EU-KI-Verordnung: Brüssel verschiebt Fristen für Hochrisiko-Systeme

Die EU-Kommission lenkt ein: Die ambitioniertesten Regeln der weltweit ersten umfassenden KI-Verordnung könnten sich um bis zu 16 Monate verzögern. Ein neues „Vereinfachungspaket” soll Unternehmen mehr Zeit geben – doch was steckt wirklich dahinter?

Seit August 2024 gilt der AI Act offiziell, doch seine Umsetzung erfolgt schrittweise. Während einige Verbote bereits greifen und Tech-Konzerne neue Pflichten erfüllen müssen, drohen die komplexesten Anforderungen für Hochrisiko-Systeme zur Stolperfalle zu werden. Die Antwort aus Brüssel: flexiblere Fristen, gekoppelt an die Verfügbarkeit einheitlicher Standards. Ein pragmatischer Schritt – oder ein Eingeständnis, dass die Regulierung zu ehrgeizig war?

Die Europäische Union macht Ernst mit ihrer KI-Strategie. Seit Februar 2025 sind Systeme verboten, die ein „inakzeptables Risiko” darstellen – etwa Social-Scoring durch Behörden oder biometrische Überwachung ohne konkreten Anlass. Auch das massenhafte Abgreifen von Gesichtsbildern aus dem Internet ist passé.

Im August 2025 folgte die nächste Stufe: Anbieter großer Sprachmodelle wie ChatGPT müssen seither offenlegen, mit welchen Daten sie ihre KI trainieren, technische Dokumentationen erstellen und EU-Urheberrecht einhalten. Besonders mächtige Modelle mit systemischen Risiken trifft es noch härter – sie benötigen umfassende Risikobewertungen.

Diese Anforderungen gelten bereits und zwingen Tech-Konzerne zum Umdenken. Von KI-Kompetenz bei Mitarbeitern bis zu Copyright-Compliance: Die ersten Monate zeigen, dass der AI Act kein Papiertiger ist.

Das Vereinfachungspaket: Mehr Zeit für den Härtetest

Doch jetzt wird es kompliziert. Die schärfsten Regeln betreffen sogenannte Hochrisiko-Systeme – KI-Anwendungen etwa in Medizin, kritischer Infrastruktur oder bei Kreditentscheidungen. Ursprünglich sollten die meisten Vorschriften hier ab August 2026 gelten. Das könnte sich nun ändern.

Am 19. November 2025 legte die Kommission ihr „Digital Omnibus”-Paket vor, dessen Details Anfang Dezember bekannt wurden. Der Clou: Die Fristen werden nicht mehr starr festgelegt, sondern an die Fertigstellung harmonisierter technischer Standards gekoppelt. Diese Normen liefern praktische Anleitungen zur Umsetzung – ohne sie bewegen sich Unternehmen im Nebel.

Die mögliche Verschiebung? Bis zu 16 Monate. Aus August 2026 könnte Dezember 2027 werden, bei KI in bereits regulierten Produkten sogar August 2028. Ziel sei es, Zertifizierungsstaus zu vermeiden und klare Compliance-Wege zu schaffen, so die offizielle Begründung.

Passend zum Thema KI-Regulierung – viele Unternehmen stehen jetzt vor Fragen zu Fristen, Risikoklassifizierung und Dokumentationspflichten. Ein kompakter Umsetzungsleitfaden erklärt die EU-KI-Verordnung verständlich: Kennzeichnungspflichten, Risikoklassen und die relevanten Übergangsfristen sowie praktische Schritte für Entwickler und Anbieter. Ideal für Compliance-Verantwortliche und Produktteams, die schnell Klarheit brauchen. Kostenlosen KI-Verordnung-Leitfaden herunterladen

Konformitätsbewertungen: Der administrative Drahtseilakt

Warum dieser Aufschub überhaupt nötig ist, zeigt ein Blick auf die Anforderungen. Bevor ein Hochrisiko-System auf den Markt darf, steht eine umfassende Konformitätsbewertung an. Die Checkliste liest sich wie ein Manifest des Misstrauens – oder, je nach Perspektive, wie ein Katalog vernünftiger Vorsichtsmaßnahmen.

Unternehmen müssen Risikomanagementsysteme etablieren, die Qualität ihrer Trainingsdaten garantieren, um Diskriminierung zu minimieren, und lückenlose Protokolle führen. Hinzu kommen klare Dokumentation für Behörden, transparente Nutzerinformationen und die Sicherstellung menschlicher Aufsicht. Cybersicherheit, Genauigkeit und Robustheit? Ebenfalls Pflicht.

Das Vereinfachungspaket soll hier entlasten – etwa durch einheitliche Antragsverfahren für verschiedene EU-Gesetze. Trotzdem bleibt der Aufwand erheblich, besonders für kleinere Unternehmen. Können Start-ups da überhaupt noch mithalten?

Zwischen Innovation und Bürokratie: Europas Drahtseilakt

Die vorgeschlagenen Änderungen offenbaren ein Dilemma. Die EU will Vorreiter bei sicherer, vertrauenswürdiger KI sein – aber nicht zum Innovationsbremser werden. Das Vereinfachungspaket basiert auf intensiven Konsultationen mit der Wirtschaft, die über Komplexität und Verwaltungsaufwand klagte.

Die Kommission versucht, den Regulierungsdruck über ihr gesamtes digitales Regelwerk hinweg zu senken. Von der DSGVO über den Data Act bis zum AI Act: Überschneidungen sollen verschwinden, Zuständigkeiten klarer werden. Das neue EU AI Office soll als zentrale Aufsicht über die mächtigsten Modelle fungieren und für kohärente Kontrolle sorgen.

Ob das ausreicht, um die europäische Wettbewerbsfähigkeit zu stärken? Kritiker argumentieren, dass US- und chinesische Firmen bereits mit weniger Auflagen davonziehen. Befürworter halten dagegen: Gerade die strengen Standards könnten zum Wettbewerbsvorteil werden, wenn Vertrauen zum entscheidenden Faktor wird.

Was Unternehmen jetzt tun müssen

Die Kernbotschaft für Firmen lautet: abwarten und vorbereiten. Die vorgeschlagenen Anpassungen müssen noch den EU-Gesetzgebungsprozess durchlaufen – Änderungen sind möglich. Doch selbst bei einer Verschiebung bleiben die grundsätzlichen Anforderungen bestehen.

Wer auf Hochrisiko-KI setzt, sollte bereits jetzt Risikomanagement, Datenqualität und Dokumentation auf Vordermann bringen. Gleichzeitig empfiehlt sich Flexibilität in den Umsetzungsplänen, um auf Fristverschiebungen reagieren zu können. Die kommenden Monate werden zeigen, ob die EU ihre ambitionierte Regulierung tatsächlich praktikabel gestalten kann.

Eines ist sicher: Der AI Act bleibt Neuland – für Unternehmen wie Regulierer. Ob das Vereinfachungspaket den erhofften Durchbruch bringt oder nur Symptome eines überambitionierten Projekts lindert, wird sich erst in der Praxis erweisen. Europa experimentiert mit der Zukunft der KI-Regulierung – und die ganze Welt schaut zu.