KI-Regeln werden konkreter: EU AI Act und Datenschutz – Warum Unternehmen ihre KI-Governance jetzt prüfen sollten
Die Regulierung von Künstlicher Intelligenz nimmt für Unternehmen weiter Gestalt an. Mit dem EU AI Act rücken wichtige Umsetzungstermine näher, gleichzeitig arbeitet die EU an einer Vereinheitlichung der Datenschutz-Folgenabschätzung. Für IT-Entscheider bedeutet das: Wer KI-Systeme einsetzt, entwickelt oder in bestehende Prozesse integriert, sollte seine Governance-, Datenschutz- und Dokumentationsprozesse jetzt kritisch überprüfen.
Mehrheit der AI-Act-Regeln greift ab August 2026
Der EU AI Act gilt stufenweise. Erste Vorgaben, darunter allgemeine Bestimmungen, KI-Kompetenzanforderungen und Verbote bestimmter KI-Praktiken, gelten bereits seit dem 2. Februar 2025. Seit dem 2. August 2025 greifen zudem Regeln für General-Purpose-AI-Modelle sowie Governance-Vorgaben. Der nächste zentrale Stichtag ist der 2. August 2026: Dann kommen die meisten Regelungen zur Anwendung, darunter Vorgaben für Hochrisiko-KI-Systeme nach Anhang III, Transparenzpflichten und nationale bzw. europäische Durchsetzungsmechanismen. Der vollständige Roll-out ist laut EU AI Act Service Desk bis zum 2. August 2027 vorgesehen.
Für Unternehmen ist damit nicht nur entscheidend, ob sie KI einsetzen. Entscheidend ist, welche Rolle sie im Sinne des AI Act einnehmen: Anbieter, Betreiber, Importeur, Händler oder Nutzer eines KI-Systems. Daraus ergeben sich unterschiedliche Pflichten – von Transparenz und Dokumentation bis hin zu Risikomanagement und technischer Kontrolle.
Neues DPIA-Template soll Datenschutzprüfungen vereinheitlichen
Parallel dazu hat der Europäische Datenschutzausschuss ein neues Template für Datenschutz-Folgenabschätzungen veröffentlicht. Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Das kann bei KI-Anwendungen besonders relevant werden, etwa wenn personenbezogene Daten in automatisierten Entscheidungsprozessen, Analysemodellen oder sensiblen Geschäftsanwendungen verarbeitet werden.
Das neue EDPB-Template ist aktuell nicht verpflichtend. Es soll Organisationen aber dabei helfen, ihre Prüfungen strukturierter, einheitlicher und nachvollziehbarer zu dokumentieren. Bis zum 9. Juni 2026 läuft dazu eine öffentliche Konsultation. Nach Abschluss der Konsultation sollen die Datenschutzbehörden Schritte einleiten, um das Template entweder als eigenen Standard oder als Meta-Template zu übernehmen, an dem sich nationale Vorlagen ausrichten.
Digital Omnibus bleibt ein Vorschlag
Zusätzlich diskutiert die EU über das sogenannte Digital-Omnibus-Paket. Die EU-Kommission hat dazu am 19. November 2025 Vorschläge veröffentlicht, die unter anderem den AI Act und weitere digitale Regelwerke vereinfachen sollen. Ziel ist eine reibungslosere, verhältnismäßige Umsetzung bestimmter AI-Act-Vorgaben.
Ein weiterer Teil der Debatte betrifft mögliche Änderungen an der DSGVO. Nach dem Überblick des Europäischen Parlaments sieht der Vorschlag unter anderem vor, dass Unternehmen personenbezogene Daten unter bestimmten Bedingungen auf Basis berechtigter Interessen für das Training oder den Betrieb von KI-Systemen und Modellen nutzen könnten. Diese Änderung ist jedoch noch nicht beschlossen. Unternehmen sollten daraus deshalb keine unmittelbare Rechtssicherheit ableiten.
Hohe Risiken bei fehlender Dokumentation
Der AI Act sieht empfindliche Sanktionen vor. Bei Verstößen gegen verbotene KI-Praktiken können Bußgelder von bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Für andere Verstöße gelten weitere Bußgeldstufen.
Für IT-Entscheider wird damit vor allem die Nachweisbarkeit zum zentralen Thema. Unternehmen müssen nicht nur KI-Systeme identifizieren, sondern auch dokumentieren können, welche Daten verarbeitet werden, welche Risiken bestehen, welche Schutzmaßnahmen greifen und wer intern Verantwortung trägt.
Was Unternehmen jetzt tun sollten
Der wichtigste erste Schritt ist eine saubere Bestandsaufnahme: Welche KI-Systeme sind bereits im Einsatz? Wo werden personenbezogene Daten verarbeitet? Welche Anwendungen könnten als Hochrisiko-KI gelten? Und gibt es für kritische Verarbeitungen bereits belastbare Datenschutz-Folgenabschätzungen?
Darauf aufbauend sollten Unternehmen ihre KI-Governance überprüfen. Dazu gehören klare Zuständigkeiten, dokumentierte Prüfprozesse, ein technisches und rechtliches Risikomanagement sowie Vorgaben für Fachabteilungen, die KI-Tools eigenständig einsetzen. Gerade im B2B-Umfeld wird KI-Compliance damit zu einer Aufgabe, die IT, Datenschutz, Informationssicherheit, Legal und Management gemeinsam lösen müssen.
Fazit: KI-Compliance wird zur Führungsaufgabe
Die neuen Entwicklungen zeigen: KI-Regulierung ist kein Zukunftsthema mehr. Der AI Act, das EDPB-Template für Datenschutz-Folgenabschätzungen und die laufenden Digital-Omnibus-Debatten erhöhen den Druck auf Unternehmen, ihre KI-Nutzung transparent und kontrollierbar zu machen.
Wer jetzt strukturiert vorgeht, reduziert nicht nur regulatorische Risiken. Unternehmen schaffen damit auch die Grundlage, KI sicherer, skalierbarer und vertrauenswürdiger einzusetzen. Für IT-Entscheider wird 2026 deshalb zum Jahr, in dem KI-Governance vom Projektstatus in den operativen Alltag übergehen muss.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.