KI-Verordnung: EU verhandelt letzte Fristen, Deutschland baut Aufsicht auf

Die EU-KI-Verordnung steht vor entscheidenden Verhandlungen über verschobene Fristen und neue Verbote. Für deutsche Unternehmen bedeutet das: Trotz möglicher Aufschübe läuft die Zeit für die Umsetzung davon.

Diese Woche begannen offiziell die Trilog-Verhandlungen zwischen EU-Parlament, Rat und Kommission. Sie sollen ein Paket technischer Änderungen finalisieren, das die Umsetzung der KI-Verordnung vereinfachen soll. Die Gespräche, die in den ersten Apriltagen ernsthaft starteten, sind ein letzter Versuch, Rechtssicherheit für Unternehmen zu schaffen. Diese kämpfen mit der komplexen Einstufung hochriskanter KI-Systeme und dem Übergang von freiwilligen Leitlinien zu verbindlichem Recht.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. EU AI Act in 5 Schritten verstehen

In Deutschland verschärft das nationale KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) den Druck. Das Bundeskabinett hat den Umsetzungsrahmen bereits gebilligt. Nun richtet sich der Fokus auf die Einsatzbereitschaft der Bundesnetzagentur (BNetzA) als zentrale Koordinierungsstelle. Rechtsexperten und Branchenanalysten betonen: Auch wenn der vorgeschlagene „Digital Omnibus“ bestimmte Fristen lockern könnte – das Zeitfenster für strukturelle Compliance schließt sich rasch.

Digital Omnibus: Neue Fristen, schärfere Verbote

Die wichtigste Neuerung für Unternehmensrechtsabteilungen: Das EU-Parlament will die flexiblen Umsetzungszeitpläne der KI-Verordnung durch feste, vorhersehbare Daten ersetzen. Nach dem Ende März verabschiedeten Standpunkt würde die Anwendung der Pflichten für hochriskante KI-Systeme aus Anhang III – etwa in Personalwesen, Bildung oder biometrischer Identifikation – vom 2. August 2026 auf den 2. Dezember 2027 verschoben. Für Systeme in regulierten Produkten wie Medizingeräten oder Maschinen gilt dann der 2. August 2028 als neue Frist.

Dieser Schritt soll die Durchsetzung des Gesetzes mit der Verfügbarkeit harmonisierter technischer Standards synchronisieren, die nur langsam entstehen. Das Parlament hat jedoch in anderen Bereichen strengere Vorgaben eingeführt. Der aktuelle Verhandlungstext enthält ein neues Verbot für KI-Systeme, die nicht einvernehmliche intime Bilder erzeugen können – sogenannte „Nudifier-Apps“. Zudem wurde die Übergangsfrist für die Einhaltung von Kennzeichnungs- und Transparenzpflichten für synthetische Inhalte verkürzt. Anbieter haben möglicherweise nur noch bis zum 2. November 2026 Zeit, um KI-generierte Audio-, Video- und Textinhalte klar zu kennzeichnen. Eine Maßnahme, die dem Anstieg von Deepfakes vor anstehenden Wahlzyklen begegnen soll.

Deutsche Umsetzung: BNetzA als Drehscheibe, KoKIVO als Kompetenzzentrum

In Deutschland wird der Rechtsrahmen durch das KI-MIG konkret. Es etabliert ein hybrides Aufsichtsmodell. Die Bundesnetzagentur wurde als zentrale Marktüberwachungsbehörde und einzige Anlaufstelle für das EU-KI-Büro benannt. Kernstück dieser Architektur ist das neu eingerichtete Koordinierungs- und Kompetenzzentrum (KoKIVO) innerhalb der BNetzA. Berichte aus dem frühen April deuten darauf hin, dass KoKIVO nun beginnt, Expertise zu bündeln, um sektorspezifischen Aufsichtsbehörden Interpretationshilfen zu geben.

Mit dem Inkrafttreten neuer KI-Gesetze entstehen auch neue Cyberrisiken, die Unternehmen rechtzeitig adressieren müssen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit zukunftssicher aufzustellen. Kostenlosen Cyber Security Report herunterladen

Während die BNetzA als Drehscheibe dient, behalten bestehende Behörden wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die Aufsicht über KI in ihren jeweiligen Domänen. Für Unternehmen bedeutet das: Compliance ist kein isoliertes Silo, sondern muss in bestehende Produktsicherheits- und Qualitätsmanagementsysteme integriert werden. Die deutschen Behörden betonen einen „One-Stop-Shop“-Ansatz, um bürokratische Überschneidungen zu minimieren. Dennoch wird Unternehmen geraten, dass sektorspezifische Cybersicherheitstest-Leitlinien – insbesondere die von der BaFin in Anlehnung an den Digital Operational Resilience Act (DORA) entwickelten – für Finanzinstitute Vorrang vor allgemeinen KI-Standards haben werden.

Die „Artikel-111-Lücke“ und regulatorisches Limbo

Ein zentraler Streitpunkt in den aktuellen Trilog-Verhandlungen ist die nicht-rückwirkende Natur der KI-Verordnung. Nach Artikel 111 müssen KI-Systeme, die vor den neuen Fristen auf den Markt gebracht wurden, nicht unbedingt den strengsten Hochrisiko-Pflichten entsprechen – es sei denn, sie erfahren eine „wesentliche Änderung“. Kritiker, darunter Mitglieder der Grünen-Fraktion im EU-Parlament, sehen darin eine potenzielle Lücke. Sie könnte sensible KI-Anwendungen dauerhaft außerhalb des regulatorischen Rahmens halten.

Diese Debatte hat für Chief Information Officers (CIOs) einen Zustand des „regulatorischen Limbos“ geschaffen. Während der Digital Omnibus eine Verzögerung vorschlägt, ist das zugrundeliegende KI-Gesetz bereits in Kraft. Die Verbote für Praktiken mit „inakzeptablem Risiko“ – wie manipulatives Social Scoring oder bestimmte biometrische Überwachung – gelten seit Anfang 2025. Analysten warnen: Auf die Endergebnisse der Triloges zu warten, die für Mai oder Juni 2026 erwartet werden, ist eine Hochrisiko-Strategie. Compliance-Berater sind sich einig: Unternehmen sollten weiterhin davon ausgehen, dass die August-2026-Frist für Hochrisikosysteme das primäre Ziel für interne Audits und Dokumentation bleibt.

Strategische Compliance: Inventur und menschliche Aufsicht

Um einen rechtssicheren Status zu erreichen, konzentrieren sich Unternehmen derzeit auf drei praktische Säulen: Inventur, Risikoeinstufung und die Operationalisierung menschlicher Aufsicht. Die Ära freiwilliger Ethik-Leitlinien ist vorbei, ersetzt durch die Anforderung detaillierter technischer Dokumentation und Protokollierung für jedes als hochriskant eingestufte System.

1. KI-Inventur: Organisationen werden gedrängt, ein umfassendes Audit aller KI-Tools durchzuführen, auch derer, die in Fremdsoftware integriert sind. Rechtsexperten betonen: „Man kann nicht managen, was man nicht sieht.“ Viele Unternehmen entdecken in diesem Prozess „Schatten-KI“.
2. Risikoklassifizierung: Systeme müssen nach dem vierstufigen EU-Rahmen kategorisiert werden. Während minimalriskante Tools wie Spamfilter keine Maßnahmen erfordern, müssen begrenzt riskante Tools wie Chatbots sofortige Transparenzanforderungen erfüllen und Nutzer darüber informieren, dass sie mit einer KI interagieren.
3. Mensch im Prozess: Für Hochrisikoanwendungen wie KI-gestützte Einstellungen oder Kreditbewertungen verlangt das Gesetz „qualifizierte menschliche Aufsicht“. Das ist keine rein technische, sondern eine operative Anforderung: Ein Mensch muss befähigt und geschult sein, die Ausgabe der KI bei Bedarf zu überstimmen oder rückgängig zu machen.

Ausblick: Der Weg zum August 2026

Die nächsten acht Wochen werden für die europäische KI-Landschaft entscheidend sein. Die zyprische EU-Ratspräsidentschaft hat den Digital Omnibus zur Priorität gemacht. Ziel ist eine politische Einigung vor Ende Mai 2026. Bei einer Einigung bieten die festen Fristen die „Planbarkeit“, die Industrieverbände lange gefordert haben. Stocken die Verhandlungen, bleibt die ursprüngliche, ambitioniertere Frist vom 2. August 2026 bestehen. Das könnte viele Unternehmen aufgrund fehlender finalisierter technischer Standards in einen Zustand der Nichtkonformität bringen.

Jenseits der EU verändert sich auch das globale regulatorische Umfeld. Die Veröffentlichung des US-National Policy Framework for AI Ende März deutet auf eine movement hin, die Bundesrecht über Landesgesetze stellt. Das könnte die Compliance für europäische Firmen auf dem amerikanischen Markt vereinfachen. Doch vorerst bleibt die Priorität für deutsche und europäische Unternehmen die interne Stabilisierung ihrer KI-Governance-Strukturen. Während die rechtlichen Anforderungen vom Verhandlungstisch in den Gerichtssaal wandern, ist der Fokus für 2026 klar: über Innovation um ihrer selbst willen hinauszugehen und hin zu einem Modell des „verantwortungsvollen Einsatzes“, das überprüfbar, transparent und rechtlich robust ist.

boerse | 69070180 |