KI-Gesetz: EU verschafft Unternehmen Atempause, Deutschland schafft Aufsicht

Die europäische Digitalpolitik vollzieht eine Doppelbewegung: Während Brüssel Fristen für Hochrisiko-KI verschiebt, setzt Berlin den Data Act mit klarer Aufsicht um. Unternehmen erhalten mehr Zeit, aber auch strengere Transparenzauflagen.

Strategischer Aufschub für komplexe KI-Vorgaben

Das Europäische Parlament hat am Donnerstag mit großer Mehrheit eine Verschiebung zentraler Fristen des KI-Gesetzes (AI Act) beschlossen. Die Einführung strenger Regeln für Hochrisiko-Systeme in Bereichen wie Biometrie oder kritischer Infrastruktur wird von Sommer 2026 auf den 2. Dezember 2027 verlegt. Der Grund: Behörden und Unternehmen benötigen mehr Zeit für harmonisierte Standards. Ohne diese technischen Leitfäden drohte ein rechtliches Vakuum.

Die EU-KI-Verordnung ist bereits in Kraft und bringt komplexe neue Pflichten für die Risikoklassifizierung und Dokumentation mit sich. Dieser kostenlose Leitfaden bietet Unternehmen eine kompakte Zusammenfassung der Anforderungen und wichtigen Übergangsfristen. EU-KI-Verordnung kompakt: Jetzt Gratis-Leitfaden sichern

Doch nicht alle Teile des Gesetzes sind betroffen. Verbote für inakzeptable KI-Praktiken gelten bereits seit 2025. Und eine andere wichtige Deadline rückt näher: Bis zum 2. November 2026 müssen Anbieter generativer KI-Modelle verpflichtende Wasserzeichen für künstlich erzeugte Inhalte einführen. Das soll die Verbreitung von Deepfakes eindämmen. Neu ist auch ein explizites Verbot für KI, die ohne Einwilligung sexualisierte Bilder identifizierbarer Personen erstellt – eine direkte Reaktion auf rasante Fortschritte bei Bildgeneratoren.

Deutschland benennt Bundesnetzagentur als Data-Act-Aufseher

Parallel zum Beschluss in Brüssel hat der Bundestag das nationale Durchführungsgesetz zum europäischen Data Act verabschiedet. Die zentrale Nachricht: Die Bundesnetzagentur wird künftig die Aufsicht über die neuen Datenaustauschregeln führen. Für die Digitalwirtschaft ist das eine gute Nachricht. Sie beendet die bisherige Zersplitterung der Zuständigkeiten und schafft klare Ansprechpartner.

Der Data Act verpflichtet Hersteller vernetzter Geräte und Cloud-Anbieter, Nutzerdaten zugänglich und übertragbar zu machen. Ziel ist es, Datensilos aufzubrechen und den Wettbewerb zu fördern. In der Praxis stellt das Unternehmen vor eine knifflige Aufgabe: Sie müssen Daten so teilen, dass keine Rückschlüsse auf Einzelpersonen möglich sind, wenn keine entsprechende Rechtsgrundlage besteht. Hier kollidieren die neuen Regeln mit der Datenschutz-Grundverordnung (DSGVO).

Die Skepsis in der Wirtschaft ist groß. Laut einer aktuellen Bitkom-Umfrage befürchten 63 Prozent der deutschen Unternehmen, dass strenge DSGVO-Auslegungen die KI-Entwicklung langfristig aus Europa vertreiben könnten. Die Bundesnetzagentur steht nun vor der Herausforderung, einen Balanceakt zu meistern: Datenfluss fördern, ohne sensible Informationen zu gefährden.

EU-Datenschützer nehmen KI-Transparenz ins Visier

Während die Gesetzgeber Rahmenbedingungen anpassen, schärfen die Aufsichtsbehörden ihre Kontrollen. Der Europäische Datenschutzausschuss (EDPB) startete kürzlich eine europaweite Prüfaktion. Im Fokus stehen die Transparenzpflichten der DSGVO. 25 nationale Behörden werden untersuchen, ob Unternehmen ihre Nutzer ausreichend über die Datenverarbeitung – besonders im Kontext von KI-Training – informieren.

Ein besonderes Augenmerk liegt auf einer neuen Entwicklung: der sogenannten „Agentic AI“. Im Gegensatz zu herkömmlichen Sprachmodellen agieren diese KI-Agenten autonom, treffen Entscheidungen und haben ein Langzeitgedächtnis. Die spanische Datenschutzbehörde AEPD warnt in einem neuen Leitfaden vor „Blackbox“-Entscheidungen und fordert robuste Sicherheitsvorkehrungen. Für Unternehmen bedeutet das: Statische Datenschutzerklärungen reichen nicht mehr. Sie benötigen dynamische Risikomanagement-Systeme für den gesamten KI-Lebenszyklus.

Da Aufsichtsbehörden die Transparenzpflichten beim KI-Einsatz verschärfen, wird eine lückenlose Dokumentation der Datenverarbeitung zur Pflicht. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Internationaler Druck und Warnung vor „regulatorischem Chaos“

Die europäische Regulierung steht unter internationalem Einfluss. Berichten zufolge übt die US-Administration Druck auf Partnerländer aus, Gesetze zur Datensouveränität abzumildern. Aus amerikanischer Sicht behindern diese Regeln den globalen Cloud-Markt.

In Europa wird die Kritik teilweise geteilt, aber anders begründet. Die Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, warnte kürzlich vor einem „regulatorischen Chaos“ durch zu viele, sich überschneidende Digitalgesetze. Man habe sich teilweise „verreguliert“, was die Rechtssicherheit gefährde. Die nun beschlossene Fristenverschiebung wird daher von vielen als notwendiges Korrektiv gesehen, um die Kohärenz zwischen AI Act, Data Act und DSGVO wiederherzustellen.

Was jetzt auf Unternehmen zukommt

Trotz der Atempause bleibt der Handlungsdruck hoch. Die finalen Verhandlungen zum Gesetzespaket beginnen bereits im April, mit dem Ziel der Verabschiedung im Mai. Für CIOs und Compliance-Verantwortliche beginnt eine Phase der „regulatorischen Schwebe“.

Die unmittelbare Gefahr drakonischer Strafen für Hochrisiko-KI in diesem Jahr ist gebannt. Doch die Vorbereitungen für die Wasserzeichen-Pflicht im November 2026 und die Data-Act-Schnittstellen laufen weiter. Die Aufsichtsbehörden werden ihre Kontrollen intensivieren und proaktive Dokumentation fordern. Privacy by Design wandelt sich von einer juristischen Empfehlung zur existenziellen Geschäftsanforderung in der KI-Ära.

boerse | 69008877 |