EU AI Act ab August: Hochrisiko-KI braucht Risikomanagement
28.06.2026 - 00:14:08 | boerse-global.de
Der EU AI Act, die NIS2-Richtlinie und aktuelle EuGH-Urteile setzen neue Maßstäbe.
EU AI Act: Diese Pflichten kommen ab August
Der EU AI Act wird ab August 2026 vollständig anwendbar. Besonders betroffen sind Firmen, die KI-Systeme mit Hochrisiko-Einstufung einsetzen. Sie müssen ein systematisches Risikomanagement, eine strikte Daten-Governance und detaillierte technische Dokumentationen vorweisen. Zudem ist eine menschliche Aufsicht über die Prozesse Pflicht.
Für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) gelten bereits seit August 2025 Transparenzpflichten. Sie müssen offenlegen, welche Trainingsdatenquellen sie genutzt haben. Ein Recht auf Einsicht in die Rohdaten gibt es aber nicht. In Deutschland überwacht die Bundesnetzagentur die Einhaltung der Regeln. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.
Angesichts drohender Bußgelder bei Verstößen gegen den EU AI Act benötigen Unternehmen jetzt einen klaren Fahrplan für ihre KI-Systeme. Dieser kostenlose Umsetzungsleitfaden hilft Ihnen, Risikoklassen und Dokumentationspflichten rechtzeitig zu verstehen. EU AI Act in 5 Schritten verstehen
NIS2: Lieferketten-Sicherheit wird zur Pflicht
Die Umsetzungsfrist für die NIS2-Richtlinie ist abgelaufen – die Bußgeldregelungen sind in Kraft. Unternehmen in kritischen Sektoren wie Energie, Verkehr, Gesundheit und digitaler Infrastruktur müssen Cybersecurity-Maßnahmen nachweisen. Ein zentraler Punkt: die Sicherheit der Lieferkette. Firmen müssen das Sicherheitsniveau ihrer Zulieferer und Dienstleister kontrollieren und vertraglich absichern.
Das Cyber Trust Platinum Label kann als Nachweis für ein entsprechendes Sicherheitsniveau dienen. Branchenberichte deuten darauf hin, dass viele deutsche Unternehmen die Compliance-Fristen im Frühjahr verpasst haben. Die Aufsichtsbehörden könnten nun verstärkt Kontrollverfahren einleiten. Experten empfehlen betroffenen Organisationen, Gap-Analysen durchzuführen und Maßnahmenpläne zu erstellen.
EuGH-Urteile: Klarstellungen zur DSGVO
Der Europäische Gerichtshof hat in der ersten Jahreshälfte 2026 wichtige Urteile zur DSGVO gefällt. Am 19. März 2026 entschied das Gericht (C-526/24): Ein erster Auskunftsantrag nach Artikel 15 DSGVO kann als exzessiv gelten, wenn er in missbräuchlicher Vorteilsabsicht gestellt wird. Für Schadensersatz braucht es zudem einen nachweisbaren Schaden und einen Kausalzusammenhang – die bloße Befürchtung reicht nicht.
Ein weiteres Urteil vom 18. Juni 2026 (C-484/24) betrifft Daten, die unter Verstoß gegen die DSGVO erlangt wurden. Der EuGH stellt klar: Solche Daten sind vor Gericht nicht automatisch unverwertbar. Die gerichtliche Verarbeitung beruht auf einer eigenen Rechtsgrundlage. Das nationale Prozessrecht entscheidet über die Zulässigkeit, solange ein faires Verfahren gewährleistet ist. Der Grundsatz der Datenminimierung bleibt aber bestehen.
Compliance-Experten warnen vor empfindlichen Strafen, wenn neue Verordnungen und Urteile in der Praxis ignoriert werden. Sichern Sie sich jetzt den kostenlosen Experten-Report zum EU AI Act, um alle relevanten Übergangsfristen und Pflichten im Blick zu behalten. Kostenlosen Umsetzungsleitfaden jetzt herunterladen
Neuronale Daten und Cloud-Riesen im Fokus
Eine neue Entwicklung betrifft neuronale Daten. Basierend auf UNESCO-Leitlinien und einer Studie von Dr. Christoph Bublitz wird empfohlen, diese als besondere Kategorie personenbezogener Daten gemäß Artikel 9 DSGVO einzustufen. KI-Neurotechnologien gelten unter dem EU AI Act bereits als Hochrisiko-Anwendungen – mit spezifischen Anforderungen an Design und ethische Gestaltung.
Große Cloud-Anbieter geraten ebenfalls unter Druck. Die EU-Kommission teilte am 25. Juni 2026 mit, dass sie Microsoft Azure und Amazon Web Services als Gatekeeper im Sinne des Digital Markets Act (DMA) einstufen will. Eine endgültige Entscheidung steht für November an. Die Einstufung würde zusätzliche Verpflichtungen bedeuten, um Wettbewerb und Interoperabilität digitaler Märkte zu sichern.
