EU-Digitalregulierung: 2026 wird zum Jahr der Durchsetzung

Gleich mehrere wegweisende Gesetze nähern sich ihren zentralen Stichtagen – und der politische Druck wächst.

Parlament fordert härteres Vorgehen gegen Tech-Giganten

Am 30. April 2026 verabschiedete das Europäische Parlament eine Resolution, die eine schnellere und konsequentere Durchsetzung des Digital Markets Act (DMA) fordert. Die Botschaft an die EU-Kommission ist klar: Es reicht nicht, wenn die großen Online-Plattformen nur formal die Regeln einhalten – die Märkte müssen sich tatsächlich öffnen.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act Umsetzungsleitfaden kostenlos herunterladen

Die Abgeordneten verlangen eine genauere Prüfung von Cloud-Diensten und KI-gesteuerten Suchwerkzeugen. Beide Bereiche hält das Parlament für strategisch so bedeutsam, dass sie unter das bestehende DMA-Regelwerk fallen sollten.

Nur zwei Tage zuvor, am 28. April, hatte die Kommission ihre erste turnusmäßige DMA-Überprüfung vorgelegt. Das Fazit: Das Gesetz wirkt – die Bürger können leichter zwischen Diensten wechseln. Aber es gibt „erhebliches ungenutztes Potenzial". Die Behörde prüft nun, ob bestimmte Cloud-Anbieter und KI-Komponenten offiziell als „Gatekeeper" eingestuft werden müssen.

Bereits Mitte April 2025 verschickten die Regulierer erste vorläufige Bescheide an mehrere Gatekeeper zu deren Datenweitergabe-Pflichten. Eine endgültige Entscheidung wird bis Ende Juli 2026 erwartet. Zudem erwägt die Kommission, den „Wettbewerbsbereich" des DMA neu auszulegen – um KI-Chatbots einzubeziehen, die wie Suchmaschinen funktionieren.

KI-Verordnung: Countdown zum 2. August 2026

Während sich die Politik um den DMA streitet, tickt für die Wirtschaft eine andere Uhr. Am 2. August 2026 wird der Großteil der EU-KI-Verordnung (AI Act) vollständig anwendbar. Zwar gelten einzelne Regeln – etwa das Verbot bestimmter KI-Systeme und Vorschriften für allgemeine KI-Modelle – bereits seit Anfang 2025. Doch der August-Stichtag markiert den Start der flächendeckenden Durchsetzung.

Betroffen sind dann sogenannte Hochrisiko-Systeme – etwa in der kritischen Infrastruktur, in Bildung, Beschäftigung und bei öffentlichen Dienstleistungen. Anbieter müssen bis dahin umfassende Risikomanagement- und Daten-Governance-Systeme aufgebaut haben.

Bis zum Stichtag muss zudem jeder EU-Mitgliedstaat mindestens eine KI-Regulierungs-Sandkiste eingerichtet haben – eine Testumgebung, in der Innovation und Compliance gleichermaßen gefördert werden. Die Kommission kann ab August Modelle zurückrufen oder empfindliche Geldstrafen verhängen.

Für KI-Modelle, die bereits vor August 2025 auf dem Markt waren, gilt eine längere Übergangsfrist bis zum 2. August 2027.

Data Act: „Access by Design" wird Pflicht

Parallel zur KI-Verordnung nähert sich das EU-Datengesetz einem kritischen Meilenstein. Während die Kernregeln bereits seit September 2025 gelten, tritt am 12. September 2026 eine zentrale Neuerung in Kraft: die „Access-by-Design"-Verpflichtung.

Ab dann müssen alle neuen vernetzten Produkte – von Industriemaschinen bis zu Smart-Home-Geräten – so konstruiert sein, dass Nutzer die erzeugten Daten einfach und sicher abrufen können. Kostenlos und, wo technisch möglich, in Echtzeit. Für Hersteller bedeutet das einen fundamentalen Umbruch: Weg von proprietären Daten-Silos, hin zu offenen, interoperablen Architekturen.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber Security Guide sichern

Mehrere Mitgliedstaaten haben bereits nationale Durchsetzungsbehörden eingerichtet. Deutschland und Malta etwa führten Ende 2025 gestaffelte Bußgeldsysteme für schwere Verstöße ein. Der September-Stichtag bringt zudem neue Interoperabilitätsanforderungen für Cloud-Dienste – um den Anbieterwechsel zu erleichtern.

Cyber Resilience Act: Meldepflichten ab September

Auch die Cybersicherheitslandschaft verschärft sich. Der Cyber Resilience Act (CRA) erreicht 2026 seine ersten operativen Meilensteine. Zwar gelten die vollen Produktanforderungen erst ab Dezember 2027, doch zwei wichtige Bausteine treten früher in Kraft:

• Ab 11. Juni 2026 wird der Rechtsrahmen für die Benennung von Konformitätsbewertungsstellen aktiv.
• Ab 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle melden – innerhalb von 24 Stunden nach Bekanntwerden.

Diese Meldepflicht gilt nicht nur für neue Produkte, sondern auch für Altgeräte, die noch auf dem Markt sind. Branchenexperten betonen: Unternehmen müssen zwingend Software-Stücklisten (SBOMs) und Schwachstellen-Management-Systeme aufbauen – sonst wird die Meldepflicht zur Falle.

Analyse: Die Ära der Durchsetzung beginnt

Die geballte Ladung an Fristen im zweiten Halbjahr 2026 zeigt: Die EU verlässt ihre „legislative Frühjahrszeit" und tritt in einen „regulatorischen Winter" ein. Im Fokus stehen jetzt Audits, Untersuchungen und Strafen.

Die Kommission betrachtet die verschiedenen Gesetze zunehmend im Zusammenhang. Die Interoperabilitätsanforderungen des Data Act etwa stützen die Wettbewerbsziele des DMA. Und die Transparenzstandards der KI-Verordnung bauen auf den Cybersicherheitsvorgaben des CRA auf.

Das Parlament hat mit seiner Resolution ein klares Signal gesendet: Die Schonfristen von 2024 und 2025 sind vorbei. Für die Unternehmen heißt das: Die zweite Jahreshälfte 2026 wird zeigen, ob die in den letzten zwei Jahren aufgebauten Compliance-Programme auch halten, was sie versprechen.

Ausblick: Was kommt nach dem Sommer?

Nach den August- und September-Stichtagen rücken die ersten spektakulären Durchsetzungsfälle in den Fokus. Das Europäische KI-Büro wird voraussichtlich noch 2026 die ersten Risikobewertungen für allgemeine KI-Modelle durchführen – möglicherweise gefolgt von Auflagen.

Die laufenden DMA-Ermittlungen zu Cloud-Diensten sollen bis November 2026 erste konkrete Ergebnisse liefern. Weitere Gatekeeper-Einstufungen sind dann denkbar.

Bis 2027 fallen dann die letzten Puzzleteile an ihren Platz: Hochrisiko-KI in regulierten Produkten wie Medizingeräten kommt unter den AI Act, und der Cyber Resilience Act erreicht seine volle Anwendung. Doch fürs Erste bleiben die Meilensteine des Jahres 2026 die größte Ausweitung digitaler Aufsicht in der Geschichte der EU.

de | wissenschaft | 69270449 |