Kontrolle

Die Regulierung internationaler Cloud-Anbieter für sensible Regierungsdaten verschärft sich. Die EU-Kommission erwägt neue Beschränkungen im Rahmen eines „Tech-Sovereignty-Packages", das für den 27. Mai 2026 erwartet wird. Hintergrund sind geopolitische Spannungen und Bedenken zum US-amerikanischen CLOUD Act. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Ende April 2026 den C3A-Cloud-Sicherheitsstandard, der die digitale Souveränität von Cloud-Diensten anhand von sechs Dimensionen bewertet.

Parallel dazu schlagen Datenschutzbehörden Alarm wegen Überwachungsplänen im Inland. Das Bundeskabinett billigte ein Sicherheitspaket mit KI-gestützter Datenanalyse und automatischer Bildersuche. Louisa Specht-Riemenschneider, die Bundesdatenschutzbeauftragte, kritisierte die Gesichtserkennungsfunktionen als fehleranfällig.

Im Bildungsbereich sorgt ein Vorhaben in Thüringen für Diskussionen: Nach einer Forschungsreise nach Kanada schlagen Landesvertreter eine „Schüler-ID" und zentrale Tracking-Register vor. Die regionalen Datenschutzbeauftragten warnen vor einem erheblichen Eingriff in die Privatsphäre der Schüler und betonen, dass jede Datenweitergabe streng zweckgebunden sein müsse und der Zustimmung der Eltern bedürfe.

Ausblick: KI-Governance und Audits

Die vorläufige Einigung zum AI Act Omnibus soll bis zum 2. August 2026 formell verabschiedet werden. Das Paket enthält erweiterte Unterstützung für kleine und mittlere Unternehmen – einschließlich sogenannter „Small Mid-Caps" mit bis zu 500 Mitarbeitern.

Die überarbeitete Verordnung klärt zudem das Verhältnis zwischen KI-Regeln und der Maschinenverordnung: Maschinenprodukte sind weitgehend von der direkten KI-Aufsicht ausgenommen, um Überschneidungen zu vermeiden. Nationale „KI-Sandboxes" – Testumgebungen für innovative Systeme – müssen bis zum 2. August 2027 eingerichtet sein.

Da die Durchsetzung der Hochrisiko-Regeln nun auf Ende 2027 verschoben ist, richten viele Unternehmen ihren Fokus auf konsolidierte Sicherheitsarchitekturen. Juristen warnen: Der derzeit fragmentierte Ansatz im Datenmanagement reiche für die strengen Prüf- und Berichtsanforderungen von GDPR und AI Act nicht aus. Die Übergangsfrist wird von Branchenanalysten als entscheidendes Zeitfenster gesehen, um Compliance-Workflows zu automatisieren und Daten pipelines zu sichern – bevor die neuen Hochrisiko-Vorgaben rechtsverbindlich werden.

de | wirtschaft | 69297170 |