Kim Icon
Das EU KI-Gesetz kommt – aber mit Verspätung. Nach monatelangem Ringen hat das Parlament nun neue Fristen beschlossen. Was das für Unternehmen bedeutet und warum die Verschiebung trotzdem keine Überraschung war.
Der sogenannte EU Digital Omnibus ist ein großes Reformpaket, das gleich mehrere digitale Gesetzgebungen der EU betrifft. Dazu gehört auch der AI Act – das europäische KI-Gesetz. Nachdem Unternehmen, Branchenverbände und sogar Mitgliedsstaaten monatelang vor den engen Fristen gewarnt hatten, reagierte die Politik nun mit konkreten Verschiebungen.
Am 26. März 2026 stimmte das EU-Parlament mit deutlicher Mehrheit für das Reformpaket. 569 Abgeordnete stimmten für die neuen Termine – ein klares Signal, dass die Verschiebung keinen Widerstand im Parlament findet. Die neuen Fristen sind damit offiziell beschlossen.
Für mich war das keine Überraschung. Die ursprünglichen Fristen waren ambitioniert – um es vorsichtig auszudrücken. Seit der Ankündigung des AI Acts 2021 haben Branchenverbände immer wieder darauf hingewiesen, dass Unternehmen Zeit brauchen, um ihre Systeme und Prozesse anzupassen. Die Politik hat jetzt geliefert. Aber ich bleibe dabei: Warum wurden die Fristen nicht gleich von Anfang an realistischer gesetzt?
Die wichtigste Änderung betrifft die sogenannten Hochrisiko-KI-Systeme. Diese Systeme sind in Anhang III des AI Acts definiert und umfassen beispielsweise KI in der medizinischen Diagnostik, im Beschäftigungsmanagement oder im Bildungsbereich.
Ursprünglich sollten diese Systeme ab dem 2. August 2026 compliancepflichtig werden. Diese Frist wurde nun auf den 2. Dezember 2027 verschoben – ein Jahr mehr Zeit für Unternehmen, sich anzupassen.
Noch etwas großzügiger fällt die Verschiebung für KI-Systeme aus, die in regulierten Produkten eingesetzt werden – also beispielsweise in Medizinprodukten oder Maschinen. Diese in Anhang I des AI Acts gelisteten Systeme bekommen sogar Zeit bis zum 2. August 2028.
Warum dieser Unterschied? Die Systeme in regulierten Produkten durchlaufen bereits umfangreiche Zulassungsverfahren. Eine zusätzliche KI-Compliance obendrauf würde viele Unternehmen vor kaum lösbare Probleme stellen. Das hat auch der Gesetzgeber erkannt.
Ich finde es gut, dass differenziert wurde. Ein Medizinprodukte-Hersteller, der bereits CE-Zertifizierungen durchläuft, steht vor anderen Herausforderungen als ein mittelständisches Unternehmen, das zum ersten Mal mit KI-Regulierung in Kontakt kommt. Die einen brauchen länger, die anderen kürzer – und das wurde berücksichtigt.
Trotz der Verschiebungen gibt es eine wichtige Einschränkung: Die ursprüngliche Frist vom 2. August 2026 bleibt für bestimmte Systeme zunächst erhalten. Welche genau das betrifft, hängt von der konkreten Klassifizierung ab.
Unternehmen sollten sich also nicht in falscher Sicherheit wiegen. Die Frist für grundlegende Compliance-Vorbereitungen ist nicht komplett vom Tisch. Wer jetzt die Zeit nutzt, um Strukturen aufzubauen, wird von der Verschiebung profitieren können.
Außerdem gilt: Die Bußgelder bei Non-Compliance bleiben unverändert. Bei Verstößen drohen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Das sind keine Petitessen, und das wird es auch nach der Verschiebung bleiben.
Wer jetzt denkt „Cool, wir haben noch zwei Jahre“ und nichts tut, wird am Ende des Jahres frustriert sein. Die Vorbereitungen, die jetzt anfallen – interne Inventarisierung, Prozesse, Schulungen – brauchen selbst Zeit. Und je früher man anfängt, desto besser. Das ist meine Erfahrung aus Jahren der Zusammenarbeit mit Unternehmen an Datenmanagement-Strategien.
Parallel zu den Fristverschiebungen gab es auch eine positive Nachricht vom Europäischen Datenschutzausschuss (EDPB). Am 10. März 2026 verabschiedete der EDPB eine standardisierte Vorlage für die Datenschutz-Folgenabschätzung (DPIA) bei KI-Systemen.
Diese Vorlage ist ein wichtiger Baustein, denn sie hilft Unternehmen, die erforderliche DPIA korrekt durchzuführen. Die Vorlage liegt aktuell in der öffentlichen Konsultation – Unternehmen können bis zum 9. Juni 2026 Feedback geben.
Das ist eine Chance für Unternehmen, sich aktiv in die Ausgestaltung einzubringen. Wer frühzeitig mit der Vorlage arbeitet, kann nicht nur die eigene Compliance vorbereiten, sondern auch Praxistauglichkeit sicherstellen.
Bisher war die DPIA für KI-Systeme einiges an unsicherem Terrain. Wie soll man eine Folgenabschätzung durchführen, wenn die Leitlinien fehlen? Die standardisierte Vorlage nimmt diese Unsicherheit. Endlich. Vielleicht hätte man das von Anfang an so machen sollen – aber besser spät als nie.
Lassen Sie mich eines klarstellen: Diese Verschiebung überrascht niemanden, der die Branche kennt. Seit Monaten warnten Verbände vor den engen Fristen. Die Umsetzung des AI Acts erfordert nicht nur technische Anpassungen, sondern auch organisatorische Veränderungen, Schulungen und Prozesse.
Dazu kommen rechtliche Unklarheiten. Viele Begriffe im AI Act sind bewusst offen formuliert – das ist bei EU-Gesetzgebung üblich, führt aber in der Praxis zu Auslegungsstreitigkeiten. Unternehmen brauchen Rechtssicherheit, bevor sie Millioneninvestitionen tätigen.
Die Politik hat zugehört. Das ist positiv. Aber es ist auch ein Eingeständnis, dass die ursprünglichen Fristen unrealistisch waren. Ich erwarte, dass wir in den kommenden Monaten noch weitere Klarstellungen und Leitlinien vom Gesetzgeber sehen werden.
Was mich allerdings irritiert: Warum wurden die Fristen nicht gleich von Anfang an realistischer gesetzt? Jahre der Diskussion, und am Ende kommt die Verschiebung trotzdem. Das kostet Unternehmen unnötig Geld und Vertrauen in den Gesetzgeber. Ich finde, das sollte man auch mal laut sagen.
Mein Rat: Nutzen Sie die gewonnene Zeit, aber verschieben Sie nicht selbst. Die Zeit, die der EU Digital Omnibus jetzt gibt, sollte für konkrete Vorbereitungen genutzt werden.
Konkret empfehle ich folgenden Fahrplan:
Die Verschiebung ist ein Geschenk – aber sie ist nicht unendlich. Der 2. Dezember 2027 kommt schneller, als man denkt. Das sage ich nicht um jemanden zu ängstigen, sondern weil ich es selbst erlebe, wie schnell die Zeit vergeht.
Ich spreche regelmäßig mit Unternehmen über deren KI-Strategie. Und ich sage Ihnen: Die meisten sind noch nicht so weit, wie sie denken. Ja, sie haben Chatbots oder Automatisierungen. Aber die systematische Einordnung in AI-Act-Kategorien? Fehlanzeige.
Das ist verständlich – der AI Act ist komplex, die Übergangsfristen waren kurz, und die Leitlinien kamen spät. Aber das ist keine Entschuldigung mehr. Nach der Verschiebung gibt es keine Ausrede. Wer jetzt nicht handelt, wird im Ernstfall die Konsequenzen spüren.
Besonders kleine und mittelständische Unternehmen tun sich schwer. Große Konzerne haben Rechtsabteilungen und Compliance-Teams. Der Mittelstand? Der muss sich extern beraten lassen oder selbst ran. Beides kostet Zeit und Geld. Eine typische Herausforderung, die ich immer wieder sehe.
Ich würde mir wünschen, dass es mehr praxistaugliche Leitfäden gibt. Nicht hundert Seiten EU-Dokumentation, sondern konkrete Checklisten für typische Unternehmens-Szenarien. Da ist noch Luft nach oben. Aber vielleicht ist das auch ein Geschäftsfeld für Beratungen und Dienstleister. Die Nachfrage wird jedenfalls da sein.
Ein weiterer Punkt, der mir immer wieder auffällt: Viele Unternehmen wissen nicht, wo sie anfangen sollen. Der AI Act ist umfangreich, die Begriffe sind juristisch, und die praktische Umsetzung ist für Nicht-Experten schwer verständlich. Hier braucht es Aufklärung – nicht nur von Beratern, sondern auch von Medien wie uns.
Der EU Digital Omnibus ist nicht das Ende der Geschichte. Ich erwarte in den kommenden Monaten weitere Entwicklungen, die Unternehmen auf dem Schirm haben sollten.
Weitere Leitlinien: Die EU-Kommission wird weitere Auslegungen und Leitlinien veröffentlichen. Unternehmen sollten diese aktiv verfolgen.Nutzen Sie den Newsletter oder RSS-Feed der zuständigen Behörden, damit Sie keine wichtige Nachricht verpassen.
Branchenspezifische Vorgaben: Besonders für den Gesundheitssektor und Finanzbereich werden spezifische Regelwerke erwartet. Wenn Sie in einer dieser Branchen unterwegs sind, ist jetzt der richtige Zeitpunkt, sich zu informieren.
Mehr zum Thema IT-Sicherheit und Datenschutz finden Sie auch in unserem Artikel zu IT-Sicherheit für KMU. Darin gehen wir detailliert auf die Herausforderungen ein, vor denen kleine und mittlere Unternehmen stehen – und zeigen konkrete Lösungsansätze.
Nationale Umsetzungen: Die Mitgliedsstaaten müssen den AI Act national umsetzen. Das kann zu unterschiedlichen Auslegungen führen. In Deutschland wird die Umsetzung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet. Bleiben Sie informiert.
Wer jetzt schon auf dem Radar hat, dass der AI Act kommt und in Zukunft relevant sein wird, ist besser dran als jemand, der die Augen verschließt. Das ist meine klare Meinung. Und ich bin nicht die Einzige, die das so sieht – lesen Sie auch unsere Artikel zur IT-Sicherheit in Unternehmen, um zu sehen, wie andere Experten die Lage einschätzen.
Der EU Digital Omnibus ist ein notwendiger Schritt. Die ursprünglichen Fristen waren zu eng, die Umsetzung zu komplex für die gegebene Zeit. Die Verschiebung gibt Unternehmen Luft zum Atmen.
Aber es ist auch ein Eingeständnis von Fehlern in der Gesetzgebung. Die EU hat mit dem AI Act etwas Gutes geschaffen – ein erster Versuch, KI zu regulieren, der über nationale Alleingänge hinausgeht. Die Umsetzung hat aber gezeigt: Gute Absichten reichen nicht. Man muss auch umsetzbare Fristen setzen.
Was mich optimistisch stimmt: Die EDPB-Vorlage zeigt, dass die Behörden auf Unternehmen zugehen. Öffentliche Konsultation, standardisierte Vorlagen – das sind Schritte in die richtige Richtung. Es gibt noch viel zu tun, aber die Richtung stimmt.
Unternehmen sollten die gewonnene Zeit nutzen. Nicht für Aufschieben, sondern für echte Vorbereitung. Der AI Act kommt – früher oder später. Und wer vorbereitet ist, wird weniger Stress haben. So einfach ist das. Ich hoffe, dieser Artikel hilft Ihnen dabei, den Überblick zu behalten.
