EU AI Act: Erste Transparenzpflichten ab 2. August 2026 in Kraft
Veröffentlicht: 13.07.2026 um 03:48 Uhr, Redaktion boerse-global.de
Der Bundesrat hat am 10. Juli 2026 einen Gesetzentwurf zur Reform des Bundesdatenschutzgesetzes (BDSG) beschlossen. Gleichzeitig treten die ersten Stufen des EU AI Acts in Kraft. Die Kombination aus nationalen Gesetzesreformen, europäischen Verordnungen und verschärften technischen Anforderungen an die Anonymisierung von Daten macht eine präzise strategische Planung erforderlich. Hohe Bußgelder und Reputationsschäden drohen bei Verstößen.
Stärkere Aufsicht durch BDSG-Reform
Kernpunkt der BDSG-Reform ist die Institutionalisierung der Datenschutzkonferenz (DSK). Sie soll künftig verbindliche Mehrheitsbeschlüsse fassen können. Das Ziel: Die datenschutzrechtliche Aufsicht in Deutschland effizienter gestalten.
Für international agierende Unternehmen und Forschungseinrichtungen sieht der Entwurf einen nationalen „One-Stop-Shop“ vor. Dieses „Einer-für-Alle-Prinzip“ bündelt die Zuständigkeiten und vereinfacht die Abstimmung mit den Aufsichtsbehörden. Für die Feststellung der zuständigen Behörde ist eine Frist von einem Monat vorgesehen.
Die Straffung der Prozesse erfolgt vor dem Hintergrund eines komplexen globalen Datenverkehrs. Das Handelsvolumen zwischen der EU und den USA wird auf jährlich rund 900 Milliarden Euro geschätzt.
EU AI Act: Verschärfte Transparenzpflichten ab August
Ab dem 2. August 2026 treten die ersten verschärften Transparenzpflichten des EU AI Acts in Kraft. Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden.
Noch empfindlicher sind die Sanktionen bei verbotenen KI-Praktiken. Hier hat der Gesetzgeber einen Rahmen von bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes vorgesehen.
Angesichts der neuen Transparenzpflichten und drohenden Bußgelder im EU AI Act benötigen Unternehmen jetzt einen klaren Überblick über ihre Pflichten. Dieser kostenlose Umsetzungsleitfaden hilft Ihrer IT- und Rechtsabteilung, Fristen und Risikoklassen sicher zu verstehen. EU AI Act in 5 Schritten verstehen
Für Entwickler von Hochrisiko-KI-Systemen gilt eine längere Übergangsfrist. Sie müssen die Anforderungen bis zum 2. Dezember 2027 erfüllen. Eingebettete KI-Systeme haben Zeit bis zum 2. August 2028. Ein spezifisches Verbot für sogenannte KI-Nudifier greift bereits ab dem 2. Dezember 2026.
Analysten empfehlen Unternehmen, umgehend ein Systeminventar und eine Risikoklassifizierung ihrer Anwendungen durchzuführen. Nur so lassen sich bestehende Lücken in der Datengovernance schließen.
Strengere Regeln für Anonymisierung und Web-Scraping
Der Europäische Datenschutzausschuss (EDSA) hat die Kriterien für eine rechtssichere Anonymisierung verschärft. Daten gelten nur dann als wirksam anonymisiert, wenn die Faktoren Isolation, Verknüpfung und Rückschluss dauerhaft ausgeschlossen werden können. Die Leitlinien befinden sich bis zum 30. Oktober 2026 in der Konsultationsphase.
Parallel dazu hat der EDSA die Anforderungen an das Web-Scraping für das Training von KI-Modellen präzisiert. Eine Verarbeitung solcher Daten ist nur bei Nachweis eines berechtigten Interesses und der Implementierung robuster Schutzmaßnahmen zulässig.
Haftungsrisiken: Gerichte konkretisieren KI-Rechtsprechung
Die praktischen Risiken zeigten sich zuletzt bei Meta. Der Konzern deaktivierte am 10. Juli 2026 die erst wenige Tage zuvor gestartete KI-Bildfunktion „Muse Image“. Grund war massive Kritik an der automatischen Aktivierung und dem Zugriff auf öffentliche Profile. Interessenverbände und Persönlichkeiten des öffentlichen Lebens hatten protestiert. Meta räumte ein, dass die Funktion ihr Ziel in der vorliegenden Form verfehlt habe.
Während die Rechtsprechung zu KI-Fehlern und Haftungsrisiken immer schärfer wird, müssen Verantwortliche jetzt die rechtlichen Anforderungen an ihre Systeme genau prüfen. Ein kostenloser Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen nun konkret tun müssen. Kostenlosen KI-Umsetzungsleitfaden herunterladen
Auch die Rechtsprechung konkretisiert die Haftung für KI-Fehler. Das Landgericht München I entschied (Az. 26 O 869/26), dass Anbieter für sogenannte KI-Halluzinationen haften können. In einem ähnlichen Fall vor dem Oberlandesgericht Hamm (Az. 4 UKl 3/25) wurde ein Chatbot-Betreiber für die Erfindung akademischer Titel haftbar gemacht.
Cyber Resilience Act: Neue Meldepflichten ab September
Ab dem 11. September 2026 greift eine neue Meldepflicht des Cyber Resilience Acts (CRA) für aktiv ausgenutzte Sicherheitslücken. Unternehmen müssen eine Frühwarnung innerhalb von 24 Stunden und einen detaillierten Abschlussbericht nach 14 Tagen vorlegen.
Für die Industrieautomation ist zudem ab Januar 2027 eine neue Typenprüfung vorgesehen. Während die Industrie bereits konforme Steuerungen auf den Markt bringt, stockt die Einführung staatlicher digitaler Infrastrukturen.
Der für Anfang 2027 geplante Start der EUDI-Wallet in Deutschland gilt als gefährdet. Experten kritisieren die Sicherheitsarchitektur mit Cloud-Anbindung sowie die fehlende Post-Quanten-Sicherheit. Das erschwert die Entwicklung kompatibler privater Anwendungen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
