EU-KI-Verordnung: Brüssel verschiebt Fristen und startet Sandbox-Konsultation

Die Europäische Kommission dreht gleichzeitig am Gas- und am Bremspedal: Während Unternehmen noch die Verbotspflichten bis Februar 2025 umsetzen, öffnet Brüssel einen neuen Innovationskanal – und schlägt massive Fristverlängerungen für Hochrisiko-KI vor. Doch was bedeutet das konkret für betroffene Unternehmen?

Seit gestern liegt eine neue Analyse des Wirtschafts-Think-Tanks Bruegel vor, die den wachsenden „Compliance-Stau” in europäischen Digitalmärkten beleuchtet. Die Dringlichkeit unterstreicht: Die Kommission setzt eine strikte Frist bis zum 6. Januar 2026 für Rückmeldungen zu regulatorischen Sandboxes. Unternehmen haben kaum vier Wochen Zeit, die Spielregeln ihrer künftigen KI-Entwicklung mitzugestalten.

Am 2. Dezember 2025 startete die Europäische Kommission eine öffentliche Konsultation zum Durchführungsrechtsakt für KI-Regulierungssandboxes. Das Zeitfenster ist knapp bemessen – Frist: 6. Januar 2026.

Was nach technischem Verwaltungsakt klingt, ist für Compliance- und Governance-Teams eine strategische Chance. In diesen kontrollierten Umgebungen können Anbieter KI-Systeme unter behördlicher Aufsicht entwickeln, trainieren und testen, bevor sie auf den Markt kommen. Die Strafen drohen vorerst nicht – sofern der spezifische „Sandbox-Plan” eingehalten wird.

Passend zum Thema Regulierung: Die EU-KI-Verordnung bringt Verpflichtungen, Kennzeichnungspflichten und Übergangsfristen, die viele Unternehmen überraschen. Unser kostenloser Umsetzungsleitfaden fasst die wichtigsten Anforderungen, Risikoklassifizierung und Dokumentationspflichten kompakt zusammen — ideal für Compliance-, Entwicklungs- und Produktteams, die jetzt schnell handeln müssen. Mit praxisnahen Checklisten und Handlungsschritten erkennen Sie, welche Systeme Hochrisiko sind und welche Fristen gelten. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Die wichtigsten Eckpunkte des Entwurfs:

• KMU-Zugang: Der Entwurf betont vereinfachten Zugang für kleine und mittlere Unternehmen. Sie können innovative KI-Systeme erproben, ohne sofortige Sanktionen befürchten zu müssen.
• Grenzüberschreitende Tests: Das Papier skizziert Mechanismen zur Kooperation zwischen nationalen Behörden. Multinationalen Konzernen könnte das Flickwerk unterschiedlicher Durchsetzungsregeln erspart bleiben.
• Datenschutz-Lockerungen: Sandbox-Teilnehmer dürfen unter strengen Bedingungen personenbezogene Daten für Trainingsmodelle nutzen – auch wenn dies normalerweise unter der DSGVO eingeschränkt wäre. Zweck: Bias-Erkennung und Korrektur.

„Das kurze Zeitfenster bis zum 6. Januar signalisiert: Die Kommission will diese Sandboxes betriebsbereit haben, bevor die vollen Hochrisiko-Pflichten greifen”, analysiert eine Brüsseler Großkanzlei. Unternehmen sollten den Entwurfstext sofort prüfen, damit Zulassungskriterien nicht versehentlich ihre spezifischen Anwendungsfälle ausschließen.

Digital Omnibus: Atempause oder strategische Falle?

Während die Sandbox-Konsultation sofortiges Handeln erfordert, wirbelt das Digital-Omnibus-Gesetz die gesamte Compliance-Planung durcheinander. Die Kommission veröffentlichte das Legislativpaket am 19. November 2025.

Neue Rechtsanalysen dieser Woche bestätigen: Der Omnibus-Vorschlag zielt darauf ab, die Anwendungsfristen für Hochrisiko-KI-Systeme erheblich zu verschieben. Ursprünglich sollten die Pflichten ab 2. August 2026 gelten – nun ist eine Verschiebung bis zur Verfügbarkeit harmonisierter Standards geplant.

Vorgeschlagene neue Fristen:

• Annex-III-Systeme (eigenständige Hochrisiko-KI): Pflichten verschoben auf den 2. Dezember 2027. Betroffen sind KI-Anwendungen in Personalwesen, Kreditvergabe und kritischer Infrastruktur.
• Annex-I-Systeme (Sicherheitskomponenten): Pflichten verschoben auf den 2. August 2028. Das gilt für KI in regulierten Produkten wie Medizingeräten, Maschinen und Spielzeug.

Laut einer Mandanteninformation der Kanzlei Morrison Foerster und weiteren Rechtsexperten ist diese Verschiebung eine direkte Reaktion auf Verzögerungen bei der Fertigstellung harmonisierter Standards (CEN/CENELEC). Ohne diese Standards fehlen Unternehmen die technischen Spezifikationen, um Konformität nachzuweisen.

Governance-Experten warnen jedoch vor falscher Sicherheit. „Eine Verschiebung ist keine Streichung”, mahnt die Bruegel-Analyse vom 8. Dezember. Die Komplexität der Anforderungen – insbesondere bei Daten-Governance und Grundrechte-Folgenabschätzungen – bleibt unverändert.

Bruegel-Analyse: Der Compliance-Flaschenhals

Die am 8. Dezember 2025 veröffentlichte Bruegel-Studie beleuchtet die Reibung zwischen sich entwickelnden Regulierungen und Marktrealität. Der Bericht untersucht das Vordringen von KI in zentrale digitale Dienste wie Suche und Werbung – und argumentiert, dass die aktuellen Governance-Rahmen mit dem Tempo der KI-Einführung kaum Schritt halten.

Bruegel-Experten weisen darauf hin: Während das Digital Omnibus administrative Lasten reduzieren will (angestrebt sind 25-35 Prozent weniger Aufwand), schaffen die überlappenden Anforderungen von KI-Verordnung, DSGVO und Digital Services Act (DSA) ein „Compliance-Dickicht”, das Innovation ersticken könnte.

Für Governance-Teams lautet die Botschaft klar: Integrierte Governance ist keine Option mehr, sondern Pflicht. Der Siloansatz – bei dem Datenschutz-, KI-Ethik- und Cybersecurity-Teams unabhängig agieren – funktioniert nicht. Die Bruegel-Analyse impliziert: Erfolgreiche Compliance erfordert eine einheitliche „Digital-Governance”-Funktion, die diese verzahnten Regelwerke navigieren kann.

Handlungsplan: Dezember 2025 bis Januar 2026

Trotz Ferienzeit haben Compliance-Teams ein dichtes Arbeitsprogramm. Die unmittelbare To-do-Liste für KI-Governance umfasst:

1. Feedback zu Sandboxes einreichen (Frist: 6. Januar): Entwurf des Durchführungsrechtsakts prüfen. Wenn Ihre Organisation auf „Real-World-Testing” für Produktvalidierung angewiesen ist, stellen Sie sicher, dass die Sandbox-Regeln flexibel genug sind.

2. Compliance-Roadmaps aktualisieren: Interne Zeitpläne an die potenzielle Dezember-2027-Verschiebung für Hochrisiko-Systeme anpassen. Aber Achtung: Die Februar-2025-Frist für verbotene Praktiken (etwa Social Scoring, biometrische Kategorisierung) gilt bereits.

3. GPAI-Verhaltenskodex überwachen: Der Verhaltenskodex für allgemeine KI (General Purpose AI) wurde im Juli 2025 finalisiert. Anbieter großer Modelle sollten ihre Dokumentation bereits abgleichen. Nachgelagerte Anwender müssen prüfen, ob ihre Lieferanten Unterzeichner sind.

Ausblick: Entscheidende sechs Wochen

Die kommenden sechs Wochen werden wegweisend. Nach Ende der Sandbox-Konsultation am 6. Januar 2026 dürfte die Kommission den Text zügig finalisieren – Ziel: erste Sandboxes Mitte 2026. Parallel debattieren Europäisches Parlament und Rat den Digital-Omnibus-Vorschlag. Wird die Verschiebung abgelehnt oder modifiziert, könnten Unternehmen plötzlich wieder der ursprünglichen August-2026-Frist entgegenlaufen.

Die Botschaft aus Brüssel lautet derzeit „kontrolliertes Tempo”: Bewegen Sie sich schnell, um die Regeln mitzugestalten (Sandboxes) – aber bereiten Sie sich auf einen längeren Marathon bei der vollständigen Compliance vor (Omnibus-Verschiebung).

Kein Wunder also, dass die Reaktionen in der Industrie zwischen Erleichterung und nervöser Anspannung schwanken. Die Frage bleibt: Nutzen Unternehmen die gewonnene Zeit wirklich für strukturelle Governance-Reformen – oder verschieben sie das Problem nur in die Zukunft?

Hinweis: Dieser Artikel bietet allgemeine Informationen und stellt keine Rechtsberatung dar. Unternehmen sollten sich bezüglich ihrer spezifischen Compliance-Pflichten unter der KI-Verordnung und verwandten Regelungen anwaltlich beraten lassen.

PS: Nutzen Sie die gewonnene Zeit durch mögliche Fristverschiebungen, um Ihre Dokumentation und Risk-Assessments rechtssicher aufzusetzen. Das gratis E‑Book zur KI-Verordnung erklärt praxisnah, wie Sie Kennzeichnung, Risikobewertung und erforderliche Nachweise strukturiert umsetzen — inklusive Vorlagen für technische Dokumentation und Governance-Checks. Perfekt, um Verantwortungsträger und Lieferanten abzustimmen und Bußgelder zu vermeiden. Gratis-Leitfaden zur KI-Verordnung sichern