EU-KI-Verordnung: Leitlinien für Hochrisiko-KI verzögern sich erneut

Die EU-Kommission verschiebt die entscheidenden Klassifizierungs-Leitlinien für Hochrisiko-KI – und setzt Unternehmen damit nur Monate vor dem Stichtag weiter unter Druck. Die Unsicherheit wächst, während gleichzeitig eine Gesetzesnovelle den Zeitplan komplett verschieben könnte.

Seit August 2024 gelten bereits die ersten Regeln der EU-KI-Verordnung, doch viele Unternehmen riskieren aufgrund der komplexen Rechtslage unwissentlich hohe Bußgelder. Dieser kostenlose Leitfaden hilft Ihnen, die Anforderungen und Fristen ohne juristische Fachkenntnisse zu verstehen. EU-KI-Verordnung kompakt: Jetzt Gratis-E-Book sichern

Kern-Leitlinien fehlen vor Stichtag

Eigentlich sollten sie seit Februar vorliegen: die praktischen Leitlinien zur Einordnung von Hochrisiko-KI-Systemen gemäß der EU-KI-Verordnung. Doch die EU-Kommission bestätigte Ende Februar 2026 eine weitere Verzögerung. Dieses Dokument ist jedoch kein theoretisches Papier, sondern das entscheidende Handbuch für Unternehmen. Es soll konkrete Beispiele und technische Ausnahmen liefern, um zu bewerten, ob eine KI-Anwendung im Unternehmen unter die strengsten Auflagen fällt.

Die Kommission kämpft nach Branchenangaben mit der Integration umfangreicher Stellungnahmen aus der Wirtschaft. Für Firmen, die KI etwa im Personalwesen, im Kredit-Scoring oder zur biometrischen Identifizierung einsetzen, entsteht dadurch ein strategisches Dilemma. Sie müssen ihre Systeme nun ohne finale Definitionen einstufen und sich allein auf den Gesetzestext stützen. Rechtsberater warnen vor einem „regulatorischen Vakuum“, das Budgetplanung und Ressourcenallokation erheblich erschwert. Entwicklungsteams wissen schlicht nicht, welche Parameter genau gelten werden.

Diese Pflichten drohen ab August 2026

Trotz der Unklarheiten bei der Einordnung stehen die grundlegenden Compliance-Pflichten für Hochrisiko-Systeme fest. Sie sollen ab dem 2. August 2026 durchsetzbar sein. Die Einhaltung der Verordnung erfordert eine tiefgreifende Transformation in den Bereichen Technik und Daten-Governance.

Konkret müssen für Hochrisiko-KI robuste Qualitätsmanagementsysteme und Mechanismen zur kontinuierlichen menschlichen Aufsicht eingeführt werden. Zu den technischen Anforderungen gehören:
* Eine lückenlose Nachverfolgung der Datenherkunft, um systematische Verzerrungen in Trainingsdaten auszuschließen.
* Umfassende Protokollierungsfunktionen für die Nachvollziehbarkeit von KI-Entscheidungen.
* Detaillierte technische Dokumentation, die mit jeder Modell-Anpassung aktualisiert wird – und nicht nur als statisches Compliance-Papier dient.
* Nachweis von Sicherheitstests gegen gezielte Angriffe wie Datenvergiftung oder Prompt-Injection.

Die finanziellen Risiken bei Verstößen sind immens: Bußgelder können bis zu sieben Prozent des weltweiten Jahresumsatzes betragen.

„Digital Omnibus“ könnte alles verschieben

Die Planungsunsicherheit wird durch einen weiteren Gesetzesvorschlag erhöht: das sogenannte „Digital Omnibus“-Paket (Digital Simplification Package). Es sieht vor, die Frist für die Hochrisiko-Pflichten um bis zu 16 Monate zu verschieben – möglicherweise auf Dezember 2027. Ziel ist es, harmonisierte Standards und Hilfsmittel bereitzustellen, bevor Strafen verhängt werden.

Compliance-Experten raten Unternehmen jedoch dringend davon ab, ihre Vorbereitungen auszusetzen. Das Gesetzgebungsverfahren zwischen EU-Parlament und Rat ist komplex und sein Ausgang ungewiss. Die vernünftige Strategie lautet daher, den August-2026-Termin als verbindlich zu behandeln. Eine mögliche Verlängerung sollte lediglich als Puffer dienen, nicht als Grund zum Zögern.

Die neuen KI-Regulierungen verschärfen die ohnehin kritische Lage der IT-Sicherheit in deutschen Unternehmen zusätzlich. Erfahren Sie in diesem Experten-Report, wie Sie Ihre Infrastruktur rechtssicher schützen und neue gesetzliche Vorgaben effizient umsetzen. Kostenlosen Cyber-Security-Leitfaden herunterladen

KI-Behörde treibt andere Prioritäten voran

Während die Hochrisiko-Leitlinien stocken, arbeitet die neu eingerichtete KI-Behörde der EU (AI Office) an anderen Fronten. Ein Schwerpunkt liegt auf Allzweck-KI-Modellen (General-Purpose AI, GPAI).

Bis zum zweiten Quartal 2026 will die Behörde Verfahrensregeln für die Durchsetzung der GPAI-Pflichten festlegen. Diese werden Sanktionen und Schutzmaßnahmen für Anbieter großer KI-Modelle definieren. Zudem wurde eigens eine Taskforce eingerichtet, um die Anwendung eines freiwilligen Verhaltenskodex für GPAI zu erleichtern. Ebenfalls geplant ist der Start erster regulatorischer Sandboxes, in denen Unternehmen innovative KI unter Aufsicht testen können.

Analyse: Ambition trifft auf Implementierungs-Wirklichkeit

Die aktuelle Situation offenbart ein klassisches regulatorisches Spannungsfeld: die Lücke zwischen gesetzgeberischem Anspruch und praktischer Umsetzung. Die EU will den weltweit ersten umfassenden KI-Rechtsrahmen schaffen, doch die Verzögerungen zeigen, wie schwierig die Übersetzung breiter Prinzipien in handhabbare Leitlinien ist.

Besonders betroffen sind kleine und mittlere Unternehmen (KMU), denen oft die großen Rechtsabteilungen fehlen, um unklare Texte zu interpretieren. Große Konzerne hingegen integrieren KI-Risikobewertungen meist bereits in ihre bestehenden Governance- und Compliance-Strukturen. Das „Digital Omnibus“-Vorhaben spiegelt wider, dass in den EU-Institutionen die Sorge wächst, zu strenge Durchsetzung ohne ausgereifte Standards könnte Innovationen behindern. Unabhängig von den finalen Fristen müssen Unternehmen jetzt in grundlegende Datenhygiene und KI-Kompetenz investieren, um für jedes Szenario gewappnet zu sein.

boerse | 68623957 |