EU verschärft KI-Regulierung: Neue Fristen und Transparenzpflichten

Mit dem Paket „Digital Omnibus on AI“ kommen ab Sommer 2026 strenge Transparenzregeln – doch für Hochrisiko-Systeme gibt es längere Übergangsfristen.

Zeitgewinn für Hochrisiko-KI

Das Kernproblem der ursprünglichen KI-Verordnung war die sogenannte „Doppelkonformität“. KI-Systeme mussten sowohl die Anforderungen des AI Acts als auch bestehende Produktsicherheitsgesetze erfüllen – etwa für Medizinprodukte oder Industriemaschinen. Der nun beschlossene Omnibus räumt diese Überschneidungen aus.

Die neuen EU-Regeln stellen Unternehmen vor komplexe Herausforderungen bei der Kennzeichnung und Risikodokumentation ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden verschafft Ihrer Rechts- und IT-Abteilung den notwendigen Überblick über alle Fristen und Risikoklassen. EU AI Act in 5 Schritten verstehen

Die neuen Fristen im Überblick:
- Standalone-Hochrisiko-KI (Biometrie, Bildung, Personalwesen): muss bis zum 2. Dezember 2027 konform sein
- KI in regulierten Produkten (Medizintechnik, Aufzüge, Industrieanlagen): 2. August 2028
- Industriemaschinen sind weitgehend aus dem AI Act herausgenommen – hier zählt künftig die bestehende Maschinenverordnung

Branchenexperten rechnen mit Kosteneinsparungen von 20 bis 30 Prozent für betroffene Unternehmen. Zudem profitieren künftig nicht nur kleine und mittlere Unternehmen (KMU), sondern auch „Small Mid-Caps“ – Firmen mit bis zu 1.500 Mitarbeitern oder einem Jahresumsatz von bis zu 200 Millionen Euro.

Vier Säulen der Transparenz

Während die Industrie bei Hochrisiko-Anwendungen mehr Zeit bekommt, zieht die EU-Kommission bei der Kennzeichnungspflicht die Zügel an. Die am 11. Mai 2026 veröffentlichten Leitlinien zu Artikel 50 des AI Acts definieren vier Bereiche:

Erstens: Interaktive KI-Systeme wie Chatbots müssen sich als nicht-menschlich zu erkennen geben. Zweitens: Synthetische Inhalte – Bilder, Videos, Texte – brauchen eine maschinenlesbare Markierung. Neue Systeme müssen dies ab dem 2. August 2026 umsetzen, Bestandssysteme haben bis zum 2. Dezember 2026 Zeit für sichtbare Wasserzeichen.

Drittens: Anbieter von Emotionserkennung oder biometrischer Kategorisierung müssen betroffene Personen informieren. Viertens: Deepfakes und KI-generierte Texte zu öffentlichen Themen müssen gekennzeichnet werden – Ausnahmen gibt es für Kunst, Satire und private Nutzung. Reine Hilfsfunktionen wie Rechtschreibprüfungen fallen nicht unter die Regelung.

Die Kommission hat eine Konsultation zu den Leitlinien gestartet, die bis zum 3. Juni 2026 läuft.

Scharfe Verbote: Deepfakes und Nudifier

Die Reform bringt sofortige Verbote für besonders gefährliche KI-Praktiken. Neu untersagt ist der Einsatz von Deepfakes zur Täuschung bei Finanztransaktionen – eine Reaktion auf einen spektakulären Betrugsfall im Februar 2024 mit einem Schaden von 25 Millionen Euro.

Ebenfalls verboten: „Nudifier“-Anwendungen, die nicht-einvernehmliche intime Bilder erstellen, sowie KI-generierte Darstellungen sexuellen Missbrauchs von Kindern (CSAM).

Die Strafen sind drastisch:
- Verstöße gegen Transparenzregeln: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes
- Verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes

Die Verbote treten sechs Monate nach der formellen Annahme des Omnibus-Pakets in Kraft – voraussichtlich am 2. Dezember 2026.

Hinweisgeberschutz wird zum Compliance-Thema

Die Verschärfung des AI Acts trifft auf eine wachsende Compliance-Kultur in Deutschland. Seit Frühjahr 2026 drohen mittelständischen Unternehmen mit mindestens 50 Mitarbeitern Bußgelder von bis zu 50.000 Euro, wenn sie keine internen Meldekanäle nach dem Hinweisgeberschutzgesetz (HinSchG) eingerichtet haben.

Da Unternehmen künftig auch KI-Risiken in ihre internen Meldesysteme integrieren müssen, ist eine rechtssichere Organisation entscheidend. Dieser Praxisleitfaden hilft HR- und Compliance-Verantwortlichen dabei, interne Meldestellen DSGVO-konform aufzubauen und teure Bußgelder zu vermeiden. Kostenlosen Praxisleitfaden zum HinSchG sichern

Der AI Act wird diese Pflichten ab dem zweiten Quartal 2026 weiter ausdehnen. Unternehmen müssen KI-Risiken in ihre bestehenden Compliance-Systeme integrieren. Rechtsexperten empfehlen einen 60-Tage-Implementierungsplan, um interne Meldesysteme an die neuen technischen und ethischen Standards anzupassen.

Ein aktuelles Urteil des Arbeitsgerichts Koblenz vom 11. Mai 2026 zeigt die Fallstricke: Die Meldung von Verstößen schützt nicht automatisch vor Kündigung – der Arbeitnehmer muss einen kausalen Zusammenhang zwischen Meldung und Entlassung nachweisen. Transparente, dokumentierte interne Untersuchungen sind daher unerlässlich.

Analyse: Pragmatischer Kurswechsel

Der „Digital Omnibus“ ist ein strategisches Signal: Die EU will ihre hohen Sicherheitsstandards halten, ohne die industrielle Innovation zu ersticken. Die verlängerten Fristen für Hochrisiko-Systeme zeigen, dass die technischen Hürden – von Risikomanagement-Dokumentation bis zur Korrektur algorithmischer Verzerrungen – mehr Vorbereitungszeit brauchen als die ursprüngliche Version von 2024 vorsah.

Eine wichtige technische Neuerung: Die Nutzung sensibler Daten zur Bias-Korrektur ist nun ausdrücklich erlaubt. Entwickler dürfen geschützte Kategorien verwenden, um algorithmische Diskriminierung zu erkennen und zu beseitigen – ein entscheidender Schritt für faire KI-Systeme in Bereichen wie Personalauswahl oder Strafverfolgung.

Ausblick: Gestaffelte Umsetzung

Die formelle Annahme des Omnibus-Pakets durch Parlament und Rat gilt als Formsache. Für Unternehmen bedeutet dies eine gestaffelte Agenda:

• Bis August 2026: Transparenz-Markierungen einführen, verbotene Anwendungen wie Nudifier abschalten
• Bis Dezember 2026: Bestandssysteme mit Wasserzeichen versehen, Deepfake-Verbote umsetzen
• Ab 2027: Technische Dokumentation für Standalone-Hochrisiko-Systeme erstellen

Die laufende Konsultation der Kommission zu den Transparenz-Leitlinien (Ende Juni 2026) wird die finalen technischen Spezifikationen liefern. Wer die neuen Anforderungen nicht in bestehende Datenschutz- und Compliance-Strukturen integriert, riskiert empfindliche Strafen.

de | wirtschaft | 69308153 |