Ein historischer Tag für die europäische Digitalpolitik: Während die EU die KI-Verordnung für Maschinen entschärft, erhalten Strafverfolger weitreichende neue Befugnisse zum Zugriff auf elektronische Beweise.
Die Europäische Union hat am 7. Mai 2026 ein wegweisendes Paket geschnürt. Auf der einen Seite lockert Brüssel die strengen Auflagen der KI-Verordnung (AI Act) für Industrieunternehmen – eine Reaktion auf monatelange Kritik aus der Wirtschaft. Auf der anderen Seite tritt das neue EU-E-Beweis-Gesetz (E-Evidence Act) in Kraft, das Polizei und Staatsanwaltschaften direkten Zugriff auf elektronische Daten in anderen Mitgliedsstaaten gewährt.
Erleichterung für den Maschinenbau
Das sogenannte „Digital Omnibus VII“-Abkommen befreit Maschinen weitgehend von den KI-Auflagen, wenn bereits spezifische Branchenregeln wie die Maschinenprodukteverordnung greifen. Der Verband Deutscher Maschinen- und Anlagenbau (VDMA) und der ZVEI zeigten sich erleichtert. Bislang drohte selbst eine einfache Haushaltsgeräte-Steuerung als Hochrisiko-Technologie eingestuft zu werden.
Da Unternehmen nun bis August 2026 Zeit haben, die komplexen Anforderungen der neuen KI-Regeln rechtssicher umzusetzen, ist eine strukturierte Vorbereitung unerlässlich. Dieser kompakte Leitfaden erklärt Ihnen die wichtigsten Risikoklassen und Fristen für Ihren Betrieb. EU AI Act Umsetzungsleitfaden kostenlos herunterladen
Die Umsetzungsfristen wurden deutlich verlängert: Während die zentralen KI-Regeln wie geplant am 2. August 2026 in Kraft treten, müssen eigenständige Hochrisiko-KI-Systeme erst bis zum 2. Dezember 2027 vollständig konform sein. Eingebettete Systeme haben sogar bis August 2028 Zeit.
Scharfe Sanktionen bei E-Beweisen
Parallel dazu verschärft die EU den Druck auf Unternehmen mit dem E-Beweis-Gesetz. Künftig können Ermittlungsbehörden Dienstleister in anderen EU-Staaten direkt kontaktieren – ohne den Umweg über die Justizbehörden. Betroffene Firmen müssen einen Rechtsvertreter benennen und die technische Infrastruktur für die zentrale EU-Plattform bereitstellen.
Die Fristen sind knapp bemessen: Zehn Tage für die Herausgabe von Daten, in Notfällen nur acht Stunden. Wer sich verweigert, riskiert Strafen von bis zu 500.000 Euro oder zwei Prozent des weltweiten Jahresumsatzes. In Deutschland überwacht das Bundesamt für Justiz die Umsetzung.
Rekord bei Beschwerden und Bußgeldern
Der Druck auf Unternehmen wächst. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verzeichnete 2025 mit 11.824 Beschwerden und Anfragen einen neuen Höchststand. Das sind 36 Prozent mehr als 2024 und 52 Prozent mehr als 2023.
Die Behörde führte 80 Vor-Ort-Kontrollen und 40 schriftliche Prüfungen durch, verhängte 129 formelle Aufsichtsmaßnahmen. Ein spektakulärer Fall: 45 Millionen Euro Strafe gegen Vodafone wegen Mängeln bei der Kundenauthentifizierung und der Überwachung von Partneragenturen.
Auch europaweit zeigte die Durchsetzung Wirkung. Die italienische Aufsicht belegte Poste Italiane mit 12,5 Millionen Euro Strafe für unerlaubtes Tracking in Banking-Apps. Spanien verhängte gegen Unicaja Banco 400.000 Euro wegen rechtswidriger Videoüberwachung.
Compliance frisst 40 Prozent der Arbeitszeit
Eine Studie von Sophos unter 5.000 IT-Managern aus 17 Ländern zeigt die operative Belastung: Unternehmen müssen im Schnitt fünf verschiedene Compliance-Standards gleichzeitig erfüllen, darunter ISO 27001/2 und die DSGVO. IT-Teams verbringen rund 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. 82 Prozent der Befragten zweifeln, alle regulatorischen Anforderungen stemmen zu können.
Angesichts der Rekord-Bußgelder und verschärften Kontrollen durch die Datenschutzbehörden rückt die lückenlose Dokumentation wieder in den Fokus. Mit dieser praxiserprobten Excel-Vorlage erstellen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten rechtssicher und vermeiden teure Compliance-Fehler. DSGVO-Muster-Vorlage jetzt gratis sichern
Digitaler Datenschutz in der Sackgasse
Trotz der Fortschritte bei den Industrie-KI-Regeln bleiben andere Bereiche der europäischen Digitalstrategie umstritten. Am 28. April 2026 scheiterte eine zweite Trilogon-Verhandlung zum „EU Digital Omnibus“-Paket. Dieses sieht unter anderem vor, KI-Training auf Basis „berechtigter Interessen“ statt expliziter Einwilligung zu erlauben – ein Schritt, den Datenschützer als grundlegenden Paradigmenwechsel kritikieren.
Sicherheitsbedenken gibt es auch beim Digital Markets Act (DMA). Google warnte die EU-Kommission am 5. Mai 2026, dass Artikel 6(11) des DMA – die Pflicht zum Teilen von Suchdaten – die Privatsphäre der Nutzer gefährden könnte. Interne Tests zeigten, dass Personen mit den vorgeschlagenen Methoden in weniger als zwei Stunden deanonymisiert werden könnten. Der DMA tritt am 27. Juli 2026 in Kraft.
Deutschland hinkt hinterher
In Deutschland soll das KI-MIG, ein Gesetzesentwurf vom 12. September 2025, die Bundesnetzagentur zur zentralen Koordinierungsstelle machen. Allerdings verpasste die Bundesrepublik die Frist vom 2. August 2025 zur Benennung der nationalen KI-Behörden – eine Folge der langwierigen Regierungsbildung.
Die Justiz präzisiert derweil die Grenzen des Datenschutzrechts. Das Kammergericht Berlin entschied am 30. April 2026, dass eine Sammelklage gegen die Plattform X (ehemals Twitter) unzulässig ist. Schadensersatzansprüche nach DSGVO seien nicht „im Wesentlichen ähnlich“, da jeder Fall individuell geprüft werden müsse.
Ausblick: Strengere Regeln, härtere Strafen
Die kommenden Monate stehen im Zeichen der Vorbereitung auf den 2. August 2026. Während das Omnibus-VII-Abkommen dem Maschinenbau Luft verschafft, müssen andere Branchen ihre Compliance-Systeme für Hochrisiko-KI fertigstellen. Die Strafen sind enorm: bis zu 35 Millionen Euro oder sieben Prozent des globalen Umsatzes.
Die Datenschutzkonferenz (DSK) bleibt bei ihrer Ablehnung von EU-Plänen zur „Chat-Kontrolle“ und Client-Side-Scanning. Am 11. Mai 2026 sollen die Trilogon-Verhandlungen dazu wieder aufgenommen werden. Für Unternehmen bedeutet die Kombination aus E-Beweis-Gesetz und KI-Verordnung einen grundlegenden Wandel: Geschwindigkeit und Präzision im Datenmanagement werden zum entscheidenden Wettbewerbsfaktor.
