Europa verschiebt zentrale KI-Sicherheitsregeln um 16 Monate, während die USA einheitliche Datenschutzgesetze vorantreiben. Diese gegenläufigen Entwicklungen schaffen massive Unsicherheit für Unternehmen, besonders für den deutschen Mittelstand. Hohe Compliance-Kosten drohen, kleinere Firmen an den Rand der Wettbewerbsfähigkeit zu drängen.
Europa: KI-Gesetz verzögert sich, Industrie warnt vor Flickenteppich
Der Zeitplan für die Umsetzung des wegweisenden europäischen KI-Gesetzes (AI Act) wurde deutlich nach hinten korrigiert. Statt August 2026 treten die Anforderungen für Hochrisiko-KI-Systeme nun erst im Dezember 2027 in Kraft. Für einige Sektoren gilt sogar eine Übergangsfrist bis Dezember 2028. Diese Verzögerung von rund 16 Monaten betrifft auch die geplante Europäische KI-Aufsichtsbehörde.
Die neuen Anforderungen des EU AI Acts gelten bereits in Teilen seit August 2024 und stellen Unternehmen vor komplexe Dokumentationspflichten. Dieser kostenlose Umsetzungsleitfaden verschafft Ihrer Rechts- und IT-Abteilung jetzt den notwendigen Überblick über Fristen und Risikoklassen. EU AI Act in 5 Schritten verstehen
Besorgniserregend für die Industrie sind zudem die laufenden „Omnibus“-Verhandlungen zur Vereinfachung des Gesetzes. Der TÜV-Verband warnt vor einem möglichen „Sektorenaustritt“ für Industrieprodukte. Würden Kategorien wie Medizinprodukte, Maschinen oder Aufzugssteuerungen aus dem Geltungsbereich des KI-Gesetzes herausgenommen, entstünde ein regulatorisches Vakuum. „Wir brauchen einen einheitlichen europäischen Rahmen für rechtliche Sicherheit“, betont Dr. Joachim Bühler vom TÜV-Verband.
Die finanziellen Folgen wären gravierend. Analysten schätzen, dass eine Doppelregulierung kleinen und mittleren Unternehmen (KMU) bis zu 600.000 Euro anfängliche Compliance-Kosten aufbürden könnte. Jährliche Folgekosten könnten bei 150.000 Euro liegen. Für viele Betriebe gefährdet das 30 bis 40 Prozent ihrer erwarteten Gewinne. Das EU-Parlament drängt auf maximale Vereinfachung, um eine geschätzte jährliche Belastung von 1,2 Milliarden Euro zu mindern. Die EU-Kommission und mehrere Mitgliedstaaten sperren sich jedoch angeblich dagegen, industrielle KI aus der Kernregulierung zu streichen.
USA: Republikaner starten Vorstoß für einheitliches Datenschutzrecht
Parallel dazu starteten US-Gesetzgeber heute einen großen Vorstoß zur Harmonisierung des Datenschutzes. Der von Republikanern eingebrachte SECURE Data Act (HR 8413) zielt darauf ab, den Flickenteppich aus über 20 verschiedenen Landesgesetzen durch ein starkes Bundesrecht zu ersetzen.
Der Entwurf gilt speziell für Unternehmen, die Daten von mehr als 200.000 US-Verbrauchern verarbeiten oder mehr als 25 Prozent ihres Umsatzes mit dem Verkauf von Daten erzielen. Er gewährt Verbrauchern umfangreiche Rechte auf Auskunft, Berichtigung und Löschung. Besonders bemerkenswert: Die Daten von Teenagern unter 16 werden als sensibel eingestuft und benötigen eine ausdrückliche Einwilligung. Erste Ausschussabstimmungen werden für Mai 2026 erwartet.
Dieser Trend zur Konsolidierung spiegelt ein globales Bestreben nach digitaler Souveränität wider. Eine Studie im DACH-Raum zeigte Anfang des Jahres, dass 90 Prozent der Unternehmen Maßnahmen zur Stärkung ihrer digitalen Unabhängigkeit planen oder umsetzen. 69 Prozent setzen auf eine Datenhaltung innerhalb der EU, 66 Prozent priorisieren europäische Cloud-Angebote.
Kritische Infrastruktur: Unternehmen zögern, Förderung läuft aus
Während die Fristen für die NIS-2-Richtlinie und den Cyber Resilience Act (CRA) näher rücken, zeigt sich in Europa eine gefährliche Lücke zwischen Anforderungen und Unterstützung. In Deutschland hatten sich bis zum Stichtag am 6. März nur 38,5 Prozent der rund 30.000 betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert – trotz drohender Bußgelder von bis zu 10 Millionen Euro.
Verschärft wird die Lage durch ein drohendes Förderloch. Das deutsche IT-Sicherheitsprogramm „Digital. Sicher. Souverän.“ mit einem Volumen von 350 Millionen Euro läuft 2026 aus. Ein Nachfolgeprogramm könnte laut Forschungsministerium erst im ersten Quartal 2027 zur Kabinettsbefassung anstehen. Kritiker warnen, dass eine Förderpause angesichts der rasanten KI-Entwicklung und komplexer Cyber-Bedrohungen untragbar sei.
Angesichts neuer KI-Gesetze und rasant wachsender Cyberrisiken müssen Unternehmen ihre IT-Sicherheit jetzt proaktiv und ohne hohe Investitionen stärken. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer aktuell kennen müssen. Kostenlosen Cyber-Security-Report jetzt sichern
Neue Maßstäbe: Auch historische KI-Trainingsdaten im Fokus
Aufsichtsbehörden setzen zudem neue Maßstäbe für den Umgang mit historischen Daten. Die US-Handelsaufsicht FTC erzwang kürzlich in einem Vergleich mit dem Unternehmen Clarifai die Löschung von drei Millionen Fotos aus dem Jahr 2014. Die Bilder von OkCupid-Nutzern waren ohne deren Wissen zur Ausbildung von Gesichtserkennungsmodellen genutzt worden.
Diese Maßnahme etabliert einen rückwirkenden Standard: Unternehmen müssen historische Datensätze überprüfen, auch wenn sie vor geltenden Datenschutzregeln erworben wurden. Parallel dazu schlug die EU-Kommission heute neue Maßnahmen gegen Google im Rahmen des Digital Markets Act (DMA) vor. Der Konzern soll Ranking-, Such- und Klickdaten unter fairen Bedingungen mit Drittanbietern teilen.
Ausblick: Vom Planen zum Handeln
Das restliche Jahr 2026 wird von weiteren regulatorischen Meilensteinen geprägt. Im Mai treten europäische Behörden in eine heiße Phase der Umsetzung, etwa bei der Geldwäscherichtlinie (AMLR). Im September führt dann der Cyber Resilience Act die Meldepflicht für aktiv ausgenutzte Sicherheitslücken ein.
Die Ära der freiwilligen Compliance neigt sich dem Ende zu. Für globale Unternehmen verschiebt sich der Fokus nun von der langfristigen Planung hin zu sofortigen technischen Audits. Die Zeit des aktiven Vollzugs beginnt.
