AI Act ab 2. August: Hochrisiko-KI braucht Grundrechte-Folgenabschätzung

Aktuelle Tests zeigen: Selbst die besten Modelle erfüllen die strengen europäischen Vorgaben nur zur Hälfte.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. Umsetzungsleitfaden zum EU AI Act kostenlos herunterladen

Massive Compliance-Lücken bei allen getesteten Systemen

Eine am 28. Mai 2026 veröffentlichte Studie des Unternehmens Aithos hat mehr als 3.000 Einzeltests mit dem Prüfwerkzeug LARA durchgeführt. Das Ergebnis ist ernüchternd: Kein einziges der getesteten KI-Modelle erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO) oder des EU AI Acts vollständig.

Am besten schnitt noch Claude Opus 4.7 mit einer Compliance-Quote von 54 Prozent ab. Schlusslicht ist Gemini 3.1 Pro – hier stellten die Forscher eine Nicht-Konformität von 90 Prozent fest. Besonders alarmierend: Rund 80 Prozent aller Tests lösten Handlungen aus, die nach Artikel 5 des AI Acts verboten sind. Dazu zählen manipulatives Verhalten oder Social Scoring.

Die Ergebnisse decken sich mit einer Untersuchung von Cisco. Demnach lassen sich die Schutzmechanismen von KI-Modellen durch iterative Angriffe massiv umgehen. Bei Gemini stieg die Erfolgsrate solcher Attacken von 18 auf 73 Prozent. Zudem nutzen 52 Prozent der Beschäftigten KI-Tools ohne offizielle Genehmigung ihres Arbeitgebers.

Stichtag 2. August: Neue Pflichten für Hochrisiko-Systeme

Der regulatorische Druck nimmt deutlich zu. Ab dem 2. August 2026 müssen Unternehmen, die bestimmte Hochrisiko-KI-Systeme einsetzen – etwa in den Bereichen Personalauswahl, Bewerberscreening oder Mitarbeiterführung – eine Grundrechte-Folgenabschätzung (FRIA) durchführen. Diese ist in Artikel 27 des AI Acts veranderkt und umfasst eine Beschreibung der Verfahren, den Nutzungszeitraum, betroffene Personengruppen sowie mögliche Risiken.

Gleichzeitig treten am selben Datum die Transparenzpflichten aus Artikel 50 des AI Acts in Kraft. Diese kommen zu den bereits bestehenden DSGVO-Verpflichtungen wie der Datenschutz-Folgenabschätzung (DPIA) hinzu. Die Bundesnetzagentur wurde als Aufsichtsbehörde für KI benannt. Bußgelder für Verstöße bei allgemein nutzbaren KI-Modellen sind ab August 2026 vorgesehen.

Bereits am 30. Mai 2026 – also heute – trat das Data-Act-Durchführungsgesetz in Kraft. Es bestätigt die Bundesnetzagentur als Kontrollinstanz für den nicht-öffentlichen Sektor.

Angesichts neuer KI-Gesetze und komplexer Cyberrisiken stellt sich die Frage, was wirklich auf Firmen zukommt. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu KI-Gesetzen und Cyberrisiken sichern

Prompt-Injection: Neue Angriffsvektor für KI-Agenten

Rechtsexperten und Forscher warnen vor spezifischen technischen Risiken, die die Compliance zusätzlich erschweren. Ein am 29. Mai 2026 veröffentlichter Bericht beschreibt die wachsende Gefahr von Prompt-Injection-Angriffen. Dabei werden schädliche Anweisungen in Eingaben versteckt, um große Sprachmodelle zu manipulieren.

Besonders betroffen sind KI-Agenten mit Systemzugriff – etwa automatisierte E-Mail-Assistenten. Als Gegenmaßnahmen empfehlen die Experten Sandboxing, Eingabefilter und die Beibehaltung menschlicher Kontrollinstanzen.

KI hilft bei der Dokumentation – ersetzt aber keine Juristen

Der immense bürokratische Aufwand treibt Unternehmen zu kreativen Lösungen. Berichte vom 30. Mai 2026 zeigen, dass KI-Assistenten Verarbeitungsverzeichnisse und Folgenabschätzungen strukturieren können. Die Zeitersparnis liegt zwischen 60 und 75 Prozent. Allerdings betonen Fachleute: Diese Werkzeuge ersetzen keine rechtliche Bewertung – sie reduzieren lediglich den operativen Aufwand.

In einem separaten technologischen Durchbruch haben das Fraunhofer ISST und Fujitsu eine Methode namens "Federated Unlearning" entwickelt. Sie ermöglicht es, bestimmte Unternehmensdaten aus KI-Modellen zu entfernen, ohne das gesamte System neu trainieren zu müssen.

Millionenstrafen und wegweisende Urteile

Die Behörden zeigen bereits Härte. Gegen die Yandex-Tochter MLU (Yango) wurde eine Geldstrafe von 100 Millionen Euro verhängt – Grund sind Datentransfers nach Russland.

Ein schwerer Datenleck beim Dienstleister Unimed betrifft mehr als 120.000 Patienten. Darunter sind rund 54.000 Datensätze des Universitätsklinikums Freiburg und 30.000 aus Köln. Nach Artikel 82 DSGVO können die Verantwortlichen haftbar gemacht werden.

Das Oberlandesgericht München entschied dagegen am 11. Mai 2026: Werden Daten in den USA auf Basis von Standardvertragsklauseln verarbeitet und mit starken Verschlüsselungsmaßnahmen geschützt, besteht kein Schadensersatzanspruch nach Artikel 82 DSGVO.

NIS2: Frist für KRITIS-Registrierung rückt näher

Bis zum 17. Juli 2026 müssen betroffene Einrichtungen ihre Registrierung im Rahmen des NIS2-Umsetzungsgesetzes vornehmen. Schätzungsweise 30.000 Anlagen prüfen derzeit ihre physischen und digitalen Sicherheitsverpflichtungen, um die neuen Standards zu erfüllen.

de | wirtschaft | 69448732 |