EU AI Act: Unternehmen drohen Milliardenstrafen ab August 2026

April 2026 gaben die EU-Kommission und der Europäische Datenschutzausschuss (EDPB) den Startschuss für gemeinsame Leitlinien zum Zusammenspiel von Wettbewerbs- und Datenschutzrecht. Das Ziel: ein kohärenter Rechtsrahmen, der Unternehmen Klarheit verschafft – und das pünktlich zum Stichtag 2. August 2026, wenn die meisten Vorschriften des AI Act vollständig greifen.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun?

Digital Omnibus: Verhandlungen gescheitert

Der Weg zu einem schlanken Regelwerk bleibt steinig. Nach einer zwölfstündigen Verhandlungsmarathon am 28. April 2026 sind die Gespräche zwischen EU-Mitgliedstaaten und Europäischem Parlament über das „Digital Omnibus"-Reformpaket vorerst geplatzt. Streitpunkt: Forderungen, bestimmte Branchen von strengen KI-Regeln auszunehmen. Die Verhandlungen sollen Mitte Mai wieder aufgenommen werden.

Das ursprünglich am 19. November 2025 vorgeschlagene Digital Omnibus will gleich drei Gesetze modernisieren: das Datengesetz, die DSGVO und den AI Act. Zu den Kernvorschlägen gehören:
- Wechsel vom Cookie-Opt-in zum Opt-out-Modell
- 96-Stunden-Frist für die Meldung von Datenpannen
- Einstufung von KI-Training als „berechtigtes Interesse"

Trotz des politischen Stillstands treibt der nahende August-Termin die Unternehmen zur Eile. Verstöße gegen verbotene KI-Praktiken können mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes geahndet werden.

Neue Standards für Forschung und Risikoprüfung

Um Unternehmen den Übergang zu erleichtern, haben die Behörden in den letzten Wochen mehrere technische Rahmenwerke veröffentlicht. Mitte April 2026 veröffentlichte der EDPB eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DPIA). Die Konsultationsfrist läuft bis zum 9. Juni 2026. Die Vorlage soll harmonisieren, wie Unternehmen Risiken von Datenverarbeitungen bewerten – insbesondere bei automatisierten Entscheidungen.

Bereits am 15. April 2026 verabschiedete der EDPB die Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke. Sie führen einen strengen Sechs-Faktoren-Test ein, der bestimmt, was als „echte Forschung" gilt. Projekte müssen methodisch, ethisch, verifizierbar, unabhängig sein und einen klaren gesellschaftlichen Nutzen nachweisen. Auch kommerzielle Forschung ist erlaubt – aber nur, wenn sie denselben wissenschaftlichen Kriterien genügt.

Datenschutzbehörden verhängen bei fehlenden Folgenabschätzungen Bußgelder bis zu 2 % des Jahresumsatzes – dieser kostenlose Leitfaden zeigt, wie Sie Ihre Pflichten rechtssicher erfüllen. Fehlende DSFA kann Ihr Unternehmen Millionen kosten – kennen Sie Ihre Pflichten?

Shadow AI: Jedes dritte Unternehmen ohne Strategie

Die Realität in deutschen Unternehmen sieht anders aus. Eine Bitkom-Studie vom März/April 2026 zeigt: 41 Prozent der deutschen Firmen nutzen bereits KI – aber 64 Prozent von ihnen haben keine formale KI-Strategie. Die Folge: „Shadow AI" breitet sich aus. Fast ein Drittel der Mitarbeiter, die wöchentlich KI-Tools einsetzen, tun dies ohne Genehmigung der IT-Abteilung.

Noch alarmierender: Eine Harbr-Data-Studie vom 28. April 2026 ergab, dass 61 Prozent der großen britischen Unternehmen nicht erklären können, wie sensible Daten verarbeitet werden, sobald KI-Systeme im Ausland zum Einsatz kommen. Dabei verarbeiten 73 Prozent dieser Firmen wöchentlich Daten außerhalb Großbritanniens.

Die Nutzung generativer KI wie ChatGPT oder Gemini ist zwar weit verbreitet – eine TÜV-Studie vom Frühjahr 2026 zeigt, dass 56 Prozent der deutschen Unternehmen solche Tools einsetzen. Doch nur 27 Prozent haben ihre Mitarbeiter formal geschult.

Google muss Android-APIs öffnen

Die Durchsetzung europäischer Standards sorgt auch für transatlantische Spannungen. Am 27. April 2026 nutzte die EU-Kommission ihre Befugnisse aus dem Digital Markets Act (DMA), um Google zu zwingen, seine Android-APIs für KI-Konkurrenten zu öffnen. Kleinere Suchmaschinen und KI-Anbieter sollen Zugang zu Suchanfragen und Klicks erhalten – Daten, die bisher Googles Gemini-Plattform vorbehalten waren.

Google warnt vor Sicherheits- und Datenschutzrisiken. Eine endgültige Entscheidung wird bis Juli 2026 erwartet.

Parallel dazu treibt auch die US-Gesetzgebung voran. In der Woche des 27. April 2026 brachte das US-Repräsentantenhaus den SECURE Data Act und den GUARD Financial Data Act ein. Die kalifornische Datenschutzbehörde protestiert: Die Bundesgesetze würden strengere Landesregelungen wie den California Consumer Privacy Act (CCPA) untergraben. Der Hintergrund: US-Behörden kassierten 2025 3,425 Milliarden US-Dollar an Datenschutzstrafen – fast doppelt so viel wie 2024 (1,827 Milliarden US-Dollar).

Compliance wird zum strategischen Risikomanagement

Für Datenschutzbeauftragte und Compliance-Verantwortliche bedeutet das eine grundlegende Neuausrichtung. Statt bloßer Verwaltungserfüllung der DSGVO werden sie zunehmend zu strategischen Risikomanagern. Grund: die Überlagerung von AI Act, NIS-2-Richtlinie (seit dem 6. Dezember 2025 in Kraft, betrifft rund 30.000 Unternehmen in Deutschland) und dem kommenden Cyber Resilience Act (CRA).

Ein aktuelles juristisches Beispiel: Ende März 2026 regte das Oberlandesgericht Hamburg einen Vergleich zwischen Meta und Verbraucherschutzverbänden an – wegen eines Datenlecks mit 533 Millionen betroffenen Nutzern. Der Bundesgerichtshof hatte bereits im November 2024 entschieden, dass der „Kontrollverlust" über persönliche Daten einen immateriellen Schaden darstellt, der entschädigungswürdig ist. Eine Sammelklage mit 300.000 Teilnehmern in Deutschland und 50.000 in Österreich gegen Metas Geschäftstools läuft derzeit. Die möglichen Schadensersatzforderungen pro Kläger liegen zwischen 900 und 4.000 Euro.

Ausblick: Der Countdown läuft

Bis zum 2. August 2026 müssen Unternehmen KI-Governance in ihre Risiko- und Sicherheitsprogramme integrieren. Das Europäische KI-Büro soll erweiterte Entscheidungsbefugnisse erhalten. Für „Allzweck-KI" (GPAI) müssen Hersteller detaillierte Dokumentationen vorlegen und Transparenzpflichten erfüllen.

Weitere Meilensteine:
- Bis Ende 2026: EU-Mitgliedstaaten müssen digitale ID-Wallets bereitstellen
- 11. September 2026: Vollständige Anwendung der Meldepflichten des Cyber Resilience Act

Für Unternehmen geht es jetzt darum, die von Analysten identifizierte „Qualifikationslücke" zu schließen und robuste Prüfpfade für Hochrisiko-KI-Systeme aufzubauen. Die Kosten durch Cyberkriminalität allein in Deutschland werden 2026 auf 290 Milliarden Euro geschätzt. Die Konvergenz von KI-Regulierung und Cybersicherheit bleibt die zentrale Herausforderung für die Unternehmensführung.

de | wirtschaft | 69260238 |