EU verschiebt strenge KI-Regeln: Digital Omnibus bringt Unternehmen Luft

Die Europäische Union hat die Umsetzung des AI Acts neu justiert – mit weitreichenden Folgen für die deutsche Industrie.

Am 7. Mai 2026 einigten sich die europäischen Gesetzgeber auf den sogenannten „Digital Omnibus on AI". Das Rahmenwerk verschiebt die strengsten Auflagen des Artificial Intelligence Acts um bis zu zwei Jahre. Einen Tag später startete die EU-Kommission eine öffentliche Konsultation zu Transparenzrichtlinien für KI-Systeme. Der Zeitpunkt ist brisant: Laut aktuellen Marktanalysen gelingen mittlerweile 54 Prozent aller KI-gestützten Phishing-Angriffe. Technologiekonzerne und Messaging-Dienste reagieren mit verschärften Sicherheitsprotokollen.

Angesichts der neuen EU-Vorgaben und steigender Cyber-Risiken müssen Unternehmen ihre Strategien jetzt anpassen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Anforderungen, Pflichten und Fristen der neuen EU-KI-Verordnung. EU AI Act in 5 Schritten verstehen

Gestaffelte Fristen für Hochrisiko-KI

Der Digital Omnibus führt ein zweistufiges Modell für die strengsten Auflagen ein. Für eigenständige Hochrisiko-KI-Systeme verschiebt sich die Compliance-Frist auf den 2. Dezember 2027. Systeme, die in Produkte integriert sind – etwa solche unter der EU-Maschinenverordnung – erhalten sogar bis zum 2. August 2028 Zeit. Deutsche Spitzenpolitiker hatten sich erfolgreich für Ausnahmen bei industriellen KI-Anwendungen eingesetzt, um große Fertigungs- und Technologieunternehmen zu schützen.

Während die Hochrisiko-Regeln aufgeschoben wurden, bleiben andere Transparenzpflichten auf der Überholspur. Bereits ab dem 2. August 2026 müssen KI-Anbieter sicherstellen, dass KI-generierte Inhalte gekennzeichnet werden. Eine verpflichtende Wasserzeichen-Pflicht für KI-Inhalte tritt am 2. Dezember 2026 in Kraft. Ab diesem Datum gelten auch Verbote für bestimmte schädliche Anwendungen – etwa KI-Tools zur Erstellung nicht-einvernehmlicher intimer Bilder.

Entlastung für die Wirtschaft – bei hohen Strafen

Die Branche reagiert erleichtert. Laut einer McKinsey-Studie könnten standardisierte Vorlagen und einheitliche Dokumentationen die Compliance-Kosten für Großunternehmen um 20 bis 30 Prozent senken. Mittelständische Firmen mit bis zu 1.500 Mitarbeitern oder einem Umsatz von bis zu 200 Millionen Euro profitieren von erweiterten Ausnahmen, besonders im Maschinenbausektor.

Doch die Entwarnung hat Grenzen: Bei schwerwiegenden Verstößen drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Ein Risiko, das vor allem DAX-Konzerne nicht unterschätzen sollten.

KI-Phishing zwingt Tech-Riesen zum Umdenken

Die Dringlichkeit der Regulierung zeigt sich in der realen Bedrohungslage. Microsoft berichtete Anfang Mai 2026, dass KI-verstärkte Phishing-Angriffe deutlich effektiver geworden seien. Der Konzern beschleunigt deshalb den Abschied von traditionellen Passwörtern. Seit Jahresbeginn werden neue Microsoft-Konten standardmäßig passwortlos erstellt – Passkeys gelten als sicherere Alternative. Die FIDO Alliance zählt weltweit rund 5 Milliarden genutzte Passkeys.

Der Messaging-Dienst Signal reagierte am 8. Mai 2026 mit neuen Schutzmaßnahmen. Die Plattform führt zusätzliche Warnungen für Nachrichten von unbekannten Nummern ein. Hintergrund: Eine Serie von Phishing-Versuchen, die sich gegen deutsche Politiker, Militärangehörige und Journalisten richtete. Betroffen waren unter anderem Julia Klöckner, Verena Hubertz und Karin Prien. Die Kampagnen sollen ihren Ursprung in Russland haben. Signal betonte, die Plattform selbst sei nicht kompromittiert worden.

Verbraucherschützer schlagen Alarm

In Deutschland registrieren Verbraucherschutzorganisationen eine Welle von Phishing-Aktivitäten. Im Frühjahr 2026 häuften sich Warnungen vor betrügerischen Nachrichten, die angeblich von der Steuerbehörde ELSTER, der Deutschen Rentenversicherung oder Banken stammten. Eine aktuelle Welle vom 8. Mai 2026 zielte speziell auf Amazon-Prime-Mitglieder ab: Die Betrüger forderten angeblich dringende Aktualisierungen der Zahlungsmethoden.

Da herkömmliche Passwörter bei modernen Hacker-Angriffen kaum noch Schutz bieten, gewinnen neue Authentifizierungsmethoden massiv an Bedeutung. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Passkeys bei Amazon, Microsoft oder WhatsApp einrichten und Phishing-Angriffe wirksam verhindern. Sicher, bequem und passwortlos: Jetzt Gratis-Report sichern

General Motors zahllt Millionenstrafe

Auch außerhalb der KI-Regulierung wird das Datenschutzrecht verschärft durchgesetzt. Am 8. Mai 2026 einigte sich General Motors mit dem US-Bundesstaat Kalifornien auf einen Vergleich über 12,75 Millionen Euro. Der Autobauer hatte zwischen 2016 und 2024 Fahrverhaltensdaten – darunter GPS-Standorte und Geschwindigkeiten – von Hunderttausenden Bürgern illegal an Datenmakler verkauft. GM verdiente damit bundesweit rund 20 Millionen Euro. Nun gilt ein fünfjähriges Verkaufsverbot für Fahrdaten an Auskunfteien.

Niederlande verhängen Millionenstrafe gegen Yango

In Europa zeigt die niederländische Datenschutzbehörde Härte: Sie verhängte eine 100-Millionen-Euro-Strafe gegen den Mutterkonzern des Fahrdienstes Yango. Der Grund: Illegale Übermittlung von Nutzerdaten aus Finnland und Norwegen an Server in Russland. Dort ermöglichen lokale Gesetze Sicherheitsbehörden weitreichenden Zugriff auf private Informationen. Die eingesetzten vertraglichen Sicherungen galten als unzureichend.

USA verbieten „Surveillance Pricing"

Im April 2026 wurde Maryland zum ersten US-Bundesstaat, der „Surveillance Pricing" verbietet – also den Einsatz von KI zur dynamischen Preisgestaltung bei Grundnahrungsmitteln auf Basis individuellen Verbraucherverhaltens. In der EU sind solche Praktiken unter bestehenden Datenschutzgesetzen bereits weitgehend eingeschränkt, sofern keine ausdrückliche Einwilligung vorliegt. Der Schritt aus den USA zeigt: Das Bewusstsein für die Risiken personalisierter Preisausbeutung wächst global.

IT-Teams im Dauerstress

Die rasante Regulierungsdynamik und die zunehmende Bedrohungslage belasten Unternehmen massiv. Eine Studie vom Mai 2026 zeigt: IT-Abteilungen verbringen mittlerweile 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. Über 80 Prozent der IT-Sicherheitsverantwortlichen befürchten, nicht alle regulatorischen Anforderungen erfüllen zu können.

Der Spagat zwischen Sicherheit und Innovation zeigt sich auch am Arbeitsmarkt. Während Konzerne wie Nvidia weiter massiv in das KI-Ökosystem investieren – die Summen übersteigen 40 Milliarden Euro –, bleiben Jobverluste ein Thema. Berichten zufolge sind in diesem Jahr bereits über 49.000 Arbeitsplätze durch KI-Einführungen weggefallen. Gleichzeitig sorgt ein geplanter Personalabbau beim baden-württembergischen Landesdatenschutzbeauftragten um 40 Prozent für scharfe Kritik – ausgerechnet in Zeiten, in denen Sicherheitsbehörden zunehmend biometrische Technologien einsetzen.

Ausblick: Der August 2026 als erster Härtetest

Für Unternehmen rückt nun der 2. August 2026 in den Fokus. Dann treten die ersten verbindlichen Transparenzpflichten in Kraft. Der Stichtag wird zum Lackmustest für die Durchsetzungsfähigkeit der neuen EU-Standards. Bis Ende des Jahres folgen das Verbot von Hochrisiko-Anwendungen und die verpflichtende Wasserzeichen-Pflicht.

Der Digital Omnibus hat der Industrie eine Atempause verschafft. Doch die verlängerten Fristen bis 2027 und 2028 sind keine Ruhepause – sie sollen genutzt werden, um präzise technische Standards zu entwickeln. Parallel dazu zeigt die Durchsetzung des Digital Markets Act Wirkung: Noch am 10. Mai 2026 wurden gegen Apple und Meta empfindliche Strafen verhängt. Für Compliance-Verantwortliche heißt das: Privacy by Design und robuste Authentifizierungsmethoden wie Passkeys sind kein Nice-to-have mehr – sie werden zur Überlebensfrage in einer regulatorischen Landschaft, die mit Datenmissmanagement immer weniger Geduld hat.

de | wirtschaft | 69301286 |