KI-Regulierung: EU verschiebt Hochrisiko-Fristen bis 2027 und 2028

Mit dem „Digital Omnibus“-Paket und neuen Leitlinien für Hochrisiko-Systeme bekommen Unternehmen einen klareren – aber auch komplexeren – Fahrplan für die Compliance.

Digital Omnibus verschiebt Fristen für Hochrisiko-KI

Der am 7. Mai 2026 erzielte Trilog-Kompromiss zwischen EU-Kommission, Parlament und Rat bringt wesentliche Änderungen am EU AI Act, der seit 2024 in Kraft ist. Die ursprünglich früher geplanten Fristen für Hochrisiko-KI-Systeme werden deutlich nach hinten verlegt. Für eigenständige Hochrisiko-Anwendungen – etwa in der kritischen Infrastruktur – gilt der neue Stichtag 2. Dezember 2027. Noch mehr Zeit haben Hersteller von KI-Systemen, die in Produkte integriert sind: Sie müssen bis zum 2. August 2028 die neuen Anforderungen erfüllen.

Während die Fristen für Hochrisiko-Systeme angepasst wurden, gelten viele andere Pflichten der neuen Verordnung bereits seit August 2024. Dieser kostenlose Leitfaden hilft Ihrer Rechts- und IT-Abteilung, bei Risikoklassen und Dokumentationspflichten den Überblick zu behalten. EU AI Act in 5 Schritten verstehen: Kostenloser Download

Kleine und mittlere Unternehmen mit weniger als 250 Mitarbeitern und einem Jahresumsatz unter 50 Millionen Euro profitieren von erleichterten Dokumentationspflichten. Auch generative KI-Modelle unterhalb einer Rechenleistung von 10^25 FLOPs sind von den strengsten Auflagen befreit. Mittelständler mit 250 bis 749 Beschäftigten gehen allerdings leer aus.

Verspätete Leitlinien sorgen für Klarheit

Erst am 19. Mai 2026 – drei Monate nach dem ursprünglichen Termin – veröffentlichte die EU-Kommission den Entwurf der Leitlinien für Hochrisiko-KI. Die öffentliche Konsultation läuft noch bis zum 23. Juni 2026. Die Richtlinien definieren, welche Systeme unter Artikel 6 fallen – sowohl produktintegrierte als auch eigenständige Anwendungen in acht spezifischen Bereichen.

KI-Kompetenz wird zur Pflicht

Seit Februar 2025 gilt bereits Artikel 4 des AI Act: Anbieter und Betreiber müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das Drei-Stufen-Modell sieht strategische Schulungen für Vorstände, operative Kenntnisse für Fachabteilungen und anwendungsspezifische Fähigkeiten für alle Nutzer vor. Zwar gibt es kein eigenes Bußgeld für Verstöße – doch Experten warnen: Bei Schadensfällen wird die fehlende Schulung schnell zur Haftungsfalle.

Besonders brisant: In Hochrisiko-Bereichen wie Personalauswahl, Beförderungen und Kündigungen müssen Unternehmen Transparenz, Dokumentation und Schulung für jedes eingesetzte KI-System nachweisen. Das ist dringend nötig: Eine aktuelle Studie zeigt, dass die KI-Nutzung in Unternehmen von 59 Prozent (2025) auf 75 Prozent (2026) gestiegen ist. Gleichzeitig hat ein Drittel der Firmen noch immer keine formelle KI-Richtlinie. Und 15 Prozent der Beschäftigten zahlen für ihre KI-Tools aus eigener Tasche.

Datenschutz und KI: Ein schwieriges Paar

Am 25. Mai 2026 feierte die DSGVO ihren zehnten Geburtstag – und die Schnittstelle zwischen Datenschutz und KI bereitet Compliance-Verantwortlichen zunehmend Kopfzerbrechen. Viele technische und organisatorische Maßnahmen aus den Jahren 2018 bis 2022 gelten heute als unzureichend. Aktuelle Zahlen belegen: 63 Prozent der Organisationen können Zweckbindungen für KI-Agenten nicht durchsetzen, 60 Prozent sind nicht in der Lage, fehlgesteuerte Agenten rechtzeitig zu stoppen.

Compliance-Experten warnen davor, die neuen Anforderungen des EU AI Acts zu ignorieren, da bei Verstößen empfindliche Strafen drohen. Sichern Sie Ihr Unternehmen rechtlich ab und nutzen Sie den kostenlosen Umsetzungsleitfaden mit allen relevanten Übergangsfristen. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Deutsche Gerichte setzen klare Grenzen

Die Rechtsprechung verschärft den Druck zusätzlich. Das Landgericht München I entschied am 11. November 2025: Die Speicherung geschützter Inhalte in den Parametern eines KI-Modells stellt eine Urheberrechtsverletzung dar. Das Oberlandesgericht Hamburg urteilte im Dezember 2025, dass „Opt-out“-Erklärungen gegen KI-Datensammlung in maschinenlesbarem Format vorliegen müssen, um rechtlich wirksam zu sein.

Mehrere deutsche Gerichte bestätigten zudem: KI-generierte Inhalte sind nur dann urheberrechtlich schützbar, wenn nachweisbar menschliche kreative Entscheidungen zugrunde liegen. Diese Rechtsprechung harmoniert mit den kommenden Transparenzpflichten aus Artikel 50 des AI Act, die ab dem 2. August 2026 die Kennzeichnung KI-generierter Inhalte vorschreiben.

Transparenzpflichten und Strafen im Überblick

Während die Hochrisiko-Fristen nach hinten rutschen, rücken andere Termine näher. Bis zum 2. Dezember 2026 müssen Unternehmen Wasserzeichen und Transparenzlösungen für KI-Inhalte implementieren. Am selben Tag tritt ein vollständiges Verbot von „Nudifier“-Apps und KI-generiertem Missbrauchsmaterial in Kraft.

Die finanziellen Risiken bleiben hoch: Bußgelder nach dem AI Act können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen. Im weiteren Datenschutzkontext haben die Behörden bis März 2026 bereits 6,11 Milliarden Euro an DSGVO-Strafen verhängt. Der Bundesgerichtshof stellte im Januar 2025 zudem klar: Für Datenfehler haften Unternehmen – 500 Euro Schadensersatz für eine unrechtmäßige Datenweitergabe an eine Auskunftei waren die Folge.

Ausblick: Was Unternehmen jetzt tun müssen

Der Gesetzgebungsprozess ist noch nicht abgeschlossen. Die formelle Verabschiedung des „Digital Omnibus“ durch Parlament und Rat wird für Juni 2026 erwartet. Ein delegierter Rechtsakt soll bis September 2026 folgen.

Für Unternehmen bedeutet das: Die kommenden Monate erfordern eine rigorose Bestandsaufnahme aller KI-Assets. Entscheidend ist die klare Abgrenzung zwischen „Anbietern“ und „Betreibern“ – denn wer ein bestehendes Modell nachtrainiert, kann rechtlich schnell zum Anbieter werden. Ein umfassendes KI-Asset-Register und attributbasierte Zugriffskontrollen (ABAC) werden zum unverzichtbaren Bestandteil moderner Compliance-Strategien.

de | wirtschaft | 69426139 |