KI-Verordnung: EU plant Fristenaufschub, Datenschutz bleibt Pflicht

Die EU-Kommission will zentrale Fristen des neuen KI-Gesetzes verschieben – eine Atempause für Unternehmen, aber kein Freibrief. Denn die bestehenden Datenschutzpflichten gelten unverändert weiter.

Brüssel/Bonn, 06. Februar 2026 – Europas Unternehmen atmen vorerst auf: Die EU-Kommission schlägt vor, strenge Fristen der geplanten KI-Verordnung zu verschieben. Der Grund? Zu kurze Umsetzungszeiträume und fehlende technische Leitplanken. Doch Experten warnen: Der Druck, Datenschutz und Compliance jetzt anzugehen, bleibt hoch. Die Pflichten aus der Datenschutz-Grundverordnung (DSGVO) gelten für KI-Anwendungen uneingeschränkt.

Hochrisiko-KI: Mehr Zeit für die Umsetzung

Konkret sollen Anbieter und Nutzer von Hochrisiko-KI-Systemen entlastet werden. Diese KI, eingesetzt in sensiblen Bereichen wie Personalwesen, Kreditvergabe oder Medizin, sollte eigentlich ab August 2026 den vollen Regeln unterliegen. Nach dem neuen Plan könnten Teile der Umsetzung nun bis 2027 oder 2028 warten.

Hintergrund ist ein Mangel an fertigen EU-Standards. Diese sind für Unternehmen aber unerlässlich, um die komplexen gesetzlichen Vorgaben praktisch umzusetzen. Brüssel will mit der Verzögerung Rechtssicherheit schaffen und die Wettbewerbsfähigkeit europäischer Firmen wie SAP oder der Telekom stärken. Auch Transparenzpflichten für generative KI-Modelle wie ChatGPT könnten später greifen.

Viele Unternehmen unterschätzen die praktischen Pflichten der EU‑KI‑Verordnung – Kennzeichnung, Risikoklassifizierung und umfassende Dokumentation können schnell zu Compliance‑Risiken führen. Der kostenlose Umsetzungsleitfaden erklärt praxisnah, welche Anforderungen für Hochrisiko‑KI gelten, wie Sie Ihre Systeme korrekt klassifizieren und welche Nachweise Aufsichtsbehörden erwarten. Inklusive Checklisten für die Datenschutz‑Folgenabschätzung (DSFA) und Vorlagen für technische Dokumentation. Jetzt kostenlosen KI‑Verordnungs‑Leitfaden herunterladen

Keine Pause für den Datenschutz

Doch Vorsicht: Ein Aufschub bei der KI-Verordnung ist keine Entwarnung für den Datenschutz. „Unternehmen dürfen jetzt nicht in Untätigkeit verfallen“, warnt die Gesellschaft für Datenschutz und Datensicherheit (GDD). Die KI-Verordnung und die DSGVO sind zwei getrennte, aber eng verflochtene Regelwerke.

Während die KI-Verordnung Produktsicherheit regelt, schützt die DSGVO personenbezogene Daten – und die werden bei fast jeder KI-Anwendung verarbeitet. Ob beim Training des Algorithmus oder im täglichen Einsatz: Jede Datenverarbeitung muss lückenlos den DSGVO-Prinzipien wie Rechtmäßigkeit, Zweckbindung und Transparenz genügen. Unternehmen müssen also weiterhin Datenschutz-Folgenabschätzungen durchführen und klare Verantwortlichkeiten festlegen.

Doppelter Regulierungsdruck: DSGVO meets KI-Verordnung

Die wahre Herausforderung liegt im Zusammenspiel beider Vorgaben. Die Dokumentation eines Hochrisiko-KI-Systems ist zwingend für eine DSGVO-Folgenabschätzung nötig. Umgekehrt kann diese Abschätzung Grundlage für KI-spezifische Bewertungen sein.

Orientierungshilfen sind daher goldwert. Die GDD bietet Praxisleitfäden an, die den Regulierungsdschungel aus KI-Verordnung, DSGVO und dem ab 2025 geltenden Data Act lichten. Sie betonen: Datenschutzbeauftragte müssen ihr Wissen dringend erweitern, um in der KI-Ära kompetent beraten zu können.

Balanceakt zwischen Innovation und Schutz

Der Fristenaufschub zeigt den klassischen Zielkonflikt der EU: Einerseits will Brüssel einen globalen Standard für vertrauenswürdige KI setzen. Andererseits darf die Bürokratie die Wirtschaft nicht erdrücken. Die Reaktionen der Unternehmen machten deutlich, dass die ursprünglichen Fristen kaum zu schaffen waren.

Die Anpassung ist ein pragmatischer Schritt. Sie gibt Luft zum Atmen, ohne die Schutzziele aufzugeben. Doch die Unsicherheit über den endgültigen Zeitplan erhöht den Druck auf Compliance-Abteilungen, flexibel und vorausschauend zu planen.

Schulungspflicht gilt sofort – Handeln ist jetzt nötig

Eines bleibt sicher: Einige Pflichten laufen bereits. Seit Februar 2025 müssen Unternehmen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Der Gesetzgeber sieht den Menschen als zentral für den verantwortungsvollen KI-Einsatz.

Investitionen in Weiterbildung und internes Know-how dürfen nicht warten. Die kommenden Monate sollten für den Aufbau einer KI-Governance, interner Richtlinien und einer DSGVO-Konformitätsprüfung genutzt werden. Egal, wann die finale KI-Verordnung kommt: Der Weg zu einer datenschutzkonformen KI-Praxis beginnt heute.

PS: Fristen und Dokumentationspflichten der KI‑Verordnung sind komplex – und auch bei einem Fristenaufschub bleibt die DSGVO‑Pflicht bestehen. Sichern Sie sich den kostenlosen Umsetzungsleitfaden: Er zeigt, welche Übergangsfristen für Hochrisiko‑KI relevant sind, wie Sie Datenschutz‑Folgenabschätzungen (DSFA) richtig aufsetzen und welche Nachweise Behörden erwarten. Praxisnahe Vorlagen und eine Prioritätenliste helfen Compliance‑Teams, sofort zu handeln. Kostenlosen Umsetzungsleitfaden zur KI‑Verordnung sichern