Datenschutz News

EU AI Act 2026: Kompromiss bringt Aufschub – das müssen KMU jetzt wissen

| Schmidt thorsten

Am 7. Mai 2026 haben sich EU-Unterhändler und die Mitgliedstaaten auf einen weitreichenden Kompromiss zur Überarbeitung des EU AI Acts geeinigt. Das sogenannte „Digital Omnibus on AI“-Paket bringt vor allem für Industrieunternehmen und kleine und mittlere Unternehmen (KMU) spürbare Entlastung – führt aber gleichzeitig neue Pflichten ein, die jeder Geschäftsführer kennen sollte.

Was sich konkret ändert

Die zentrale Neuerung: Die strengen Anforderungen für sogenannte Hochrisiko-KI-Systeme treten nicht wie ursprünglich geplant im August 2026 in Kraft, sondern erst ab Dezember 2027. Für in Produkte eingebettete KI – etwa in Medizingeräten oder Fahrzeugen – verschiebt sich die Frist sogar auf August 2028.

Damit reagiert die EU auf die berechtigte Sorge vieler Unternehmen, dass eine Doppelregulierung durch AI Act und bestehende Sektorvorschriften (zum Beispiel die Maschinenverordnung) zu nicht handhabbarer Bürokratie geführt hätte. KI-Systeme in Industrieanlagen werden künftig nicht automatisch als „hohes Risiko“ eingestuft, wenn sie bereits unter andere Sicherheitsregeln fallen.

🛡️
IT-Security Software & Beratung

Professionelle Compliance-Tools und Beratung von TSMONDO: ISO 27001, NIS2, DSGVO, BCM — mandanten­fähig, auf deutschen Servern.

Alle Tools ansehen → ab 99 €/Monat

Was sich verschärft

Trotz Aufschub gibt es klare Verschärfungen. Ab dem 2. Dezember 2026 gelten folgende Pflichten:

  • Kennzeichnungspflicht für KI-generierte Inhalte: Texte, Bilder, Audio und Videos, die mithilfe von KI erstellt wurden, müssen als solche erkennbar sein.
  • Verbot von „Nudifier“-Apps: Anwendungen zur Erstellung nicht-einvernehmlicher Deepfakes werden komplett untersagt.
  • Transparenz bei Chatbots: Nutzer müssen klar erkennen können, dass sie mit einer KI kommunizieren.

Bei Verstößen drohen Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Damit liegen die Sanktionen deutlich über dem Niveau der DSGVO.

Warum KMU jetzt handeln sollten

Auch wenn die Hauptfristen verschoben wurden: KMU sollten die zusätzliche Zeit nicht als Pause verstehen, sondern als Vorbereitungsphase. Wer schon heute KI-Tools im Unternehmen einsetzt – etwa ChatGPT für Texte, automatisierte Bewerber-Vorauswahl oder KI-gestützte Bonitätsprüfungen – steht vor drei Aufgaben:

1. KI-Inventur durchführen

Erstellen Sie eine vollständige Übersicht aller eingesetzten KI-Systeme, einschließlich kostenloser Tools und Browser-Erweiterungen. Bewerten Sie für jedes System, in welche Risikoklasse es laut AI Act fällt.

2. Datenschutz-Folgenabschätzung aktualisieren

Der Europäische Datenschutzausschuss (EDPB) hat im März 2026 eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen veröffentlicht. Nutzen Sie diese, um Ihre Datenschutz-Dokumentation auf den aktuellen Stand zu bringen.

3. Mitarbeiter schulen

Die größte Schwachstelle bleibt der unkritische Umgang mit KI-Tools im Alltag. Mitarbeiterschulungen zu KI-Nutzung und Datenschutz sind ab 2026 faktisch Pflicht – die Datenschutzbeauftragten können hier wertvolle Unterstützung leisten.

DSGVO bleibt die Basis

Wichtig zu verstehen: Der AI Act ersetzt nicht die DSGVO – er ergänzt sie. Wer personenbezogene Daten in KI-Systeme eingibt, muss weiterhin Rechtsgrundlage, Zweckbindung und Betroffenenrechte beachten. Gerade Cloud-basierte KI-Dienste mit Sitz in den USA werfen nach wie vor schwierige Fragen zur Datenübermittlung auf.

Fazit: Aufschub nutzen, nicht aufschieben

Der Kompromiss vom Mai 2026 verschafft KMU wertvolle Zeit – aber nur denen, die sie aktiv nutzen. Wer jetzt eine saubere KI- und Datenschutz-Strategie aufbaut, vermeidet teure Nachbesserungen 2027 und schafft gleichzeitig Vertrauen bei Kunden und Geschäftspartnern.

Sie benötigen Unterstützung beim Datenschutz? Die Experten von Datenschutz Einfach helfen Ihnen gerne weiter. Kontaktieren Sie uns für eine unverbindliche Erstberatung.

📦 Passende Produkte & Lösungen

Weitere Beiträge zum Thema

7. April 2026 DSGVO-Bußgelder 2026: Warum Behörden jetzt auch KMUs ins Visier nehmen 30. Juni 2026 EU AI Act 2026: Was KMU bis zum 2. August beachten müssen 15. Juni 2026 DSGVO-Bußgeld gegen Deutsche Wohnen: Warum jedes Unternehmen ein Löschkonzept braucht

Compliance-Software für Ihr Unternehmen

DSGVO, ISO 27001, NIS2 — alles in einer Plattform.

Zum Shop →
Von TSMONDO

IT-Security Software & Beratung

NIS2, ISO 27001, DSGVO, BCM — mandanten­fähige SaaS-Tools und professionelle Beratung.

Software ansehen → Beratung anfragen
v1.2.0-20260415-1105

Build-Info

Versionv1.2.0-20260415-1105
Build2026-04-15 11:05:00 Europe/Berlin
Commit6960793