Cloud and AI Development Act: EU sperrt US-Anbieter bei sensiblen Daten

Die Europäische Union justiert ihre Digitalstrategie neu: Unternehmen bekommen mehr Zeit für die Umsetzung des AI Acts, während Brüssel gleichzeitig die technologische Unabhängigkeit Europas vorantreibt.

Mehr Zeit für Hochrisiko-KI-Systeme

Am 7. Mai 2026 einigten sich die europäischen Institutionen auf eine deutliche Verschiebung der Fristen im AI Act. Statt wie ursprünglich geplant am 2. August 2026 müssen Unternehmen die strengen Auflagen für Hochrisiko-KI-Systeme nun erst ab dem 2. Dezember 2027 erfüllen. Die Verlängerung um 16 Monate betrifft besonders sensible Bereiche wie Personalentscheidungen und Bewerbungsverfahren – Anwendungen, die weiterhin als Hochrisiko eingestuft bleiben.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act in 5 Schritten verstehen

Noch großzügiger fällt die Frist für KI-Systeme aus, die in regulierte Produkte integriert sind: Hier gilt der 2. August 2028 als neuer Stichtag. Die Kernanforderungen – Risikomanagement, Datenqualität, menschliche Aufsicht und Rechenschaftspflicht – bleiben trotz der Verzögerung unverändert. Verboten bleiben weiterhin nicht einvernehmliche Deepfakes, sogenannte „Nudification-Apps".

Die EU-Kommission hat mehrere Konsultationsverfahren gestartet, um die technischen Leitlinien zu finalisieren. Bis zum 23. Juni 2026 können Unternehmen Stellung zu den Klassifizierungsregeln für Hochrisiko-KI nehmen. Eine weitere Konsultation zu den Transparenzpflichten nach Artikel 40 des AI Acts endet bereits Anfang Juni.

Tech-Souveränitätspaket: Europas digitale Unabhängigkeit

Am 28. Mai 2026 präsentiert die Kommission ihr lang erwartetes Tech-Souveränitätspaket. Kernstücke sind der Cloud and AI Development Act sowie eine Aktualisierung des Chips Acts. Erstmals soll eine offizielle EU-Definition digitaler Souveränität festgeschrieben werden – ein Begriff, der intern heftig umstritten war.

Das neue Cloud-Gesetz zielt vor allem auf US-Anbieter ab: Bei sensiblen öffentlichen Daten aus den Bereichen Gesundheit, Finanzen und Justiz sollen nicht-europäische Cloud-Dienste künftig ausgeschlossen werden. Die Privatwirtschaft bleibt von diesen Pflichten vorerst verschont.

Das Paket ist das Ergebnis eines Kompromisses zwischen verschiedenen Lagern. Während Frankreich und Deutschland auf strikte Bevorzugung europäischer Anbieter drängten, plädierten Irland und die nordischen Länder für Offenheit. Herausgekommen ist eine abgestufte Lösung: Die schärfsten Beschränkungen gelten für staatlich kontrollierte Daten, nicht für den gesamten Markt.

Spanien geht voran – Irland unter Druck

Während Brüssel die zentrale Durchsetzung vorbereitet, handeln einzelne Mitgliedstaaten bereits. Der spanische Gesetzgeber verabschiedete Ende Mai in zweiter Lesung ein Gesetz zur „guten Nutzung und Governance von KI". Ab August 2026 müssen KI-generierte Inhalte in Spanien verpflichtend gekennzeichnet werden. Bei Verstößen drohen Bußgelder zwischen 6.000 und 35 Millionen Euro. Zwei neue Aufsichtsbehörden – Aesia für die allgemeine Überwachung und die spanische Datenschutzbehörde für biometrische Daten – sollen die Einhaltung kontrollieren.

Kritik kommt vom Irish Council of Civil Liberties. Die Organisation befürchtet, dass Irland als Hauptregulierer vieler Tech-Giganten zum Flaschenhals werden könnte. Während der bevorstehenden EU-Ratspräsidentschaft Irlands fordern Kritiker, das Land solle sich aus führenden Rollen bei Digitalthemen zurückziehen – die bisherige Durchsetzung der Datenschutzregeln sei unzureichend gewesen.

Die Komplexität des AI Acts hat einen neuen Markt für Compliance-Automatisierung hervorgebracht. Firmen wie Commugen bieten Plattformen zur automatisierten Risikoklassifizierung und Prüfungsvorbereitung an. Kein Wunder: Verstöße können mit bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Energie und Ethik: KI als Teil der Industriestrategie

Am 3. Juni 2026 will die Kommission eine strategische Roadmap für die Digitalisierung des Energiesektors verabschieden. Die Community of Practice AI.grids soll KI-gesteuerte Modelle für Stromnetze entwickeln. Parallel dazu steht eine Einigung zur nachhaltigen Integration von Rechenzentren in die europäische Energieinfrastruktur an.

Die EU bettet ihre Regulierung zudem in einen ethischen Rahmen ein. Nach der Veröffentlichung der Enzyklika „Magnifica Humanitas" von Papst Leo XIV. am 22. Mai 2026 zeigte sich die Kommission anschlussfähig. Kommissionssprecher Thomas Regnier betonte, dass der bestehende Rechtsrahmen – AI Act, Digital Services Act und Digital Markets Act – bereits die geforderte menschenzentrierte Technologie ermögliche.

International baut die EU ihre Zusammenarbeit aus, insbesondere mit Japan, um gemeinsame KI-Standards zu etablieren.

Analyse: Pragmatismus statt Überforderung

Die Verschiebung der Fristen für Hochrisiko-KI-Systeme ist ein pragmatischer Schachzug Brüssels. Statt einer überstürzten Umsetzung mit chaotischen Folgen setzt die Kommission auf breite Akzeptanz. Die zusätzlichen 16 Monate sollen die Reibungsverluste vermeiden, die in den Anfangsjahren der DSGVO auftraten, als viele Unternehmen technisch nicht vorbereitet waren.

Rechtsexperten sehen einen klaren Trade-off: Lieber erreichen mehr Unternehmen einen verspäteten, aber erreichbaren Standard, als dass nur wenige einen überambitionierten Termin schaffen. Die Konformität mit EU-KI-Standards könnte sich langfristig als Wettbewerbsvorteil erweisen – vorausgesetzt, der Übergang gelingt.

Ausblick: Juni wird entscheidend

Der Juni 2026 wird zur Bewährungsprobe für die technischen Standards. Die Ergebnisse der Konsultationen zu Transparenz und Hochrisiko-Klassifizierung werden die Detailtiefe liefern, die Unternehmen seit Monaten fordern. Das Tech-Souveränitätspaket dürfte zudem eine neue Arbeit über die Balance zwischen offenen Märkten und digitalem Protektionismus auslösen.

Mit dem neuen Stichtag Dezember 2027 verschiebt sich der Fokus von der Gesetzgebung zur technischen Umsetzung. Unternehmen in Europa müssen die Entwicklung der sekundären Rechtsakte und den Aufbau nationaler Aufsichtsbehörden genau verfolgen. Der Erfolg der Regulierung hängt nicht nur vom Europäischen KI-Büro ab, sondern auch von der Fähigkeit der Mitgliedstaaten, einheitliche und transparente Durchsetzung im Binnenmarkt zu gewährleisten.

de | wissenschaft | 69426821 |