Die EU-KI-Verordnung: die Frist, die fast alle noch falsch nennen
Kurz gesagt. Wenn dein Compliance-Plan auf einer Hochrisiko-Frist am 2. August 2026 aufbaut, baut er auf einem Datum auf, das nicht mehr gilt. Eine Änderung der EU-KI-Verordnung von 2026 (das "Digital Omnibus") hat die Hochrisiko-Pflichten um mehr als ein Jahr nach hinten geschoben. Die beiden Daten, die dieses Jahr wirklich zählen, sind der 2. August 2026 (Transparenzpflichten für KI, die du schon betreibst) und der 2. Dezember 2026 (ein neues Verbot plus das Ende einer Kennzeichnungs-Übergangsfrist). Das volle Hochrisiko-Regime für eigenständige Systeme greift jetzt am 2. Dezember 2027. Hier ist der korrigierte Zeitplan und was du mit der Zeit anfängst, von der du nicht wusstest, dass du sie hast.
Warum sich zwei Minuten dafür lohnen
Die EU-KI-Verordnung ist das erste umfassende KI-Gesetz in einem großen Markt, und es wurde viel geschrieben, um Unternehmen bei der Vorbereitung zu helfen. Das Problem: Vieles davon entstand vor Mitte 2026, und der Zeitplan hat sich darunter verändert.
Suche heute nach "EU AI Act Frist", und du findest weiter Agenturen und Beratungen, die vor Hochrisiko-Pflichten am 2. August 2026 warnen. Manche verkaufen einen Compliance-Sprint gegen dieses Datum. Das Datum ist falsch. Es wurde im Sommer 2026 per Gesetz verschoben. Nach dem alten Datum zu handeln heißt, Geld und Aufmerksamkeit gegen eine Frist einzusetzen, die jetzt sechzehn Monate weiter entfernt ist, als man dir gesagt hat.
Das ist kein Grund, sich zurückzulehnen. Es ist ein Grund, nach dem richtigen Zeitplan zu planen statt nach einem veralteten.
Die Daten, die wirklich gelten
Die meiste Verwirrung entsteht, weil die KI-Verordnung wie ein großer Schalter behandelt wird, der an einem Tag umgelegt wird. Das war sie nie. Die Verordnung greift über mehrere Jahre gestaffelt, und die Änderung von 2026 hat einige dieser Stufen verschoben, andere nicht.
| Datum | Was gilt | Status |
|---|---|---|
| 2. Februar 2025 | Verbot inakzeptabler Praktiken; KI-Kompetenzpflichten | In Kraft |
| 2. August 2025 | Regeln für KI-Modelle mit allgemeinem Verwendungszweck; Governance und Sanktionen | In Kraft |
| 2. August 2026 | Transparenzpflichten nach Artikel 50: Kennzeichnung KI-generierter Inhalte, Hinweis auf KI-Interaktion | Dieses Jahr aktiv, durch die Änderung unberührt |
| 2. Dezember 2026 | Neues Verbot (KI-generierte nicht einvernehmliche intime Darstellungen und CSAM); Ende der Übergangsfrist zur maschinenlesbaren Inhaltskennzeichnung | Neu, durch die Änderung ergänzt |
| 2. August 2027 | KI-Reallabore der Mitgliedstaaten betriebsbereit | Verlängert hierauf (vom 2. August 2026) |
| 2. Dezember 2027 | Eigenständige Hochrisiko-Systeme (Personalauswahl, Kreditwürdigkeit und Ähnliches) | Verschoben vom alten Datum 2. August 2026 |
| 2. August 2028 | Hochrisiko-KI in regulierten Produkten | Verschoben von 2027 |
Die wichtigste Zeile ist die vorletzte. Die Hochrisiko-Pflichten, die ältere Texte auf August 2026 legen, greifen jetzt im Dezember 2027. Wenn dein Unternehmen KI nutzt, um Bewerbungen zu sichten, Kreditwürdigkeit zu bewerten oder Entscheidungen in den anderen Hochrisiko-Kategorien der Verordnung zu treffen, hast du deutlich mehr Vorlauf, als das Netz dir sagt.
Was sich geändert hat, und woher es kommt
Die ursprüngliche KI-Verordnung ist die Verordnung (EU) 2024/1689. Sie trat am 1. August 2024 mit dem gestaffelten Zeitplan in Kraft, und das ursprüngliche Datum der vollen Anwendung für Hochrisiko-Systeme war der 2. August 2026.
Ende 2025 schlug die Europäische Kommission ein Paket vor, informell "Digital Omnibus" genannt, auch als Reaktion darauf, wie schwer die Hochrisiko-Regeln im ursprünglichen Zeitplan umzusetzen waren. Es durchlief 2026 den üblichen Weg: eine vorläufige Einigung im Frühjahr, Annahme durch das Europäische Parlament am 16. Juni 2026 und endgültige Annahme durch den Rat am 29. Juni 2026. Seitdem ist es im Amtsblatt veröffentlicht und in Kraft. Der Aufschub ist kein Vorschlag, auf den du wartest. Er ist das Recht, das jetzt gilt.
Ein ehrlicher Hinweis, weil es in diesem Text um korrekte Fakten geht. Zu wissen, dass sich der Zeitplan verschoben hat, ist nicht dasselbe wie zu wissen, wo deine eigenen Systeme darin stehen. Ob ein System "hochriskant" ist und ob du sein Anbieter oder sein Betreiber bist, sind konkrete Rechtsfragen mit konkreten Antworten, und sie entscheiden, welches dieser Daten dich tatsächlich bindet. Dieser Text gibt dir den korrigierten Kalender, damit du nach dem richtigen planst. Er ersetzt nicht die rechtliche Einstufung dessen, was du wirklich betreibst.
Die Zahl, bei der du misstrauisch sein solltest
Wo wir bei korrekten Fakten sind: Du hast wahrscheinlich eine Statistik gesehen, nach der ein großer Anteil der Unternehmen, oft "78 Prozent", auf die KI-Verordnung "nicht vorbereitet" sei. Wir haben die Quelle dieser Zahl gesucht. Sie führt zu Pressemitteilungen von Anbietern, die sich auf "eine aktuelle Marktanalyse" ohne Namen, ohne Stichprobengröße und ohne Methodik berufen, und sie ist bei denselben Anbietern an verschiedenen Stellen unterschiedlich formuliert. Sie existiert, um Compliance-Dienste zu verkaufen.
Es gibt echte Daten zur Vorbereitung, aber sie sind älter und zurückhaltender. Bitkom befragte 2024, kurz nach Inkrafttreten, 602 Unternehmen und fand, dass sich nur rund ein Viertel überhaupt mit der Verordnung befasst hatte und dass die meisten davon externe Hilfe zur Umsetzung brauchen würden. Deloitte Legal kam im selben Zeitraum zu ähnlich nüchternen Zahlen. Das sind echte, methodisch transparente Werte. Sie sind auch Momentaufnahmen aus 2024, und genau deshalb zitiert sie niemand: weniger alarmierend und schwerer zu dehnen als eine erfundene runde Zahl.
Der Punkt ist nicht, dass Vorbereitung egal wäre. Der Punkt ist, dass du sehen können solltest, woher eine "Dringlichkeits"-Zahl kommt, bevor du dagegen budgetierst, und dass viele der Zahlen, die auf dich zielen, diese Prüfung nicht bestehen.
Was du mit der Zeit machst
Der Aufschub ist nur dann ein Geschenk, wenn du ihn bewusst nutzt statt als Ausrede, aufzuhören. Drei Schritte lohnen sich jetzt, egal in welche Kategorie deine KI fällt.
- Erfasse, was du tatsächlich betreibst. Die meisten Unternehmen können ihre KI-Anwendungen nicht auflisten, geschweige denn nach Risiko einstufen. Du kannst eine Regelung nicht einhalten, die du nicht kartiert hast. Unspektakulär, und die ganze Grundlage.
- Erledige die Transparenzpflichten vom August 2026 jetzt, denn die sind aktiv. Wenn du Inhalte mit KI erzeugst oder einen Chatbot betreibst, mit dem Kunden sprechen, gelten die Kennzeichnungs- und Offenlegungspflichten dieses Jahr und wurden nicht verschoben. Das ist die kurzfristige Arbeit.
- Stufe deine Hochrisiko-Anwendungen gegen das korrigierte Datum Dezember 2027 ein, nicht gegen das alte. Wenn du im Personalwesen, in der Kreditvergabe oder in einer anderen Hochrisiko-Kategorie arbeitest, hast du mehr Zeit, das sauber zu tun. Nutze sie für ein echtes Konzept, nicht für eine Panik-Nachrüstung.
Der Unterschied zwischen "gut gemacht" und "in Hektik gemacht" ist vor allem der Kalender. Du hast jetzt den richtigen.
Quellen
- Verordnung (EU) 2024/1689 (die EU-KI-Verordnung) und ihre Verfahrensakte, EUR-Lex.
- Das Digital Omnibus zur KI: angenommen vom Europäischen Parlament am 16. Juni 2026 und vom Rat am 29. Juni 2026, veröffentlicht im Amtsblatt. Bestätigt durch veröffentlichte Mandantenhinweise unter anderem von Gibson Dunn, White & Case und DLA Piper.
- Gestaffelter Anwendungszeitplan der KI-Verordnung (Artikel 113) und die geänderten Hochrisiko-Daten.
Wir bauen KI-Software in Produktion, das heißt, wir leben in diesen Regeln, statt über sie zu dozieren. Wenn du den korrigierten Zeitplan gegen das gelegt haben willst, was dein Unternehmen tatsächlich betreibt, ist das der Stoff für ein erstes Gespräch.
Häufige Fragen
- Wurde die Hochrisiko-Frist der EU-KI-Verordnung wirklich verschoben?
- Ja, und es ist geltendes Recht. Die Änderung von 2026 (das Digital Omnibus) verschob die Anwendung für eigenständige Hochrisiko-Systeme vom 2. August 2026 auf den 2. Dezember 2027, und für in Produkte eingebettete Hochrisiko-Systeme von 2027 auf den 2. August 2028. Sie wurde im Juni 2026 vom Europäischen Parlament und vom Rat angenommen und im Amtsblatt veröffentlicht.
- Welche Pflichten der KI-Verordnung gelten 2026 trotzdem?
- Zwei. Die Transparenzpflichten nach Artikel 50 (Kennzeichnung KI-generierter Inhalte, Offenlegung von KI-Interaktionen) gelten ab dem 2. August 2026 und wurden nicht geändert. Ein neues Verbot und das Ende einer Übergangsfrist zur Inhaltskennzeichnung gelten ab dem 2. Dezember 2026.
- Gilt das Verbot verbotener Praktiken vom Februar 2025 noch?
- Ja. Das Verbot inakzeptabler Praktiken trat am 2. Februar 2025 in Kraft und ist von der Änderung 2026 nicht betroffen.
- Sollten wir unsere Vorbereitung stoppen, weil die Frist verschoben wurde?
- Nein. Der Aufschub verschafft dir Zeit für eine saubere Vorbereitung, er ist kein Grund aufzuhören. Die Transparenzpflichten gelten dieses Jahr, und die Einstufung der Hochrisiko-Systeme ist mehr wert, wenn sie sorgfältig statt in Eile gemacht wird.
- Woher stammt die Zahl 78 Prozent nicht bereit?
- Sie lässt sich auf Pressemitteilungen von Anbietern zurückführen, ohne benannte Quelle oder Methodik, veröffentlicht von Firmen, die Compliance-Dienste verkaufen. Die echten Bereitschaftsdaten (Bitkom, Deloitte Legal) stammen aus 2024 und sind zurückhaltender. Sei bei unbelegten runden Zahlen misstrauisch.