EU verschärft Datenschutz und KI-Regulierung: Rekordstrafen und neue Fristen

Mit dem „Digital Omnibus"-Kompromiss vom 7. Mai 2026 passt die EU den AI Act an – und stellt Unternehmen vor immense Herausforderungen. Während einige Fristen verlängert wurden, drohen bei Verstößen Strafen von bis zu 35 Millionen Euro.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act liefert Ihnen den notwendigen Überblick über alle relevanten Übergangsfristen. Jetzt kostenlos herunterladen: Der Umsetzungsleitfaden zum EU AI Act

Neue Fristen für KI-Systeme: Was sich ändert

Der „Digital Omnibus"-Deal hat die Einführung des EU AI Act (Verordnung 2024/1689) grundlegend neu strukturiert. Die gute Nachricht für Unternehmen: Die Frist für Hochrisiko-KI-Systeme nach Anhang III wurde auf den 2. Dezember 2027 verschoben. Noch mehr Zeit gibt es für KI in regulierten Produkten – hier gilt nun der 2. August 2028 als Stichtag.

Doch Vorsicht: Die Kern-Transparenzpflichten für generative KI bleiben fest im August 2026 verankert. Konkret bedeutet das: Schon ab dem 2. August 2026 müssen KI-generierte Inhalte zwingend mit Wasserzeichen versehen werden.

Für Datenschutzkoordinatoren wird die Klassifizierung von KI-Systemen zur Nagelprobe. Die Verordnung unterscheidet vier Risikostufen: inakzeptabel, hoch, begrenzt und minimal. Besonders heikel: Praktiken wie die Erstellung nicht-einvernehmlicher intimer Bilder oder KI-gestützte Kinderausbeutung sind sofort und ohne Übergangsfrist verboten.

Drei-Phasen-Plan für Unternehmen

Experten empfehlen einen straffen Fahrplan: Von Mai bis Juni sollten Unternehmen eine vollständige Bestandsaufnahme ihrer KI-Systeme durchführen. Bis Ende Juni folgt die Klassifizierung, im Juli dann die finale Dokumentation und Mitarbeiterschulung.

Besonders kritisch: Die „KI-Kompetenz" (Artikel 4) ist bereits seit dem 2. Februar 2025 Pflicht. Wer KI zur Bewerbervorauswahl einsetzt – in modernen Recruiting-Tools längst Standard – muss wissen: Diese Systeme gelten als hochriskant und unterliegen sofortiger Überwachung und Protokollierungspflicht.

Rekordstrafen: 100 Millionen Euro als neuer Maßstab

Die finanziellen Risiken haben eine neue Dimension erreicht. Im Mai 2026 verhängte die EU eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V., den Betreiber des Yango-Dienstes – wegen unerlaubter Datentransfers nach Russland. Ein klares Signal an alle Unternehmen mit internationalen Datenströmen.

Auch nationale Aufsichtsbehörden zeigen keine Gnade:
- Frankreich: 42 Millionen Euro gegen Iliad
- Italien: 53 Millionen Euro gegen Intesa Sanpaolo

Die USA ziehen nach: Dort erreichten Datenschutzstrafen im ersten Quartal 2026 insgesamt 270 Millionen Dollar.

KI-Verstöße können teurer werden als GDPR-Verstöße

Die neue Härte zeigt sich in den Strafrahmen: Verstöße gegen den AI Act können mit bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Selbst kleinere Verstöße gegen Transparenzpflichten kosten bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes.

Cyberbedrohungen: KI-gestützte Angriffe auf dem Vormarsch

Die Schnittstelle von Datenschutz und Cybersicherheit wird zunehmend explosiver. Das Bundeskriminalamt (BKA) verzeichnete für 2025 333.922 gemeldete Cyberstraftaten in Deutschland – mit einem wirtschaftlichen Gesamtschaden von 202,4 Milliarden Euro. Rund 81 Prozent der deutschen Unternehmen waren betroffen.

Die Angriffsmethoden werden raffinierter: 86 Prozent aller Phishing-Versuche sind inzwischen KI-gestützt und für herkömmliche Filter kaum noch erkennbar. Besonders alarmierend: Ein Anstieg von 150 Prozent bei „Quishing"-Angriffen im ersten Quartal 2026 – eine Taktik mit bösartigen QR-Codes, die Sicherheitsprotokolle umgehen.

Angesichts rekordverdächtiger Schäden durch KI-gestützte Phishing-Angriffe rückt die Awareness der Mitarbeiter immer stärker in den Fokus. Erfahren Sie im kostenlosen Anti-Phishing-Paket, mit welchen psychologischen Tricks Hacker heute operieren und wie Sie Ihr Unternehmen wirksam absichern. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Lieferketten-Angriffe auf SAP und OpenAI

Eine als „TeamPCP" bekannte Gruppe hat kürzlich gezielt Lieferketten-Angriffe auf große Softwareanbieter wie OpenAI, SAP und UiPath durchgeführt. Für Unternehmen bedeutet das: Die Sicherheit der gesamten Lieferkette muss auf den Prüfstand.

Daten-souveräne KI als Lösung

Die Antwort auf diese Bedrohungen: Daten-souveräne KI-Lösungen. Erst Anfang Mai 2026 wurde „Meetily" vorgestellt – ein Tool für 100 Prozent Offline-Transkription in Windows- und Unternehmensumgebungen. Die Besonderheit: Die Audioverarbeitung erfolgt lokal über Neural Processing Units (NPUs), ohne Cloud-Anbindung.

Damit umgehen Unternehmen Cloud-Risiken und erfüllen gleichzeitig die Anforderungen von GDPR Artikel 44 zu internationalen Datentransfers. Kein Wunder, dass 73 Prozent der EU-Unternehmen Datensouveränität inzwischen als strategische Priorität einstufen.

Neue Pflichten: Hinweisgeberschutz und Cyber Resilience Act

Die Rolle des Datenschutzkoordinators hat sich erweitert. Hinzu kommen jetzt auch Aufgaben im Rahmen des Hinweisgeberschutzgesetzes (HinSchG). Ein wegweisendes Urteil des Bundesarbeitsgerichts vom 4. Dezember 2025 stellte klar: Whistleblower sind vor Vergeltung geschützt – aber nicht absolut immun gegen Kündigungen in der Probezeit, wenn die Entscheidung unabhängig von der Meldung getroffen wurde.

Ab 11. September 2026 kommen mit dem Cyber Resilience Act neue Meldepflichten für Produkte mit digitalen Elementen hinzu. Die NIS-2-Richtlinie wird voraussichtlich rund 30.000 deutsche Unternehmen betreffen und erfordert eine umfassende Analyse der Cybersicherheitspflichten.

Fristenkalender: Die wichtigsten Termine bis Ende 2026

• Bis Juni 2026: Konsultation zu Transparenzleitlinien, finale Leitlinien Ende Juni erwartet
• 2. August 2026: Wasserzeichenpflicht für neue KI-Systeme
• 2. Dezember 2026: Übergangsfrist für bestehende KI-Systeme endet
• 12. August 2026: Colorado AI Transparency Act (SB-26-189) tritt in Kraft
• 11. September 2026: Meldepflichten nach Cyber Resilience Act beginnen
• 2. August 2027: Nationale KI-Sandboxen müssen eingerichtet sein

Technische Lösungen für die Praxis

Um sowohl Sicherheit als auch Compliance zu gewährleisten, setzen Unternehmen zunehmend auf technische Innovationen: 4-Bit-Quantisierung reduziert den Speicherbedarf lokaler KI-Modelle, während der C2PA-Standard die Herkunft von Inhalten nachvollziehbar macht. Die Botschaft ist klar: Wer die neuen Regeln ernst nimmt, muss jetzt handeln – die Zeit der Übergangsfristen läuft ab.

de | wirtschaft | 69362375 |