EU verschärft Regeln für Websites: KI-Transparenz und Cybersicherheit im Fokus

Die EU hat Anfang Mai eine politische Einigung zum „Digital Omnibus on AI" erzielt, der das KI-Gesetz vereinfacht und gleichzeitig strenge Transparenzregeln einführt. Parallel dazu zeigen aktuelle Studien von KPMG und dem BSI eine grundlegende Veränderung der Bedrohungslage im Netz. Für Unternehmen bedeutet das: Compliance wird zum zweigleisigen Projekt.

Angesichts der neuen EU-Vorgaben stehen viele Unternehmen vor der Herausforderung, die komplexen Anforderungen des AI Acts rechtzeitig umzusetzen. Dieser kostenlose Leitfaden hilft Ihnen, Fristen, Pflichten und Risikoklassen kompakt zu verstehen und Ihre IT-Abteilung vorzubereiten. EU AI Act in 5 Schritten verstehen

Neue Transparenzpflichten ab August 2026

Der politische Durchbruch Anfang Mai 2026 hat den Zeitplan für das EU-KI-Gesetz konkretisiert. Während die Frist für Hochrisiko-KI-Systeme auf Dezember 2027 verschoben wurde – für bestimmte Kategorien sogar bis August 2028 –, greifen andere Vorgaben bereits dieses Jahr.

Ab dem 2. August 2026 werden die Transparenzpflichten nach Artikel 50 des AI Act rechtsverbindlich. Das betrifft jede Website, die Chatbots, KI-generierte Texte oder synthetische Medien wie Bilder und Videos einsetzt. Betreiber müssen diese Systeme für Nutzer klar kennzeichnen. Zusätzlich tritt eine neue Wasserzeichen-Pflicht für generative KI in Kraft: Neue Systeme müssen ab August 2026 entsprechen, bestehende Systeme haben bis Dezember 2026 Zeit.

Die Strafen für Verstöße sind empfindlich. Bei Verletzungen der Transparenzregeln drohen bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes. Bei schwerwiegenden Verstößen – etwa dem Einsatz verbotener KI-Praktiken – können es bis zu 35 Millionen Euro oder sieben Prozent des globalen Umsatzes sein. Ein spezielles Verbot von „Nudifier"-Apps, die nicht-einvernehmliche Deepfakes erstellen, tritt am 2. Dezember 2026 in Kraft.

Sicherheit: Schwachstellen verdrängen Passwortdiebstahl

Parallel zu den neuen Transparenzgesetzen verändert sich die Sicherheitslage für Webseitenbetreiber grundlegend. Der Verizon Data Breach Investigations Report vom 20. Mai 2026 zeigt: Software-Schwachstellen haben gestohlene Zugangsdaten als häufigste Einfallstore für Cyberangriffe abgelöst – zum ersten Mal seit fast zwei Jahrzehnten. KI-Tools treiben diesen Trend massiv voran. Das Anthropic-Modell „Mythos" etwa konnte im April 2026 tausende Zero-Day-Lücken in Rekordzeit identifizieren.

Die steigende Zahl KI-gestützter Angriffe zwingt Firmen dazu, ihre IT-Sicherheit ohne teure Investitionen massiv zu verstärken. Erfahren Sie in diesem Gratis-E-Book, wie Sie aktuelle Sicherheitslücken schließen und gleichzeitig die neuen gesetzlichen Anforderungen proaktiv erfüllen. IT-Sicherheit jetzt ohne teure Investitionen stärken

Eine KPMG-Studie vom 20. Mai 2026, an der knapp 1.400 Unternehmen teilnahmen, ergab: 50 Prozent der Organisationen sehen KI-gestützte Angriffe als ihre größte Herausforderung. Die Studie zeigt, dass KI das Zeitfenster zwischen der Entdeckung einer Sicherheitslücke und ihrer Ausnutzung auf wenige Stunden verkürzt hat. Der BSI-Cybersicherheitsmonitor 2026 vom 19. Mai 2026 offenbart zudem: 86 Prozent aller Phishing-Angriffe nutzen inzwischen KI, um ihre Wirksamkeit zu steigern.

Für Webseitenbetreiber bedeutet das: Herkömmliche Passwort-Sicherheit reicht nicht mehr aus. Experten und das BSI fordern eine stärkere Herstellerverantwortung und die verpflichtende Einführung der Multi-Faktor-Authentifizierung (MFA). Der Druck steigt ab dem 11. September 2026, wenn neue Meldepflichten nach dem EU-Cyber-Resilience-Act (CRA) in Kraft treten.

Datenschutz: DSGVO-Grundlagen bleiben zentral

Trotz des KI-Hypes bleiben die Grundanforderungen der Datenschutz-Grundverordnung (DSGVO) ein kritischer Pfeiler der Website-Compliance. Jede kommerzielle Website muss ein belastbares Löschkonzept vorweisen. Das stellt sicher, dass personenbezogene Daten vollständig aus allen Systemen entfernt werden – inklusive Backups – sobald der Verarbeitungszweck erfüllt ist oder ein Nutzer die Löschung verlangt.

Auch die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) bleibt relevant. Nach aktueller Rechtslage sind Unternehmen mit 20 oder mehr Beschäftigten, die automatisierte Datenverarbeitung durchführen, in der Regel dazu verpflichtet. Bei größeren Organisationen ab 100 Mitarbeitern, besonders in Norddeutschland, setzen Firmen zunehmend auf externe zertifizierte Experten für komplexe Aufgaben wie das Verarbeitungsverzeichnis (VVT) und die Datenschutz-Folgenabschätzung (DSFA).

Die Rechtsprechung zur Einwilligung entwickelt sich weiter. Ein Urteil des AG Nürnberg vom 9. Juli 2025 bestätigte: Eine Einwilligung bleibt auch bei Vertragskopplung gültig, solange das Unternehmen keine Monopolstellung hat. Für Schadensersatz nach Artikel 82 DSGVO müssen Nutzer jedoch einen konkreten Schaden nachweisen – bloßes Unwohlsein reicht nicht.

Praxistipp: KI-Transparenz und Sicherheitsaudit jetzt angehen

Die Überlappung von AI Act und DSGVO signalisiert einen Wandel hin zu einem ganzheitlichen „Digital Compliance"-Rahmen. Die Bundesnetzagentur übernimmt ab dem 2. August 2026 die Rolle der primären KI-Aufsichtsbehörde. Das zeigt: Die Regierung behandelt KI-Governance mit derselben institutionellen Strenge wie Telekommunikation und Energiemärkte.

Die Daten von BSI und KPMG legen nahe: Die technische „Angriffsfläche" einer Website ist heute genauso ein rechtliches Haftungsrisiko wie ihre Datenschutzerklärung. Eine Website, die nicht regelmäßig gepatcht wird oder unsichere Drittanbieter-Plugins verwendet, könnte gegen die „Technischen und Organisatorischen Maßnahmen" (TOM) der DSGVO verstoßen. Das Phänomen der „Shadow AI" – nicht autorisierte KI-Tools innerhalb eines Unternehmens – erschwert die Lage zusätzlich.

Für die zweite Jahreshälfte 2026 verschiebt sich der Fokus von der Politik zur technischen Umsetzung. Die oberste Priorität: der 2. August 2026 mit den KI-Transparenzpflichten und der Aktivierung der Bundesnetzagentur. Unternehmen sollten ein „KI-Inventar" erstellen, um jede Stelle zu identifizieren, an der automatisierte Systeme mit Nutzern interagieren oder Daten verarbeiten. „Security by Design" und „Privacy by Design" sind keine Optionen mehr – sie sind überlebensnotwendig.

de | wirtschaft | 69381574 |