Ende Juni 2026 hat die EU mit dem sogenannten Digital Omnibus zentrale Fristen des AI Act verschoben. Das Europäische Parlament stimmte Mitte Juni zu, der Rat Ende Juni. Die wichtigste Änderung betrifft die Hochrisiko-Systeme. Deren Pflichten sollten ursprünglich am 2. August 2026 greifen und gelten nun erst ab dem 2. Dezember 2027. Für KI in regulierten Produkten wird es sogar August 2028. Wer gerade mitten in der Compliance-Vorbereitung steckt, fragt sich zu Recht, was jetzt eigentlich noch gilt.
Was sich verschiebt
Verschoben wurden die umfangreichen Anforderungen an Hochrisiko-KI, also Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht und Konformitätsbewertung. Für Systeme etwa in der Personalauswahl, der Kreditvergabe oder in kritischer Infrastruktur greifen diese Pflichten erst im Dezember 2027. Unternehmen, die solche Systeme entwickeln oder einsetzen, haben damit deutlich mehr Zeit gewonnen.
Was unverändert bleibt
Die Regeln, die seit Februar 2025 gelten, bleiben unberührt. Verbotene KI-Praktiken wie Social Scoring oder manipulative Systeme sind weiterhin verboten. Auch die Pflicht zur KI-Kompetenz besteht fort. Wer KI einsetzt, muss sein Personal entsprechend schulen. Dasselbe gilt für die Governance-Regeln, die seit 2025 für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck bestehen.
Bei den Transparenzpflichten, also der Kennzeichnung von KI-Chatbots, KI-generierten Inhalten und Deepfakes, hat der Digital Omnibus den Zeitplan und technische Details wie die Wasserzeichen-Pflicht angepasst. Wer die Kennzeichnung bereits umgesetzt hat, sollte sie deshalb aber nicht zurückbauen. Sie ist mit wenig Aufwand machbar, entspricht dem, was Nutzer und Aufsicht ohnehin erwarten, und sie wird verpflichtend. Die Verschiebung ändert nichts am Ob, nur am Wann.
Warum die EU verschoben hat
Der offizielle Grund ist schlicht, dass die technischen Standards, gegen die Hochrisiko-Systeme geprüft werden sollen, noch nicht fertig sind. Ohne harmonisierte Normen gibt es keine praktikable Konformitätsbewertung. Dazu kam erheblicher Druck aus der Wirtschaft, die Bürokratielasten und Rechtsunsicherheit kritisierte. Der Digital Omnibus ist Teil eines größeren Pakets, mit dem die EU ihre Digitalregulierung vereinfachen will.
Warum Abwarten trotzdem die falsche Strategie ist
So verständlich der Reflex ist, die Sache erst einmal liegenzulassen, halte ich ihn für einen Fehler. Die Verschiebung betrifft die Pflichten, nicht die Einstufung. Wer ein Hochrisiko-System betreibt, wird es auch 2027 noch tun. Und die Anforderungen an sauberes Datenmanagement, Dokumentation und Nachvollziehbarkeit lassen sich nicht in drei Monaten nachrüsten, wenn die Frist dann tatsächlich näher rückt.
Dazu kommt, dass Kunden und Geschäftspartner heute schon nach KI-Governance fragen, völlig unabhängig von gesetzlichen Fristen. Wer in Ausschreibungen belastbare Antworten geben kann, hat einen Vorteil. Und vieles von dem, was der AI Act verlangt, ist ohnehin gute Ingenieurspraxis. Die Versionierung von Modellen und Prompts, das Logging von KI-Entscheidungen und definierte Punkte, an denen ein Mensch eingreifen kann, zahlen sich in jedem KI-Projekt aus, ganz gleich, was in Brüssel entschieden wird.
Mein Rat für die Praxis
Verschaffen Sie sich zuerst einen Überblick, welche KI-Systeme bei Ihnen im Einsatz sind, ob selbst entwickelt oder eingekauft. Prüfen Sie dann, ob etwas davon in die Hochrisiko-Kategorien fällt. Für die meisten kleinen und mittleren Unternehmen lautet die Antwort nein. Dann bleiben vor allem die Transparenz- und Kompetenzpflichten, und die sind überschaubar. Falls doch ein Hochrisiko-System dabei ist, nutzen Sie die gewonnene Zeit bis Ende 2027 für ein strukturiertes Projekt statt für eine hektische Nachrüstung kurz vor knapp. Die Grundlagen wie Kennzeichnung, Schulung und Dokumentation würde ich in jedem Fall jetzt sauber umsetzen.
Dieser Beitrag ersetzt die Fristenangaben in unserem Artikel vom 5. Juli zum EU AI Act, der die Rechtslage vor dem Digital Omnibus beschrieb.