KI-Verordnung: EU-Kommission verzögert entscheidende Regeln für Unternehmen

Die Umsetzung der europäischen KI-Verordnung gerät ins Stocken. Unternehmen stehen vor einem unklaren Rechtsrahmen, weil die EU-Kommission Fristen für zentrale Leitlinien verpasst hat. Das gefährdet die Planungssicherheit für Hunderte Firmen in Deutschland und Europa.

Fehlender Fahrplan für Hochrisiko-KI

Das Herzstück des KI-Gesetzes ist die Risikoklassifizierung. Für Systeme mit hohem Risiko – etwa in Medizingeräten, im Personalwesen oder bei Kreditprüfungen – gelten die strengsten Auflagen. Um einzuordnen, ob ihre Technologie darunterfällt, brauchen Unternehmen klare Leitlinien zu Artikel 6 des Gesetzes.

Angesichts der unklaren Rechtslage bei der KI-Klassifizierung bietet dieser kompakte Leitfaden eine wichtige Orientierungshilfe zu den neuen EU-Pflichten. EU-KI-Verordnung kompakt: Jetzt kostenloses E-Book sichern

Diese hätten bis zum 2. Februar 2026 vorliegen müssen. Doch die Kommission hat diese gesetzliche Frist verpasst. Es ist bereits die zweite Verschiebung. Grund seien umfangreiche Stellungnahmen aus der Industrie, die noch bearbeitet werden müssten, so offizielle Stellen.

Für Compliance-Abteilungen ist diese Unklarheit ein großes Problem. Ohne konkrete Kriterien können sie weder notwendige Grundrechte-Folgenabschätzungen vornehmen noch Qualitätsmanagementsysteme aufbauen. Zudem fehlt in vielen EU-Staaten noch die Infrastruktur: Nicht alle Mitgliedsländer haben die nationalen Aufsichtsbehörden benannt, die für die Kontrolle zuständig sind.

„Digital Omnibus“ könnte alles verschieben

Die Verwirrung wird durch ein weiteres Gesetzespaket verstärkt: den „Digital Omnibus“. Dieses Vorhaben der Kommission aus dem Spätjahr 2025 zielt auf regulatorische Vereinfachung und mehr Wettbewerbsfähigkeit ab. Es wird derzeit intensiv im Gesetzgebungsverfahren beraten.

Kernpunkt ist ein möglicher Schwenk bei den Fristen. Eigentlich sollten die Regeln für eigenständige Hochrisiko-KI-Systeme im August 2026 in Kraft treten. Der Omnibus-Vorschlag will dies jedoch an die tatsächliche Verfügbarkeit von Hilfsmitteln knüpfen – etwa harmonisierte technische Normen. Das könnte die Frist um bis zu 16 Monate nach hinten schieben.

Rechtsexperten sehen darin eine zweischneidige Entwicklung. Einerseits brächte es Entlastung für Technologieanbieter und Medizingerätehersteller. Andererseits verlängert es die Phase der rechtlichen Unsicherheit. Das Paket erweitert auch die Möglichkeiten für regulatorische Sandboxes, in denen Hochrisiko-Systeme unter Aufsicht getestet werden können.

Wettlauf um globale Standards

Während die Hochrisiko-Regeln wackeln, laufen die Fristen für allgemeine KI-Modelle (GPAI) weiter. Deren Pflichten gelten bereits seit August 2025. Die Durchsetzung durch das neue europäische KI-Amt soll im August 2026 beginnen.

Compliance-Teams in führenden KI-Laboren bereiten bereits ihre ersten Sicherheitsberichte vor. Eine große Herausforderung ist die Abstimmung mit internationalen Rahmenwerken. Führungskräfte im Risikomanagement vergleichen die EU-Vorgaben intensiv mit globalen Leitlinien wie dem US-amerikanischen NIST AI Risk Management Framework oder der ISO/IEC 42001 Norm.

Die Industrie drängt darauf, dass die EU gemeinsame technische Vokabulare übernimmt und internationale Bewertungsgrundlagen anerkennt. Ein rein europäischer Ansatz könnte für globale Konzerne zu doppelten Audit-Kosten führen. Ein interoperabler Standard dagegen könnte die EU-Regeln zum weltweiten Maßstab für KI-Sicherheit machen.

Doppelbelastung für die Wirtschaft

Die aktuelle Lage stellt Unternehmen vor ein Dilemma. Umfragen von Wirtschaftsverbänden zeigen, dass viele kleinere Technologiefirmen noch keine formale Risikoklassifizierung für ihre KI-Systeme vorgenommen haben – eine Grundvoraussetzung des Gesetzes. Die Bußgelder für Verstöße gegen bereits seit Februar 2025 verbotene Praktiken können bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes betragen.

Gleichzeitig verändert das Gesetz bereits jetzt die Unternehmensführung. Systeme zum algorithmischen Management und für Personalentscheidungen stehen unter schärferer Beobachtung. Datenschützer und Gewerkschaften begrüßen die neuen Transparenzpflichten, die Arbeitnehmern Einblick in Datenpraktiken geben. Kritiker warnen jedoch, dass Tech-Konzerne die Compliance womöglich nur als bürokratische Übung betrachten, ohne ihre datenethischen Grundsätze wirklich zu ändern.

Da die EU-KI-Verordnung bereits in Kraft ist, riskieren viele Unternehmen aufgrund fehlender Klassifizierungen unbeabsichtigte Bußgelder. Erfahren Sie in diesem Umsetzungsleitfaden, wie Sie Ihr KI-System rechtssicher dokumentieren. Kostenlosen Leitfaden zur KI-Verordnung herunterladen

Was jetzt auf Unternehmen zukommt

Die nächsten zwölf Monate werden entscheidend. Die Kommission steht unter Druck, die überfälligen Leitlinien endlich zu veröffentlichen. Parallel arbeiten europäische Normungsgremien unter Hochdruck an harmonisierten technischen Standards für Ende 2026.

Rechtsexperten raten Unternehmen dennoch, ihre Vorbereitungen nicht auf Eis zu legen. Der Aufbau robuster Governance-Strukturen, Investitionen in KI-Kompetenz für die Belegschaft und vorläufige Risikobewertungen sollten weitergehen. Wer auf absolute rechtliche Klarheit wartet, riskiert, überrollt zu werden, wenn das KI-Amt und nationale Behörden die volle Durchsetzung starten.