EU AI Act: Brüssel verschiebt Milliarden-Regulierung um 16 Monate

Am 7. Mai einigten sich die Unterhändler auf eine deutliche Verzögerung und Vereinfachung zentraler Vorschriften des EU AI Acts. Das sogenannte „AI Omnibus"-Paket gibt Unternehmen wie Siemens, Bosch und SAP mehr Zeit – und schafft Ausnahmen für die Industrie.

Hintergrund des Kurswechsels: Monatelanger Druck aus Wirtschaft und Mitgliedsstaaten. Sie forderten einen Ausgleich zwischen technologischer Sicherheit und Wettbewerbsfähigkeit. Das Ergebnis ist ein regulatorischer Spagat: Aufschub für Hochrisiko-Systeme, aber sofortige Verbote für besonders gefährliche KI-Anwendungen.

Angesichts der komplexen neuen Fristen und Risikoklassen des EU AI Acts benötigen Unternehmen jetzt eine klare Orientierung. Dieser kostenlose Leitfaden erklärt Ihnen kompakt die wichtigsten Anforderungen und Pflichten für Ihre IT- und Rechtsabteilung. EU AI Act in 5 Schritten verstehen – jetzt kostenlos herunterladen

Die neue Zeitachse: Was wann gilt

Der Kern des Abkommens: Die Pflichten für Hochrisiko-KI-Systeme treten erst am 2. Dezember 2027 in Kraft – 16 Monate später als geplant. Betroffen sind Systeme in den Bereichen Beschäftigung, Biometrie und Kreditwürdigkeit.

Noch mehr Zeit bekommen eingebettete KI-Systeme – also Technologien, die in Medizinprodukten, Fahrzeugen oder Spielzeug stecken. Hier gilt der 2. August 2028 als neuer Stichtag.

Ein Erfolg für die deutsche und französische Industrie: Maschinenprodukte fallen komplett aus dem direkten Anwendungsbereich des AI Acts. Die Begründung: Doppelregulierung vermeiden. Hersteller müssen künftig nur noch die bestehende Maschinenverordnung einhalten – nicht zwei sich überschneidende Regelwerke.

Harte Verbote: Deepfakes und Missbrauch

Doch die Verhandler zeigten auch Härte. Ab dem 2. Dezember 2026 gelten Verbote für:
- KI-Systeme zur Erstellung nicht-einvernehmlicher sexueller Deepfakes (sogenannte „Nudifier"-Apps)
- KI-generiertes Material sexuellen Kindesmissbrauchs

Hinzu kommen Transparenzpflichten: Synthetische Inhalte müssen gekennzeichnet, KI-Wasserzeichen verpflichtend werden.

EU-Kommissionspräsidentin Ursula von der Leyen begrüßte den Deal: Er schaffe ein innovationsfreundliches Umfeld. Vizepräsidentin Henna Virkkunen betonte den Balanceakt zwischen Fortschritt und Sicherheit – für Bürger wie Unternehmen gleichermaßen.

Compliance-Krise: IT-Abteilungen am Limit

Die Vereinfachung kommt nicht von ungefähr. Aktuelle Marktdaten zeigen: IT-Abteilungen verbringen rund 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. Eine Mehrheit der IT-Profis zweifelt daran, alle regulatorischen Anforderungen überhaupt erfüllen zu können.

Der Druck auf die Datenschutzbehörden wächst rasant. Der Europäische Datenschutzbeauftragte verzeichnete 2025 einen Anstieg der Datenschutzbeschwerden um 25 Prozent. Der deutsche Bundesbeauftragte für den Datenschutz meldete für 2025 11.824 Eingaben – ein Plus von 36 Prozent zum Vorjahr und 52 Prozent mehr als 2023.

Die Bußgelder werden empfindlicher: Die Behörde verhängte kürzlich eine Strafe von 45 Millionen Euro gegen Vodafone. In Kanada stellte die Datenschutzbehörde fest, dass OpenAI mit der Datensammlung für ChatGPT gegen nationale Gesetze verstößt – wegen fehlender Einwilligung und unzureichendem Schutz Minderjähriger. OpenAI sagte daraufhin zu, innerhalb von sechs Monaten Werkzeuge zur Datenmaskierung und zum einfacheren Datencxport bereit zustellen.

Lieferketten unter Beschuss: Neue Sicherheitslücken

Während Brüssel den Rechtsrahmen justiert, bleibt die technische Bedrohungslage angespannt. Anfang Mai 2025 identifizierten Sicherheitsforscher eine gezielte Angriffswelle auf die Software „Daemon Tools". Zwischen dem 8. April und 5. Mai verteilten mutmaßlich chinesischsprachige Angreifer manipulierte Installationsdateien. Betroffen: Regierungen, Fertigungsindustrie und Wissenschaftseinrichtungen in mehreren Ländern.

Am 7. Mai wurde zudem eine kritische Sicherheitslücke in Googles Gemini CLI bekannt – einem Open-Source-KI-Assistenten. Der Fehler hätte Angreifern erlaubt, über manipulierte Eingaben Code auszuführen. Google veröffentlichte zwar bereits am 24. April einen Patch, doch der Vorfall zeigt die Risiken bei der Integration von KI in Entwicklungsumgebungen.

Nur einen Tag später: Ein Angriff auf den NuGet-Paketmanager kompromittierte schätzungsweise 65.000 .NET-Build-Server. Die Angreifer nutzten täuschend echte Pakete, um Browser-Zugangsdaten und Kryptowährungs-Schlüssel zu stehlen.

Neue Standards: C3A und Cybersicherheitsgesetz

Die EU reagiert. Am 8. Mai billigte der Europäische Wirtschafts- und Sozialausschuss eine überarbeitete Version des Cybersecurity Acts. Ziel: Die EU-Agentur für Cybersicherheit (ENISA) soll gestärkt werden, die Sicherheit von ICT-Lieferketten verbessert.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Ende April 2025 den neuen Kriterienkatalog „C3A". Er baut auf dem bestehenden C5-Rahmenwerk auf und misst die digitale Souveränität von Cloud-Diensten in sechs Dimensionen. Der Hintergrund: Rund ein Drittel aller EU-Unternehmen erlebte 2025 einen Vorfall, der ihre Datensouveränität gefährdete.

Strategiewechsel: Der Kampf um Tech-Souveränität

Die aktuellen Entwicklungen sind Teil einer größeren Strategie. Am 27. Mai 2026 will die EU-Kommission ein umfassendes „Tech-Sovereignty-Paket" vorstellen. Es umfasst den Cloud- und KI-Entwicklungsakt (CADA) und einen aktualisierten Chips Act 2.0.

Aus Kreisen der Kommission heißt es: Das Paket könnte die Nutzung ausländischer Cloud-Anbieter für sensible Regierungsdaten in den Bereichen Finanzen, Justiz und Gesundheit einschränken.

Die Sorge vor Datenabflüssen ist real. Google warnte kürzlich, dass bestimmte Datenaustauschpflichten unter dem Digital Markets Act (DMA) dazu führen könnten, dass sich Personen in weniger als zwei Stunden identifizieren lassen. Die Folge: Forderungen nach robusterer Pseudonymisierung und Datenminimierung – ein Schwerpunkt der GDPR-Compliance-Strategien für 2026.

Der Dual-Track-Ansatz wird deutlich: Erleichterungen für die Industrie, aber strengere Regeln für Plattformen. In Deutschland läuft gegen Meta eine Musterfeststellungsklage mit 300.000 Teilnehmern – wegen des Einsatzes von Tracking-Pixeln. Die Schadensersatzforderungen pro Nutzer sind beträchtlich.

Ausblick: Die nächsten Meilensteine

Die formelle Verabschiedung des AI Omnibus wird vor dem 2. August 2026 erwartet. Dann beginnt eine Serie von Umsetzungsterminen:

• 2. Dezember 2026: Verbote von Nudification-Tools und Pflicht zur KI-Kennzeichnung treten in Kraft
• 2. August 2027: Nationale KI-Regulatory-Sandboxes müssen eingerichtet sein
• 2. Dezember 2027: Hochrisiko-Pflichten für eigenständige Systeme
• 2. August 2028: Hochrisiko-Pflichten für eingebettete Systeme

Da erste Verbote bereits 2026 greifen, sollten Firmen ihre KI-Systeme frühzeitig auf Konformität prüfen, um empfindliche Strafen zu vermeiden. Dieser kostenlose Umsetzungsleitfaden zeigt Compliance-Verantwortlichen alle relevanten Übergangsfristen und Dokumentationspflichten des AI Acts. Kostenlosen Leitfaden zur EU-KI-Verordnung sichern

Die Botschaft ist klar: Der unmittelbare bürokratische Druck lässt nach – der langfristige Compliance-Pfad bleibt steil.

Auch die Finanzbranche kommt nicht zur Ruhe. Das Landgericht Berlin verurteilte am 22. April 2026 eine Bank zu über 200.000 Euro Schadensersatz wegen Phishing-Schäden. Das Urteil setzt einen Präzedenzfall: Banken müssen Betrug erkennen, selbst wenn Kunden professionell getäuscht wurden.

Mit der Aktualisierung der US-Regelung Regulation S-P durch die SEC am 7. Mai 2026 – Kunden müssen innerhalb von 30 Tagen über Datenlecks informiert werden – wird das Zusammenspiel von KI-Regulierung, Datenschutz und Cybersicherheit das operative Geschäft globaler Unternehmen für den Rest des Jahrzehnts prägen.

de | wirtschaft | 69295633 |