EU-AI-Gesetz: Omnibus-Reform bringt neue Fristen und Klarheit

Am 10. Mai 2026 einigten sich EU-Parlament und Rat endgültig auf das „AI Omnibus“-Paket – eine Reform, die das Zusammenspiel zwischen dem AI Act und bestehenden Industrievorschriften neu regelt. Das Ziel: Bürokratie abbauen, ohne die Sicherheitsstandards zu senken. Doch aktuelle Studien zeigen: Viele Firmen sind auf die neuen Anforderungen nicht vorbereitet.

Neue Fristen für Hochrisiko-KI-Systeme

Die am 7. Mai 2026 erzielte Einigung zum „Digital Omnibus on AI“ bringt vor allem für Hersteller industrieller Maschinen Entlastung. Bereits nach der EU-Maschinenverordnung zertifizierte Anlagen müssen künftig keine separate KI-Konformitätsprüfung mehr durchlaufen. Die Folge: Die Compliance-Kosten für Hersteller sollen um 20 bis 30 Prozent sinken.

Die neuen EU-KI-Pflichten gelten bereits seit August 2024 und stellen Unternehmen vor komplexe Herausforderungen bei der Umsetzung. Dieser kostenlose Leitfaden zeigt Ihnen, welche Schritte jetzt notwendig sind, um die Anforderungen des AI Acts rechtssicher zu erfüllen. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Der Omnibus führt zudem einen gestaffelten Zeitplan ein:

• Hochrisiko-KI als eigenständige Produkte (Anhang III): 2. Dezember 2027
• KI-Systeme in regulierten Produkten wie Medizingeräten: 2. August 2028
• Kleinere und mittlere Unternehmen mit bis zu 200 Millionen Euro Jahresumsatz erhalten zusätzliche Erleichterungen

Verschärft werden dagegen die Verbote: KI zur Erstellung nicht-einvernehmlicher intimer Bilder sowie Deepfake-Betrug im Finanzverkehr sind ab sofort strenger untersagt.

Transparenzpflichten: Vier Säulen der Kennzeichnung

Am 11. Mai 2026 veröffentlichte die EU-Kommission den Entwurf für die Leitlinien zu Artikel 50 des AI Act. Die Vorschriften treten am 2. August 2026 in Kraft und gliedern sich in vier Bereiche:

• Interaktive Systeme wie Chatbots müssen Nutzer über die KI-Kommunikation informieren
• Synthetische Inhalte (Bilder, Videos, Texte) benötigen sichtbare und maschinenlesbare Markierungen
• Emotionserkennung und biometrische Kategorisierung erfordern eine Benachrichtigung der Betroffenen
• Deepfakes und KI-generierte öffentliche Texte müssen klar gekennzeichnet werden – mit Ausnahmen für Kunst und Satire

Die Konsultationsfrist für die Leitlinien läuft bis zum 3. Juni 2026. Für neue Systeme gilt die Kennzeichnungspflicht bereits ab dem 2. Dezember 2026. Verstöße können mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden.

Unternehmensbereitschaft: Nur jedes dritte Unternehmen ist gerüstet

Eine am 11. Mai 2026 veröffentlichte Studie von Red Hat und Censuswide offenbart ein Governance-Defizit in deutschen Unternehmen. Nur 30 Prozent der befragten Organisationen verfügen über eine ausgereifte Steuerungsstruktur für „Agentic AI“ – autonome Systeme, die eigenständig Entscheidungen treffen. Das ist brisant: KI-gesteuerte Phishing-Angriffe machen inzwischen 86 Prozent aller derartigen Bedrohungen aus.

Weitere alarmierende Zahlen:

• Nur 51 Prozent der Unternehmen haben volle Transparenz über ihre Datenverarbeitung
• 57 Prozent haben eine Ausstiegsstrategie für ihre aktuellen KI-Anbieter
• Deutsche Experten erwarten laut ifo-Umfrage nur 1,5 Prozentpunkte KI-bedingtes Wachstum in fünf Jahren – in den USA sind es 2,5 Prozentpunkte
• Fast die Hälfte der befragten deutschen Experten fordert eine Reduzierung der KI-Regulierung

Bußgelder und Datenschutzverstöße: Behörden zeigen Härte

Die Aufsichtsbehörden warten nicht auf die finalen KI-Fristen. Am 1. April 2026 verhängte die niederländische Datenschutzbehörde ein 100-Millionen-Euro-Bußgeld gegen MLU B.V., Betreiber der Yango-Taxi-App. Grund: rechtswidrige Übermittlung von Nutzerdaten nach Russland. Standort- und Zahlungsdaten von Nutzern aus Finnland und Norwegen wurden auf russischen Servern mit unzureichender Verschlüsselung gespeichert – trotz EU-Standardvertragsklauseln.

Angesichts drohender Bußgelder von bis zu 15 Millionen Euro sollten Unternehmen ihre KI-Strategie dringend an die neuen Risikoklassen und Fristen anpassen. Dieser kostenlose Report klärt auf, welche Systeme als Hochrisiko gelten und was Ihre Rechtsabteilung jetzt konkret tun muss. Kostenlosen KI-Verordnung Report anfordern

Ein weiterer Vorfall zeigt die Risiken interner Datenpannen: Am 11. Mai 2026 wurden bei der Volkswagen Group Services GmbH Gesundheitsdaten von rund 600 Mitarbeitern versehentlich auf Großbildschirmen während einer Führungskonferenz angezeigt. Solche Verstöße gegen die DSGVO können mit bis zu 4 Prozent des Jahresumsatzes geahndet werden.

Cybersicherheit: KI-Agenten als neue Bedrohung

Die regulatorischen Veränderungen fallen in eine Zeit wachsender Cybergefahren. Das Bundesinnenministerium meldete am 10. Mai 2026 einen Anstieg schwerer Hackerangriffe um 25 Prozent – rund 100 schwere DDoS-Angriffe täglich. Staatlich gesteuerte Akteure gelten als Hauptbedrohung für kritische Infrastrukturen.

Besonders besorgniserregend: Die Entwicklung selbstreplizierender KI-Agenten. Tests von Palisade Research dokumentieren, dass KI-Agenten sich inzwischen mit 81 Prozent Erfolgsrate autonom vermehren können – vor einem Jahr lag die Rate noch bei 6 Prozent. Die NIS-2-Richtlinie verlangt nun strenge Meldepflichten für Sicherheitsvorfälle mit KI-Agenten.

Ausblick: Die entscheidenden Monate

Der Rest des Jahres 2026 wird für europäische Unternehmen von mehreren kritischen Deadlines geprägt:

• August 2026: Inkrafttreten der Transparenz- und Governance-Vorschriften des AI Act
• Dezember 2026: Pflicht zur Kennzeichnung synthetischer Inhalte für neue Systeme
• 2027/2028: Umsetzung der Omnibus-Fristen für Hochrisiko- und integrierte Systeme

Der Europäische Datenschutzausschuss (EDPB) bereitet für die zweite Hälfte 2026 koordinierte Maßnahmen zur Transparenz vor. Für Unternehmen wird die Integration robuster Governance-Strukturen in die frühe phase der KI-Entwicklung zum entscheidenden Wettbewerbsfaktor – nicht als Reaktion auf Kontrollen, sondern als proaktive Strategie.

de | wirtschaft | 69308915 |