EU AI Act: Brüssel verschiebt Fristen bis 2028

Brüssel/Berlin – Die EU-Kommission räumt ein: Der ambitionierte Zeitplan für die KI-Verordnung ist nicht zu halten. Nur Wochen nach der Ankündigung vom 19. November sorgt das „Digital Omnibus”-Reformpaket für Aufatmen in deutschen Unternehmen. Für Hochrisiko-KI-Systeme könnte die volle Durchsetzung nun erst Ende 2027 oder 2028 greifen – statt wie ursprünglich vorgesehen im August 2026.

Die Botschaft aus Brüssel ist eindeutig: Lieber später, aber geordnet, als überstürzt und chaotisch. Doch was bedeutet das konkret für mittelständische Betriebe und Konzerne im deutschsprachigen Raum?

Der Kern der Reform ist eine nüchterne Erkenntnis: Die technische Infrastruktur für die Compliance existiert schlichtweg noch nicht. Zwar trat die KI-Verordnung offiziell im August 2024 in Kraft, doch das „Digital Omnibus”-Paket zielt darauf ab, die Umsetzungsfristen für Hochrisiko-Systeme anzupassen.

Viele Unternehmen stehen jetzt vor konkreten Umsetzungsfragen der EU‑KI‑Verordnung: Wie werden Systeme richtig klassifiziert, welche Dokumentationen sind Pflicht und wie lassen sich Übergangsfristen praktisch managen? Unser kostenloser Umsetzungsleitfaden erklärt Schritt für Schritt, welche Nachweise und Prozesse Sie jetzt aufbauen sollten — inklusive Checklisten, Mustervorlagen für Bestandsaufnahmen und Praxistipps für Compliance‑ und Technikteams. Ideal für Mittelstand und Konzerne, die schnell Rechtssicherheit schaffen wollen. Kostenlosen KI‑Umsetzungsleitfaden jetzt herunterladen

Konkret verschiebt sich die Frist für Annex-III-Systeme – darunter KI in kritischer Infrastruktur, Personalwesen und Kreditwürdigkeitsprüfung – auf den 2. Dezember 2027. Noch weitreichender: KI-Systeme in regulierten Produkten wie Medizingeräten, Maschinen oder Spielzeug (Annex I) erhalten eine Schonfrist bis zum 2. August 2028.

Entscheidend ist der eingebaute Mechanismus: Die Compliance-Pflichten treten entweder zu diesen Stichtagen in Kraft oder sechs bis zwölf Monate nach Veröffentlichung harmonisierter Standards durch die Kommission – je nachdem, was später eintritt. Diese „Long-Stop”-Regelung soll Unternehmen vor der Situation bewahren, vage Rechtsvorgaben ohne technische Leitplanken erfüllen zu müssen.

Der Flaschenhals: Fehlende technische Standards

Was hat die Verzögerung ausgelöst? Die europäischen Normungsorganisationen CEN und CENELEC kommen mit der Entwicklung harmonisierter Standards nicht hinterher. Diese technischen Normen sind das Rückgrat der Verordnung: Wer sie einhält, genießt eine Konformitätsvermutung – sprich, gilt automatisch als rechtskonform.

Laut aktuellem Stand des gemeinsamen Technischen Komitees JTC 21 dürfte das vollständige Normenpaket – von Risikomanagement über Datengovernance bis zu Genauigkeitsanforderungen – frühestens Ende 2026 fertig sein. Ursprünglich war April 2025 anvisiert.

Ohne diese Standards hätten Unternehmen die August-2026-Frist in massiver Rechtsunsicherheit erreicht. Marktaufsichtsbehörden wären gezwungen gewesen, Regeln durchzusetzen, deren technische Definition noch gar nicht existiert. Das „Digital Omnibus” synchronisiert nun Rechtsdurchsetzung mit technischer Realität.

Deutsche Wirtschaft zeigt sich erleichtert

Bitkom, Deutschlands digitaler Branchenverband, begrüßte die Initiative umgehend in einem Positionspapier. Der Verband hatte wiederholt gewarnt, dass der ursprüngliche Zeitplan angesichts des Normungstempos unrealistisch sei. In einer Analyse betonte Bitkom, dass sich 90 Prozent deutscher Unternehmen gegenüber außereuropäischer Tech-Dominanz verwundbar fühlen – eine übereilte Umsetzung würde lokale Innovation abwürgen.

Die Bundesregierung unterstützt den Vorschlag ebenfalls. In einem Ende November in Brüssel zirkulierten „Non-Paper” sprachen sich deutsche Beamte für die Verlängerung aus: Sie schaffe Rechtssicherheit und verhindere eine chaotische Implementierungsphase. Diese Allianz zwischen Berlin und Brüssel lässt auf eine zügige Verabschiedung des „Digital Omnibus” Anfang 2026 hoffen.

Was bleibt bestehen: Verbote und KI-Basismodelle

Achtung: Die Fristverlängerung gilt nicht für die gesamte KI-Verordnung. Zentrale Bestimmungen sind bereits in Kraft und bleiben unangetastet:

• Verbotene KI-Praktiken: Verbote für inakzeptable Risiken wie Social Scoring oder bestimmte biometrische Überwachung gelten seit 2. Februar 2025 vollumfänglich.
• General-Purpose AI (GPAI): Regeln für Anbieter von KI-Basismodellen (etwa für Chatbots) wurden am 2. August 2025 anwendbar. Diese Anbieter müssen bereits jetzt Transparenz- und Dokumentationspflichten erfüllen.
• Code of Practice: Der im Oktober 2025 finalisierte Verhaltenskodex für GPAI-Anbieter bleibt das zentrale Compliance-Werkzeug für diese Modelle. Die Omnibus-Verzögerung betrifft ausdrücklich nur Hochrisiko-Systeme in vertikalen Sektoren, nicht die Grundlagenmodelle selbst.

Eine „Reparatur-Operation” für Europas Digitalagenda

Das „Digital Omnibus”-Paket lässt sich als Reparaturversuch für Europas ehrgeiziges Digitalregelwerk interpretieren. Indem die Kommission Änderungen am AI Act mit Vereinfachungen bei DSGVO und anderen digitalen Vorschriften bündelt, will sie die kumulative Bürokratielast senken – ein Ziel, das Kommissionspräsidentin Ursula von der Leyen zuletzt wiederholt betonte.

Rechtsexperten sehen die Maßnahme zwiespältig: Unternehmen, die bereits massiv in die Vorbereitung auf 2026 investiert haben, dürften frustriert sein. Nachzügler erhalten eine unverhoffte Gnadenfrist. Dennoch überwiegt der Konsens: Eine verspätete, aber geordnete Umsetzung ist einem Chaos vorzuziehen.

„Das ist keine Aufhebung, sondern eine Neujustierung”, kommentiert ein Compliance-Analyst einer großen Frankfurter Kanzlei. „Die Anforderungen ändern sich nicht – aber die Start- und Landebahn wird verlängert, bis der Flughafen fertig gebaut ist.”

Wie geht es weiter?

Das „Digital Omnibus” ist derzeit ein Gesetzesvorschlag. Damit die neuen Fristen in Kraft treten, müssen Europäisches Parlament und EU-Rat zustimmen. Angesichts der breiten Unterstützung durch Schwergewichte wie Deutschland wird mit einer Verabschiedung in der ersten Jahreshälfte 2026 gerechnet.

Für Unternehmen lautet die klare Ansage: Keine Entwarnung. Die gewonnene Zeit sollte für gründliche KI-Bestandsaufnahmen, robuste Datengovernance-Frameworks und Pilotkonformitätsbewertungen anhand der Entwurfsstandards genutzt werden. Die Uhr wurde zurückgedreht – aber sie tickt weiter.

Die wichtigsten Termine im Überblick (geplant)

• 2. Februar 2025: Verbot inakzeptabler KI-Praktiken (aktiv)
• 2. August 2025: GPAI-Regeln anwendbar (aktiv)
• 2. Dezember 2027: Neuer Stichtag für Annex-III-Hochrisikosysteme
• 2. August 2028: Neuer Stichtag für produktintegrierte KI nach Annex I

PS: Die verlängerten Fristen bedeuten Zeit zum Handeln — nicht Untätigkeit. Unser kompakter Gratis‑Leitfaden zur EU‑KI‑Verordnung fasst die wichtigsten Pflichten, Kennzeichnungsanforderungen und Übergangsregelungen zusammen, zeigt prioritäre Maßnahmen für die nächsten 12–18 Monate und liefert Vorlagen für Bestandsaufnahmen, Datengovernance und Pilot‑Konformitätsprüfungen. Praktisch für Compliance‑Officers, Datenschutzbeauftragte und IT‑Leitungen, die jetzt konkrete Schritte planen müssen. Jetzt Gratis‑Leitfaden zur KI‑Verordnung anfordern