Am 29. Juni 2026 erteilte der Rat der Europäischen Union dem Digital Omnibus zur KI die endgültige Zustimmung und verschob die Hochrisikopflichten des EU AI Acts vom 2. August 2026 auf den 2. Dezember 2027 für eigenständige Systeme und auf den 2. August 2028 für KI, die in regulierte Produkte eingebettet ist. Die Abstimmung erfolgte fünf Wochen vor der ursprünglichen Stichtagsgrenze, nach zwei gescheiterten Trilogen im April und Mai 2026, die Compliance-Teams mit einer Frist zurückließen, deren Bestand ungewiss war.
Der Aufschub bedeutet keinen Rückzug von der Durchsetzung. Im selben Zeitraum des Jahres 2026 verhängte die Europäische Kommission gegen Temu eine Geldbuße von 200 Millionen Euro nach dem Digital Services Act, bestätigte der irische High Court eine DSGVO-Geldbuße von 530 Millionen Euro gegen TikTok, und nationale Aufsichtsbehörden wechselten vom „Beobachtungsmodus" zu aktiven DORA-Prüfungen im Bank- und Versicherungssektor. Europas Regelwerk für KI, Daten und Plattformen wird gleichzeitig neu geschrieben und durchgesetzt, nach Zeitplänen, die selten miteinander übereinstimmen.
Für Verantwortliche der KI-Governance, Datenschutzbeauftragte und Digital-Compliance-Verantwortliche, die die EU, das Vereinigte Königreich und die Schweiz abdecken, ist genau diese Kombination, verschobene Fristen bei gleichzeitig aktiven Geldbußen, das tatsächliche Arbeitsumfeld für den Rest des Jahres 2026.
Gilt die Hochrisikofrist des EU AI Acts weiterhin ab dem 2. August 2026?
Nicht mehr, sobald der Digital Omnibus zur KI im Amtsblatt veröffentlicht wird, was für Juli 2026 erwartet wird, drei Tage danach tritt er in Kraft. Die Verordnung (EU) 2024/1689 legte ursprünglich den 2. August 2026 für Hochrisikosysteme nach Anhang III fest, die Anwendungsfälle in den Bereichen Personalauswahl, Kreditwürdigkeitsprüfung, biometrische Identifizierung, Bildung, Migration und Strafverfolgung umfassen, sowie den 2. August 2027 für produktintegrierte Systeme nach Anhang I. Das Europäische Parlament nahm den Text des Omnibus am 16. Juni 2026 mit 423 Stimmen dafür an, und die Zustimmung des Rates vom 29. Juni 2026 legte die neuen Termine auf den 2. Dezember 2027 beziehungsweise den 2. August 2028 fest.
Zwei Pflichten entwickeln sich in die entgegengesetzte Richtung. Die Übergangsfrist für die Kennzeichnung und Markierung von KI-generierten Inhalten nach Artikel 50 wurde von sechs auf drei Monate verkürzt, wodurch sich für bereits auf dem Markt befindliche Systeme eine neue Frist zum 2. Dezember 2026 ergibt, und der Omnibus fügt ein striktes Verbot der Erzeugung nicht einvernehmlicher sexueller oder intimer Inhalte sowie von durch KI erzeugtem Missbrauchsmaterial von Kindern hinzu, eine Bestimmung ohne jeden Aufschub. Solange der Text das Amtsblatt nicht durchlaufen hat, bleibt das ursprüngliche Datum vom 2. August 2026 rechtlich bindend, sodass Organisationen, die Systeme nach Anhang III einstufen, ihre Arbeit nicht einfach einstellen können.
Wie konsequent setzt die Europäische Kommission den Digital Services Act durch?
Konsequent genug, um innerhalb von sechs Monaten zwei neunstellige Geldbußen verhängt zu haben. Am 5. Dezember 2025 verhängte die Kommission gegen X eine Geldbuße von 120 Millionen Euro, ihre erste Entscheidung wegen Nichteinhaltung des DSA, wegen der irreführenden Gestaltung des blauen Verifizierungshäkchens, eines Werbearchivs, das die Offenlegungspflichten nach Artikel 39 verfehlte, und wegen Zugangshürden für Forschende, die gegen Artikel 40 Absatz 12 verstießen. X erhielt 60 Arbeitstage, um das Problem mit dem Häkchen zu beheben, und 90 Arbeitstage, um einen vollständigen Abhilfeplan vorzulegen, und legte im Februar 2026 Berufung beim Gericht der Europäischen Union ein, womit dies zum ersten gerichtlichen Test der DSA-Durchsetzung wurde.
Am 28. Mai 2026 verhängte die Kommission gegen Temu eine Geldbuße von 200 Millionen Euro, 0,38 % seines weltweiten Umsatzes von 53 Milliarden Euro, weil das Unternehmen keine angemessene Risikobewertung durchgeführt hatte, um illegale und gefährliche Produkte auf seinem Marktplatz zu erkennen. Temu hat bis zum 28. August 2026 Zeit, einen Plan für Abhilfemaßnahmen vorzulegen, und die umfassendere Untersuchung der Kommission zu den Empfehlungssystemen und der Inhaltsmoderation von Temu bleibt offen. Beide Fälle stützten sich auf die Pflichten zu systemischen Risiken nach Artikel 34 und 35, dieselben Bestimmungen, die jede sehr große Online-Plattform und Suchmaschine unter fortlaufender Beobachtung der Kommission halten, ein Bereich, in dem die plattformspezifische regulatorische Überwachung eine neue Untersuchung an dem Tag erfasst, an dem sie eröffnet wird, und nicht erst, wenn sie Schlagzeilen macht.
Welche Aufsichtsbehörde entscheidet tatsächlich über einen DSGVO-Fall, wenn Daten Grenzen überschreiten?
Nach dem Mechanismus der einzigen Anlaufstelle ist es die Datenschutzbehörde am Ort der Hauptniederlassung des Unternehmens in der EU, was für die meisten globalen Plattformen Irland bedeutet. Die Entscheidung der irischen Datenschutzbehörde vom 2. Mai 2025 verhängte gegen TikTok eine Geldbuße von 530 Millionen Euro, davon 45 Millionen wegen unzureichender Information der Nutzer nach Artikel 13 Absatz 1 Buchstabe f und 485 Millionen wegen unrechtmäßiger Übermittlung von EWR-Nutzerdaten nach China gemäß Artikel 46 Absatz 1, nachdem festgestellt wurde, dass TikTok nicht nachweisen konnte, dass seine Standardvertragsklauseln den EWR-Daten ein Schutzniveau garantierten, das dem der DSGVO im Wesentlichen gleichwertig ist. Am 3. Juni 2026 bestätigte der irische High Court sowohl die Feststellung der Haftung als auch die Höhe der Geldbuße, verwies jedoch die Anordnung zur Aussetzung künftiger Übermittlungen zur erneuten Prüfung an die Aufsichtsbehörde zurück, sodass TikTok weiterhin europäische Daten nach China übermitteln kann, solange dieser spezifische Punkt neu geprüft wird.
Die kumulierten Geldbußen der irischen DPC belaufen sich seit 2018 nunmehr auf 4,04 Milliarden Euro, angeführt weiterhin von der Meta-Entscheidung über 1,2 Milliarden Euro aus dem Jahr 2023. Über alle Aufsichtsbehörden der EU hinweg beziffert die Erhebung von DLA Piper vom Januar 2026 die Durchsetzung im Jahr 2025 auf rund 1,2 Milliarden Euro, was dem Niveau von 2024 entspricht und den unionsweiten Gesamtbetrag seit dem Inkrafttreten der DSGVO 2018 auf 7,1 Milliarden Euro treibt. Für Compliance-Verantwortliche lautet die praktische Lehre, dass die Wahl der federführenden Behörde keine administrative Formsache ist, sie bestimmt, welche Durchsetzungshaltung, welcher Zeitplan und welche Bereitschaft zu grenzüberschreitenden Geldbußen den jeweiligen Fall tatsächlich bestimmen.
Wird die DSGVO gemeinsam mit dem AI Act neu gefasst?
Ja, im Rahmen desselben Digital-Omnibus-Pakets, das die Kommission am 19. November 2025 als COM(2025) 837 vorgeschlagen hat. Der Vorschlag würde personenbezogene Daten so neu definieren, dass pseudonymisierte Daten für eine Stelle, die nicht über die Mittel zur Wiederidentifizierung der betroffenen Person verfügt, nicht als personenbezogen gelten, es Unternehmen erlauben, sich für das Training oder den Betrieb von KI-Modellen unter bestimmten Schutzvorkehrungen auf die Rechtsgrundlage des berechtigten Interesses der DSGVO zu stützen, die Regeln zur Cookie-Einwilligung aus der ePrivacy-Richtlinie in die DSGVO überführen, wobei eine Einwilligung per einmaligem Klick sechs Monate gültig wäre, und eine einzige Meldestelle für Datenschutzverletzungen und Cybersicherheitsvorfälle schaffen.
Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte veröffentlichten im Februar 2026 eine gemeinsame Stellungnahme, in der sie die Bausteine zur administrativen Vereinfachung unterstützten, gleichzeitig jedoch die Mitgesetzgeber ausdrücklich aufforderten, die Neudefinition personenbezogener Daten nicht anzunehmen, und warnten, dass dies das Grundrecht auf Datenschutz stärker einschränken würde, als es eine technische Änderung sollte. Mitte 2026 befindet sich das Dossier weiterhin im ordentlichen Gesetzgebungsverfahren, wobei die Ausschüsse für Industrie sowie für bürgerliche Freiheiten im Parlament gemeinsam zuständig sind, was bedeutet, dass der DSGVO-Text, den ein Unternehmen heute einhält, möglicherweise nicht mehr derjenige ist, der gilt, wenn ein derzeit in der Entwicklung befindliches KI-Trainingsprogramm live geht.
Was fügen der Digital Markets Act, der Data Act und DORA zum AI Act und zur DSGVO hinzu?
Der Digital Markets Act verfügt über eine eigene Durchsetzungsschiene gegen dieselben Torwächter. Am 22. April 2025 verhängte die Kommission gegen Apple eine Geldbuße von 500 Millionen Euro wegen Anti-Steering-Verstößen nach Artikel 5 Absatz 4 und gegen Meta eine Geldbuße von 200 Millionen Euro wegen ihres „Pay-or-Consent"-Werbemodells nach Artikel 5 Absatz 2, die ersten Geldbußen wegen Nichteinhaltung des DMA. Die erste dreijährliche Überprüfung der Kommission, vorgelegt am 3. Mai 2026 als COM(2026) 178, kam zu dem Ergebnis, dass die Regelung zweckmäßig ist und keine Gesetzesänderung erforderlich sei, während die im Januar 2026 eingeleiteten Spezifizierungsverfahren gegen Google Play und die Google-Suche weiterhin laufen.
Der Data Act wurde am 12. September 2025 anwendbar und gibt Nutzern vernetzter Produkte und Dienste das Recht, auf die von diesen Produkten erzeugten Daten zuzugreifen und diese, soweit möglich, in Echtzeit mit Dritten zu teilen. Gestaltungspflichten, nach denen vernetzte Produkte Daten standardmäßig zugänglich machen müssen, treten am 12. September 2026 in Kraft, und faire, angemessene und nichtdiskriminierende Vertragsbedingungen gelten für alle nach September 2025 geschlossenen B2B-Datenweitergabevereinbarungen, wobei sich dies auf bestimmte langfristige Altverträge ab September 2027 erstreckt. Sind personenbezogene Daten betroffen, orientieren sich die Sanktionen des Data Act an den Höhen der DSGVO, bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes.
Speziell für Finanzunternehmen endete die Übergangsfrist von DORA mit dem Jahr 2025. Seit dem ersten Quartal 2026 sind die EZB, die BaFin, die AMF, die CSSF und andere zuständige nationale Behörden von Bereitschaftsprüfungen zu formellen aufsichtlichen Bewertungen des IKT-Risikomanagements, der Verträge mit Drittanbietern und der Vorfallmeldung übergegangen, unterstützt durch Geldbußen von bis zu 2 % des weltweiten Umsatzes für Institute und bis zu 1 Million Euro persönlich für Mitglieder der Geschäftsleitung, die auf IKT-Risikoberichte nicht reagieren.
| Instrument | Status (Juli 2026) | Wichtiges zu verfolgendes Datum |
|---|---|---|
| AI Act, Anhang III Hochrisiko | Omnibus angenommen, Veröffentlichung im Amtsblatt ausstehend | 2. Dezember 2027 (zuvor 2. August 2026) |
| AI Act, Transparenz nach Artikel 50 | Übergangsfrist durch Omnibus verkürzt | 2. Dezember 2026 |
| Durchsetzung systemischer Risiken des DSA | Aktiv, zwei Geldbußen verhängt, eine in Berufung | 28. August 2026 (Abhilfeplan von Temu) |
| DSGVO (TikTok-Übermittlungsfall) | Haftung und Geldbuße bestätigt, Abhilfemaßnahme neu geprüft | Erneute Prüfung durch die irische DPC ausstehend |
| DSGVO-Reform (Digital Omnibus) | Im ordentlichen Gesetzgebungsverfahren | Kein Annahmetermin festgelegt |
| Torwächterpflichten des DMA | Zwei Geldbußen verhängt, Überprüfung abgeschlossen, keine Änderungen | Google-Spezifizierungsverfahren laufen |
| Gestaltungspflichten des Data Act | Kernvorschriften seit September 2025 anwendbar | 12. September 2026 |
| Aufsichtliche Durchsetzung von DORA | Übergangsfrist beendet, aktive Bewertungen | Laufend, je zuständiger nationaler Behörde |
Acht Regelwerke, acht Zeitpläne, und mindestens drei davon haben sich allein im ersten Halbjahr 2026 wesentlich geändert. Eine Compliance-Funktion, die dies per Tabellenkalkulation verfolgt, ist nur eine übersehene Pressemitteilung des Rates davon entfernt, ein Programm auf eine Frist auszurichten, die nicht mehr gilt, genau die Lücke, die der KI-Begleiter von Obsidian schließen soll: kein Ersatz für juristisches Urteilsvermögen, sondern ein verifizierter regulatorischer Begleiter, der den Moment meldet, in dem ein delegierter Rechtsakt die Prüfung besteht oder eine Geldbuße rechtskräftig wird.
Was sollte ein Compliance-Team als Nächstes tun?
Beginnen Sie damit, den bindenden Text des AI Acts von seinen anstehenden Änderungen zu trennen: Setzen Sie die Einstufungsarbeiten nach Anhang III unter der Annahme fort, dass der 2. August 2026 weiterhin gelten könnte, und verfolgen Sie zugleich den Fortschritt des Omnibus bis zur Veröffentlichung im Amtsblatt, damit das neue Datum vom 2. Dezember 2027 bestätigt und nicht nur unterstellt wird. Behandeln Sie parallel dazu die Durchsetzung von DSA und DMA als Beleg dafür, was Aufsichtsbehörden tatsächlich priorisieren, Bewertungen systemischer Risiken und Beschränkungen des Anti-Steering, anstatt sich allein auf den Wortlaut der Verordnungen zu verlassen.
Für Teams, die ihr DSGVO-Risiko über mehrere EU-Niederlassungen hinweg verwalten, sollten Sie klären, welche Aufsichtsbehörde für jede Verarbeitungstätigkeit die Federführung innehat, und die Verhandlungen zum Digital Omnibus im Hinblick auf Änderungen der Definition personenbezogener Daten verfolgen, die bereits laufende KI-Trainingsprogramme betreffen könnten. Das MCP für KI-Assistenten von Obsidian ermöglicht es, diese Verfolgung direkt in den Tools laufen zu lassen, die Compliance-Teams bereits nutzen, und die aktuellen Tarife zeigen, wie eine Überwachung nach Rechtsraum mit einem Regelwerk Schritt hält, das sich im ersten Halbjahr 2026 dreimal geändert hat.