Mai 2026 auf eine deutliche Verschiebung und Vereinfachung zentraler Vorgaben des AI Acts geeinigt. Das Abkommen verschafft Unternehmen, die mit der Integration von Hochrisiko-KI-Systemen kämpfen, mehrere Monate zusätzliche Zeit. Der Schritt kommt nicht zu früh: Aktuelle Studien zeigen, dass IT-Abteilungen fast 40 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben verbringen. Während EU-Parlament und Rat die Regeln lockern, um die Wettbewerbsfähigkeit zu stärken, zeigen Datenschutzbehörden weiterhin Härte – mit Rekordbeschwerden und Millionenstrafen.
Die neuen Fristen des EU AI Acts bieten zwar Entlastung, doch viele Unternehmen unterschätzen die bereits geltenden Anforderungen und Risikoklassen. Dieser kostenlose Leitfaden hilft Ihnen, die KI-Verordnung in 5 Schritten zu verstehen und Ihre Compliance-Strategie rechtzeitig anzupassen. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen
Erleichterung für Hochrisiko-KI
Der Kompromiss sieht eine Verschiebung um 16 Monate für die strengsten Auflagen vor. Hochrisiko-KI-Systeme müssen die neuen Regeln nun erst ab dem 2. Dezember 2027 erfüllen. Für KI, die in Produkte wie Spielzeug, Aufzüge oder Medizingeräte eingebettet ist, gilt der 2. August 2028 als Stichtag. Die Abgeordneten begründen die Anpassung mit der Notwendigkeit, Innovationen im Mittelstand nicht zu ersticken.
Trotz der Aufweichung bleiben strikte Verbote bestehen. „Nudifier“-Apps, die nicht-einvernehmliche sexuelle Inhalte generieren, und Systeme zur Erstellung von Missbrauchsdarstellungen sind weiterhin tabu. Sogar verschärft: Digitale Wasserzeichen für KI-Inhalte müssen bereits ab dem 2. Dezember 2026 gesetzt werden.
Die Industrie begrüßt den „Digital Omnibus“-Ansatz. Der ursprüngliche Zeitplan hätte Unternehmen überfordert, die noch mit der DSGVO kämpfen. Allerdings steht die formelle Verabschiedung noch aus – sie muss bis zum 2. August 2026 erfolgen, sonst tritt die alte, strengere Frist in Kraft.
IT-Teams unter Druck
Die Verschnaufpause kommt zu einem kritischen Zeitpunkt. Eine Sophos-Studie unter 5.000 IT-Entscheidern aus 17 Ländern zeigt: IT-Teams verbringen im Median 39 Prozent ihrer Arbeitszeit mit Compliance. 82 Prozent der Befragten zweifeln, ob sie alle Auflagen stemmen können. Fast ein Viertel hat „erhebliche Bedenken“.
Die Komplexität ist enorm. Unternehmen müssen im Schnitt fünf verschiedene Standards gleichzeitig erfüllen – allen voran ISO 27001 und die DSGVO. Fast 80 Prozent der IT-Profis haben Mühe, mit dem Tempo der regulatorischen Änderungen Schritt zu halten.
Der Bitkom bestätigt den Trend. In einer Umfrage unter 603 Firmen beschreiben 44 Prozent ihre Datenschutzbemühungen als „sehr stark“ belastend – ein Anstieg um sechs Prozentpunkte. Bitkom-Präsident Wintergerst fordert weniger Bürokratie und mehr Pragmatismus: „Die aktuelle Komplexität bremst die Digitalisierung aus.““
Behörden zeigen Härte – Rekordstrafen
Während die Politik die Zukunft lockert, bleibt die Gegenwart streng. Der Bundesbeauftragte für den Datenschutz (BfDI) verzeichnete 2025 mit 11.824 Beschwerden einen Rekord – ein Plus von 36 Prozent. 80 Vor-Ort-Prüfungen und 129 formelle Aufsichtsmaßnahmen folgten.
Ein Mahnmal ist die 45-Millionen-Euro-Strafe gegen Vodafone. Der Grund: Systematische Mängel bei der Überwachung von Partneragenturen und unzureichende Authentifizierungsverfahren. Die Botschaft der Behörde: Unternehmen haften für ihre Dienstleister.
Weitere Fälle zeigen die europäische Dimension:
- Poste Italiane: 12,5 Millionen Euro Strafe im April 2026 wegen unerlaubtem Tracking in Banking-Apps.
- BVG (Berlin): Formelle Verwarnung am 4. Mai 2026. Nach einem Cyberangriff auf einen Dienstleister im April 2025 waren 180.000 Kundendaten länger als erlaubt gespeichert – Verstoß gegen Artikel 28 DSGVO.
- Meta: Tägliches Zwangsgeld von 100.000 Euro in den Niederlanden. Ein Gericht wertete das Feed-Design als „Dark Pattern“, weil Nutzer keine echte Wahl zwischen personalisierter und chronologischer Ansicht hatten.
Die irische Datenschutzkommission ermittelt zudem gegen Shein. Es geht um die Frage, ob die Übermittlung von EU-Kundendaten nach China den DSGVO-Standards entspricht.
Fälle wie der Verstoß gegen Artikel 28 DSGVO zeigen, wie wichtig eine lückenlose Dokumentation der Datenverarbeitung ist. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis rechtssicher und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis herunterladen
KI-Training und Datenschutz – ein ungelöster Konflikt
Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider warnte am 6. Mai 2026 vor dem Training von KI mit fremden Daten. Nach aktueller Rechtslage sei eine klare Rechtsgrundlage nötig – oft die ausdrückliche Einwilligung. Das „berechtigte Interesse“ sei für Massen-Datensammlung meist keine verlässliche Basis. Sie fordert eine breite europäische Bdrebatte darüber, welche Daten für die KI-Entwicklung genutzt werden dürfen.
Genau diese Frage blockiert die Trilog-Verhandlungen zum „Digital Omnibus“-Paket, das die EU-Kommission im November 2025 vorschlug. Die Kommission will KI-Training auf Basis „berechtigten Interesses“ ohne Einwilligung erlauben. Zudem sollen „abgeleitete“ sensible Daten – etwa über Gesundheit oder Orientierung, die durch KI-Profile entstehen – ihren besonderen Schutz verlieren. Die Verhandlungen stocken seit Ende April 2026.
Ausblick: Was kommt auf Unternehmen zu?
Die zweite Jahreshälfte 2026 wird zur Bewährungsprobe für Rechtsabteilungen:
- 27. Juli 2026: „Gatekeeper“ unter dem Digital Markets Act müssen Daten teilen. Google warnt, dass Artikel 6(11) zur Deanonymisierung von Nutzern führen könnte.
- 30. Juli 2026: Der Bundesgerichtshof verhandelt einen Grundsatzfall zur „Haushaltsausnahme“ in der DSGVO. Es geht um 7.500 Euro Schadenersatz, nachdem private Chat-Nachrichten weitergeleitet und als Kündigungsgrund verwendet wurden. Das Urteil klärt, ob das Weiterleiten privater Kommunikation einen Datenschutzverstoß darstellt.
Die Botschaft der Experten: Die verlängerten Fristen sind kein Grund zum Abwarten, sondern eine Chance, robuste Governance-Strukturen aufzubauen. Mit steigenden Schadenersatzklagen und einer verschärften Linie bei der Datenspeicherung bleibt das Risiko von Verstößen hoch – und teuer.
