Vier Buchstaben, ein Bürokratiemonster, ständig neue Fristen: Der AI Act der EU sollte eigentlich Klarheit schaffen. Stattdessen sorgt er gerade für das Gegenteil. In den vergangenen Tagen berichteten mehrere Fachportale, dass die EU zentrale Pflichten für Hochrisiko-KI-Systeme um bis zu 16 Monate verschiebt – und damit den ursprünglich für August 2026 geplanten Start deutlich relativiert. Für Unternehmen, die seit Monaten an Dokumentation, Risikomanagement und Konformitätsbewertung arbeiten, ist das eine Nachricht mit Sprengkraft. Nur: Ganz so einfach, wie es klingt, ist die Sache nicht.
Was die EU jetzt tatsächlich beschlossen hat
Im Rahmen des sogenannten Digital Omnibus haben sich EU-Kommission, Rat und Parlament im Trilog auf eine Entschärfung des Zeitplans für Hochrisiko-KI verständigt. Die politische Einigung datiert auf den 7. Mai 2026, das Plenum des EU-Parlaments bestätigte die Änderung am 16. Juni 2026. Wie Borncity berichtet, verschiebt sich damit die Vollanwendung der Hochrisiko-Pflichten spürbar nach hinten.
Konkret betrifft die Verschiebung zwei Gruppen von Systemen, die der AI Act unterschiedlich behandelt. Eigenständige Hochrisiko-KI-Systeme nach Anhang III – etwa in Recruiting, Kredit-Scoring oder kritischer Infrastruktur – sollten ursprünglich ab dem 2. August 2026 vollständig regelkonform sein. Diese Frist rutscht nun auf den 2. Dezember 2027. Bei produktintegrierter Hochrisiko-KI nach Anhang I, also KI als Sicherheitsbauteil in bereits regulierten Produkten wie Medizingeräten oder Maschinen, verschiebt sich der Stichtag vom 2. August 2027 auf den 2. August 2028. In beiden Fällen sind das keine kosmetischen Korrekturen, sondern handfeste Verlängerungen von mehr als einem Jahr.
Der neue Compliance-Fristen-Kalender im Detail
Wer den AI Act seit seinem Inkrafttreten im August 2024 verfolgt, kennt das Prinzip der Stufenanwendung. Nicht alles gilt gleichzeitig, sondern gestaffelt nach Risikoklasse. Der bisherige Plan sah vor: zwölf Monate nach Inkrafttreten greifen fast alle Vorschriften außer den Anhang-I-Pflichten, nach 24 Monaten – also im August 2026 – sollten Hochrisiko-Pflichten für Anhang I folgen, nach 36 Monaten im August 2027 der Rest.
Durch den Digital Omnibus verschiebt sich dieses Gerüst nun so, dass Anhang-III-Systeme erst im Dezember 2027 vollständig compliant sein müssen und Anhang-I-Systeme erst im August 2028. Für Compliance-Verantwortliche in Unternehmen bedeutet das: Die Zeitachse hat sich gestreckt, aber die inhaltlichen Anforderungen – Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Robustheit und Cybersicherheit – bleiben unverändert bestehen. Es ist eine Verschnaufpause, keine Entwarnung.
Besonders sensibel ist die Verschiebung dort, wo Hochrisiko-KI in sensiblen Sektoren eingesetzt wird. Gerade für Betreiber kritischer Infrastrukturen im Energiebereich verändert die neue Deadline die Planungslogik, weil parallel IT-Sicherheitsvorgaben der NIS-2-Richtlinie und sektorspezifische Regulierung zu beachten sind. Eine reine Verschiebung des AI-Act-Stichtags löst diese Mehrfachbelastung nicht, sie sortiert sie lediglich zeitlich neu.
Der Haken: Warum der 2. August 2026 trotzdem nicht einfach verschwindet
Hier wird es unbequem, und genau deshalb lohnt sich der genaue Blick. Die Verschiebung ist politisch beschlossen und vom Parlament bestätigt – aber sie ist zum jetzigen Zeitpunkt noch nicht vollständig im Amtsblatt der EU veröffentlicht. Formal-juristisch steht im Gesetzestext also weiterhin der 2. August 2026 als Stichtag für die Hochrisiko-Pflichten. Mehrere Compliance-Berater warnen deshalb ausdrücklich davor, sich zu früh zurückzulehnen.
Ein Blick in die Fachdiskussion zeigt diese Spannung deutlich. Kiteworks weist in einer Analyse darauf hin, dass Betreiber von Hochrisiko-Systemen den August-2026-Termin weiterhin als harte Deadline behandeln sollten, solange die Omnibus-Änderung nicht formell in Kraft ist. Das ist aus meiner Sicht der entscheidende Punkt, den viele Schlagzeilen der vergangenen Tage unterschlagen haben: Eine politische Einigung ist noch kein geltendes Recht. Wer jetzt Projekte stoppt, weil „die EU ja verschoben hat“, handelt fahrlässig.
Gleichzeitig berichtet Ad-hoc-News über die widersprüchliche Gesamtlage: Die EU verschärft an anderer Stelle Regeln, verschiebt aber gleichzeitig zentrale Fristen. Diese Gleichzeitigkeit von Verschärfung und Verzögerung ist typisch für die aktuelle Phase der KI-Regulierung in Europa – und sie erklärt, warum Unternehmen zunehmend verunsichert sind, statt entlastet zu werden.
Was unverändert bleibt: Verbote, KI-Kompetenz und Transparenz
Der Digital Omnibus betrifft ausschließlich die Hochrisiko-Pflichten nach Anhang I und III. Alles andere im AI Act läuft nach dem ursprünglichen Zeitplan weiter, und das ist keine Randnotiz. Verbotene KI-Praktiken nach Artikel 5 – etwa manipulative Systeme oder Social Scoring – sind seit Februar 2025 materiell in Kraft und seit August 2025 sanktionsbewehrt. Wer gegen diese Verbote verstößt, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ausfällt.
Auch die Pflicht zur KI-Kompetenz nach Artikel 4 ist seit Februar 2025 wirksam. Transparenzpflichten nach Artikel 50, etwa die Kennzeichnung von KI-generierten Inhalten und Deepfakes, greifen planmäßig ab dem 2. August 2026 – unabhängig von der Hochrisiko-Verschiebung. Nationale Behörden, in Deutschland voraussichtlich die Bundesnetzagentur, erhalten ab diesem Datum volle Durchsetzungskompetenz für Verbots- und Transparenzverstöße. Wer glaubt, der AI Act werde insgesamt erst 2027 oder 2028 relevant, irrt sich also gründlich.
Hinzu kommt, dass sich das technologische Ökosystem rasant weiterentwickelt und Unternehmen die regulatorische Atempause nutzen sollten, um ihre Systemlandschaft überhaupt erst einmal sauber zu erfassen. Ein strukturierter Überblick über die relevanten Technologien der künstlichen Intelligenz ist in vielen Firmen noch immer Mangelware – und ohne ihn lässt sich keine seriöse Risikoeinstufung nach Anhang III vornehmen.

Wer konkret betroffen ist: Hochrisiko-KI in der Praxis
Die Kategorie Hochrisiko-KI klingt abstrakt, ist es in der Praxis aber nicht. Anhang III listet konkrete Anwendungsfelder auf: KI in Personalauswahl und Mitarbeiterbewertung, KI in Bildungskontexten wie Prüfungsauswertung, Kreditwürdigkeitsprüfung, Zugang zu wichtigen öffentlichen Diensten, kritische Infrastruktur wie Energieversorgung sowie bestimmte biometrische Systeme. Wer als Unternehmen in einem dieser Bereiche KI einsetzt oder anbietet, fällt unter die strengeren Pflichten – unabhängig davon, ob die Frist nun Dezember 2027 oder theoretisch noch August 2026 lautet.
Anhang I funktioniert nach anderer Logik: Hier geht es um KI-Systeme, die als Sicherheitsbauteil in bereits regulierte Produkte eingebaut sind, etwa in Medizinprodukte oder Maschinen. Diese Systeme unterliegen ohnehin bestehenden Konformitätsbewertungsverfahren, in die der AI Act zusätzliche Anforderungen einbaut. Der Unterschied zwischen beiden Anhängen ist wichtig, weil er auch erklärt, warum die Fristen unterschiedlich weit verschoben wurden: Produktintegrierte Systeme sind stärker mit bestehenden Zulassungsprozessen verzahnt und brauchen entsprechend mehr Vorlauf.
Benannte Stellen und der drohende Flaschenhals
Ein Aspekt, der in der aktuellen Debatte viel zu kurz kommt, ist die Rolle der benannten Stellen. Viele Hochrisiko-Systeme nach Anhang III erfordern eine Konformitätsbewertung unter Einschaltung einer externen, staatlich anerkannten Prüfstelle. Das Problem: Die Kapazitäten dieser Stellen sind europaweit begrenzt, die Akkreditierungsverfahren laufen zäh, und die Zahl der Anträge steigt exponentiell – nicht zuletzt, weil immer mehr Unternehmen ihre Hausaufgaben erst spät machen.
Die Verschiebung der Fristen entlastet diesen Flaschenhals kurzfristig, verlagert das Problem aber nur in die Zukunft. Wer erst im Herbst 2027 einen Termin bei einer benannten Stelle vereinbaren möchte, dürfte lange Wartezeiten in Kauf nehmen müssen. Für Mittelständler mit begrenzter Marktmacht ist das ein reales Risiko: Großkonzerne buchen Audit-Slots meist Jahre im Voraus, kleinere Anbieter rutschen ans Ende der Warteliste. Die pragmatische Konsequenz: Auch bei verschobenen Fristen sollte der Kontakt zur benannten Stelle frühzeitig gesucht werden, idealerweise parallel zur internen Dokumentation.
Praxis-Szenario: Ein Mittelständler im Maschinenbau
Um die Tragweite der Verschiebung greifbar zu machen, lohnt ein Blick auf ein typisches Unternehmen: Ein süddeutscher Mittelständler mit rund 600 Beschäftigten baut Sondermaschinen für die Automobilzulieferindustrie und integriert zunehmend visuelle KI-Systeme zur Qualitätskontrolle. Diese Systeme fallen als Sicherheitsbauteil unter Anhang I, die neue Deadline wäre also der 2. August 2028. Auf den ersten Blick eine komfortable Strecke.
In der Realität sieht der Projektplan anders aus. Die technische Dokumentation der trainierten Modelle liegt heute noch bei verschiedenen Entwicklungspartnern, Trainingsdatensätze sind nicht systematisch versioniert, und eine Risikobewertung nach AI-Act-Kriterien existiert schlicht nicht. Bis eine durchgängige Daten-Governance steht, vergehen realistisch neun bis zwölf Monate. Die anschließende Konformitätsbewertung inklusive Prüfung durch eine benannte Stelle nimmt weitere sechs bis neun Monate in Anspruch. Addiert man Puffer für Nachbesserungen, landet man sehr schnell Ende 2027 – also ein gutes halbes Jahr vor der neuen Frist. Der gewonnene Spielraum ist schnell aufgebraucht, wenn man ihn aktiv nutzt, statt ihn verstreichen zu lassen.
Bußgelder, Durchsetzung und das Risiko der Selbstüberschätzung
Bei den Betreiberpflichten für Hochrisiko-Systeme selbst drohen bei Verstößen Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Das ist deutlich weniger als bei den Verbotstatbeständen, aber immer noch ein Betrag, der kleinere und mittlere Unternehmen empfindlich treffen kann. Zu den Pflichten zählen ein funktionierendes Risikomanagementsystem, saubere Daten-Governance, technische Dokumentation, Protokollierungsfunktionen, wirksame menschliche Aufsicht sowie Nachweise zu Robustheit, Genauigkeit und Cybersicherheit. Hinzu kommen Registrierung in einer EU-Datenbank und CE-Kennzeichnung.
Ich halte es für einen Fehler, die verlängerten Fristen als Freibrief zu interpretieren. Wer heute noch keine Inventur seiner KI-Systeme gemacht hat, wird auch mit 16 zusätzlichen Monaten knapp dran sein – Dokumentationsprozesse, Risikoklassifizierung nach Artikel 6 und die Etablierung von Daten-Governance-Strukturen brauchen erfahrungsgemäß deutlich mehr Zeit, als Projektpläne auf dem Papier suggerieren. Die Verschiebung verschafft Luft, aber sie verschiebt auch die Aufmerksamkeit vieler Geschäftsführungen – und genau das ist das eigentliche Risiko.
Zumal die Rechtsprechung und Auslegungspraxis der nationalen Aufsichtsbehörden noch weitgehend offen sind. Erste Leitlinien der Bundesnetzagentur und entsprechende Empfehlungen des europäischen AI Office werden voraussichtlich im Laufe des Jahres 2026 konkretisieren, welche Dokumentationsstandards als ausreichend gelten. Unternehmen, die diese Leitlinien abwarten, bevor sie mit der Umsetzung beginnen, handeln sich ein doppeltes Risiko ein: Sie wissen lange nicht, woran sie sind, und verlieren gleichzeitig wertvolle Vorlaufzeit. Aus regulatorischer Sicht ist es meist klüger, mit einer konservativen, an den bestehenden Normen angelehnten Interpretation zu starten und später nachzusteuern, als auf finale Klarheit zu warten, die vielleicht nie in der erhofften Eindeutigkeit kommt.
Was Compliance-Verantwortliche jetzt konkret tun sollten
Aus der Beraterpraxis lässt sich eine klare Reihenfolge ableiten. Erstens: eine vollständige Inventur aller im Unternehmen eingesetzten KI-Systeme, einschließlich sogenannter Schatten-KI, die ohne Wissen der IT-Abteilung in Fachbereichen genutzt wird. Zweitens: eine systematische Risikoklassifizierung nach Artikel 6, um zu klären, welche Systeme überhaupt unter Anhang I oder Anhang III fallen. Drittens: der Aufbau von Grundstrukturen für Risikomanagement und Daten-Governance, unabhängig vom exakten Stichtag.
Parallel dazu wächst der Markt für RegTech-Lösungen, die automatisierte Dokumentation, Konformitätsprozesse und Audit-Trails für KI-Systeme anbieten. Das ist folgerichtig, denn die manuelle Pflege von technischer Dokumentation über mehrere KI-Systeme hinweg ist für viele Unternehmen kaum noch mit Bordmitteln zu stemmen. Wer als mittelständisches Unternehmen ohne eigene Rechtsabteilung agiert, sollte diese zusätzliche Zeit nutzen, um externe Expertise einzubinden, statt sie verstreichen zu lassen.
Bemerkenswert ist zudem, dass die USA gleichzeitig auf eine stärkere internationale Vereinheitlichung der KI-Regulierung drängen, wie Berichte der vergangenen Tage nahelegen. Das setzt die EU zusätzlich unter Druck, ihre eigenen Regeln nicht nur zu verzögern, sondern auch inhaltlich anschlussfähig zu halten. Für europäische Unternehmen, die auf digitale Souveränität setzen, ist das ein zusätzlicher Grund, eigene Standards frühzeitig zu etablieren, statt auf externe Vorgaben zu warten.
Technische Dokumentation: Wo die größten Hürden lauern
Die Erfahrung aus ersten Compliance-Projekten zeigt, dass nicht die juristische Einordnung die meiste Zeit frisst, sondern die technische Dokumentation selbst. Artikel 11 des AI Act verlangt detaillierte Angaben zu Trainingsdaten, Modellarchitektur, Leistungsmetriken, bekannten Limitationen und dem vorgesehenen Einsatzzweck. Für viele Unternehmen bedeutet das: Sie müssen Informationen zusammentragen, die heute über verschiedene Abteilungen, externe Anbieter und teils historische Projektunterlagen verstreut sind.
Besonders tückisch sind dabei Modelle, die von Dritten zugekauft oder als Cloud-Dienst eingebunden werden. Wenn der Anbieter selbst keine auskunftsfreudige technische Dokumentation liefert, steht der Betreiber schnell vor einem Dilemma: Er muss Compliance nachweisen, kann die dafür notwendigen Informationen aber nicht beschaffen. Die verlängerte Frist hilft hier nur bedingt, wenn das eigentliche Problem in der Lieferkette liegt. Unternehmen sollten die zusätzliche Zeit deshalb nutzen, um vertragliche Auskunftsansprüche gegenüber ihren KI-Lieferanten durchzusetzen oder Alternativen zu evaluieren, die transparente Dokumentationsstrukturen von Haus aus mitbringen.
Zwischen Erleichterung und Verunsicherung: Die eigentliche Botschaft
Was bedeutet dieser neue Zeitplan also in der Summe? Zunächst: Die EU reagiert auf berechtigte Kritik, dass der ursprüngliche Zeitplan für Hochrisiko-Pflichten zu ambitioniert war, gerade angesichts der Komplexität der Anforderungen an Dokumentation und Risikomanagement. Das ist grundsätzlich vernünftig. Gleichzeitig schafft die Kombination aus politischer Einigung und ausstehender formeller Veröffentlichung im Amtsblatt genau jene Rechtsunsicherheit, die der AI Act eigentlich beseitigen sollte. Ist das noch Regulierung mit Augenmaß oder schon Symptom eines Gesetzgebungsprozesses, der sich in seiner eigenen Komplexität verfängt?
Für Unternehmen bleibt die pragmatische Antwort dieselbe wie schon vor der Verschiebung: Wer Hochrisiko-KI einsetzt oder plant, sollte die Compliance-Vorbereitung so behandeln, als gelte weiterhin der frühere Stichtag – und die zusätzliche Zeit als Puffer, nicht als Ausrede verstehen. Die Verbote, die KI-Kompetenzpflichten und die Transparenzanforderungen laufen ohnehin unbeirrt nach dem alten Kalender. Wer sich allein auf die Hochrisiko-Verschiebung konzentriert, verliert leicht aus dem Blick, dass der AI Act längst an mehreren Fronten gleichzeitig wirkt.
Die Verschiebung ist damit vor allem eines: ein klarer Hinweis darauf, dass die EU ihre eigenen Ambitionen und die Realität in den Unternehmen schlechter in Einklang bringen konnte, als es der ursprüngliche Gesetzestext suggerierte. Für die Glaubwürdigkeit des AI Act ist das ein zwiespältiges Signal. Einerseits zeigt Brüssel Lernfähigkeit und nimmt die Klagen der Wirtschaft ernst. Andererseits nährt jede Fristverschiebung den Verdacht, dass auch die neuen Stichtage eher politisch als operativ begründet sind. Für Unternehmen bedeutet das im Umkehrschluss: Sie sollten ihre Compliance-Strategie nicht an einzelnen Kalenderdaten aufhängen, sondern an robusten Prozessen, die auch dann tragfähig bleiben, wenn der nächste Digital Omnibus kommt. Und dass er kommt, ist angesichts der bisherigen Gesetzgebungsdynamik keineswegs ausgeschlossen.
Bleibt die Frage, wie belastbar dieser neue Zeitplan tatsächlich ist, sobald die formelle Veröffentlichung im Amtsblatt erfolgt – und ob die EU beim nächsten Digital Omnibus erneut nachjustieren muss, bevor überhaupt eine der beiden neuen Fristen erreicht ist.





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.