EU lenkt ein: Industrie-KI entgeht schärfsten Regeln

Mai 2026 eine weitreichende Entschärfung ihrer KI-Regulierung beschlossen. Große Teile des Maschinenbaus werden von den strengsten Auflagen des EU AI Acts ausgenommen.

Der Durchbruch in den Verhandlungen zwischen Europaparlament und Mitgliedstaaten ist ein klarer Erfolg für die deutsche Industrie. Monatelang hatten Verbände und die Bundesregierung gewarnt, dass sich überschneidende Regulierungen Innovationen ersticken und den Mittelstand mit übermäßiger Bürokratie belasten würden.

Trotz der aktuellen Entschärfungen im Maschinenbau gelten viele EU-KI-Pflichten bereits seit August 2024 – dieser kostenlose Leitfaden zeigt Ihnen, was Ihr Unternehmen jetzt tun muss, um konform zu bleiben. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Maschinenbau atmet auf

Kern der Einigung: Viele Anwendungen im Maschinenbau fallen künftig nicht mehr unter die spezifische Hochrisiko-Einstufung des AI Acts – solange sie die aktualisierte Maschinenproduktverordnung einhalten. Branchengrößen wie Siemens und Bosch hatten zuvor vor erheblichen Wettbewerbsnachteilen durch Doppelregulierung gewarnt.

Parallel dazu verschiebt sich der Zeitplan für die KI-Compliance grundlegend. Die vollständige Umsetzung für Hochrisikosysteme wird nicht mehr im August 2026, sondern erst im Dezember 2027 fällig. Ein kompletter Deregulierungsschritt ist das jedoch nicht: Bereits am 2. Dezember 2026 tritt ein neues Verbot von KI-generierten sexualisierten Deepfakes in Kraft.

Die Reaktion der Industrie fällt verhalten positiv aus. Der ZVEI (Elektro- und Digitalindustrie) spricht von einem wichtigen ersten Schritt zur Vermeidung doppelter Regulierungsstrukturen. Allerdings bleibe die Erleichterung nicht auf alle Sektoren aus – insbesondere die Medizintechnik mit ihren weiterhin geltenden Hochrisiko-Einstufungen sei benachteiligt. Bitkom kritisierte zudem die späte Veröffentlichung von Auslegungsleitlinien: Trotz der Fristverlängerung fehle vielen Unternehmen weiterhin Rechtssicherheit.

Datenschutzbehörden schalten in den Angriffsmodus

Während die KI-Regeln gelockert werden, zeigen die Datenschutzbehörden zunehmend härte. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichte am 6. Mai seinen Jahresbericht für 2025 – mit alarmierenden Zahlen.

11.824 Beschwerden und Anfragen gingen ein, ein Anstieg von 36 Prozent gegenüber 2024 und sogar 52 Prozent mehr als 2023. Besonders ins Gewicht fällt eine 45-Millionen-Euro-Strafe gegen Vodafone wegen Mängeln im Partnermanagement und bei Authentifizierungsprozessen. Die Behörde führte zudem 80 Vor-Ort-Prüfungen und 40 schriftliche Audits durch.

Die steigende Zahl an Prüfungen zeigt, dass Lücken in der Dokumentation teuer werden können – sichern Sie sich deshalb diesen kostenlosen Report mit allen relevanten Übergangsfristen zur neuen KI-Verordnung. Kostenlosen AI Act Guide für Unternehmen sichern

Die scheidende BfDI-Chefin Louisa Specht-Riemenschneider, die aus gesundheitlichen Gründen ihren Rücktritt angekündigt hat, warnte bei der Vorstellung des Berichts eindringlich vor unkontrolliertem KI-Training mit fremden Daten. Die Rechtsgrundlage dafür sei nach der DSGVO weiterhin fragwürdig – explizite Einwilligungen fehlten oft, und eine einfache Interessenabwägung reiche für komplexe KI-Trainingsdatensätze nicht aus.

Der europäische Trend bestätigt dieses Bild. Allein im April 2026 wurden mehrere hohe DSGVO-Strafen verhängt, darunter 12,5 Millionen Euro gegen Poste Italiane für Tracking über Banking-Apps. Auch kleinere Unternehmen blieben nicht verschont: Eine spanische Bank zahlte 400.000 Euro für unzureichende Berechtigungskonzepte bei Videoüberwachung.

Der Streit um die Daten-Paywall

Ein neuer Rechtskonflikt zeigt, wie sehr Geschäftsmodelle und Datenschutzrechte kollidieren. Die Datenschutzorganisation Noyb hat am 6. Mai 2026 bei der österreichischen Datenschutzbehörde Beschwerde gegen LinkedIn Ireland eingereicht. Der Vorwurf: LinkedIn verweigere Nutzern die vollständige Liste der Profilbesucher – es sei denn, sie zahlen für ein Premium-Abo von rund 30 Euro monatlich.

Noyb argumentiert, dass Profilbesucher nach der Rechtsprechung des Europäischen Gerichtshofs als „Empfänger" von Daten gelten und daher kostenlos offengelegt werden müssen. LinkedIn weist die Vorwürfe zurück und verweist auf die Erfüllung seiner DSGVO-Pflichten sowie den Schutz der Privatsphäre anderer Nutzer.

Der Fall reiht sich ein in eine Serie von Auseinandersetzungen mit großen Plattformen. In den Niederlanden droht Meta tägliche Zwangsgelder von bis zu 100.000 Euro (gedeckelt auf 10 Millionen Euro) – wegen angeblicher „Dark Patterns", die Nutzer daran hindern, einen nicht personalisierten Feed zu wählen.

Auch öffentliche Unternehmen bleiben nicht verschont. Der Berliner Datenschutzbeauftragte erteilte den Berliner Verkehrsbetrieben (BVG) eine formelle Verwarnung. Nach einem Cyberangriff auf einen Dienstleister im April 2025 waren 180.000 Kundendatensätze abgeflossen. Die BVG hatte es versäumt, Löschprotokolle wirksam zu überwachen und die vorgeschriebene 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde einzuhalten.

Die wachsende Kluft zwischen KI-Nutzung und Compliance

Die regulatorische Entspannung kommt zu einem Zeitpunkt, an dem die KI-Nutzung in der Wirtschaft rasant steigt. Laut Daten des IAB-Betriebspanels setzten 2025 bereits 25 Prozent der deutschen Unternehmen generative KI ein – ein sprunghafter Anstieg von nur fünf Prozent zwei Jahre zuvor. In Betrieben mit über 200 Mitarbeitern liegt die Quote bei fast 50 Prozent.

Doch dieser technologische Schub schafft ein „Schatten-KI"-Problem. Branchenanalysten schätzen, dass rund 20 Prozent der aktuellen Datenschutzverstöße auf nicht autorisierte oder unkontrollierte KI-Nutzung in Unternehmen zurückgehen.

Eine Studie von Sophos aus dem Frühjahr 2026 unter 5.000 IT-Managern in 17 Ländern zeigt das Ausmaß der Compliance-Belastung: 82 Prozent der Unternehmen sind unsicher, ob sie alle geltenden Vorschriften einhalten. Im Schnitt müssen IT-Teams fünf verschiedene Regelwerke gleichzeitig managen – darunter DSGVO, NIS2 und den Digital Operational Resilience Act (DORA). Rund 39 Prozent ihrer Arbeitszeit fließen in Compliance-Aufgaben.

Die EU-Entscheidung, die Durchsetzung des AI Acts zu verschieben und Industrieanwendungen auszunehmen, ist eine direkte Reaktion auf diese „Compliance-Müdigkeit". Indem die KI-Regeln an bestehende Maschinenstandards angepasst werden, erhofft man sich eine Entlastung der kleinen und mittleren Unternehmen, denen die juristischen Ressourcen der Tech-Giganten fehlen.

Blick auf die kommenden Fristen

Für europäische Unternehmen beginnt nun die Navigation durch einen sich ständig ändernden Regulierungskalender. Während die Hochrisiko-Anforderungen auf Dezember 2027 verschoben wurden, greifen die allgemeinen Transparenzpflichten des AI Acts für generative KI vermutlich deutlich früher. Bereits am 2. August 2026 sollen die ersten Governance-Anforderungen für Systeme in Kraft bleiben, die nicht unter die neuen Industrieausnahmen fallen.

Der „EU Digital Omnibus" bleibt zudem Gegenstand intensiver Trilog-Verhandlungen. Vorschläge, KI-Training auf Basis „berechtigter Interessen" statt expliziter Einwilligung zu erlauben, liegen weiter auf dem Tisch – stoßen aber auf erbitterten Widerstand von Datenschützern. In den kommenden Wochen rückt zudem die nächste Verhandlungsrunde zur CSA-Verordnung (Chat Control) ab dem 11. Mai 2026 in den Fokus, die wegen ihrer möglichen Auswirkungen auf die Ende-zu-Ende-Verschlüsselung scharf kritisiert wird.

Für Compliance-Verantwortliche in Unternehmen bietet die Verschnaufpause bei den Industrie-KI-Regeln eine kurze Atempause. Doch die Rekordzahlen bei Beschwerden und die aktive Durchsetzung durch nationale Behörden zeigen: Die Ära intensiver Datenaufsicht hat gerade erst begonnen.

de | wirtschaft | 69290982 |