KI-Verordnung: EU-Unternehmen bangen um Frist für Hochrisiko-Systeme

Die EU-KI-Verordnung tritt in die heiße Phase – doch mögliche Nachbesserungen sorgen für Verwirrung. Während die Brüsseler Behörde an den Grundprinzipien festhält, könnten sich Fristen für Unternehmen verschieben.

Brüssel verteidigt entschlossen das Kernanliegen des Gesetzes: Transparenz und Sicherheit bei Hochrisiko-KI. Gleichzeitig liegen Vorschläge auf dem Tisch, die vor allem kleinen und mittleren Unternehmen entgegenkommen sollen. Dieser Spagat zwischen Regulierung und Innovationsförderung stellt viele Firmen vor eine schwierige Planungsunsicherheit.

Was als Hochrisiko-KI gilt

Die schärfsten Auflagen der Verordnung treffen Systeme, die in sensiblen Bereichen eingesetzt werden. Konkret listet Anhang III acht kritische Domänen auf. Dazu zählen KI für kritische Infrastrukturen wie Energie und Verkehr, für Bildung, Personalauswahl und den Zugang zu essenziellen Dienstleistungen. Auch Justiz, Strafverfolgung und demokratische Prozesse fallen darunter.

Passend zum Thema KI‑Compliance — viele Unternehmen riskieren unwissentlich hohe Sanktionen, weil sie Anforderungen zur Risikoklassifizierung und technischen Dokumentation unterschätzen. Der kostenlose Umsetzungsleitfaden erklärt Schritt für Schritt, wie Sie Ihre KI‑Systeme korrekt einordnen, notwendige Konformitätsnachweise vorbereiten und Fristen der EU‑KI‑Verordnung einhalten. Praxisnahe Checklisten helfen zudem bei der Vorbereitung der Registrierung in der zentralen EU‑Datenbank. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Für Anbieter dieser Systeme bedeutet das weit mehr als nur eine Registrierungspflicht. Sie müssen umfangreiche Risikomanagementsysteme etablieren, hohe Standards bei Datengüte und Cybersicherheit gewährleisten und eine menschliche Aufsicht ermöglichen. Die Bußgelder für Verstöße sind enorm und können bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes betragen.

Die zentrale Datenbank: Transparenz als Prinzip

Herzstück der neuen Regeln ist eine EU-weite, öffentlich zugängliche Datenbank. Jedes Hochrisiko-System muss dort vor Inverkehrbringen registriert werden – inklusive Angaben zum Zweck, zur Konformitätsbewertung und zur Bedienung. So sollen Bürger, Unternehmen und Forscher Einblick gewinnen, welche KI in der Union im Einsatz ist.

Ausnahmen gelten für sensible Bereiche. Systeme in der Strafverfolgung, Migrationskontrolle oder an Grenzen werden in einem gesicherten, nicht-öffentlichen Teil der Datenbank geführt. Zugang haben nur die Kommission und nationale Marktüberwachungsbehörden.

Der Countdown läuft – vielleicht länger als gedacht

Eigentlich gilt der 2. August 2026 als Stichtag für die vollständige Anwendung der Regeln. Doch dieser Termin steht auf wackeligen Füßen. Im November 2025 legte die Kommission ein „Digitales Omnibus“-Paket vor. Die darin enthaltenen Änderungsvorschläge könnten die Frist für einige Systeme bis Dezember 2027 oder später verschieben.

Der Vorschlag sieht vor, die Fristen an die Fertigstellung technischer Standards zu koppeln. Zudem sollen sich KMU mit vereinfachter Dokumentation begnügen können. Und: Systeme müssten gar nicht registriert werden, wenn der Anbieter nachweist, dass sie kein signifikantes Risiko darstellen. Diese geplanten Erleichterungen zielen darauf ab, Innovation nicht zu ersticken – schaffen aber aktuell Planungsunsicherheit.

Ein schwieriger Balanceakt

Die Debatte spiegelt den grundlegenden Zielkonflikt der EU wider: Sie will weltweit führend bei vertrauenswürdiger, menschenzentrierter KI werden – und gleichzeitig einen wettbewerbsfähigen Binnenmarkt fördern. Die neu geschaffene EU-KI-Behörde soll dabei eine zentrale Rolle spielen. Ihre Befugnisse könnten sogar noch ausgeweitet werden, etwa bei der Aufsicht über Hochrisiko-Systeme mit integrierten General-Purpose-KI-Modellen.

Während Industrielobbyisten für Flexibilität plädieren, um kleine Unternehmen nicht zu überfordern, pochen Verbraucherschützer auf klare, strenge Regeln zum Schutz der Bürger. Die Kommission signalisierte zuletzt Kompromissbereitschaft bei Vereinfachungen, nicht aber bei den risikobasierten Grundprinzipien.

Was Unternehmen jetzt tun sollten

Trotz der unsicheren Fristen raten Experten zur zügigen Vorbereitung. Unternehmen sollten ein vollständiges Inventar ihrer KI-Systeme erstellen, eine Risikoklassifizierung vornehmen und mit der Erstellung technischer Dokumentation beginnen.

Das Gesetzgebungsverfahren für das Omnibus-Paket soll erst in der zweiten Hälfte 2026 abgeschlossen werden. Bis dahin bleibt nur, die Entwicklungen bei der KI-Behörde und in den Normungsgremien genau zu verfolgen. Eines ist sicher: Die Kernanforderungen an Transparenz und Risikomanagement werden bleiben. Wer sie frühzeitig verinnerlicht, ist nicht nur compliant, sondern baut auch entscheidendes Vertrauen im europäischen Markt auf.

Übrigens: Die Übergangsfristen der Verordnung könnten sich ändern – trotzdem ist jetzt der richtige Zeitpunkt, um konkrete Compliance‑Schritte anzustoßen. Unser gratis Leitfaden fasst die wichtigsten Fristen, Pflichten und Erleichterungen für KMU zusammen, zeigt, welche technische Dokumentation kurzfristig fertiggestellt werden sollte und wie Sie Prüfungen durch die EU‑KI‑Behörde souverän meistern. Kostenlosen KI-Leitfaden sichern