EU-IT-Compliance: Neue Regeln und Milliardenstrafen ab August 2026

Während die Verhandlungen zum „Digital Omnibus“-Reformpaket stocken, rücken die Fristen des EU AI Acts unaufhaltsam näher. Unternehmen drohen Strafen von bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes.

Die neuen EU-Vorgaben stellen Unternehmen vor enorme Herausforderungen, da bereits seit August 2024 erste Pflichten der KI-Verordnung gelten. Sichern Sie sich diesen kostenlosen Leitfaden, um Risikoklassen und Fristen des AI Acts rechtzeitig zu verstehen. EU AI Act in 5 Schritten verstehen

Reform-Stillstand und drohende AI-Act-Fristen

Die Bemühungen um eine Harmonisierung der digitalen Vorschriften haben einen herben Rückschlag erlitten. Nach einer zwölfstündigen Marathonsitzung am 28. und 29. April sind die Verhandlungen zum „Digital Omnibus“-Paket festgefahren. Streitpunkt: Ausnahmen für KI-Systeme in Produkten, die bereits unter EU-Sicherheitsstandards fallen – etwa Medizingeräte oder Spielzeug. Während das Europaparlament breitere Freistellungen fordert, blockieren Rat und Kommission.

Trotz des Stillstands bleiben die Kernfristen des EU AI Acts unverändert. Ab dem 2. August 2026 gelten strenge Transparenzpflichten nach Artikel 50 für generative KI wie Chatbots und Deepfakes. Unternehmen, die gegen Hochrisiko-Auflagen verstoßen oder verbotene Praktiken anwenden, müssen mit empfindlichen Geldbußen rechnen.

Das „Digital Omnibus“-Paket würde bei Verabschiedung die Meldefrist für Datenschutzverstöße von 72 auf 96 Stunden verlängern – und gleichzeitig eine zentrale Anlaufstelle für Cybersicherheitsmeldungen schaffen. Zudem plant die EU eine Abkehr vom aktuellen „Opt-in“-Prinzip für Cookies hin zu einem „Opt-out“-Modell.

Behörden gehen gegen Meta und PimEyes vor

Die letzten Apriltage 2026 haben eine Welle von Durchsetzungsmaßnahmen gebracht. Die EU-Kommission hat vorläufige Feststellungen gegen Meta Platforms getroffen: Der Konzern soll gegen den Digital Services Act (DSA) verstoßen haben, weil er Minderjährige unter 13 Jahren auf Instagram und Facebook nicht ausreichend schützt. Analysten schätzen, dass zehn bis zwölf Prozent der Nutzer in dieser Altersgruppe die Plattformen nutzen. Bestätigen sich die Vorwürfe, droht Meta eine Strafe von bis zu sechs Prozent des globalen Umsatzes.

Parallel hat die NGO NOYB unter der Führung von Max Schrems am 30. April Klage gegen die Hamburger Datenschutzbehörde eingereicht. Vorwurf: Untätigkeit gegenüber dem Gesichtserkennungsanbieter PimEyes. Obwohl die Behörde die Datenverarbeitung für rechtswidrig hält, hatte sie wegen des Firmensitzes in Dubai von Maßnahmen abgesehen. NOYB will nun eine Kontensperrung oder Datenlöschung erzwingen.

Besonders brisant: Die Stadt Hannover musste den Einsatz von Microsoft 365 Education für 60.000 Nutzer stoppen. Die Stadt hatte die Lizenzen 2025 für 324.000 Euro erworben – ohne vorher ihren Datenschutzbeauftragten zu konsultieren. Die Software erwies sich als nicht datenschutzkonform für Kinder und Jugendliche. Ergebnis: Totalverlust der Investition.

Neue Leitlinien für KI und Forschungsdaten

Mehrere Aufsichtsbehörden haben Mitte bis Ende April aktualisierte Leitlinien veröffentlicht. Der Europäische Datenschutzausschuss (EDPB) stellte mit den Guidelines 1/2026 klar: Die unbegrenzte Speicherung personenbezogener Daten für Forschungszwecke ist strikt verboten. Ein „Sechs-Faktoren-Test“ soll die Rechtmäßigkeit solcher Verarbeitungen prüfen.

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte am 28. April einen Orientierungsleitfaden für KI in der öffentlichen Verwaltung. Besonderes Augenmerk liegt auf Retrieval-Augmented Generation (RAG)-Subsystemen. Die Botschaft: KI-Integration entbindet nicht von der DSGVO. Eine gründliche Metadatenbereinigung für KI-Trainingsdokumente sei unerlässlich, um die versehentliche Offenlegung personenbezogener Daten zu verhindern.

Zudem hat der EDPB eine Konsultation zu einer harmonisierten Vorlage für Datenschutz-Folgenabschätzungen (DPIA) gestartet. Parallel veröffentlichte das BSI die Kriterien C5:2026, die die Sicherheitsanforderungen für Cloud-Dienste in Deutschland aktualisieren.

Die zunehmende Komplexität der Datenverarbeitung durch KI-Systeme macht eine rechtssichere Datenschutz-Folgenabschätzung für viele Unternehmen unverzichtbar. Nutzen Sie diese bewährten Checklisten und eine fertige Muster-DSFA, um Bußgelder von bis zu 2 % des Jahresumsatzes proaktiv zu verhindern. Kostenlose Muster-DSFA herunterladen

Haftungsrisiken für Geschäftsführer und Compliance-Lücken

Eine wachsende Sorge der Wirtschaft: die zunehmende persönliche Haftung von Führungskräften und Compliance-Beauftragten. Eine am 30. April veröffentlichte Rechtsanalyse zeigt: Manager können direkt haftbar gemacht werden, wenn Compliance-Prozesse – insbesondere bei Whistleblower-Meldungen – mangelhaft sind. In Polen gilt seit Anfang April bereits die persönliche Haftung von Vorstandsmitgliedern bei NIS-2-Verstößen.

Trotz dieser Risiken klafft eine massive „Compliance-Lücke“. Laut einer Bitkom-Studie vom März/April 2026 haben 64 Prozent der deutschen Unternehmen keine formelle KI-Strategie – obwohl 41 Prozent bereits KI einsetzen. Die Studie enthüllt zudem das Phänomen „Shadow AI“: Zwölf Prozent der Mitarbeiter nutzen heimlich KI-Tools für Arbeitsaufgaben ohne Genehmigung des Arbeitgebers.

Eine Expertenkommission für Wettbewerb und Künstliche Intelligenz schlägt als Antwort einen 300-Milliarden-Euro-Investitionsfonds für eine souveräne europäische KI-Infrastruktur vor. 72 Prozent der Deutschen sehen die Abhängigkeit von ausländischen Anbietern als kritisches Problem.

Ausblick: Countdown bis August

Die kommenden Monate werden für Compliance-Abteilungen in ganz Europa zur Bewährungsprobe. Nach dem Scheitern der Trilog-Verhandlungen Ende April sind neue Gespräche zum „Digital Omnibus“ für Mitte Mai geplant. Scheitern diese vor der irischen EU-Ratspräsidentschaft ab dem 30. Juni 2026, bleiben die ursprünglichen, strengeren AI-Act-Fristen für Hochrisikosysteme in Kraft.

Die Mitgliedstaaten müssen bis zum Sommer 2026 „Regulatory Sandboxes“ einrichten – Testumgebungen für innovative KI-Systeme unter Aufsicht. Stand März 2026 hatte nur Spanien eine voll funktionsfähige Sandbox. 16 weitere Staaten haben noch keine konkreten Umsetzungspläne vorgelegt.

Für deutsche Unternehmen bleibt die NIS-2-Richtlinie relevant: Rund 30.000 Einrichtungen sind betroffen. Die Zustimmung des Bundeskabinetts zu einem neuen Sicherheitspaket am 29. April – das automatisierte Datenanalysen und biometrische Abgleiche für Strafverfolgungsbehörden erlaubt – dürfte in der zweiten Jahreshälfte für weitere rechtliche Auseinandersetzungen sorgen. Die Botschaft an Unternehmen ist klar: Vom reaktiven Datenschutz zum proaktiven „Compliance-by-Design“ – nur so lassen sich die wachsenden rechtlichen und finanziellen Risiken beherrschen.

de | wirtschaft | 69263392 |