Die Europäische Union steckt in der Sackgasse: Die geplante „Digital Omnibus“-Initiative zur Vereinfachung des AI Act ist vorerst gescheitert. Damit bleibt der ursprüngliche Zeitplan in Kraft – und Unternehmen müssen bis zum 2. August 2026 ihre Governance-Strukturen für Hochrisiko-KI-Systeme fertigstellen.
Trilog-Verhandlungen ohne Durchbruch
Zwölf Stunden zäher Verhandlungen Ende April brachten keine Einigung. Der Streitpunkt: Anhang I des AI Act, der KI in regulierten Produkten wie Maschinen und Medizingeräten betrifft. Während sich EU-Parlament und Rat teilweise auf verschobene Fristen einigen konnten – Dezember 2027 für Anhang-III-Systeme, August 2028 für Anhang I –, blockiert der Europäische Rat weiterhin den gesamten Vorschlag.
Angesichts der festgefahrenen Verhandlungen in Brüssel müssen Unternehmen ihre Compliance-Strategie für den EU AI Act jetzt selbst in die Hand nehmen. Dieser kostenlose Leitfaden verschafft Ihnen den nötigen Überblick über Fristen und Pflichten, den Ihre Rechtsabteilung nun dringend braucht. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen
Besonders Deutschland spielt eine Schlüsselrolle: Berichten zufolge fordert die Bundesregierung spezifische Ausnahmen für den Maschinenbausektor. Auch die Definition von „intimen Bildern“ bei verbotenen KI-Anwendungen sowie die Übergangsfristen für Wasserzeichen-Pflichten sorgen für Streit. Das Parlament will drei Monate, Kommission und Rat plädieren für sechs Monate bis Februar 2027.
Scheitern die nächsten Gespräche Anfang Mai, drohen ab August empfindliche Strafen: Bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes sind bei Verstößen möglich.
Schatten-KI: Die unkontrollierte Gefahr
Die Brüsseler Hängepartie spiegelt sich in den Unternehmen wider. Eine aktuelle Umfrage unter über 1.000 CIOs zeigt: Nur 37 Prozent haben volle Transparenz über die in ihrer Organisation genutzten KI-Tools. 62 Prozent machen Abstriche bei Governance-Standards – aus Wissenslücken und fehlender Expertise.
Die Folge: „Shadow AI“ breitet sich aus. Im DACH-Raum nennen 72 Prozent der IT-Chefs den Fachkräftemangel als Haupthindernis für stabile Governance-Strukturen. Fast jeder zweite Berufstätige nutzt KI im Arbeitsalltag, rund 12 Prozent tun dies ohne Wissen des Arbeitgebers.
Die Risiken sind real: „AI-Washing“ – das Übertreiben von KI-Fähigkeiten – wird zum Problem für Investoren. Bereits 13 Prozent aller Sicherheitsvorfälle waren 2025 KI-bezogen, Shadow AI verursachte in jedem fünften Fall Datenlecks.
Globale Regulierungs-Welle rollt
Während die EU um Details ringt, verschärfen andere Staaten den Kurs. Kanada veröffentlichte am 4. Mai neue Richtlinien zur Altersverifikation und kündigte für heute den Abschlussbericht zu den OpenAI-Ermittlungen an. In Australien startete die „Privacy Awareness Week“ unter dem Motto Vertrauen und Konfliktlösung – 93 Prozent der Bürger legen Wert auf Datenschutz, 87 Prozent sind besorgter als vor fünf Jahren.
Die europäischen Datenschutzbehörden bleiben wachsam. In einer gemeinsamen Stellungnahme lehnten EDPB und EDPS eine geplante Änderung ab, die pseudonymisierte Daten teilweise vom Datenschutz ausgenommen hätte. Die Härte der GDPR-Durchsetzung spricht Bände: Seit 2018 verhängten die Behörden Bußgelder von über 4,5 Milliarden Euro.
Compliance-Experten warnen davor, die neue KI-Verordnung zu ignorieren, da bei Verstößen ähnlich drastische Strafen wie bei der DSGVO drohen. Sichern Sie Ihr Unternehmen proaktiv ab und nutzen Sie diesen kostenlosen Report, um zu klären, welche Ihrer Systeme als Hochrisiko eingestuft werden. Kostenlosen KI-Verordnung Report hier anfordern
Ausblick: Die Uhr tickt
Die nächsten Wochen entscheiden über die Zukunft der KI-Regulierung in Europa. Kommt kein Digital Omnibus, müssen Unternehmen bis August umfassende technische Dokumentationen vorlegen, hochwertige Trainingsdaten sicherstellen und Risikomanagement-Systeme etablieren.
Doch der AI Act ist nur der Anfang. Der Cyber Resilience Act führt ab September 2026 eine Meldepflicht für Sicherheitslücken ein. In den USA verschärft sich die HIPAA-Security-Regel für Gesundheitsdaten. Und Indiens Digital Personal Data Protection Act tritt im Mai 2027 in Kraft.
Für globale Konzerne bedeutet das: Die Zeit zum Handeln ist jetzt. Wer seine KI-Governance nicht bis zum Sommer aufstellt, riskiert nicht nur Millionenstrafen, sondern den Anschluss an einen sich rasant verschärfenden Regulierungsrahmen.
