Ende April 2026 haben sich das Europäische Parlament und der Rat auf eine Reihe von Änderungen der EU-KI-Verordnung (AI Act) geeinigt. Die vorläufige Einigung im Rahmen des sogenannten „Digital Omnibus” sieht verlängerte Fristen für Hochrisiko-KI-Systeme, klarere Abgrenzungen beim Hochrisikobegriff sowie erweiterte Erleichterungen für kleinere Unternehmen vor. Für Anbieter und Betreiber von KI-Systemen ergibt sich daraus ein angepasster regulatorischer Fahrplan.
Verlängerte Umsetzungsfristen für Hochrisiko-KI-Systeme
Ein zentrales Element der Einigung sind die angepassten Anwendungsfristen. Das Ziel besteht darin, Anbietern die Einhaltung der KI-Verordnung zu erleichtern, ohne dabei wesentliche Bestimmungen und den risikobasierten Ansatz aufzugeben.
Pflichten für Hochrisiko-KI-Systeme gelten ab dem 2. Dezember 2027 für Anwendungen in den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung und Grenzmanagement.
Für Systeme, die als Sicherheitskomponenten unter EU-Sektorrecht fallen, wurde eine Frist bis zum 2. August 2028 festgelegt.
Mit diesen Anpassungen reagieren die EU-Gesetzgeber auf die Kritik, dass die ursprünglich vorgesehenen Fristen angesichts noch fehlender technischer Standards und Unterstützungsmaßnahmen zu knapp bemessen waren. Die Verlängerungen sollen Unternehmen die Zeit geben, ihre Systeme regelkonform auszurichten, ohne unter rechtliche Unsicherheit zu geraten.
Die Watermarking-Pflicht, also die technische Kennzeichnung KI-generierter Inhalte zur Rückverfolgbarkeit, tritt hingegen bereits zum 2. Dezember 2026 in Kraft und damit früher als von der Kommission ursprünglich vorgeschlagen. Für colpiti Anbieter bedeutet dies eine engere Zeitlinie.
Klarere Abgrenzung: Was gilt als Hochrisiko-System?
Neben den Fristverlängerungen enthält die Einigung inhaltliche Präzisierungen, die für Unternehmen in der Praxis von erheblicher Relevanz sind.
So werden Produkte mit KI-Funktionen, die lediglich der Nutzerunterstützung oder Leistungsoptimierung dienen und bei deren Ausfall keine Gesundheits- oder Sicherheitsrisiken entstehen, künftig nicht automatisch als Hochrisiko-Systeme eingestuft. Dadurch wird mehr Klarheit darüber geschaffen, welche Anforderungen tatsächlich greifen. Anbieter, deren Systeme funktional keinen sicherheitskritischen Charakter haben, sollen damit entlastet werden.
Für Maschinenprodukte wird zudem klargestellt, dass diese lediglich den sektorspezifischen Sicherheitsvorschriften entsprechen müssen und nicht auch den Anforderungen des KI-Verordnung, sofern ein gleichwertiges Schutzniveau gewährleistet ist. Damit werden überschneidende Anforderungen beseitigt, die in der Praxis zu Doppelaufwand geführt hätten.
Erweiterter Anwendungsbereich der KMU-Ausnahmen
Bislang profitierten kleine und mittlere Unternehmen (KMU) von bestimmten Erleichterungen im Rahmen der KI-Verordnung. Die Einigung weitet diese Ausnahmen nun auf sogenannte Small Mid-Cap Enterprises (SMCs) aus. Dabei handelt es sich um Unternehmen, die die KMU-Schwelle überschritten haben, aber noch nicht über die Ressourcen großer Konzerne verfügen. Der Kommissionsvorschlag sieht für SMCs eine Grenze von weniger als 750 Beschäftigten sowie einen Jahresumsatz von höchstens 150 Millionen Euro oder eine Bilanzsumme von höchstens 129 Millionen Euro vor. Die endgültige Definition wird im finalen Verordnungstext festgelegt.
Datenschutz: Verarbeitung personenbezogener Daten zur Bias-Erkennung
Ein weiterer Aspekt betrifft den Umgang mit personenbezogenen Daten: Unter bestimmten Voraussetzungen ist es künftig zulässig, solche Daten zu verarbeiten, wenn dies zur Erkennung und Behebung von Verzerrungen (Bias) in KI-Systemen zwingend erforderlich ist, sofern geeignete Schutzmaßnahmen vorhanden sind. Diese Regelung gilt sowohl für Hochrisiko- als auch für andere KI-Systeme. Damit wird dem Umstand Rechnung getragen, dass faire und diskriminierungsfreie KI eine gezielte Qualitätsprüfung der zugrunde liegenden Daten erfordert.
Verbot von "nudification"-Apps
Die Einigung enthält darüber hinaus zwei neue Verbote: Demnach dürfen KI-Systeme, die sexuell explizite Darstellungen identifizierbarer Personen ohne deren Consenso erzeugen, sowie Systeme zur Generierung von Material zur sexuellen Ausbeutung von Kindern künftig nicht mehr auf dem EU-Markt bereitgestellt werden. Das Verbot umfasst Bild-, Video- und Audioinhalte. Anbieter haben bis zum 2. Dezember 2026 Zeit, um ihre Systeme anzupassen.
Zentralisierte Durchsetzung bei Allzweck-KI
Die Durchsetzung bestimmter Pflichten für Allzweck-KI-Systeme (General Purpose AI) wird künftig beim EU AI Office gebündelt. Dadurch soll eine kohärente und effiziente Aufsicht auf europäischer Ebene sichergestellt und die Fragmentierung durch unterschiedliche nationale Behörden reduziert werden.
Formelle Verabschiedung steht noch aus
Die erzielte Einigung ist zunächst vorläufig. Bevor sie Rechtskraft erlangt, müssen Parlament und Rat die Vereinbarung formal bestätigen. Die Verabschiedung ist vor dem 2. August 2026 geplant, dem Datum, an dem die bisherigen Regeln für Hochrisikosysteme eigentlich in Kraft getreten wären.
Unternehmen allerdings Folgendes zu beachten: Die angepassten Fristen der KI-Verordnung ändern nichts daran, dass die GDPR bereits heute vollumfänglich für KI-gestützte Datenverarbeitungen gilt. Die gewonnene Zeit sollte daher genutzt werden, um Strukturen für das Governance-, Compliance- und Gestione del rischio für den KI-Einsatz frühzeitig aufzubauen.
Sie möchten den AI Act in Ihrem Unternehmen rechtssicher umsetzen?
Die neuen Fristen schaffen zwar Spielraum, doch die regulatorischen Anforderungen sind komplex.
2B Advice unterstützt Sie dabei, KI-Systeme zu klassifizieren, Compliance-Lücken zu identifizieren und eine zukunftsfähige AI-Governance-Struktur aufzubauen, die auf Ihre Unternehmensgröße und Branche abgestimmt ist.
Sprechen Sie uns an! wir begleiten Sie von der ersten Bestandsaufnahme bis zur erfolgreichen Implementierung.
Fonte: Meldung des Europäischen Parlaments “AI Act: deal on simplification measures, ban on nudifier apps”
German 
English 
Italian 
French