Auf den Punkt: Erstes dediziertes Compliance-Editorial. Die EU-Kommission liefert mit den Entwurfsleitlinien zu hochriskanten KI-Systemen den lange erwarteten Operationalisierungs-Hebel. Parallel kritisiert noyb den Digital Omnibus scharf — die DSGVO-Anpassungen sind politisch umstrittener als bisher kommuniziert. Und die EU eröffnet die Konsultation zu vertrauenswürdigen Hinweisgebern unter dem Digital Services Act. Die Compliance-Funktion wird in den nächsten 60 Tagen zur strategischen Linie.
Was Compliance-Funktionen, Datenschutzbeauftragte und Legal-Counsels diese Woche aufgreifen.
1. Hochrisiko-Leitlinien als Klassifikations-Werkzeug
Die Entwurfsleitlinien der EU-Kommission zur Klassifikation hochriskanter KI-Systeme sind seit dem 1. Juni öffentlich. Damit wird Annex III des EU AI Acts erstmals durchgängig operationalisiert. Für Compliance-Funktionen heißt das: Sie können diese Woche beginnen, eigene KI-Anwendungen systematisch zu prüfen.
Das Klassifikations-Schema läuft auf vier Prüffragen hinaus:
- Fällt die Anwendung in einen der acht Annex-III-Bereiche (kritische Infrastruktur, Bildung, Personalwesen, Strafverfolgung, Justiz, Demokratie, Migration, biometrische Identifikation)?
- Erzeugt sie Rechtsfolgen oder vergleichbar erhebliche Auswirkungen für natürliche Personen?
- Greifen Ausnahmen (etwa: rein vorbereitende Tätigkeit, redaktionelle Aufgaben, eng begrenzter prozeduraler Schritt)?
- Welche Konformitätsbewertungs-Route gilt: Selbstbewertung oder Notified-Body?
Empfehlung: Erstellen Sie diese Woche eine schlanke Klassifikations-Vorlage als Excel oder PDF-Formular. Die Konsultationsfrist läuft — wer eigene Use Cases einbringen will, hat dafür ein definiertes Fenster.
2. noyb-Kritik am Digital Omnibus
Max Schrems‘ noyb hat den Digital Omnibus scharf kritisiert — insbesondere die geplanten Anpassungen an DSGVO und ePrivacy-Richtlinie. Für Compliance-Funktionen sind zwei Punkte relevant:
- Die Vereinfachungen in den Omnibus-Entwürfen reduzieren in einigen Bereichen das Schutzniveau — das könnte zu rechtlicher Unsicherheit führen, wenn die Auslegung im Trilog umkippt.
- Es entsteht ein zeitliches Risikofenster: Wer jetzt Compliance-Investitionen aufschiebt mit Verweis auf erwartete „Vereinfachung“, könnte Q4 unter Druck geraten.
Empfehlung: Keine DSGVO-Compliance-Maßnahme zurückhalten, mit Verweis auf den Omnibus. Die politische Dynamik ist offen.
3. DSA-Konsultation zu vertrauenswürdigen Hinweisgebern
Die EU-Kommission hat die Konsultation zu Trusted Flaggers unter dem Digital Services Act eröffnet. Praxisrelevanz für Compliance:
- Betreiber von Online-Plattformen müssen Verfahren etablieren, um Meldungen von Trusted Flaggers priorisiert zu behandeln.
- Eigene Bewerbung als Trusted Flagger (etwa für Verbände, Aufsichtsbehörden, NGOs) ist über die Konsultation jetzt strukturierbar.
Praxis-Schritt: Wenn Ihr Unternehmen eine relevante Plattform betreibt — auch innerhalb eines Konzerns —, prüfen Sie diese Woche, ob Sie Trusted-Flagger-Prozesse haben oder ob Sie sie bis Jahresende implementieren.
4. Temu-Strafe — DSA-Sanktionen werden real
Die 200 Millionen Euro DSA-Strafe gegen Temu ist die bislang höchste Sanktion unter dem Digital Services Act. Sie wirkt als Marker: Die EU-Kommission setzt die Sanktionsmechanik aktiv ein. Für Compliance-Funktionen bedeutet das, dass DSA-Compliance kein „Nice-to-Have“ mehr ist — auch für deutlich kleinere Plattformen, die sich bisher unter dem Radar wähnen.
5. Artikel-50-Frist — 62 Tage
Am 2. August 2026 wird die Kennzeichnungspflicht nach Artikel 50 EU AI Act produktiv. Für Compliance-Funktionen heißt das:
- Inventar aller KI-Systeme, die mit natürlichen Personen interagieren oder synthetische Inhalte erzeugen
- Pflicht-Templates für Kennzeichnungen (Web, App, generierte Bilder/Videos/Audio)
- Dokumentations- und Audit-Trail-Struktur
- Interne Schulung von Marketing, Produktmanagement und Customer Service
Lumi hat den juristischen Hintergrund in einem eigenen Foundation-Editorial aufbereitet.
6. Regulatorische Sandboxes — nicht ignorieren
Alle 27 EU-Mitgliedstaaten haben ihre KI-regulatorischen Sandboxes etabliert. Für regulierte Domänen ist das ein praktischer Hebel: rechtssicherer Erprobungsraum mit Behörden-Begleitung. Compliance-Funktionen sollten Sandbox-Optionen bei jedem höher klassifizierten KI-Vorhaben aktiv prüfen — sowohl als Risikominderungs- als auch als Marktdifferenzierungs-Instrument.
Was diese Woche entschieden gehört
- KI-Anwendungs-Klassifikation nach den neuen Hochrisiko-Leitlinien starten
- DSGVO-Maßnahmen nicht zurückhalten, trotz Omnibus-Diskussion
- DSA-Compliance-Status für eigene Plattformen prüfen
- Trusted-Flagger-Prozesse evaluieren
- Artikel-50-Umsetzungs-Roadmap für die nächsten 62 Tage festlegen
- Sandbox-Optionen für regulierte KI-Vorhaben dokumentieren
Die Compliance-Funktion betritt diese Woche eine neue Phase. Aus Beobachtungs- wird Mit-Gestaltungs-Arbeit — und genau darin liegt der strategische Hebel der nächsten zwölf Monate.
Lumi AI News Compliance-Watch — neuer Wochen-Newsletter, kuratiert aus drei rechtlich-regulatorischen Quellen plus Querschnittsanalyse, klassifiziert durch Lumi News Pipeline v1.2.8. Kennzeichnung gemäß Art. 50 EU AI Act: KI-assistierte Redaktion.