EU AI Act: Digital Omnibus verschiebt Fristen und verschärft Transparenzregeln

Die EU einigt sich auf einen Kompromiss: Mehr Zeit für Hochrisiko-KI, härtere Strafen für Verstöße gegen Transparenzpflichten.

Digital Omnibus: Neue Fristen für Hochrisiko-Systeme

Der am 7. Mai 2026 erzielte Konsens zwischen Europäischem Rat und Europäischem Parlament bringt Unternehmen, die Hochrisiko-KI entwickeln, eine spürbare Entlastung. Die Compliance-Frist für KI-Systeme nach Anhang III – darunter Anwendungen in den Bereichen Beschäftigung, Bildung und Strafverfolgung – wurde auf den 2. Dezember 2027 verschoben. Noch mehr Zeit haben Hersteller von KI, die in regulierte Produkte wie Medizinprodukte oder Fahrzeugkomponenten integriert ist: Sie müssen die Vorgaben erst ab dem 2. August 2028 erfüllen.

Anzeige

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act in 5 Schritten verstehen

Doch die Verlängerung hat ihren Preis. Die EU hat den Katalog verbotener Praktiken erweitert. Neu untersagt ist die Erzeugung von nicht-einvernehmlichen intimen Bildern sowie von Material sexuellen Kindesmissbrauchs durch KI. Diese Verbote reihen sich ein in bereits seit Februar 2025 geltende Beschränkungen wie Social Scoring, manipulative KI-Techniken und die Echtzeit-Gesichtserkennung im öffentlichen Raum.

Ab dem 2. August 2026 gelten für neue Hochrisiko-Systeme umfassende Pflichten: Risikomanagement, Datenqualität, technische Dokumentation sowie menschliche Aufsicht und Protokollierung. In Deutschland ist die Bundesnetzagentur als zuständige Aufsichtsbehörde benannt.

Generative KI: Transparenz ab August 2026

Während die Fristen für Hochrisiko-KI nach hinten rutschen, bleiben die Transparenzregeln für generative KI ehrgeizig. Ab dem 2. August 2026 müssen alle neuen KI-Systeme, die Texte, Audio oder Video erzeugen, mit Wasserzeichen versehen werden. Für bereits auf dem Markt befindliche Systeme gilt der 2. Dezember 2026 als Stichtag.

Die EU-Kommission hat am 8. Mai 2026 einen Konsultationsprozess zu den Leitlinien für Transparenz und Kennzeichnung gestartet. Unternehmen und Verbände können bis zum 3. Juni 2026 Stellung nehmen. Empfohlen werden technische Standards wie C2PA für Multimedia-Inhalte und statistisches Watermarking für Textausgaben.

Die Bußgelder für Verstöße sind happig: Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes drohen bei Verstößen gegen die Offenlegungspflichten. Bei verbotenen KI-Praktiken steigt die Obergrenze auf 35 Millionen Euro oder 7 Prozent des Umsatzes.\

Rekordstrafen und KI-Kriminalität: Der globale Durchgriff

Die Regulierungsbehörden werden nicht nur gesetzgeberisch aktiv, sondern auch bei der Durchsetzung bestehender Regeln. Im Mai 2026 verhängte die EU eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V. , den Betreiber des Fahrdienstes Yango, wegen unerlaubter Datentransfers nach Russland. Weitere spektakuläre Fälle: Die französische Datenschutzbehörde CNIL belegte Iliad SA mit 42 Millionen Euro nach einem Cyberangriff auf 24 Millionen Kunden. In Italien kassierte die Intesa Sanpaolo eine Strafe von umgerechnet rund 53 Millionen Euro.

In den USA verhängten die Aufsichtsbehörden im ersten Quartal 2026 Strafen in Höhe von rund 270 Millionen US-Dollar (etwa 250 Millionen Euro). Besonders prominent: Die Investmentbank Canaccord Genuity musste 80 Millionen US-Dollar an SEC, FINRA und FinCEN zahlen. US-Behörden haben zudem ein verstärktes Augenmerk auf „AI Washing“ – Unternehmen, die angeblich die Fähigkeiten ihrer KI-Systeme übertreiben.

Die Entwicklung spielt sich vor dem Hintergrund einer drastischen Zunahme KI-gestützter Cyberkriminalität ab. Laut aktuellen Berichten waren 81 Prozent der deutschen Unternehmen im vergangenen Jahr von Cyberangriffen betroffen. Das Bundeskriminalamt (BKA) registrierte für 2025 333.922 Fälle von Cyberkriminalität mit einem Gesamtschaden von 202,4 Milliarden Euro. Allein im ersten Quartal 2026 stiegen die Fälle von Quishing (QR-Code-Phishing) um 150 Prozent auf 18 Millionen Vorfälle. Branchenbeobachter stellen fest: 86 Prozent aller Phishing-Versuche sind inzwischen KI-gestützt und damit für herkömmliche Sicherheitssysteme und Mitarbeiter deutlich schwerer zu erkennen.

Anzeige

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Analyse: Die Verschiebung hin zur operativen Verantwortung

Die Anpassungen der KI-Verordnung zeigen: Die EU versucht, Innovation und Kontrolle unter einen Hut zu bringen. Die verlängerten Fristen für Hochrisiko-Systeme nach Anhang III tragen der technischen Komplexität und den Ressourcenanforderungen Rechnung – insbesondere für kleine und mittlere Unternehmen. Die strikte Beibehaltung der Transparenztermine für generative KI hingegen signalisiert: Bei Deepfakes und automatisierter Desinformation duldet Brüssel keinen Aufschub.

Aktuelle Gerichtsurteile verschieben zudem die Haftungsgrenzen. Das Landgericht Berlin II entschied, dass Banken grundsätzlich für Schäden aus Phishing-Angriffen haften – es sei denn, der Kunde handelt grob fahrlässig. Dies reiht sich ein in die Produkthaftungsrichtlinie von 2024, die KI-Software als „Produkt“ einstuft und damit Geschädigten den Weg zu Schadensersatz erleichtert.

Für Unternehmen wird die regulatorische Landschaft zunehmend unübersichtlich. Während die EU auf einen zentralen KI-Rahmen zusteuert, setzen die USA weiter auf einen föderalen Ansatz. Allein 2025 verabschiedeten acht US-Bundesstaaten neue Datenschutzgesetze – mit teils erheblichen Unterschieden: Maryland verbot etwa Geofencing um Gesundheitseinrichtungen, Minnesota führte eine Pflicht zur Datenbestandsaufnahme ein.

Ausblick: Vorbereitung auf die Compliance-Welle 2026

Mit dem nahenden Stichtag 2. August 2026 empfehlen Experten einen gestaffelten Ansatz. Unternehmen sollten bis Juni 2026 ein vollständiges Inventar ihrer KI-Systeme erstellen, gefolgt von einer formalen Klassifizierung und Risikobewertung im Juli. Die KI-Kompetenzpflicht (Artikel 4) bleibt ein Kernbestandteil des Gesetzes – Schulungen und Dokumentation sind daher über die Sommermonate hinweg kritisch.

Die EU-Kommission und die Mitgliedstaaten werden voraussichtlich nach Abschluss der laufenden Konsultationen im Juni weitere Leitlinien zu KI-Kompetenz und technischen Standards veröffentlichen. Gerüchte über ein mögliches EU-weites VPN-Verbot wurden von EU-Kommissarin Virkkunen am 17. Mai 2026 dementiert. Der Fokus liege stattdessen auf der Verhinderung von Umgehungen der Altersverifikation und Kennzeichnungsregeln. Für die Wirtschaft bedeutet der Rest des Jahres 2026 vor allem eines: den Übergang von der Politikentwicklung zur rigorosen Umsetzung technischer Sicherungsmaßnahmen und Transparenzprotokolle.

Hinweis:
Teile dieses Artikels wurden mithilfe Künstlicher Intelligenz erstellt und vor Veröffentlichung redaktionell geprüft. Die auf Börse Express bereitgestellten Informationen stellen keine Anlage- oder Finanzberatung dar und sind nicht als solche gedacht. Die Informationen dienen ausschließlich Informationszwecken. Für individuelle Finanzberatung wenden Sie sich an einen qualifizierten Finanzberater. Börse Express schließt jegliche Regressansprüche aus.