Zeitgleich treiben sowohl der US-Kongress als auch die EU die Regulierung von KI und Datenschutz voran – mit weitreichenden Folgen für Unternehmen.
Die rasanten Entwicklungen im KI-Bereich und der EU AI Act stellen Unternehmen vor komplexe neue Compliance-Herausforderungen. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Risikoklassen, Fristen und Pflichten, damit Ihre IT- und Rechtsabteilung rechtssicher agieren kann. EU AI Act in 5 Schritten verstehen
„CI Fortify“: Neuer Rahmen gegen automatisierte Angriffe
Die Cybersecurity and Infrastructure Security Agency (CISA) stellte am 5. Mai 2026 ihr aktualisiertes „CI Fortify“-Framework vor. Es soll Betreiber kritischer Infrastrukturen dabei unterstützen, sich von potenziellen Cyber-Sabotageakten zu isolieren und schnell zu erholen. Der Vorstoß reagiert auf die wachsende Bedrohung durch KI-gestützte Angriffe, die Systemschwachstellen automatisiert ausnutzen.
Branchenbeobachter sprechen von einem trend zur „intelligenten Compliance“ – Unternehmen sollen KI-Governance, Cybersicherheit und regulatorische Aufsicht in einem einheitlichen Rahmen zusammenführen. Deepfakes und autonome KI-Agenten gelten dabei als besonders riskant.
Kleine Unternehmen im Visier der Regulierer
Bereits am 4. Mai veröffentlichte das National Institute of Standards and Technology (NIST) mit CSWP 50 ein spezielles Leitliniendokument für Kleinstunternehmen. Die öffentliche Kommentierungsfrist läuft noch bis zum 14. Mai 2026. Der Fokus liegt auf Firmen, die kaum Ressourcen für IT-Sicherheit haben, aber dennoch lukrative Ziele für KI-gesteuerte Social-Engineering-Angriffe darstellen.
Im US-Repräsentantenhaus wurden zudem zwei bedeutende Datenschutzgesetze eingebracht: Der GUARD Financial Data Act und der SECURE Data Act. Ersteres verschärft die Anforderungen für Finanzinstitute – Datenminimierung und Opt-in-Regeln für sensible Informationen stehen im Zentrum. Das zweite Gesetz schafft einen nationalen Rahmen für Nicht-Finanzunternehmen, inklusive eines Datenbroker-Registers und erweiterter Befugnisse für die Federal Trade Commission (FTC).
Auf Bundesstaatenebene zog Connecticut nach: Das Repräsentantenhaus verabschiedete Senate Bill 4 mit 141 zu 6 Stimmen. Das Gesetz reguliert Datenbroker und schützt genetische sowie Standortdaten – eine Ergänzung zum bestehenden KI-Gesetz SB 5 des Bundesstaates.
Von Deepfakes bis zu nicht-menschlichen Identitäten
Die Bedrohungslage entwickelt sich rasant weiter. Kanadas Datenschutzbeauftragter Philippe Dufresne beschleunigte am 4. Mai die Untersuchung gegen die Plattform X (ehemals Twitter) wegen des Einsatzes von Deepfakes. Internationale Zusammenarbeit sei für eine wirksame KI-Regulierung unerlässlich, so Dufresne. Für den 6. Mai 2026 erwartet die Branche zudem die endgültige Entscheidung seiner Behörde zu OpenAIs ChatGPT – ein potenzieller Präzedenzfall für generative KI.
Ein aktuelles Whitepaper von KPMG weist auf eine wachsende Sicherheitslücke hin: „Nicht-menschliche Identitäten“ (NHIs) – also autonome KI-Agenten – übersteigen in vielen Unternehmen inzwischen die Zahl menschlicher Nutzerkonten. Herkömmliche Identitäts- und Zugriffsverwaltung (IAM) sei dafür unzureichend. Gefordert werden zentrale NHI-Register, dynamische Berechtigungen und strikte Funktionstrennungen für automatisierte Prozesse.
Auf der CloudFest 2026 bestätigten IT-Experten diese Einschätzung. Eine Umfrage des Beratungshauses Yorizon unter 52 Fachleuten ergab: Der Verlust von Datensouveränität und KI-Fehlentscheidungen sind die größten Hürden für den KI-Einsatz in Unternehmen. Zwei Drittel der Befragten sehen den Aufbau souveräner europäischer Cloud-Infrastrukturen und Open-Source-KI als notwendig an.
BVG-Verwarnung: Lehren aus Datenpannen
Die Aufsichtsbehörden werden strenger – das zeigt der Fall der Berliner Verkehrsbetriebe (BVG) . Die Berliner Datenschutzbeauftragte Meike Kamp erteilte dem Unternehmen am 4. Mai 2026 eine formelle Verwarnung. Hintergrund: Ein Cyberangriff auf einen Dienstleister der BVG im Jahr 2025 hatte rund 180.000 Kundendatensätze mit Namen und Adressen kompromittiert.
Die Behörde rügte, dass die BVG die Löschung der Daten durch den Auftragnehmer nicht ausreichend überwacht und die Meldung der Panne verspätet eingereicht hatte – die gesetzlich vorgeschriebene 72-Stunden-Frist wurde verpasst. Der Fall zeigt: Artikel 33 der DSGVO wird zunehmend streng ausgelegt. Vertraglich festgelegte Verfahren für Datenpannen sind Pflicht.
In Spanien bestätigte der Oberste Gerichtshof am selben Tag eine Sanktion gegen Justizvollzugsanstalten auf Lanzarote. Diese hatten von Mitarbeitern detaillierte medizinische Diagnosen verlangt – ein Verstoß gegen das Datenminimierungsgebot der DSGVO. Standardmäßige Arbeitsunfähigkeitsbescheinigungen reichen aus, so das Gericht.
Die FTC erzielte derweil einen Vergleich mit dem Datenbroker Kochava. Das Unternehmen darf künftig keine sensiblen Standortdaten mehr ohne ausdrückliche Einwilligung der Verbraucher verkaufen. Hintergrund war eine Beschwerde aus dem Jahr 2022, wonach Kochava Geolokalisierungsdaten mit Namen und Telefonnummern verknüpft hatte, um Personen zu identifizieren.
Der Fall der BVG verdeutlicht, wie riskant unzureichend dokumentierte Datenverarbeitungen sind – lückenhafte Verzeichnisse können Firmen bis zu 2 % des Jahresumsatzes kosten. Nutzen Sie diese kostenlose Excel-Vorlage und Schritt-für-Schritt-Anleitung, um Ihre Dokumentationspflichten gemäß Art. 30 DSGVO effizient und rechtssicher zu erfüllen. Gratis Muster-Verarbeitungsverzeichnis jetzt herunterladen
KI-Verordnung und Cyber Resilience Act: EU verschärft Gangart
Für international tätige Unternehmen steigt der regulatorische Druck massiv. Die EU-KI-Verordnung tritt am 2. August 2026 vollständig in Kraft – bei Verstößen drohen Strafen von bis zu sieben Prozent des weltweiten Jahresumsatzes. Der Cyber Resilience Act verpflichtet Hersteller ab dem 11. September 2026 zur Meldung von Sicherheitslücken.
In Nordamerika bereiten sich Gesundheitseinrichtungen auf Änderungen der HIPAA-Sicherheitsregel vor, die für Ende 2026 erwartet werden. Strengere Vorgaben für Multi-Faktor-Authentifizierung und Verschlüsselung von Patientendaten stehen im Raum.
Indische IT-Konzerne wie Infosys, Wipro und TCS rüsten sich derweil für das Digital Personal Data Protection (DPDP) Act, das bis Mai 2027 vollständig durchgesetzt werden soll.
Apples Kritik an der EU: „Radikaler Ansatz“
Nicht alle Unternehmen begrüßen die Entwicklung. Apple-Vizepräsident Kyle Andeer äußerte am 4. Mai 2026 deutliche Kritik am Digital Markets Act (DMA) der EU. Zwar habe das Gesetz den Umsatz des Konzerns bislang nicht negativ beeinflusst, doch Andeer bezeichnete den Ansatz der EU als „radikal“. Er befürchtet, dass erzwungene Interoperabilität den Datenschutz untergräbt und die Einführung innovativer Funktionen verzögert.
Ausblick: Intelligente Compliance als neues Paradigma
Die Botschaft der Sicherheitsexperten ist eindeutig: Angesichts immer ausgefeilterer KI-Angriffe müssen Unternehmen auf „intelligente Compliance“ setzen. Das bedeutet: Automatisierte Abwehrmechanismen mit strenger Governance verbinden. Nur so können die Schutzrahmen mit der rasanten Entwicklung von KI-Agenten und automatisierten Systemen Schritt halten.
Für den Rest des Jahres 2026 stehen für Unternehmen vor allem drei Aufgaben im Fokus: eine lückenlose Bestandsaufnahme aller IT-Assets, Transparenz in der Lieferkette und robuste Notfallpläne – um den steigenden Erwartungen von Regulierern und Verbrauchern gerecht zu werden.
