Europa hat das weltweit erste umfassende KI-Gesetz verabschiedet. Doch die entscheidenden Kontrollmechanismen sind verschoben worden und das betrifft nicht nur Compliance-Abteilungen, sondern alle, die täglich mit KI-Systemen in Berührung kommen.
Am 7. Mai 2026 wurde es offiziell: Mit dem sogenannten Digital Omnibus on AI einigten sich Europäisches Parlament und Rat auf eine erhebliche Verschiebung der Durchsetzungsfristen des EU AI Acts. Was 2024 als historischer Meilenstein gefeiert wurde, das erste umfassende KI-Gesetz der Welt, verliert damit vorübergehend seinen schärfsten Zahn.
Konkret betroffen sind die Artikel 43 und 44 der Verordnung: die Vorschriften zur Konformitätsbewertung und Zertifizierung von Hochrisiko-KI-Systemen. Sie sind das Herzstück des Gesetzes.
Was sich verändert hat, haben wir für euch übersichtlich zusammengefasst:
Dez 2027: Neue Frist für eigenständige Hochrisiko-KI (Annex III)
Aug 2028: Frist für eingebettete Systeme (Annex I, z. B. Medizinprodukte)
16 – 24; Monate Verzögerung gegenüber dem ursprünglichen Plan
Warum die Verschiebung nicht überraschend kommt
Die offizielle Begründung ist nachvollziehbar: Die harmonisierten europäischen Normen, auf die sich ein Konformitätsbewertungsverfahren nach Artikel 43 stützen muss, sind schlicht nicht rechtzeitig fertiggeworden. Unternehmen, die bereits im August 2026 zertifizierungspflichtig geworden wären, hätten sich auf Standards berufen müssen, die noch gar nicht existierten. In diesem Sinne ist die Verschiebung weniger ein politischer Rückzieher als eine Reparatur einer praktischen Unmöglichkeit.
Hinzu kommen handfeste wirtschaftliche Argumente: Der Mittelstand, der bisher KI-Projekte mit Verweis auf Unsicherheiten rund um den AI Act zurückgestellt hatte, bekommt nun Planungssicherheit. Innovationsdruck und Bürokratieentlastung waren erklärte Ziele des Omnibus-Pakets.
„Für Unternehmen bedeutet das: mehr Zeit und trotzdem kein klarer Fahrplan.”
Aug 2024: EU AI Act tritt in Kraft. Erstes umfassendes KI-Gesetz der Welt
Feb 2025: Verbotene KI-Praktiken gelten (Art. 5)
Aug 2026: Ursprüngliche Hochrisiko-Frist wird durch Digital Omnibus überholt
Nov 2026: Kennzeichnungspflicht für KI-generierte Inhalte (Art. 50)
Dez 2027: Neue Frist: Hochrisiko-KI Annex III, Backstop-Datum, kann früher eintreten
Aug 2028: Neue Frist: Hochrisiko-KI Annex I Eingebettete Systeme, z. B. Medizingeräte
Das stille Problem: Wer trägt das Risiko?
Soweit die pragmatische Seite. Doch die Verschiebung hat eine andere Dimension, die in der technischen Debatte leicht untergeht: Ohne verpflichtende Zertifizierung gibt es keine strukturelle Überprüfung. Das hat schwerwiegende Konsequenzen.
Gerade Hochrisiko-Systeme – definiert durch Anhang III des AI Acts – sind in Bereichen aktiv, in denen Fehlentscheidungen Leben verändern: Kreditvergabe, Recruiting, medizinische Diagnostik, Strafverfolgung. Der EU AI Act stuft KI-Systeme im Personalwesen explizit als hochriskant ein, weil sie algorithmische Diskriminierung begünstigen können. Das Problem ist strukturell: KI lernt aus historischen Daten – und diese Daten spiegeln häufig unbewusste menschliche Vorurteile wider.
Zum Beispiel kann ein Kreditvergabe-Algorithmus, der mit historischen Daten trainiert wurde, lernen, bestimmten Postleitzahlgebieten schlechtere Scores zu vergeben und damit indirekt nach Ethnie oder sozialem Status diskriminieren, ohne dass ein einziges sensibles Merkmal explizit im Datensatz erscheint.
Dazu sagt die Verbraucherzentrale Bundesverband, Vorständin Ramona Pop
„Statt unter dem Deckmantel von Entbürokratisierung Verbraucherschutz und Grundrechte abzubauen, muss die EU für klare Regeln sorgen und gleichzeitig das bestehende Schutzniveau erhalten. Mit ihren Plänen setzt die EU jedoch das Vertrauen der Verbraucherinnen und Verbraucher aufs Spiel.”
Ähnlich laut war der Protest aus der Zivilgesellschaft: Über 130 Organisationen (darunter EDRi, Amnesty International, der Chaos Computer Club und AlgorithmWatch) bezeichneten den Omnibus als den „größten Rückschritt für digitale Grundrechte in der Geschichte der EU”. Auch der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) mahnten in einer gemeinsamen Stellungnahme: Vereinfachung ja, aber nicht auf Kosten des Grundrechtsschutzes.
Vertrauen ist kein Produkt des Abwartens
Die eigentliche Lücke ist nicht die Verschiebung als solche. Es ist das Fehlen von Überbrückungsmechanismen. Denn in dem entstehenden Vakuum können Unternehmen weiterhin „ethische KI” kommunizieren, ohne standardisierte Nachweise erbringen zu müssen. Der Diskurs verschiebt sich von überprüfbarer Qualität hin zu glaubwürdiger Darstellung. Traurigerweise ist das ein Unterschied, der für Außenstehende kaum sichtbar ist.
Vertrauen entsteht im Kontext von KI nicht nachträglich. Es muss von Anfang an eingebaut werden.
Aber es gibt auch gute Neuigkeiten: Die Strafen bei Nicht-Compliance, wenn die Fristen dann kommen, sind erheblich: bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Unternehmen, die die gewonnene Zeit nicht für den Aufbau echter Compliance-Strukturen nutzen, riskieren mehr als eine Geldbuße: sie riskieren das Vertrauen ihrer Nutzerinnen und Nutzer.
Die Verschiebung der Zertifizierungspflichten ist keine rein technische Anpassung. Sie ist eine politische Priorisierung zwischen Marktdynamik und gesellschaftlicher Absicherung.
Zeit wurde gewonnen. Vertrauen wurde vertagt.
Quellen: EU Digital Omnibus on AI (7. Mai 2026) · Gemeinsame Stellungnahme EDPB/EDPS 1/2026 · netzpolitik.org · Verbraucherzentrale Bundesverband · Grant Thornton AT · TÜV Consulting · Deloitte Deutschland · mrak.at/report.at
