EU verschiebt KI-Regeln: Mehr Zeit für Unternehmen bei Hochrisiko-Systemen

Die Europäische Union hat einen Kompromiss gefunden, der Unternehmen deutlich mehr Zeit für die Umsetzung strenger KI-Vorschriften gibt. Am 7. Mai einigten sich Unterhändler von Parlament und Rat auf das „AI Digital Omnibus“-Paket. Während bestimmte Transparenzpflichten und Verbote bereits Ende 2026 in Kraft treten, wurden die Fristen für komplexe industrielle und eingebettete KI-Anwendungen um mehr als ein Jahr verschoben. Grund dafür sind Bedenken der Industrie bezüglich der Umsetzungskomplexität.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen, klärt dieser kostenlose Report auf. Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun?

Neue Fristen für Hochrisiko-KI

Der Kern der Einigung betrifft die zeitliche Verschiebung der Pflichten für Hochrisiko-KI-Systeme nach Anhang III des KI-Gesetzes. Dazu zählen Anwendungen in kritischer Infrastruktur, Bildung und Personalwesen. Sie müssen nun erst bis zum 2. Dezember 2027 vollständig konform sein – statt wie ursprünglich geplant Mitte 2026.

Noch mehr Zeit erhalten Hersteller, deren Hochrisiko-KI als Sicherheitskomponente in bereits regulierte Produkte wie Medizinprodukte oder Spielzeug integriert ist. Sie haben bis zum 2. August 2028 Zeit, ihre Systeme anzupassen. Die Verlängerung soll Branchen mit langen Entwicklungszyklen entlasten, die ohnehin schon unter bestehenden Regulierungen arbeiten.

Das Omnibus-Paket klärt zudem das Verhältnis zwischen KI-Gesetz und Maschinenverordnung. Industrielle KI in Maschinen ist weitgehend von den direkten Hochrisiko-Anforderungen des KI-Gesetzes ausgenommen – sie wird künftig primär durch branchenspezifische Regeln gesteuert. Ein Schritt, der die langjährige Sorge des produzierenden Gewerbes vor widersprüchlichen Rechtsvorschriften adressiert.

Transparenzpflichten kommen wie geplant

Trotz der Verzögerungen bei Hochrisiko-Systemen hält Brüssel an den Transparenzregeln fest. Bereits am 8. Mai veröffentlichte die EU-Kommission einen Entwurf der Leitlinien zu Artikel 50 des KI-Gesetzes. Dieser regelt, wie KI-Systeme mit Nutzern interagieren und sie informieren müssen. Die Regeln werden am 2. August 2026 in Kraft treten.

Konkret bedeutet das: Betreiber interaktiver KI wie Chatbots müssen sicherstellen, dass Nutzer erkennen, dass sie mit einer Maschine kommunizieren. Generative KI-Systeme müssen ihre Ausgaben in einem maschinenlesbaren Format kennzeichnen. Unternehmen, die Emotionserkennung oder Deepfakes einsetzen, stehen vor strengen Offenlegungspflichten. Für generative KI-Systeme, die bereits vor Inkrafttreten der Transparenzregeln auf dem Markt waren, gibt es eine Übergangsfrist bis zum 2. Dezember 2026.

Ein neues individuelles Recht entsteht ebenfalls im August 2026: Artikel 86 des KI-Gesetzes gibt Personen, die von einer Entscheidung eines Hochrisiko-KI-Systems erheblich betroffen sind, das Recht auf eine klare und verständliche Erklärung der zugrundeliegenden Logik. Dieses Recht geht über den bestehenden Datenschutz hinaus und zwingt Unternehmen, bis zum Sommer robuste Prozesse für menschliche Aufsicht und Transparenz zu etablieren.

Neue Verbote und Entlastung für kleine Unternehmen

Die vorläufige Einigung sieht ein spezifisches Verbot vor, das den Missbrauch generativer Technologien unterbindet. Ab dem 2. Dezember 2026 ist die Erstellung nicht-einvernehmlicher intimer Bilder mit KI-Tools – sogenanntes „KI-generiertes Missbrauchsmaterial“ – in der gesamten Union strikt verboten. Diese Maßnahme wurde im Omnibus-Paket vorgezogen, um dringende gesellschaftliche Risiken durch Deepfake-Technologie einzudämmen.

Um die strengen Regeln auszugleichen, hat die EU die Ausnahmen für kleine und mittlere Unternehmen (KMU) erweitert. Künftig können auch „Small Mid-Cap“-Unternehmen von reduzierten Bürokratielasten und regulatorischen Testräumen profitieren. Ziel ist es, die europäische Innovationskraft nicht durch hohe Compliance-Kosten zu ersticken, die Großkonzerne leichter stemmen können.

Der Standard der „strengen Notwendigkeit“ für die Datenverarbeitung bei der Korrektur von Verzerrungen in KI-Modellen wurde in den letzten Verhandlungen wiederhergestellt. Entwickler dürfen sensible personenbezogene Daten verarbeiten, um diskriminierende Muster in ihren Algorithmen zu identifizieren und zu beseitigen – vorausgesetzt, sie halten strenge Datenschutzvorkehrungen ein.

Hintergrund und regulatorische Analyse

Das KI-Gesetz trat ursprünglich am 1. August 2024 in Kraft. Erste Verbote für Hochrisiko-Praktiken wie Social Scoring und Echtzeit-Gesichtserkennung galten bereits ab dem 2. Februar 2025. Doch die Komplexität der erforderlichen technischen Standards – etwa die derzeit unter der Normenreihe prEN 18286 entwickelten – führte im November 2025 zum Vorschlag des Digital Omnibus.

Angesichts der neuen EU-Anforderungen unterschätzen viele Firmen die Risiken des AI Acts. Dieser kostenlose Leitfaden verschafft Ihnen den nötigen Überblick über Fristen, Pflichten und Risikoklassen, den Ihre IT-Abteilung jetzt braucht. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Parallel zur KI-spezifischen Gesetzgebung bleibt der Europäische Datenschutzausschuss (EDSA) aktiv. Am 16. April 2026 lieferte er Klarstellungen zur Datenverarbeitung für wissenschaftliche Forschung und führte das erste europäische Datenschutzsiegel für internationale Transfers ein. Große Technologieanbieter passen zudem ihre rechtliche Stellung in der Region an: Seit dem 2. April 2026 agiert Google für viele seiner Dienste offiziell als „Auftragsverarbeiter“ gemäß der DSGVO – ein Zeichen für den wachsenden Druck auf Tech-Giganten, sich europäischen Datenschutzstandards anzupassen.

Die finanziellen Risiken bei Verstößen bleiben hoch. Verstöße gegen verbotene KI-Praktiken können mit Geldstrafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden. Bei Transparenzverstößen nach dem neu geklärten Artikel 50 drohen Strafen von bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes.

Ausblick auf die Umsetzung

Die vorläufige Einigung vom 7. Mai 2026 muss noch formell vom Europäischen Rat und dem Europäischen Parlament verabschiedet werden. Beobachter rechnen mit einem Abschluss dieses Prozesses vor dem nächsten großen regulatorischen Meilenstein am 2. August 2026.

Für Unternehmen beginnen nun intensive Monate der Klassifizierung. Die Verschiebung der Hochrisiko-Fristen verschafft zwar Luft, doch die August-Frist für Transparenz und die Dezember-Frist für die Kennzeichnung generativer KI erfordern sofortiges Handeln. Branchenexperten empfehlen, jetzt umfassende Audits des eigenen KI-Portfolios durchzuführen: Welche Systeme fallen unter die sofortigen Transparenzpflichten? Welche profitieren von den verlängerten Hochrisiko-Fristen? Die EU-Kommission will ihre Leitlinien zur Transparenz vor Ende Juli 2026 finalisieren – nach einer Konsultationsphase, die am 3. Juni 2026 endet.

de | wirtschaft | 69337695 |