Europäische Unternehmen müssen sich auf eine ungewisse regulatorische Zukunft einstellen – und das ohne die nötigen technischen Grundlagen.
Die neuen EU-KI-Regeln stellen Unternehmen vor enorme Herausforderungen, da viele Anforderungen bereits seit August 2024 unmittelbar gelten. Dieser kostenlose Leitfaden zum EU AI Act verschafft Ihnen den nötigen Überblick über Risikoklassen, Fristen und Dokumentationspflichten, damit Ihre IT-Abteilung rechtssicher agieren kann. EU AI Act in 5 Schritten verstehen
Hochrisiko-KI: Trilog-Verhandlungen ohne Ergebnis
Das jüngste Ringen um eine Verschiebung der Pflichten für Hochrisiko-KI-Systeme endete ohne Durchbruch. Ende April scheiterte ein zwölfstündiger Trilog am sogenannten „Digital Omnibus“-Paket. Zwar zeichnete sich laut Verhandlungskreisen eine Einigung bei den neuen Fristen ab – Hochrisiko-Systeme sollten bis Ende 2027 beziehungsweise Mitte 2028 Zeit bekommen. Doch der Streit über Konformitätsbewertungen für regulierte Produkte blockierte das gesamte Vorhaben.
Bis zur gesetzlichen Änderung gilt weiterhin der 2. August 2026 als Stichtag. „Unternehmen sollten ihre Compliance-Programme unbedingt auf diesen Termin ausrichten“, raten Rechtsexperten. Die finanziellen Risiken sind enorm: Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro für Hochrisiko-Systeme, bei verbotenen KI-Praktiken sogar 35 Millionen Euro.
Doch selbst wer will, kann kaum rechtzeitig umsetzen. Die harmonisierten europäischen Normen, die Unternehmen zur Zertifizierung benötigen, werden bis zum Sommer 2026 nicht fertig sein. Der zentrale Qualitätsmanagement-Standard prEN 18286 scheiterte kürzlich in der Prüfphase – über 1.200 Kommentare machten eine schnelle Verabschiedung unmöglich. Die erste Veröffentlichung im EU-Amtsblatt wird frühestens Anfang 2027 erwartet. Bleiben Unternehmen nur der direkte Gesetzestext oder internationale Alternativen.
Datenschutzbehörden verschärfen Gangart
Während die KI-Regeln auf der Kippe stehen, legen die Datenschutzbehörden kräftig zu. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) legte Anfang Mai ihren Jahresbericht für 2025 vor. Die Zahl der Eingaben stieg auf 11.824 – ein Plus von 36 Prozent zum Vorjahr und 52 Prozent mehr als 2023.
BfDI-Chefin Louisa Specht-Riemenschneider hob mehrere Großverfahren hervor, darunter ein 45-Millionen-Euro-Bußgeld gegen Vodafone. Grund: mangelnde Kontrolle von Partnerfirmen und Sicherheitslücken. Bei der Übergabe des Berichts an Bundestagspräsidentin Bärbel Bas kündigte sie zudem einen „Datenbarometer“ und eine Testumgebung für innovative Datenschutzprojekte an.
Auch international wird scharf geschossen:
– Italien: 12,5 Millionen Euro gegen Poste Italiane wegen Tracking in Banking-Apps
– Spanien: Strafen gegen Unicaja Banco wegen Videoüberwachung und geteilter Passwörter
– Rumänien: 35.000 Euro gegen ein Entertainment-Unternehmen for unerlaubte Werbe-Mails
Angesichts steigender Bußgelder und verschärfter Kontrollen durch Datenschutzbehörden ist eine lückenlose Dokumentation für Unternehmen überlebenswichtig. Mit dieser kostenlosen Excel-Vorlage und Schritt-für-Schritt-Anleitung erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und vermeiden Sanktionen von bis zu 2 % des Jahresumsatzes. Kostenlose Muster-Vorlage jetzt gratis herunterladen
Überwachung in Schwimmbädern: Gericht erlaubt Kameras
Das Berliner Verwaltungsgericht entschied am 6. Mai: Videoüberwachung und Ausweiskontrollen in öffentlichen Schwimmbädern sind rechtens. Damit wies es eine Klage der Bäderbetriebe gegen eine Abmahnung der Berliner Datenschutzbeauftragten Meike Kamp ab. Das Gericht argumentierte, der Schutz von Leben und Gesundheit wiege schwerer als das Recht auf informationelle Selbstbestimmung.
Die Zahlen geben dem Gericht recht: In vier überwachten Bädern sanken die Straftaten von 88 (2023) auf 66 (2024). Stadtweit fielen die Delikte von 294 auf 154. Dennoch erwägt die Datenschutzbeauftragte Berufung.
Kritisch äußerte sich Specht-Riemenschneider auch zu Gesichtserkennung: „Gesichtsscans sind fehleranfällig“, warnte sie und forderte datensparsamere Alternativen bei Altersverifikation und Identitätschecks.
Regulierungskrise: Innovation zwischen den Fronten
Der Konflikt zwischen KI-Gesetzesfristen und fehlenden Standards bremst die digitale Innovation aus. Beim BvD-Verbandstag in Berlin Anfang Mai warnten Verbände vor Überregulierung. „Datenschutz muss als Innovationsrahmen dienen, nicht als Hürde“, hieß es. Gleichzeitig lehnen sie Vorschläge ab, die Standards zu senken oder Datenschutzbeauftragte abzuschaffen.
Auch der Digital Markets Act (DMA) steht auf dem Prüfstand. Erste Evaluierungen aus dem Frühjahr 2026 zeigen ein gemischtes Bild: Die Regulierung gilt als relevant, doch Compliance-Probleme und Innovationsbremsen bleiben. Große Tech-Konzerne mussten bereits tief in die Tasche greifen – 500 Millionen Euro gegen Apple, 200 Millionen Euro gegen Meta.
Verschärft wird die Debatte durch den Widerstand gegen die „Chat-Kontrolle“. Deutsche und europäische Datenschutzbehörden warnen: Die geplante Durchleuchtung privater Nachrichten gefährde die Ende-zu-Ende-Verschlüsselung. Daten von Tech-Konzernen zeigen, dass die meisten automatischen Meldungen nicht zu bestätigten Straftaten führen – die Fehlerquote liegt teils bei 20 Prozent.
Ausblick: Entscheidende Wochen für die Digitalregulierung
Die nächsten Wochen werden richtungsweisend. Ein weiterer Trilog zum Digital Omnibus ist für Mitte Mai angesetzt. Scheitert auch dieser, bleiben Unternehmen nur 15 Monate, um ihre Hochrisiko-KI-Systeme fit für den August 2026 zu machen.
Doch nicht nur KI steht auf der Agenda:
– Dänemark: Die Stadt Aalborg muss bis zum 2. Oktober 2026 systematische Löschprobleme bei Bürgerdaten beheben
– Europäischer Gesundheitsdatenraum (EHDS): Ab Anfang 2029 gelten neue Regeln für Patientendaten
Für Unternehmen heißt die Botschaft: Die Schonfrist ist vorbei. Die Zahl der Bußgelder steigt, die Summen werden höher. Ob die KI-Fristen nun verschoben werden oder nicht – der Druck in Richtung transparenter, prüfbarer Compliance-Systeme bleibt das neue Normal im europäischen Markt.
