KI-Verordnung: Europa verschiebt, Deutschland baut auf

Während Brüssel die Fristen für Hochrisiko-KI aufschiebt, schafft Berlin mit dem KI-MIG bereits Fakten. Unternehmen stehen vor einer Zwickmühle.

Die Regulierung Künstlicher Intelligenz in Europa gleicht derzeit einer Baustelle mit unklarem Fertigstellungstermin. Für Unternehmen in der EU ergibt sich ein widersprüchliches Bild: Nationale Behörden rüsten sich für die Kontrolle, doch auf europäischer Ebene drohen massive Verzögerungen bei den schärfsten Vorgaben. Diese Diskrepanz zwingt zu einer äußerst flexiblen Compliance-Strategie.

Deutschland setzt mit KI-MIG auf bestehende Behörden

Während der europäische Zeitplan ins Wanken gerät, treiben die Mitgliedsstaaten die nationalen Umsetzungsstrukturen voran. Die Bundesregierung verabschiedete Mitte Februar den Entwurf für das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG). Es ist der deutsche Hebel, um die EU-KI-Verordnung in die Praxis zu überführen.

Statt eine komplett neue Behörde zu schaffen, setzt der Gesetzentwurf auf bewährte Institutionen. Die Bundesnetzagentur wird zur zentralen Koordinierungsstelle und ersten Anlaufstelle für Unternehmen. Sie soll KI-Expertise bündeln und andere Aufsichtsbehörden unterstützen. Die fachspezifische Kontrolle bleibt bei den etablierten Wächtern: Die Finanzaufsicht BaFin überwacht KI-Systeme im Banken- und Kryptosektor, während für gewerbliche Makler wohl die Industrie- und Handelskammern zuständig werden. Ein zentrales Element sind zudem geplante KI-Reallabore, in denen Start-ups und Mittelständler ihre Innovationen unter realen Bedingungen testen können.

„Digital Omnibus“: Hochrisiko-Pflichten rutschen nach hinten

Die größte Unsicherheit für die Unternehmensplanung betrifft die Fristen für Hochrisiko-KI-Systeme. Die bisherige Annahme, dass alle strengen Auflagen ab dem 2. August 2026 gelten, ist überholt. Grund ist der sogenannte „Digital Omnibus“, ein Gesetzespaket der EU-Kommission vom November 2025.

Dieser Vorschlag reagiert auf massive Umsetzungsengpässe. Die notwendige Infrastruktur – von harmonisierten technischen Standards bis hin zu funktionsfähigen Aufsichtsbehörden – ist schlicht nicht rechtzeitig fertig. Der Omnibus sieht daher eine Verschiebung der Hochrisiko-Pflichten um bis zu 16 Monate vor.

Konkret würde die Anwendung an die tatsächliche Verfügbarkeit von Hilfsmitteln geknüpft. Sollten sich diese Meilensteine weiter verzögern, träten feste Notfallfristen in Kraft: der 2. Dezember 2027 für Systeme aus Anhang III (wie Personalauswahl oder biometrische Erkennung) und der 2. August 2028 für produktbezogene KI aus Anhang I. Juristen warnen: Wer weiterhin auf August 2026 als festen Stichtag pocht, ignoriert die legislative Realität.

Verpasste Leitlinien verstärken das Chaos

Die Dringlichkeit einer Verschiebung wurde durch ein jüngstes Versäumnis in Brüssel unterstrichen. Die EU-Kommission verpasste Anfang Februar eine gesetzliche Frist, um praktische Leitlinien zu Artikel 6 der KI-Verordnung zu veröffentlichen. Genau dieser Artikel ist jedoch der Dreh- und Angelpunkt, um zu bestimmen, ob ein KI-System als hochriskant eingestuft wird.

Für Compliance-Verantwortliche ist das Fehlen dieser Klarstellung ein großes Problem. Unternehmen, die KI für Personalwesen, Medizintechnik oder Industrieanwendungen entwickeln, haben ohne offizielle Leitlinien enorme Schwierigkeiten, die Anforderungen korrekt einzuordnen. Der verpasste Termin hat die Rufe der Tech-Verbände nach einer schnellen Verabschiedung des Omnibus lauter werden lassen.

KI-Verordnung und DSGVO: Eine doppelte Herausforderung

Trotz der erwarteten Aufschübe können sich Unternehmen nicht zurücklehnen. Expert:innen betonen, dass die KI-Verordnung stets im Zusammenspiel mit der Datenschutz-Grundverordnung (DSGVO) betrachtet werden muss. Die Verarbeitung personenbezogener Daten durch KI löst Pflichten aus beiden Rechtsrahmen gleichzeitig aus.

Die Überschneidungen sind erheblich, insbesondere bei Risikobewertungen, Transparenzpflichten und der Dokumentation. In Deutschland wird die Bundesnetzagentur für die generelle KI-Aufsicht zuständig sein, während die Landesdatenschutzbehörden weiterhin die DSGVO durchsetzen. Wer beide Bereiche getrennt voneinander angeht, riskiert Doppelarbeit und Widersprüche. Der Rat lautet daher: Die mögliche Verschiebung nutzen, um umfassende Grundrechte-Folgenabschätzungen durchzuführen und die eigenen Datenverarbeitungen zu kartieren.

Unternehmen fragen sich jetzt, wie sie die EU-KI-Verordnung und die DSGVO parallel umsetzen sollen. Ein kostenloser Umsetzungsleitfaden fasst Anforderungen, Risikoklassen und Übergangsfristen kompakt zusammen und zeigt konkrete Schritte für Compliance-Teams. Praktische Checklisten und Muster-Vorlagen helfen bei Risikobewertungen, Dokumentation und Klassifizierung von KI-Systemen. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Ausblick: Entscheidende Monate für Europas KI-Zukunft

Die kommenden Monate werden richtungsweisend sein. In Deutschland muss der KI-MIG-Entwurf noch das parlamentarische Verfahren durchlaufen, wobei Debatten über die genaue Kompetenzverteilung zwischen Datenschutz und KI-Aufsicht erwartet werden.

Parallel stehen das Europäische Parlament und der Rat der EU unter Druck, den Digital Omnibus zu formalisieren. Der Branche drängt darauf, die dringende Verschiebung der Hochrisiko-Pflichten von anderen, langwierigeren Reformen im Paket zu trennen, um schnell Rechtssicherheit zu schaffen. Bis dahin navigieren Unternehmen durch eine Übergangsphase mit unsicheren Fristen – und müssen ihre KI-Governance sowohl proaktiv als auch flexibel gestalten.