EU verschärft Regeln für Künstliche Intelligenz

Die Europäische Union einigt sich auf strengere Auflagen für KI – mit schärferen Sanktionen gegen Deepfakes und mehr Zeit für Industrieanwendungen.

Der sogenannte „Digital Omnibus", der Anfang Mai 2026 finalisiert wurde, ist das Ergebnis wochenlanger Verhandlungen zwischen EU-Kommission, Parlament und Mitgliedstaaten. Das Paket passt den bestehenden EU AI Act an und reagiert auf wachsenden politischen Druck, die Risiken digitaler Täuschung und unerlaubter synthetischer Medien einzudämmen.

Die neuen EU-Vorgaben zum AI Act treten schrittweise in Kraft und stellen Unternehmen vor komplexe Dokumentationspflichten. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Risikoklassen und die rechtssichere Umsetzung in Ihrem Betrieb. EU AI Act in 5 Schritten verstehen

Neue Fristen für Hochrisiko-KI

Das provisorische Abkommen, das am 7. Mai zwischen Parlament und Rat erzielt wurde, verschiebt die Deadline für „Hochrisiko"-KI-Systeme nach Anhang III auf den 2. Dezember 2027. Für KI, die in regulierte Produkte wie Medizingeräte oder Fahrzeuge integriert ist, gilt nun der 2. August 2028 als Stichtag. Maschinenbezogene KI wurde vorerst ausgenommen – die EU will sie besser mit bestehenden Sicherheitsstandards verzahnen.

Ganz anders sieht es bei den Transparenzpflichten aus: Sie werden drastisch vorgezogen. Die Regelungen aus Artikel 50 des AI Act – die Kennzeichnung von KI-generierten Inhalten und die Offenlegung von Chatbot-Interaktionen – sollen bereits ab August 2026 bindend sein. Einige Gesetzesentwürfe deuten sogar auf eine vollständige Umsetzung bis Dezember 2026 hin.

„Nutzer müssen wissen, ob sie mit einem Menschen oder einer Maschine kommunizieren", heißt es aus Brüssel. Die Maßnahme gilt als zentral, um das Vertrauen in digitale Kommunikation zu erhalten.

Für kleine und mittlere Unternehmen wurden spezifische Ausnahmen bis hin zu kleinen „Mid-Cap"-Firmen verlängert. Ziel ist es, wachsenden Unternehmen bürokratische Lasten zu ersparen, ohne die Sicherheitsstandards zu verwässern.

Schlag gegen Deepfakes und nicht-einvernehmliche Inhalte

Ein Kernstück des neuen Abkommens ist das Verbot von KI-Werkzeugen, die zur Erstellung intimer Bilder oder Videos ohne Einwilligung der abgebildeten Personen genutzt werden. Die Mitgliedstaaten müssen diese Verbote bis Dezember 2026 umsetzen. Auslöser waren mehrere spektakuläre Fälle von synthetischer Medienmanipulation, die in den vergangenen Monaten für Schlagzeilen sorgten.

Die Debatte um digitale Sicherheit hat auch konkrete Folgen für Unternehmen. Meta deaktivierte am 8. Mai 2026 die optionale Ende-zu-Ende-Verschlüsselung (E2EE) für Instagram-Direktnachrichten. Begründung: Die Funktion sei kaum genutzt worden. Der Schritt ermöglicht es dem Konzern nun, Nachrichten auf schädliche Inhalte zu scannen – ein Eingeständnis an die regulatorischen Anforderungen, der bei Datenschützern auf scharfe Kritik stößt.

Auch Google zog nach: Ende April 2026 führte der Konzern sein neues reCAPTCHA-System namens „Cloud Fraud Defense" ein. Es nutzt die Play Integrity API, steht aber in der Kritik, Nutzer datenschutzfreundlicher Android-Betriebssysteme auszusperren.

Milliardenstrafen drohen

Die finanziellen Risiken bei Verstößen gegen Datenschutz- und KI-Regularien sind enorm. Mitte Mai 2026 verhängten die Datenschutzbehörden Finnlands, der Niederlande und Norwegens eine Rekordstrafe von 100 Millionen Euro gegen die MLU B.V., die Muttergesellschaft von Yango, wegen unerlaubter Datentransfers nach Russland. Die kumulierten GDPR-Strafen in Europa belaufen sich zwischen 2018 und Mitte 2024 auf über 4,2 Milliarden Euro.

Der EU AI Act droht mit noch härteren Sanktionen: Verstöße gegen verbotene KI-Praktiken können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden. Die Gefahr beschränkt sich nicht auf Bußgelder: Branchenberichte aus dem Jahr 2025 beziffern den Schaden durch Cyberkriminalität allein in Deutschland auf über 200 Milliarden Euro jährlich – ein Großteil davon durch KI-gestützte Phishing-Angriffe.

Auch die Gerichte präzisieren die Anforderungen. Das Verwaltungsgericht Düsseldorf entschied im April 2026, dass für E-Mails, die lediglich einen Namen enthalten, die Standard-Transportverschlüsselung (TLS) ausreicht. Für sensible Daten wie hochwertige Rechnungen oder medizinische Informationen bleibt jedoch die Ende-zu-Ende-Verschlüsselung Pflicht – eine Bestätigung früherer Urteile aus dem Jahr 2024.

Compliance-Experten warnen davor, die neuen gesetzlichen Anforderungen zu ignorieren, da empfindliche Strafen drohen. Sichern Sie Ihr Unternehmen rechtzeitig ab und laden Sie sich den kostenlosen Umsetzungsleitfaden zum EU AI Act inklusive aller relevanten Übergangsfristen herunter. Gratis-Umsetzungsleitfaden jetzt anfordern

KI-Kompetenz wird zur Pflicht

Die großen Technologiekonzerne reagieren auf den härteren Kurs. Google kündigte an, seine Gemini-Intelligence-Features ab Sommer 2026 in High-End-Smartphones zu integrieren. Microsoft führte im Mai 2026 mit „Purview" ein Tool ein, das Unternehmen dabei hilft, KI-Eingaben ihrer Mitarbeiter zu überwachen und Datenlecks in öffentliche Modelle zu verhindern.

Die Finanzbranche ist Vorreiter: Die Deutsche Bank setzt bereits KI-Tools für rund 50.000 Mitarbeiter ein. Die Komplexität solcher Projekte zeigt sich jedoch an anderer Stelle: In Kenia reduzierte Microsoft die geplante Kapazität eines großen Rechenzentrums von einem Gigawatt auf 60 Megawatt – wegen regionaler Verzögerungen.

Für die meisten Unternehmen steht jedoch eine andere Herausforderung im Vordergrund: die „KI-Kompetenz"-Anforderung aus Artikel 4 des AI Act, die seit Februar 2025 in Kraft ist. Unternehmen sind nun gesetzlich verpflichtet, sicherzustellen, dass Mitarbeiter, die KI-Systeme betreiben oder überwachen, über die nötige technische und ethische Expertise verfügen. Die Folge: ein sprunghafter Anstieg der Nachfrage nach Datenschutzbeauftragten (DSB) und externen Compliance-Beratern. In Deutschland müssen Organisationen mit mindestens 20 Mitarbeitern in der automatisierten Datenverarbeitung einen DSB benennen – bei Verstoß drohen Strafen von bis zu zwei Prozent des Jahresumsatzes.

Analyse: Pragmatismus mit klaren Grenzen

Der „Digital Omnibus" ist ein Kompromiss. Indem die EU die Fristen für industrielle Hochrisiko-KI nach hinten verschiebt, erkennt sie die technischen Hürden bei der Prüfung komplexer Algorithmen in der Fertigung an. Doch die Weigerung, die Transparenzregeln aufzuweichen, und das spezifische Verbot schädlicher Deepfakes zeigen: Die EU stellt die „menschenzentrierten" Risiken der KI in den Mittelpunkt – die Gefahr für die Wahrheit und die Verletzung der persönlichen Würde.

Der gesetzgeberische Fokus auf „strikte Notwendigkeit" bei der Datenverarbeitung, insbesondere zur Korrektur von Verzerrungen in KI-Modellen, zeigt, dass der Datenschutz das Fundament der KI-Regulierung bleibt. Die Abgeordneten wollen sicherstellen, dass KI zwar fairer trainiert werden kann, dies aber nicht zum Vorwand wird, grundlegende Privatsphärenrechte zu umgehen. Diese Balance spiegelt sich auch in jüngsten Gerichtsentscheidungen wider: Das Berliner Verwaltungsgericht erlaubte am 6. Mai 2026 eine begrenzte Videoüberwachung in öffentlichen Schwimmbädern zum Schutz von Leben und Gesundheit – als verhältnismäßig im Vergleich zum Eingriff in die Privatsphäre.

Ausblick: Globale Standards in Sicht

Die formelle Verabschiedung des AI Act Omnibus wird vor August 2026 erwartet. Die globale Wirtschaft beobachtet genau, wie diese Standards die internationalen Normen beeinflussen werden. Der „AI Continent Action Plan" der EU, der Investitionen von 200 Milliarden Euro vorsieht, zielt darauf ab, die Region zum Vorreiter für „vertrauenswürdige" KI zu machen – steht jedoch in scharfem Wettbewerb mit anderen Märkten.

Für Unternehmen gilt für den Rest des Jahres 2026 eine klare Priorität: Alle KI-generierten Inhalte müssen bis zu den Transparenzfristen im August oder Dezember klar gekennzeichnet sein. Und: Gründliche Drittanbieter-Prüfungen sind unerlässlich. Branchenstudien zeigen, dass über die Hälfte aller Datenschutzverletzungen über Drittanbieter mit privilegiertem Zugriff erfolgen. Die Überwachung der KI-Lieferketten wird damit genauso wichtig wie die Kontrolle interner Systeme. Unternehmen, die ihre Compliance-Prozesse nicht dokumentieren – eine Anforderung des GDPR-Rechenschaftsprinzips – machen sich zunehmend angreifbar.

de | wirtschaft | 69337877 |