Fristen für Hochrisiko-Systeme zur Compliance verlängert
Einleitung: Änderungen im Digital Omnibus-Paket
Die Europäische Kommission hat angekündigt, die Umsetzungsfristen für hochriskante KI-Systeme im Rahmen des neuen „Digital Omnibus”-Pakets um bis zu zwei Jahre zu verschieben. Diese Entscheidung betrifft Unternehmen, die sich bereits mit den anspruchsvollen Vorgaben des EU AI Acts auseinandersetzen müssen. Die Initiative, die am 19. November 2025 vorgestellt wurde, stellt einen signifikanten Wechsel in der Umsetzung der Regelungen dar. Während einige grundlegende Verbote und Bestimmungen für allgemeine KI-Anwendungen bereits in Kraft sind, wird nun deutlich, dass die Industrie mehr Zeit benötigt, um die komplexen Anforderungen für hochriskante Systeme zu erfüllen. Ein zentraler Grund dafür liegt in der fehlenden Verfügbarkeit technischer Standards, die für die Einhaltung der Vorschriften erforderlich sind.
Fristen und Regelungen: Eine detaillierte Analyse
Der ursprünglich für den 2. August 2026 festgelegte Stichtag für die KI-Systeme aus Anhang III wird nun nach hinten verschoben. Eine Analyse der Kanzlei Morrison Foerster vom 3. Dezember zeigt, dass die Verpflichtungen nun ab dem 2. Dezember 2027 gelten sollen. Für Systeme aus Anhang I, die in regulierte Produkte eingebettet sind, wird die Frist sogar auf den 2. August 2028 verschoben. Diese zeitliche Verlängerung ist jedoch an die Bedingung geknüpft, dass die harmonisierten Standards und gemeinsamen Spezifikationen bis zu diesem Stichtag vorliegen. Es besteht jedoch ein erhebliches Risiko, dass die technischen Leitlinien nicht rechtzeitig zur Verfügung stehen, was die Umsetzung der Vorgaben weiter verzögern könnte.
Die Regelungen betreffen kritische Anwendungen wie KI-gestützte Personalauswahl oder Kreditwürdigkeitsprüfungen. In diesen Bereichen wird KI derzeit genutzt, oft jedoch ohne klare Compliance-Vorgaben. Die Herausforderung für die EU liegt darin, die rechtlichen Rahmenbedingungen für die KI-Nutzung mit der praktischen Verfügbarkeit der benötigten Compliance-Werkzeuge abzustimmen. Dies stellt einen ehrgeizigen Schritt dar, insbesondere angesichts der Komplexität der Materie und der Dringlichkeit, den Unternehmen Planungssicherheit zu geben.
Bürokratieabbau: Erleichterungen für Niedrigrisiko-Systeme
Das Omnibus-Paket bringt auch Erleichterungen mit sich, insbesondere für Anbieter von KI-Systemen mit einem niedrigeren Risiko. Die Kommission plant, die Registrierungspflicht für bestimmte Systeme zu streichen, die unter eine Ausnahme nach Artikel 6(3) fallen. Diese Systeme, oft als „Filter-Ausnahme” bezeichnet, können nun ohne Eintragung in der EU-Datenbank auf den Markt gebracht werden, sofern eine dokumentierte Selbsteinschätzung vorliegt. Diese Änderung wird voraussichtlich insbesondere kleinen und mittelständischen Unternehmen sowie Startups zugutekommen, die bisher vor den administrativen Hürden der Registrierung warnten.
Analysen, wie die von der Kanzlei Cooley LLP, prognostizieren eine Reduktion der administrativen Belastung um mindestens 25 Prozent. Eine solche Entlastung könnte dazu beitragen, dass Unternehmen sich verstärkt auf die Entwicklung und Implementierung ihrer Technologien konzentrieren, anstatt sich mit bürokratischen Hürden auseinanderzusetzen. Darüber hinaus sollen die Überschneidungen zwischen der Datenschutz-Grundverordnung (DSGVO) und dem AI Act klargestellt werden, was die Meldung von Datenpannen vereinfacht und die Bedingungen für die Nutzung personenbezogener Daten im KI-Training erleichtert.
Bereits geltende Regelungen: Wachsamkeit ist gefragt
Obwohl die neuen Regelungen für hochriskante Systeme auf eine Verlängerung hoffen dürfen, sind andere Teile des AI Acts bereits in Kraft und bedürfen der Aufmerksamkeit der Unternehmen. Seit Februar 2025 sind bereits bestimmte Praktiken, die als „inakzeptables Risiko” gelten, verboten. Hierzu zählen beispielsweise Social-Scoring-Systeme oder anlasslose Gesichtserkennung. Die nationalen Aufsichtsbehörden sind beauftragt, die Einhaltung dieser Verbote aktiv zu überwachen, um Missbrauch zu verhindern.
Die Vorschriften für General-Purpose-AI (GPAI) gelten seit August 2025. Anbieter, die leistungsstarke Foundation Models anbieten, sind verpflichtet, Transparenz- und Governance-Anforderungen einzuhalten. Der „Code of Practice” für GPAI bleibt zentral und gibt die Rahmenbedingungen vor, die die Anbieter befolgen müssen. Das Omnibus-Paket berührt diesen Bereich größtenteils nicht und deutet darauf hin, dass die Kommission mit der bisherigen Entwicklung zufrieden ist.
Ausblick: Die dringende Frage der Umsetzung
In der europäischen Tech-Branche wird die vorgeschlagene Fristverlängerung mit vorsichtigem Optimismus betrachtet. Sie verschafft den Unternehmen die benötigte Zeit, um die komplexen Anforderungsprozesse für hochriskante Systeme zu bewältigen. Dennoch warnen Rechtsexperten, dass das Omnibus-Paket bislang nur ein Vorschlag ist und die Änderungen vor dem 2. August 2026 vom Europäischen Parlament und Rat verabschiedet werden müssen. Dies macht den Zeitdruck erheblich, da eine Verzögerung des Gesetzgebungsprozesses einen „Cliff Edge”-Szenario herbeiführen könnte, in dem die ursprüngliche Frist von 2026 bestehen bleibt.
Intensive Verhandlungen zwischen Kommission, Parlament und Rat, auch bekannt als Triloge, stehen bevor. Unternehmen sollten weiterhin an ihrem Compliance-Mapping arbeiten und vorrangig auf die Pflichten der GPAI sowie die Vermeidung verbotener Praktiken fokussieren, während sie die Entwicklungen der hochriskanten Fristen beobachten. Der Fokus könnte sich hierbei von der Frage, was die Regeln vorschreiben, hin zu der Frage bewegen, wie und wann diese umsetzbar sind. Mit dem Digital Omnibus erkennt die EU an, dass die notwendige technische Infrastruktur für die KI-Compliance mehr Zeit benötigt. Die Frage bleibt, ob diese Zeit auch effektiv genutzt wird.
Fazit: Ein notwendiger Schritt mit Herausforderungen
Die vorgeschlagenen Änderungen im Rahmen des Digital Omnibus-Pakets bieten Unternehmen eine wertvolle Gelegenheit, sich auf die sich entwickelnden Anforderungen der EU KI-Regulierung vorzubereiten. Die Fristverlängerungen und Bürokratieabbauten könnten die Belastung für viele Firmen reduzieren, jedoch bleibt die Umsetzung ungewiss, solange die zuständigen Institutionen nicht aktiv werden. Firmen sollten die Zeit nutzen, um ihre Compliance-Prozesse zu optimieren und sich auf die bestehenden Verpflichtungen zu konzentrieren.