EU AI Act: Neue Fristen und wachsende Cyber-Bedrohungen

Mit dem „Digital Omnibus"-Abkommen vom 7. Mai 2026 haben die europäischen Behörden zentrale Fristen des EU AI Acts verschoben – ein Zugeständnis an die Industrie, die mehr Zeit für technische Vorbereitungen benötigt.

Neue Compliance-Roadmap für Hochrisiko-KI

Der Konsens vom 7. Mai markiert einen Wendepunkt für Unternehmen im europäischen Markt. Im Kern geht es um den Zeitplan für Hochrisiko-KI-Systeme nach Anhang III des AI Acts. Dazu zählen KI-Anwendungen in Personalauswahl, Bonitätsprüfung, Bildung und kritischer Infrastruktur. Ihre Compliance-Frist wurde auf den 2. Dezember 2027 verschoben. Für KI-Systeme, die in bereits regulierte Produkte integriert sind, gilt sogar der 2. August 2028.

Während die EU neue Fristen für Hochrisiko-Systeme setzt, gelten grundlegende Pflichten des AI Acts für viele Unternehmen bereits heute. Dieser kostenlose Leitfaden hilft Ihnen, Risikoklassen und Dokumentationspflichten schnell zu verstehen. Umsetzungsleitfaden zum EU AI Act jetzt kostenlos herunterladen

Doch nicht alle Unternehmen können aufatmen. Die Transparenzpflichten für generative KI bleiben auf der Überholspur. Neue Systeme müssen ab dem 2. August 2026 Wasserzeichen- und Offenlegungspflichten erfüllen. Für bereits aktive generative KI haben Anbieter bis zum 2. Dezember 2026 Zeit, sie anzupassen. Ziel ist die Bekämpfung von Deepfakes – KI-generierte Inhalte müssen klar erkennbar sein.

Die EU verschärfte zudem im Frühjahr 2026 die Verbote: Nicht-einvernehmliche intime Bilder und KI-generiertes Kindesmissbrauchsmaterial sind nun strikt untersagt. Die Strafen sind massiv: Bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes drohen bei Verstößen. Ein Präzedenzfall: Die Rekordstrafe von 100 Millionen Euro gegen den Yango-Betreiber MLU B.V. wegen unerlaubter Datentransfers nach Russland.

KI-gestützte Angriffe auf dem Vormarsch

Während die Regulierungsbehörden den Rechtsrahmen justieren, zeigt die interne Sicherheitslage ein düsteres Bild für europäische Unternehmen. Das BKA meldete für 2025 333.922 Fälle von Cyberkriminalität mit einem geschätzten Schaden von 202,4 Milliarden Euro. Branchenumfragen zufolge waren 81 Prozent der deutschen Unternehmen 2025 von Cyberangriffen betroffen.

Die Angriffsmethoden entwickeln sich rasant – und nutzen genau jene Technologien, die der EU AI Act regulieren will. 86 Prozent aller Phishing-Angriffe sind inzwischen KI-gestützt. Besonders alarmierend: „Quishing" – Phishing über QR-Codes – stieg im ersten Quartal 2026 um 146 Prozent.

Die Gefahr lauert aber auch innerhalb der Unternehmen. Sicherheitsanalysten von Mimecast registrieren täglich über 10.000 Versuche, Daten an nicht autorisierte KI-Tools zu exfiltrieren. 43 Prozent dieser Daten sind Quellcode – ein massives Risiko für geistiges Eigentum.

Die rasant steigende Zahl KI-gestützter Phishing-Angriffe stellt Unternehmen vor völlig neue Sicherheitsherausforderungen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Team effektiv gegen psychologische Manipulationstaktiken schützen. Kostenlosen Anti-Phishing-Ratgeber für Unternehmen anfordern

Lokale KI als Ausweg aus der Compliance-Falle

Die Antwort auf den doppelten Druck aus DSGVO und Cloud-Risiken: lokale Datenverarbeitung. Am 15. Mai 2026 veröffentlichte der Entwickler Meetily neue Windows- und Enterprise-Versionen eines KI-Meeting-Assistenten, der vollständig offline arbeitet. Das umgeht die Komplexität des DSGVO-Artikels 44 zu internationalen Datentransfers und schließt Klagen nach Biometrie-Gesetzen wie BIPA aus.

Voraussetzung für solche lokalen Lösungen: Neural Processing Units (NPUs) mit mindestens 40 TOPS (Billionen Operationen pro Sekunde). Diese Hardware-Entwicklung ermöglicht „bot-freie" Transkription durch direkten Systemaudio-Zugriff – sensible Meeting-Daten verlassen niemals das lokale Umfeld.

Ein weiterer Vorteil: Die seit Februar 2025 verpflichtende KI-Kompetenz nach Artikel 4 des AI Acts lässt sich mit lokaler Verarbeitung leichter dokumentieren. Unternehmen können Datenflüsse nachvollziehen und die technischen Dokumentationspflichten erfüllen, die für Hochrisiko-KI ab Sommer 2026 gelten.

Internationale Datenschutzstandards und Arbeitsrecht

Der Datenschutzfokus beschränkt sich nicht auf die EU. Mehrere US-Bundesstaaten verabschiedeten 2025 neue Privatsphärengesetze. Delaware, Iowa, Nebraska, New Hampshire und New Jersey führten ihre Datenschutzgesetze zum 1. Januar 2025 ein, gefolgt von Tennessee (1. Juli), Minnesota (31. Juli) und Maryland (1. Oktober). Sie verlangen unter anderem universelle Opt-Out-Mechanismen und Datenschutz-Folgenabschätzungen.

Auch Saudi-Arabien verschärft die Gangart. Die saudische Daten- und KI-Behörde SDAIA meldete 48 Durchsetzungsmaßnahmen gegen Unternehmen wegen Verstößen wie Datenerhebung ohne Rechtsgrundlage. Strafen können umgerechnet bis zu 1,2 Millionen Euro betragen, bei Wiederholung das Doppelte.

In Deutschland sorgte das Bundesarbeitsgericht am 4. Dezember 2025 für Klarheit (Az.: 2 AZR 51/25). Es entschied: Das Hinweisgeberschutzgesetz (§ 36 HinSchG) verbietet zwar Repressalien, gewährt aber keinen außerordentlichen Kündigungsschutz während der Probezeit, wenn die Kündigungsentscheidung vor der Meldung einer Straftat getroffen wurde. Die Beweislast bleibt beim Arbeitgeber.

Bildung und Wissenschaft im KI-Zeitalter

Die Hochschulen stellen sich auf die neue Realität ein. Eine Umfrage der Hochschule Darmstadt von 2025 ergab: 92 Prozent der Studierenden in Deutschland nutzen bereits KI-Tools wie ChatGPT. Wissenschaftliche Plattformen wie Arxiv reagieren mit strengeren Regeln: Autoren übernehmen die volle Verantwortung für KI-generierte Inhalte. Werden nicht verifizierte LLM-Nutzungen entdeckt – etwa erfundene Zitate – droht ein einjähriges Publikationsverbot.

Für den Rest des Jahres 2026 und bis 2027 bleibt der Fokus europäischer KMU auf der Fünf-Schritte-Compliance-Roadmap: Inventur, Klassifizierung, Dokumentation, Schulung und Audit. Der „Digital Omnibus" hat zwar Zeit für komplexe Hochrisiko-Systeme gebracht. Doch die unmittelbaren Anforderungen an Transparenz, KI-Kompetenz und den Schutz vor KI-gestützten Cyberangriffen bleiben drängende Prioritäten für Geschäftskontinuität und regulatorische Standfestigkeit.

de | wirtschaft | 69361941 |