EU einigt sich auf einfachere KI-Regeln: Verschiebung bei Hochrisiko-KI und neues Verbot von „Nudification“-Apps

 

Institution: Europäische Kommission / Rat der EU / Europäisches Parlament
Datum: 7. Mai 2026,  IP/26/1024, Quelle: Pressemitteilung der Europäischen Kommission „EU agrees to simplify AI rules to boost innovation and ban ‘nudification’ apps to protect citizens“

 

 

Die geplante Vereinfachung des AI Act soll Unternehmen mehr Zeit und klarere Vorgaben für Hochrisiko-KI-Systeme geben, verschärft aber zugleich den Schutz betroffener Personen durch ein ausdrückliches Verbot von KI-Systemen zur Erzeugung nicht einvernehmlicher sexueller oder intimer Inhalte.

 

Die Europäische Kommission begrüßt eine politische Einigung zwischen dem Europäischen Parlament und dem Rat der EU über Änderungen am AI Act.

 

Ziel ist es, die Umsetzung der europäischen KI-Regeln für Unternehmen zu vereinfachen, ohne den Schutz von Sicherheit, Grundrechten und Bürgerinnen und Bürgern abzusenken. Die Einigung ist Teil des sogenannten Digital Omnibus on AI, den die Kommission im November 2025 vorgeschlagen hatte.

 

Nach der Einigung sollen die Regeln für bestimmte Hochrisiko-KI-Systeme erst ab 2. Dezember 2027 gelten, insbesondere in Bereichen wie Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle.

 

Für Hochrisiko-KI-Systeme, die in Produkte wie Aufzüge oder Spielzeug integriert sind, ist ein späterer Anwendungsbeginn mit 2. August 2028 vorgesehen.

 

Der Rat bestätigt diese gestaffelten Anwendungszeitpunkte und bezeichnet die Einigung ausdrücklich als vorläufig; sie muss noch vom Rat und vom Europäischen Parlament gebilligt und anschließend formal angenommen werden. (Rat der Europäischen Union)

 

Besonders praxisrelevant ist das geplante Verbot von KI-Systemen, die nicht einvernehmliche sexuell explizite oder intime Inhalte oder Material über sexuellen Missbrauch von Kindern erzeugen, etwa sogenannte „Nudification“-Apps.

 

Zusätzlich sieht die Einigung nach Angaben des Rates auch Änderungen bei Transparenzpflichten, regulatorischen Sandboxes, der Zuständigkeit des AI Office sowie beim Zusammenspiel des AI Act mit sektoralen Produktsicherheitsvorschriften vor. (Rat der Europäischen Union)

 

Datenschutzrechtliche und praktische Einordnung

Aus datenschutzrechtlicher Sicht ist die Einigung vor allem deshalb relevant, weil zahlreiche Hochrisiko-KI-Systeme personenbezogene Daten verarbeiten. Dies betrifft etwa KI-Systeme in Bewerbungsverfahren, Bildungsumgebungen, biometrischen Anwendungen, Grenzkontrollsystemen oder sicherheitskritischen Infrastrukturen.

 

Verantwortliche müssen daher nicht nur den AI Act, sondern weiterhin die DSGVO beachten.

Zentral bleiben insbesondere die Grundsätze der Verarbeitung nach Art. 5 DSGVO, die Erforderlichkeit einer tragfähigen Rechtsgrundlage nach Art. 6 DSGVO und – bei biometrischen Daten oder anderen besonderen Kategorien personenbezogener Daten – die zusätzlichen Anforderungen des Art. 9 DSGVO. Werden KI-Systeme für Bewertungen, Prognosen oder Entscheidungen über Personen eingesetzt, sind zudem Transparenzpflichten nach Art. 13 DSGVO und Art. 14 DSGVO sowie die Vorgaben zu automatisierten Entscheidungen nach Art. 22 DSGVO zu prüfen.

 

Die Verschiebung der AI-Act-Pflichten bedeutet daher keine „Pause“ im Datenschutzrecht.

 

Auch wenn bestimmte Hochrisiko-Anforderungen später gelten sollen, müssen Verantwortliche schon jetzt datenschutzkonforme Prozesse sicherstellen.

 

Dazu gehören Datenschutz durch Technikgestaltung nach Art. 25 DSGVO, geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO und bei risikoreichen KI-Verarbeitungen regelmäßig eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, aber insbes. auch die Regelungen zur automatisierten Entscheidungsfindung nach Art 22 DSGVO.

 

Fazit

Die politische Einigung bringt zwei gegenläufige Signale:

 

Einerseits sollen Unternehmen durch längere Übergangsfristen, klarere Zuständigkeiten und weniger Doppelregulierung entlastet werden.

 

Andererseits verschärft die EU den Schutz vor besonders missbräuchlichen KI-Anwendungen, insbesondere vor nicht einvernehmlicher sexualisierter Bild- und Inhaltserzeugung.

 

Für Verantwortliche ist entscheidend:

Die spätere Anwendbarkeit einzelner AI-Act-Pflichten entbindet nicht von der sofortigen Einhaltung der DSGVO.

Wer KI-Systeme einsetzt oder entwickelt, sollte die zusätzliche Zeit für Governance, Dokumentation, Risikobewertungen, Transparenzinformationen und Datenschutz-Folgenabschätzungen nutzen.

Schlussfolgerung

Organisationen sollten ihre KI-Systeme jetzt inventarisieren und prüfen, ob sie in Hochrisiko-Bereiche fallen. Besonders wichtig ist eine enge Verzahnung von AI-Act-Compliance, Datenschutzmanagement und Informationssicherheit.

 

Für KI-Anwendungen mit personenbezogenen Daten sollte dokumentiert werden, welche Daten verarbeitet werden, auf welcher Rechtsgrundlage dies erfolgt, ob besondere Kategorien personenbezogener Daten betroffen sind und welche Risiken für Betroffene bestehen.

Wer KI in sensiblen Bereichen wie Personal, Bildung, Biometrie, Migration, kritischer Infrastruktur oder Produktsicherheit einsetzt, sollte die neuen Fristen nicht als Aufschub, sondern als Umsetzungsfenster verstehen.