EU AI Act: Compliance-Fristen für Hochrisiko-Systeme verzögern sich

Die Europäische Kommission rudert zurück: Ihr neues „Digital Omnibus”-Paket verschiebt die Umsetzungsfristen für hochriskante KI-Systeme um bis zu zwei Jahre. Was bedeutet das für Unternehmen, die längst mit der Umsetzung der weltweit strengsten KI-Regelung kämpfen?

Die am 19. November 2025 vorgestellte Initiative markiert einen Kurswechsel in der Umsetzung des EU AI Act. Während die Kernverbote und Regeln für General-Purpose-AI bereits gelten, räumt die Kommission nun ein: Die Industrie braucht mehr Zeit, um die komplexen Anforderungen für Hochrisiko-Systeme zu erfüllen. Der Grund? Technische Standards fehlen schlichtweg noch.

Der ursprünglich für den 2. August 2026 vorgesehene Stichtag für KI-Systeme aus Anhang III soll nach hinten rücken. Laut einer detaillierten Analyse der Kanzlei Morrison Foerster vom 3. Dezember würden die Pflichten erst ab dem 2. Dezember 2027 greifen – für Systeme aus Anhang I, die in regulierte Produkte eingebettet sind, sogar erst ab 2. August 2028.

Die Verschiebung ist allerdings an eine Bedingung geknüpft: Die harmonisierten Standards und gemeinsamen Spezifikationen müssen bis dahin vorliegen. Genau hier liegt das Problem. Die technischen Leitlinien hinken dem ursprünglichen Zeitplan deutlich hinterher.

Passend zum Thema EU‑KI-Regulierung: Unternehmen stehen vor komplexen Anforderungen und engen Fristen – und oft fehlt die praktische Anleitung zur Umsetzung. Das kostenlose E‑Book “KI‑Verordnung: Umsetzungsleitfaden” fasst die relevanten Pflichten, Risikoklassen und Übergangsfristen kompakt zusammen und bietet eine sofort einsetzbare Checkliste für Ihr Compliance‑Mapping. Ideal für Entwickler, Anbieter und Compliance‑Teams. Kostenloser Download gegen Angabe Ihrer E‑Mail. Jetzt kostenlosen KI‑Leitfaden herunterladen

Betroffen sind kritische Anwendungen wie KI-gestützte Personalauswahl, Kreditwürdigkeitsprüfungen oder Systeme für kritische Infrastrukturen. Bereiche also, in denen KI längst zum Einsatz kommt – aber bisher ohne klare Compliance-Vorgaben.

Kann die EU diesen Spagat schaffen? Die Kommission will die rechtliche Anwendbarkeit der Regeln mit der praktischen Verfügbarkeit der Compliance-Werkzeuge synchronisieren. Ein ambitioniertes Ziel angesichts der Komplexität der Materie.

Bürokratieabbau: Weniger Registrierungspflichten für niedrigrisiko Systeme

Das Omnibus-Paket bringt aber auch Erleichterungen. Die Kommission streicht die Registrierungspflicht für bestimmte Systeme mit niedrigerem Risiko. Konkret: Anbieter von KI-Systemen, die unter die Ausnahme nach Artikel 6(3) fallen – oft als „Filter-Ausnahme” für eng begrenzte, vorbereitende Aufgaben bezeichnet – müssen sich nicht mehr in der EU-Datenbank anmelden.

Stattdessen reicht künftig eine dokumentierte Selbsteinschätzung, bevor das System auf den Markt kommt. Diese Änderung dürfte besonders kleine und mittelständische Unternehmen sowie Startups entlasten, die 2025 immer wieder vor den administrativen Hürden der Registrierung warnten.

„Die Kommission will die Belastung für Unternehmen um mindestens 25 Prozent senken”, heißt es in einer Analyse der Kanzlei Cooley LLP von Ende November. Ein Versprechen, das angesichts der bisherigen Umsetzungsschwierigkeiten auf konkrete Taten wartet.

Darüber hinaus soll das Omnibus-Paket die Überschneidungen zwischen DSGVO und AI Act klären. Die Meldepflichten bei Datenpannen werden vereinfacht, die Nutzung personenbezogener Daten für KI-Training unter bestimmten Bedingungen erleichtert.

Was bereits gilt: Verbote und GPAI-Regeln sind scharf geschaltet

Während die Hochrisiko-Kategorie auf Aufschub hoffen darf, gelten andere Säulen des AI Act längst. Unternehmen müssen hier weiterhin wachsam bleiben.

Verbotene Praktiken (seit Februar 2025): Das Verbot von KI mit „inakzeptablem Risiko” ist seit über zehn Monaten in Kraft. Social-Scoring-Systeme, anlasslose Gesichtserkennung durch Scraping öffentlicher Datenbanken oder Emotionserkennung am Arbeitsplatz sind tabu. Die nationalen Aufsichtsbehörden überwachen bereits aktiv die Einhaltung.

General-Purpose-AI (seit August 2025): Die Regeln für GPAI-Modelle gelten seit August. Anbieter leistungsstarker Foundation Models müssen sich an die Transparenz- und Governance-Vorgaben halten, die Anfang des Jahres etabliert wurden.

Der „Code of Practice” für GPAI, der nach mehreren Entwurfsrunden in den ersten Monaten 2025 finalisiert wurde, bleibt das zentrale Leitdokument. Das Omnibus-Paket lässt diesen Bereich weitgehend unangetastet – ein Zeichen, dass die Kommission mit der bisherigen Entwicklung zufrieden ist.

Die Uhr tickt: Kommt die Verlängerung rechtzeitig?

Die Vorschläge stoßen in der europäischen Tech-Branche auf vorsichtigen Optimismus. Die Fristverlängerung verschafft dringend benötigte Luft für Unternehmen, die mit den komplexen Konformitätsbewertungsverfahren für Hochrisiko-Systeme ringen.

Doch Rechtsexperten warnen: Das Omnibus ist bislang nur ein Vorschlag. Damit die Verzögerung rechtskräftig wird, müssen die Änderungen vor dem 2. August 2026 von Europäischem Parlament und Rat verabschiedet werden.

„Der Zeitdruck ist erheblich”, betonen die Cooley-Analysten in ihrem jüngsten Briefing. Stockt der Gesetzgebungsprozess, droht ein „Cliff Edge”-Szenario: Die ursprüngliche Frist 2026 bliebe bestehen – trotz fehlender Standards.

Erste Halbjahr 2026: Intensive Verhandlungen zwischen Kommission, Parlament und Rat (sogenannte Triloge) stehen an.

2. August 2026: Die ursprüngliche Deadline für Hochrisiko-Systeme rückt näher. Das Omnibus muss bis dahin verabschiedet und im Amtsblatt veröffentlicht sein.

Empfehlung für Unternehmen: Das Compliance-Mapping sollte weiterlaufen, die unmittelbaren Prioritäten jedoch auf GPAI-Pflichten und die Vermeidung verbotener Praktiken gelegt werden. Gleichzeitig gilt es, die Entwicklung der Hochrisiko-Fristen genau zu beobachten.

Der Fokus verschiebt sich von der Frage was die Regeln vorschreiben zur Frage wie und wann sie realistisch umsetzbar sind. Mit dem Digital Omnibus erkennt die EU pragmatisch – wenn auch spät – an, dass die technische Infrastruktur für KI-Compliance mehr Reifezeit benötigt. Bleibt die Frage: Wird diese Zeit auch genutzt?

PS: Die angekündigte Verzögerung gibt Unternehmen Zeit – nutzen Sie sie strategisch. Unser Gratis‑Leitfaden erklärt konkret, welche Dokumentation Prüfende erwarten, wie Sie KI‑Systeme korrekt klassifizieren und welche Übergangsfristen relevant sind. Mit praktischen Handlungsschritten für Ihr Compliance‑Mapping, damit Sie die Zeit für eine saubere Umsetzung nutzen. Jetzt Umsetzungsleitfaden anfordern