Während die EU den AI Act entschärft, verschärfen die Aufsichtsbehörden gleichzeitig die Transparenzpflichten für Unternehmen. Ein Balanceakt zwischen Innovation und Kontrolle.
Neue Fristen für Künstliche Intelligenz
Nach monatelangen Verhandlungen einigten sich Europäisches Parlament und Rat am 7. Mai 2026 auf eine Vereinfachung des AI Acts. Der sogenannte „AI Omnibus“-Deal ist eine direkte Reaktion auf den Druck großer europäischer Industriekonzerne, die das ursprüngliche Regelwerk als zu starr für die schnelllebige Technologiebranche kritisierten.
Angesichts der komplexen neuen Fristen und Verbote im Bereich der Künstlichen Intelligenz benötigen IT- und Rechtsabteilungen jetzt einen klaren Fahrplan. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den nötigen Überblick über Risikoklassen und Übergangsfristen des EU AI Acts. EU AI Act in 5 Schritten verstehen
Die wichtigste Änderung: Hochrisiko-KI-Systeme erhalten mehr Zeit. Eigenständige Hochrisiko-Anwendungen müssen erst bis zum 2. Dezember 2027 die vollen Auflagen erfüllen. KI, die als Sicherheitskomponente in Produkten eingesetzt wird, hat sogar bis zum 2. August 2028 Zeit.
Doch der Deal bringt auch harte Verbote. Ab dem 2. Dezember 2026 sind KI-Anwendungen zur Erstellung nicht-einvernehmlicher intimer Bilder – sogenannte „Nudifier“-Apps – sowie Systeme zur Generierung von Kindesmissbrauchsmaterial strikt untersagt. Zudem wird ab Ende 2026 ein verpflichtendes Wasserzeichen für KI-generierte Inhalte eingeführt.
Kritik kommt vom Branchenverband CCIA Europe: Die Registrierungspflicht für nicht-risikobehaftete KI-Systeme bleibe bestehen. Immerhin sollen Ausnahmen für kleine und mittlere Unternehmen die finanzielle Last abfedern.
Rekordstrafen und Transparenz-Prüfungen
Die Behörden machen ernst. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verzeichnete 2025 einen sprunghaften Anstieg der Aktivitäten. 11.824 Anfragen und Beschwerden gingen ein – ein Plus von 36 Prozent im Vergleich zum Vorjahr.
Besonders spektakulär: Eine 45 Millionen Euro schwere Geldstrafe gegen Vodafone, vor allem wegen mangelhafter Kontrolle von Partnerunternehmen. BfDI-Chefin Louisa Specht-Riemenschneider warnte zudem, dass das Training von KI-Modellen mit Daten Dritter ohne ausdrückliche Einwilligung ein schweres GDPR-Risiko darstelle. Eine einfache Interessenabwägung reiche dafür meist nicht aus.
Auch die regionalen Aufsichtsbehörden greifen durch. Anfang Mai 2026 erteilte der Berliner Datenschutzbeauftragte den Berliner Verkehrsbetrieben (BVG) eine formelle Verwarnung. Grund: Eine Datenschutzpanne bei einem Dienstleister im April 2025 hatte zur Offenlegung von 180.000 Kundendatensätzen geführt. Das Unternehmen versäumte zudem die vorgeschriebene 72-Stunden-Meldefrist und meldete den Vorfall erst am 30. April – obwohl es bereits am 17. April davon wusste.
Österreich: Soziales Netz erst ab 14
In Österreich steht ein Gesetzesentwurf zum Schutz Minderjähriger im digitalen Raum kurz vor der Verabschiedung. Geplant ist ein Mindestalter von 14 Jahren für die eigenständige Nutzung sozialer Medien. Die Umsetzung wird für Juni 2026 erwartet.
Damit reiht sich Österreich in einen europäischen Trend ein. Spanien prüft derzeit eine Anhebung des digitalen Einwilligungsalters von 14 auf 16 Jahre. Norwegen plant sogar ein komplettes Verbot sozialer Plattformen für unter 16-Jährige.
Britische Kehrtwende bei Cookies
Das britische Information Commissioner’s Office (ICO) veröffentlichte am 29. April 2026 aktualisierte Richtlinien zu Cookies und Tracking-Technologien. Die neuen Regeln, die auf dem Data (Use and Access) Act 2025 basaren, führen spezifische Ausnahmen für „statistische Zwecke“ und „Anpassungen des Erscheinungsbilds“ ein – etwa die Anpassung von Inhalten an Bildschirmgrößen.
Allerdings bleibt es hart: Tracking-Pixel für Affiliate-Marketing benötigen weiterhin die ausdrückliche Zustimmung der Nutzer. Zudem müssen britische Organisationen bis zum 19. Juni 2026 ein formelles Beschwerdeverfahren für Datenschutzfragen einführen. Jede Beschwerde muss innerhalb von 30 Tagen bestätigt und umgehend untersucht werden.
Industrie warnt vor Regulierungs-Overload
Trotz der jüngsten Vereinfachungen wächst der Unmut in der europäischen Wirtschaft. Am 5. Mai 2026 richteten sieben große Konzerne – darunter Airbus, SAP, Siemens und ASML – einen dringenden Appell an die Europäische Kommission. Ihr Vorwurf: Die Regulierungsflut ersticke die Innovation.
Eine Studie untermauert die Kritik: Rund 39 Prozent der Arbeitszeit von IT-Teams fließen inzwischen in Compliance-Aufgaben. Branchenbeobachter schätzen, dass etwa 82 Prozent der IT-Führungskräfte an der Fähigkeit ihres Unternehmens zweifeln, die sich überschneidenden Anforderungen von AI Act, GDPR und dem kommenden Cyber Resilience Act vollständig zu erfüllen.
Da Aufsichtsbehörden die Transparenzpflichten verschärfen und Rekordstrafen verhängen, rücken formale Dokumentationspflichten wieder verstärkt in den Fokus der Prüfer. Eine kostenlose Excel-Vorlage hilft Unternehmen dabei, ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. DSGVO-Dokumentationspflicht rechtssicher erfüllen
Die Komplexität steigt weiter: Der Europäische Datenschutzausschuss (EDPB) genehmigte am 15. April 2026 die Version 82 des Europrivacy-Zertifizierungskriterienkatalogs. Erstmals steht das europäische Datenschutzsiegel nun auch Unternehmen außerhalb des Europäischen Wirtschaftsraums offen – sofern sie der GDPR unterliegen. Die Zertifizierung erfordert eine rigorose Prüfung möglicher Konflikte mit Drittstaatsgesetzen.
Ausblick: Das Jahr der Deadlines
Der Rest des Jahres 2026 und der Beginn 2027 werden von einer Reihe kritischer Fristen bestimmt. In den USA signalisieren die Einführung des GUARD Financial Data Act und des SECURE Data Act Ende April 2026 eine mögliche bundesweite Datenschutzregelung, die den aktuellen Flickenteppich aus Einzelstaatsgesetzen ersetzen könnte.
In Europa liegt der Fokus auf der schrittweisen Einführung des AI Acts und der Umsetzung des Cyber Resilience Act, dessen Meldepflichten im September 2026 beginnen.
Für Unternehmen in Österreich und der gesamten EU lautet die Botschaft der Aufsichtsbehörden: Transparenz darf kein Kleingedrucktes mehr sein. Mit der koordinierten Aktion des EDPB zu den Artikeln 12 bis 14 müssen Unternehmen sicherstellen, dass ihre Informationspflichten nicht nur vorhanden, sondern auch leicht zugänglich und verständlich sind.
Die Verschmelzung von Cybersicherheit, KI-Ethik und Datentransparenz wird die Kosten und den Charakter des digitalen Geschäfts neu definieren. Wer automatisiert arbeitet – etwa mit Plattformen zur Verwaltung von Betroffenenanfragen – könnte im Wettlauf um die Einhaltung der Vorschriften die Nase vorn haben.
