Die Europäische Union hat sich am 7. Mai 2026 vorläufig auf einen Umbau ihrer KI-Regeln geeinigt, der zwei sehr unterschiedliche Signale gleichzeitig sendet. Einerseits sollen Teile der Pflichten für Hochrisiko-KI später greifen, damit Unternehmen mehr Zeit für die Umsetzung bekommen. Andererseits zieht die EU bei sexualisierten Deepfakes eine deutlich härtere Linie und will KI-Anwendungen verbieten, die nicht einvernehmliche intime Bilder erzeugen. Genau diese Kombination macht den Fall für Datenschutz- und Compliance-Teams relevant. Der neue Kurs ist keine bloße Industriepolitik, sondern eine sichtbare Neujustierung von Risiko, Aufsicht und Produktverantwortung.
Wie die belgische Nachrichtenagentur Belga berichtet, wurde die Einigung am Donnerstag zwischen Verhandlern des Europäischen Parlaments und des Rates erzielt. Techzine beschreibt den Deal ebenfalls als vorläufigen Kompromiss, der nach langen Verhandlungen zustande kam und formell noch bestätigt werden muss. Im Kern geht es nicht darum, dass die EU ihre KI-Regeln einfach abschwächt. Vielmehr wird neu sortiert, an welcher Stelle regulatorischer Druck sofort hoch bleiben soll und wo Brüssel Unternehmen mehr Luft geben will.
Für Unternehmen ist das gerade deshalb ein echter Governance-Fall, weil die aufgeschobenen Pflichten nicht irgendeine Randmaterie betreffen. Nach den heute veröffentlichten Berichten gehören zu den verschobenen Bereichen gerade jene Hochrisiko-Systeme, die besonders nah an Grundrechten arbeiten, etwa biometrische Identifikation, kritische Infrastrukturen und Anwendungen im Umfeld von Sicherheit und Behörden. Wenn Fristen in diesen Feldern nach hinten wandern, verschiebt sich nicht nur ein Projektplan. Es verschiebt sich die Priorisierung von Risikoanalysen, internen Freigaben, Lieferantensteuerung und Nachweispflichten.
Mehr Zeit für Hochrisiko-KI heißt nicht weniger Haftungsnähe
Nach Belga sollen eigenständige Hochrisiko-KI-Systeme nun erst ab Dezember 2027 unter die verschärften Vorgaben fallen, während in Produkte eingebettete Systeme erst ab August 2028 folgen sollen. Techzine beschreibt denselben Kompromiss als Reaktion auf massiven Druck aus der Wirtschaft, die vor doppelter Regulierung und übermäßiger Bürokratie gewarnt hatte. Gerade Hersteller und Anbieter, deren Systeme schon heute in andere sektorspezifische Regime eingebettet sind, bekommen damit mehr Zeit und in Teilen auch mehr regulatorischen Spielraum.
Das klingt zunächst nach Entlastung. Für Datenschutzverantwortliche wäre es aber ein Fehler, daraus Entwarnung abzuleiten. Wenn biometrische, sicherheitsnahe oder infrastrukturelle KI später unter den formalen Vollzug fällt, bleiben die zugrunde liegenden Risiken trotzdem real. Systeme, die Personen identifizieren, priorisieren oder mit sensiblen Profilen arbeiten, erzeugen weiterhin erhebliche Fragen zu Datenminimierung, Zweckbindung, Transparenz und menschlicher Kontrolle. Wer jetzt nur auf die neue Frist schaut, aber Inventarisierung, Verantwortlichkeiten und Dokumentation liegen lässt, tauscht Zeitgewinn gegen spätere Hektik.
Der operative Lerneffekt ist deshalb ziemlich klar. Unternehmen sollten ihre KI-Landschaft nicht erst dann kartieren, wenn eine Endfrist näher rückt. Sie brauchen vielmehr schon jetzt eine saubere Trennung zwischen gewöhnlicher Automatisierung, generativer Assistenz und wirklich hochriskanten Systemen mit Personenbezug. Dazu gehören klare Eigentümer im Fachbereich, nachvollziehbare Datenflüsse, belastbare Lösch- und Prüfprozesse und die Frage, welche menschliche Kontrolle im Ernstfall tatsächlich vorgesehen ist. Die Verschiebung macht Governance nicht kleiner, sondern verschiebt nur das Vollzugsfenster.
Bei Deepfake-Nudifier-Apps setzt die EU eine rote Linie
Der zweite Teil des heutigen Kompromisses ist politisch noch eindeutiger. Nach Belga will die EU KI-Systeme untersagen, die ohne Einwilligung sexualisierte oder intime Bilder erzeugen, darunter ausdrücklich sogenannte Nudifier-Apps. Techzine ordnet diese Verschärfung als Reaktion auf die wachsende Debatte über Deepfakes und den Missbrauch generativer Bildmodelle ein. Für die Datenschutzperspektive ist das hochrelevant, weil hier nicht nur Content-Moderation berührt wird, sondern die digitale Verletzung von Persönlichkeit, Identität und informationeller Selbstbestimmung.
Solche Anwendungen machen aus Bilddaten, Körpermerkmalen und leicht zugänglichen Profilfotos ein Missbrauchsprodukt. Der Schaden entsteht nicht erst bei der Veröffentlichung, sondern schon in der technischen Verfügbarkeit des Werkzeugs. Genau deshalb ist die neue Verbotslinie mehr als Symbolpolitik. Sie signalisiert, dass Brüssel bestimmte KI-Anwendungen nicht mehr nur über allgemeine Transparenz- oder Sicherheitsanforderungen einhegen will, sondern über ein hartes Verbot am Produktkern selbst.
Für Anbieter generativer Systeme ist das ein Warnsignal über den konkreten Fall hinaus. Wer Modelle, Bildfunktionen oder Upload-Strecken betreibt, muss stärker prüfen, welche missbräuchlichen Nutzungsformen technisch naheliegen, welche Schutzschichten im Produkt fehlen und wie schnell sich intime oder identitätsbezogene Schädigungen ausbreiten können. Die Frage lautet dann nicht mehr nur, ob ein Modell beeindruckende Ergebnisse liefert. Entscheidend wird, ob ein Produkt mit vertretbarem Aufwand in Richtung digitaler Entblößung, Belästigung oder Erpressung missbraucht werden kann.
Was Compliance, DPOs und Produktteams jetzt konkret vorbereiten sollten
Auch wenn die Einigung formal noch bestätigt werden muss, ist die heutige Richtung klar genug für vorbereitende Arbeit. Erstens sollten Unternehmen ihre KI-Anwendungen nach Risikoklassen und Einbaukontext ordnen, also getrennt betrachten, was stand-alone läuft und was als Bestandteil anderer Produkte oder Prozesse eingesetzt wird. Zweitens braucht jede Organisation mit generativer Bild- oder Medienfunktion einen Missbrauchscheck, der nicht nur Urheber- oder Markenfragen betrachtet, sondern intime Deepfakes, Identitätsmissbrauch und Schutzbedarfe vulnerabler Gruppen. Drittens sollten Governance-Teams ihre Roadmaps anpassen: Fristverschiebung bei Hochrisiko-KI darf nicht zu Budgetkürzung bei Dokumentation, Prüfpfaden oder interner Schulung führen.
Mindestens ebenso wichtig ist der Blick auf externe Anbieter. Viele Unternehmen werden die betroffenen Systeme nicht selbst entwickeln, sondern einkaufen, integrieren oder über Plattformen nutzen. Dann müssen Verträge, Due-Diligence-Fragen und Freigaben präziser werden. Wer trägt die Risikoeinstufung? Wer dokumentiert Trainings- und Eingabedaten? Welche Sicherungen bestehen gegen sexualisierte Deepfake-Nutzung? Und wie schnell kann ein Anbieter Funktionen deaktivieren, wenn sich ein Produkt als missbrauchsanfällig erweist? Gerade an dieser Stelle wird aus der heutigen EU-Einigung ein sehr praktischer Einkaufs- und Steuerungsfall.
Der eigentliche Kern des heutigen Tages ist deshalb kein einfacher Gegensatz aus Deregulierung hier und Verbot dort. Die EU verschiebt Pflichten an einer Stelle, an der Unternehmen über Umsetzbarkeit klagen, und verschärft zugleich dort, wo der Missbrauch für Betroffene besonders unmittelbar und entwürdigend ist. Für Datenschutz und Compliance heißt das: Die Debatte über KI-Governance wird nicht leiser, sondern präziser. Wer jetzt nur die verlängerten Fristen hört, verpasst die deutlichere Botschaft des Tages.
Bildquelle: Pexels
Quellen: Belga, „EU agrees simpler AI rules and ban on deepfake nude apps“; Techzine, „EU weakens AI rules and faces criticism for kowtowing to Big Tech“.
