EU-Regulierungswelle: Neue Aufgaben für Datenschutzbeauftragte

Die Digital Omnibus verschiebt zentrale Fristen des EU AI Acts – doch die Anforderungen an Datenschutzbeauftragte steigen massiv.

Seit dem 7. Mai 2026 steht fest: Der europäische Gesetzgeber hat sich auf den Digital Omnibus geeinigt. Das Paket bringt eine angepasste Zeitachse für die KI-Regulierung mit sich. Für Datenschutzbeauftragte (DSB) in deutschen Unternehmen bedeutet das: Sie müssen sich gleichzeitig mit klassischen GDPR-Pflichten, neuen KI-Vorgaben und verschärften Cybersicherheitsstandards auseinandersetzen.

Angesichts der neuen EU-KI-Verordnung müssen Unternehmen ihre Compliance-Strategien jetzt grundlegend anpassen. Dieser kostenlose Leitfaden bietet Ihnen einen kompakten Überblick über alle neuen Anforderungen, Pflichten und Fristen des EU AI Acts. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Verschobene Fristen, neue Prioritäten

Die größte Änderung betrifft die Hochrisiko-KI-Systeme. Statt wie ursprünglich geplant müssen Unternehmen erst am 2. Dezember 2027 die vollständige Compliance nachweisen. Für KI in regulierten Produkten wie Medizingeräten gilt sogar der 2. August 2028 als neuer Stichtag.

Doch nicht alle Fristen wurden verlängert. Bereits am 2. August 2026 müssen neue generative KI-Systeme mit Wasserzeichen versehen sein. Bestehende Systeme haben bis zum 2. Dezember 2026 Zeit. Die Botschaft ist klar: Wer jetzt nicht handelt, riskiert empfindliche Strafen.

Ein aktuelles Beispiel: Die Rekordstrafe von 100 Millionen Euro gegen Yango (MLU B.V.) wegen unerlaubter Datentransfers nach Russland zeigt, dass die GDPR-Aufseher weiterhin hart durchgreifen. Datenschutzbeauftragte sollten diese Warnung ernst nehmen.

Die EU-Kommission hat zudem einen Konsultationsprozess zu KI-Leitlinien gestartet. Unternehmen haben bis zum 3. Juni 2026 Zeit, sich zu äußern. Experten raten dringend zur Teilnahme – die neuen Standards wie C2PA für Content-Provenienz werden die Branche nachhaltig prägen.

KI-Kompetenz wird zur Pflicht

Seit Februar 2025 schreibt Artikel 4 des AI Acts eine grundlegende KI-Kompetenz für alle Mitarbeiter vor. Doch einfache Schulungsprogramme reichen nicht mehr. Gerichte und Aufsichtsbehörden erwarten kontextspezifische Trainings, die auf die jeweilige Branche und die konkreten Risiken zugeschnitten sind.

Was bedeutet das praktisch? Eine Arztpraxis braucht andere Schulungen als eine Bank. Datenschutzbeauftragte müssen modulare Trainingskonzepte entwickeln, die Basiswissen mit spezifischen Modulen kombinieren. Wer hier spart, riskiert im Schadensfall eine Beweislastumkehr oder den Verlust des Versicherungsschutzes.

Der öffentliche Sektor geht bereits voran: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) setzt mit LLMoin einen eigenen Chatbot auf Basis großer Sprachmodelle ein. Datenschutzbeauftragte müssen nicht nur die Rechtskonformität solcher Tools prüfen, sondern auch die technische Kompetenz der Nutzer sicherstellen.

Lokale Verarbeitung als Trend

Ein zentraler Trend 2026: „Bot-freie" und lokale KI-Verarbeitung. Am 15. Mai veröffentlichte das Tool Meetily seine Windows- und Enterprise-Versionen. Die Besonderheit: Transkriptionen laufen komplett auf dem lokalen Gerät, nicht in der Cloud.

Für Datenschutzbeauftragte ist das eine gute Nachricht. Lokale Verarbeitung vereinfacht die Einhaltung von Artikel 44 GDPR (internationale Datentransfers). Allerdings steigen die Hardware-Anforderungen: Systeme benötigen eine Neural Processing Unit (NPU) mit mindestens 40 TOPS – ein Standard, den moderne Copilot+ PCs bieten. Die Rolle des DSB erweitert sich damit um die Bewertung von Hardware-Software-Konfigurationen.

Cyber-Resilienz wird Chefsache

Die Zahlen sind alarmierend: 333.922 gemeldete Cybercrime-Fälle im Jahr 2025, Schäden von rund 202,4 Milliarden Euro. 81 Prozent der deutschen Unternehmen waren betroffen, KI-gestütztes Phishing machte 86 Prozent aller Angriffe aus.

Besonders perfide: Quishing – Phishing über QR-Codes – stieg im ersten Quartal 2026 um rund 150 Prozent. Der Cyber Resilience Act reagiert darauf mit verschärften Meldepflichten ab dem 11. September 2026. Datenschutzbeauftragte müssen jetzt „Managed Cybersecurity"-Prozesse aufbauen, die über jährliche Penetrationstests hinausgehen. Kontinuierliche, KI-überwachte Abwehrsysteme sind gefragt.

Der DDoS-Angriff auf den Provider Salt am 15. Mai 2026, der Festnetzanschlüsse lahmlegte, zeigt: Kritische Infrastruktur ist verwundbar. Datenschutzbeauftragte müssen diese Risiken in ihre Bewertungen einbeziehen.

Da KI-gestütztes Phishing mittlerweile die Mehrheit aller Cyberangriffe ausmacht, wird die Sensibilisierung der Mitarbeiter zum entscheidenden Sicherheitsfaktor. Erfahren Sie in diesem kostenlosen Paket, wie Sie psychologische Manipulationstaktiken entlarven und Ihr Unternehmen in vier Schritten effektiv schützen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Globale Perspektive: USA ziehen nach

Auch international verschärft sich die Lage. In den USA traten 2025 zahlreiche neue Landesgesetze in Kraft – von Delaware bis Tennessee. Besonders streng: Marylands Gesetz (seit Oktober 2025) verbietet Geofencing nahe Gesundheitseinrichtungen und schreibt KI-Risikobewertungen vor.

Colorados AI Transparency Act tritt am 12. August 2026 in Kraft. Für Datenschutzbeauftragte multinationaler Konzerne bedeutet das: Sie müssen Strategien über verschiedene Rechtsräume hinweg synchronisieren. Unternehmen wie Bertelsmann und die IHK Karlsruhe haben ihre Datenverarbeitungsinformationen bereits entsprechend angepasst.

Ausblick: Der DSB als strategischer Partner

Bis zum 2. August 2026 müssen die ersten KI-Transparenzanforderungen erfüllt sein. Der Datenschutzbeauftragte wird damit vom reinen Rechtsprüfer zum zentralen Bindeglied zwischen IT, Recht und Unternehmensführung.

Der Fokus für den Rest des Jahres liegt auf Cyber-Resilienz. Die Meldepflichten ab September erfordern detaillierte Inventare und Risikoklassifizierungen aller KI-Systeme. Bei Verstößen drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes – für verbotene Praktiken. Die Kosten für mangelnde Aufsicht waren noch nie so hoch.

de | wirtschaft | 69363823 |