Compliance-Tsunami: Drei große Gesetze bis September 2026

Ab Juni müssen Unternehmen ihre digitalen Verträge umbauen, im August folgen strenge KI-Regeln, im September das Anti-Greenwashing-Gesetz. Wer nicht rechtzeitig umstellt, riskiert Strafen in Millionenhöhe.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act in 5 Schritten verstehen

Neue Pflichten für Umweltwerbung und Verbraucherkommunikation

Der wohl einschneidendste Einschnitt betrifft die Werbung mit Umweltversprechen. Am 27. September 2026 wird die EU-Richtlinie zur „Stärkung der Verbraucher für den grünen Wandel" (EmpCo) verbindlich. Deutschland hat die Vorgaben bereits im Februar 2026 ins nationale Gesetz gegen den unlauteren Wettbewerb (UWG) eingearbeitet. Das Ziel: Schluss mit „Greenwashing".

Die neuen Regeln sind knallhart. Allgemeine Begriffe wie „nachhaltig" oder „umweltfreundlich" sind künftig tabu – es sei denn, sie werden detailliert begründet. Besonders tückisch: Unternehmen dürfen auf Produktebene nicht mehr mit „Klimaneutralität" werben, wenn diese Aussage ausschließlich auf externen Kompensationsprojekten beruht. Wer tatsächliche Emissionsminderungen von Investitionen in Ausgleichszertifikate trennt, muss dies klar kenntlich machen. Zukunftsbezogene Umweltaussagen sind nur noch mit einem konkreten Transformationsplan erlaubt. Und: Nachhaltigkeitssiegel ohne unabhängige Zertifizierung haben künftig vor Gericht keine Chance.

Parallel dazu läuft eine weitere Deadline: Bis zum 19. Juni 2026 müssen Online-Shops einen Pflicht-„Widerrufsbutton" gemäß § 356a BGB implementieren. Die Besonderheit: Der Button muss ohne Login oder Registrierung erreichbar sein. Beim Klick darauf müssen Unternehmen spezifische Identifikationsdaten erheben und eine sofortige elektronische Empfangsbestätigung mit Zeitstempel ausstellen. Rechtsexperten warnen: Viele gängige Shop-Plugins erfüllen diese Anforderungen noch nicht. Wer bis Juni nicht nachgerüstet hat, riskiert eine Welle von Abmahnungen.

Künstliche Intelligenz: Transparenzpflichten und Milliardenrisiken

Am 2. August 2026 treten die zentralen Bestimmungen des EU AI Acts in Kraft. In Deutschland wurde die Bundesnetzagentur (BNetzA) als zentrale Aufsichtsbehörde benannt – geregelt im neuen KI-Marktüberwachungs- und Innovationsförderungsgesetz (KIMoG). Die Strafen sind atemberaubend: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes drohen bei Verstößen.

Die großen Tech-Konzerne reagieren bereits. OpenAI hat am 24. Mai 2026 ein kostenloses Tool zur Erkennung KI-generierter Bilder gestartet. Es nutzt Googles SynthID-Wasserzeichen-Technologie, die unsichtbare Marker in Bildpixel einbettet, kombiniert mit C2PA-Metadaten. Google selbst integriert ähnliche Wasserzeichen in seine neuesten Modelle Gemini Omni und Gemini Omni Flash. Während die Industrie also auf Transparenz setzt, bleibt die Politik unberechenbar: Die US-Regierung hat Berichten zufolge am 22. Mai 2026 eine geplante Executive Order zur KI-Sicherheit zurückgezogen.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Kostenlosen Umsetzungsleitfaden zum AI Act sichern

Auch die Justiz rüstet sich für die KI-Zukunft. Bund und Länder wollen bis Ende 2026 eine gemeinsam KI-Strategie für die Justiz vorlegen. Projekte wie „Aleks" und „Jano" befassen sich mit der automatisierten Anonymisierung von Gerichtsurteilen, während das niedersächsische Projekt „Maki" Massenverfahren bearbeiten soll. Doch der EU AI Act stuft KI in der Justiz als „hohes Risiko" ein – letzte juristische Entscheidungen müssen immer von Menschen getroffen werden.

Cybersecurity und Cloud: Neue Hürden für die IT-Sicherheit

Am 7. April 2026 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die dritte Generation seines Cloud-Computing-Konformitätskriterienkatalogs (C5:2026) . Der Umfang ist massiv gewachsen: 168 Kriterien in 17 Themenbereichen, gegenüber 121 in der Version von 2020. Neu hinzugekommen sind Anforderungen an Container-Management, Confidential Computing und Post-Quanten-Kryptographie. Auch die Lieferkettensicherheit steht stärker im Fokus.

Während die C5-Zertifizierung im deutschen Gesundheitswesen bereits seit Juli 2025 Pflicht ist und im Finanzsektor seit Januar 2025 unter DORA anerkannt wird, werden die neuen 2026-Kriterien für Typ-2-Auditberichte ab dem 1. Juni 2027 verbindlich. Das BSI stellt klar: ISO-27001-Zertifikate werden im C5-Audit nicht direkt anerkannt.

Die Meldefristen unter der NIS2-Richtlinie sind ebenfalls strenger geworden. „Wichtige" und „besondere" Einrichtungen müssen erhebliche Sicherheitsvorfälle sofort melden. Ein Vorfall gilt als erheblich, wenn er zu schweren Betriebsstörungen, erheblichen finanziellen Verlusten oder signifikantem Schaden für Dritte führt. Bei wiederholten Vorfällen – definiert als zwei oder mehr innerhalb von sechs Monaten mit derselben Ursache – besteht Meldepflicht, wenn die Verluste 500.000 Euro oder 5 Prozent des Jahresumsatzes übersteigen. Und: Ist ein Sicherheitsvorfall zugleich ein Verstoß gegen die DSGVO, muss die Meldung innerhalb von 72 Stunden erfolgen.

Analyse: Die Last der Compliance

Die Flut neuer Gesetze schafft ein hochkomplexes Umfeld. Eine Bitkom-Studie vom Mai 2026 zeigt: 81 Prozent der Unternehmen empfinden Datenschutzprozesse als erhebliche Belastung. Eurostat-Zahlen für 2025 bestätigen: Rechtsunsicherheit und Datenschutzbedenken bleiben die größten Hürden für den KI-Einsatz. Rund 8 bis 9 Prozent der mittleren und großen Unternehmen nannten Datenschutz als Grund, KI-Tools zu meiden, etwa 7,5 bis 8 Prozent verwiesen auf allgemeine rechtliche Risiken.

Die Gerichte beginnen, Klarheit zu schaffen. Das Landgericht Nürnberg entschied am 9. Juli 2025: Die DSGVO verbietet keine Kopplung von Vertrag und Datenschutzeinwilligung, solange kein unangemessener Druck ausgeübt wird und Alternativen bestehen. Zudem stellte das Gericht klar: Für Schadensersatz nach Artikel 82 DSGVO ist ein konkreter, individueller Schaden nachzuweisen – bloßes Unbehagen reicht nicht.

Ausblick: Was kommt auf die Unternehmen zu?

Die kommenden Monate versprechen weitere Bewegung. OpenAI plant für Herbst 2026 einen Börsengang – die Bewertung wird auf rund 920 Milliarden Euro geschätzt. Im ersten Quartal 2026 erzielte das Unternehmen einen Umsatz von 5,5 Milliarden Euro, bei Betriebskosten von 1,22 Dollar pro eingenommenem Dollar.

Für die Unternehmen hierzulande zählt erstmal der 19. Juni – die Frist für den Widerrufsbutton. Dann folgt der 2. August mit dem EU AI Act. Und bis September müssen Marketing- und Rechtsabteilungen sämtliche Umweltaussagen auf den Prüfstand stellen. Die Integration von KI in die Justiz und der Umstieg auf C5:2026 deuten darauf hin: Der Trend zu technischer, datengetriebener Compliance wird sich bis weit ins Jahr 2027 fortsetzen.

de | wirtschaft | 69419915 |