Tech-Regulierung: USA und EU verschärfen Regeln für KI und Datenschutz

In den USA und der EU setzen Gesetzgeber diese Woche neue Maßstäbe für Datenschutz und künstliche Intelligenz – mit direkten Folgen für Tech-Konzerne und Nutzer.

USA plant einheitliches Datenschutzgesetz

Republikaner im US-Repräsentantenhaus legten gestern einen Entwurf für ein Bundesdatenschutzgesetz vor. Der SECURE Data Act soll den Flickenteppich aus 21 verschiedenen Landesgesetzen ablösen, darunter das strenge kalifornische Recht. Das Ziel: ein einheitlicher nationaler Standard für den Umgang mit Verbraucherdaten.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act in 5 Schritten verstehen

Das Gesetz würde für Unternehmen gelten, die Daten von mehr als 200.000 US-Bürgern verarbeiten oder mehr als ein Viertel ihres Umsatzes mit Datenverkauf erzielen. Kleine Firmen mit einem Jahresumsatz unter 25 Millionen Euro wären von Teilen ausgenommen. Verbraucher erhielten neue Rechte: auf Auskunft, Berichtigung, Löschung und Widerspruch gegen automatisierte Entscheidungen und gezielte Werbung.

Doch der Entwurf hat einen großen Haken. Privatpersonen könnten bei Verstößen nicht vor Gericht ziehen. Die Durchsetzung läge allein bei der Handelsaufsicht FTC und den Bundesstaaten. Zudem gilt Daten von unter 16-Jährigen als besonders schützenswert – hier wäre künftig elterliche Einwilligung nötig. Ob das Gesetz die demokratische Mehrheit findet, ist noch völlig offen.

EU verzögert KI-Verordnung und erhöht Transparenzdruck

In Europa gerät der Zeitplan für die historische KI-Verordnung ins Wanken. Die EU-Staaten einigten sich am Dienstag auf eine Verschiebung um 16 Monate. Regeln für Hochrisiko-KI sollen nun erst im Dezember 2027, die volle Umsetzung sogar erst Ende 2028 greifen. Auch die für die Aufsicht zuständige EU-KI-Behörde startet später.

Kritik kommt aus dem Europaparlament. Abgeordnete monieren, die Bürokratie belaste vor allem den Mittelstand. Die Erstkosten für KMU könnten sich auf 600.000 Euro summieren, mit jährlichen Folgekosten von 150.000 Euro. Forderungen, industrielle KI-Anwendungen auszunehmen, lehnte die EU-Kommission jedoch ab.

Gleichzeitig schärft die europäische Datenschutzbehörde EDPB den Fokus auf Transparenz. Ihr Koordinierter Durchsetzungsrahmen 2026 priorisiert die Aufsicht über Informationspflichten der DSGVO. Zudem genehmigte sie das Europrivacy-Siegel für den Einsatz außerhalb Europas. Es soll globalen Firmen den Nachweis der DSGVO-Konformität erleichtern.

Durchsetzung: Alte Datenpraktiken werden nachträglich geahndet

Aktuelle Strafverfahren zeigen ein neues Risiko für Tech-Firmen auf: die rückwirkende Ahndung alter Datensammlungen. Das KI-Unternehmen Clarifai löschte im April drei Millionen Nutzerfotos und darauf trainierte Modelle. Die Daten stammten aus dem Jahr 2014 von der Dating-Plattform OkCupid – damals ohne Wissen der Nutzer übertragen. Die US-Handelsaufsicht FTC zwang zur Löschung. Das schafft einen Präzedenzfall: Auch vor modernen Gesetzen erworbene Trainingsdaten müssen heutigen Standards genügen.

In Italien verhängten Datenschützer eine Rekordstrafe von über 12,5 Millionen Euro gegen Poste Italiane und PostePay. Grund: unrechtmäßige Datenverarbeitung durch intrusive Betrugsprävention in Apps und fehlende Datenschutz-Folgenabschätzungen. Das Unternehmen kündigte Berufung an.

Als Reaktion auf die wachsenden Compliance-Herausforderungen boomen spezialisierte Tools. Aikido Security brachte einen neuen Endpoint-Agenten zum Schutz vor Lieferkettenangriffen auf den Markt. Diese Attacken nahmen im letzten Jahr um fast 90 Prozent zu. Plattformen wie LEGANTA DORA helfen Fintechs, ihre IT-Verträge automatisiert auf Konformität mit der neuen EU-Resilienzverordnung DORA zu prüfen.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Sichern Sie sich jetzt den kostenlosen Umsetzungsleitfaden zum EU AI Act mit allen relevanten Übergangsfristen. Kostenlosen KI-Leitfaden jetzt herunterladen

Technische Trends: Confidential Computing wird zum Standard

Die technischen Anforderungen an Datenschutz werden immer anspruchsvoller. Branchenexperten sehen Confidential Computing und Trusted Execution Environments als neuen Standard zum Schutz „genutzter“ Daten, besonders in KI-Workloads. Diese Technologien schaffen eine überprüfbare Vertrauensebene, die klassische Verschlüsselung ergänzt.

Auch die Verantwortlichkeit von Führungskräften wird neu justiert. Britische Finanzaufsichtsbehörden reformierten ihr Senior Managers Regime. Die Schwelle für „verstärkt regulierte Firmen“ wird um 30 Prozent angehoben, Zertifizierungsprozesse werden verschlankt. Das Ziel: hohe Verantwortungsstandards wahren, aber Bürokratie abbauen.

Doch Sicherheitslücken bleiben allgegenwärtig. Ein aktueller Vorfall bei Vercel zeigt die Gefahr kompromittierter OAuth-Tokens von Drittanbieter-KI-Tools. Gestohlene Zugangsdaten ermöglichten der Gruppe ShinyHunters Zugriff auf interne Systeme – ein Alarmsignal für identitätsbasierte Vertrauensmodelle.

Ausblick: Verschärfte EU-Regeln ab Herbst 2026

Der regulatorische Druck auf Softwareanbieter wird weiter zunehmen. Ab Mai 2026 tritt die EU-Cyber-Resilienz-Verordnung (CRA) in eine strengere Phase, mit voller Anwendung ab 2027. Für Softwareentwickler gelten ab dem 11. September 2026 neue Meldepflichten für Sicherheitslücken.

In den USA bleibt der Fortschritt des SECURE Data Act im Handelsausschuss entscheidend. Sollte das Gesetz passieren, würde es die Compliance-Landschaft für SaaS-Anbieter grundlegend vereinheitlichen. Die fehlende Möglichkeit für Privatklagen bleibt jedoch ein Streitpunkt für Verbraucherschützer.

Unternehmen sollten zudem die Gerichtsverhandlungen im Oktober 2026 zur Meta-Sammelklage in Mailand im Blick behalten. Das Urteil könnte künftige Entschädigungsstandards für Datenskandale in ganz Europa definieren. Die Botschaft ist klar: Die Ära lascher Regulierung für Tech-Giganten geht zu Ende.

de | boerse | 69238570 |