ISMS Copilot
Compliance Strategy

Die Verzögerung bei Hochrisiko-KI-Systemen im AI Act ist keine Atempause

Die EU hat die Fristen für Hochrisiko-KI-Systeme auf Dezember 2027 und August 2028 verschoben. Der Grund für diese Verschiebung sollte Ihre Interpretation ändern: Es handelt sich um eine Warnung zu Ihrem Geltungsbereich, nicht um zusätzlichen Spielraum für Ihre Roadmap.

von ISMS Copilot··6 min read
Die Verzögerung bei Hochrisiko-KI-Systemen im AI Act ist keine Atempause

Am 7. Mai 2026 einigten sich das Europäische Parlament und der Rat auf eine politische Einigung zum Digital Omnibus on AI, dem Paket, das den AI Act (Verordnung (EU) 2024/1689) ändert. Die Schlagzeile lautet: eine Verschiebung. Die Regeln für Hochrisiko-Systeme in Bereichen wie Biometrie, kritische Infrastrukturen, Beschäftigung und Migration gelten nun ab dem 2. Dezember 2027, und die Regeln für KI, die in regulierte Produkte wie Aufzüge oder Spielzeug integriert ist, ab dem 2. August 2028 (Europäische Kommission, "EU agrees to simplify AI rules", 2026-05-07). Der Großteil der Verordnung sollte ansonsten bereits ab dem 2. August 2026 gelten, wobei Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind, ursprünglich bereits ab dem 2. August 2027 hätten umgesetzt werden müssen (Europäische Kommission, AI Act regulatory framework page). Die Frist für eigenständige Hochrisiko-Systeme wurde somit um etwa sechzehn Monate verlängert, und der Zeitplan für eingebettete Produkte erhielt weitere zwölf Monate.

Diese Einigung ist noch nicht rechtsverbindlich. Sie wurde zwischen den Mitgesetzgebern ausgehandelt, aber noch nicht formell angenommen oder im Amtsblatt der Europäischen Union veröffentlicht. Die Richtung ist jedoch bereits so klar, dass Teams nun Planungen vornehmen – und genau hier liegt der Fehler.

Der Fehler besteht darin, sechzehn Monate als Atempause zu interpretieren. Das ist es nicht. Eine Verschiebung sagt Ihnen drei Dinge, von denen nur eines lautet: „Sie haben mehr Zeit.“ Die anderen beiden betreffen, was sich neben dem Stichtag verändert hat, und warum der Stichtag überhaupt verschoben wurde. Lesen Sie diese beiden Punkte zuerst, und das Bild kehrt sich um.

Lesen Sie, was sich tatsächlich bewegt hat – nicht nur das Datum

Der Zeitplan für Hochrisiko-Systeme hat sich verschoben. Die Teile des AI Act, die bereits gelten, sind es nicht.

Die in Artikel 5 verbotenen Praktiken gelten seit dem 2. Februar 2025, ebenso wie die Pflichten zur KI-Alphabetisierung. Die Governance-Regeln und die Pflichten für allgemeine KI-Modelle (GPAI) gelten seit dem 2. August 2025 (Europäische Kommission, AI Act regulatory framework page). Keines dieser Anwendungsdaten wurde durch den Digital Omnibus verschoben. Wenn Ihre Organisation auf einem allgemeinen KI-Modell aufbaut oder etwas betreibt, das eine verbotene Praxis berührt, gelten Ihre Pflichten bereits heute – und das seit fast einem Jahr. Die Einigung vom 7. Mai würde zudem ein neues Verbot einführen, anstatt eines zu streichen: ein Verbot von KI-Systemen, die zur Erstellung nicht einvernehmlicher intimer Bilder verwendet werden, den sogenannten „Nudifizierungs-Apps“ (Europäische Kommission, 2026-05-07). Die Richtung bei den sofort anwendbaren Regeln ist also additiv, nicht subtraktiv.

Die Verzögerung ist somit begrenzt. Sie betrifft nur eine Ebene des Regimes – die Klassifizierung als Hochrisiko-System und deren Konformitätspflichten – und lässt die Verbote sowie die GPAI-Pflichten genau dort, wo sie waren. Ein Team, das die Meldung „Der AI Act ist verzögert“ so interpretiert, dass es sein gesamtes KI-Governance-Programm pausiert, hat eine gezielte Fristanpassung als allgemeine Amnestie missverstanden. Das ist die erste Falle.

Lesen Sie, warum sie verschoben wurde – denn der Grund ist die Warnung

Der Stichtag wurde nicht verschoben, weil die Pflichten einfach umzusetzen wären. Er wurde verschoben, um die Anwendung so zu staffeln, dass die technischen Standards und Unterstützungsinstrumente für Hochrisiko-Systeme vor Inkrafttreten der Regeln verfügbar sind – was im ursprünglichen Zeitplan nicht der Fall gewesen wäre (Europäische Kommission, 2026-05-07). Die harmonisierten Normen, an denen sich Hochrisiko-Anbieter orientieren sollen, werden noch fertiggestellt.

Überlegen Sie, was das für die Festlegung des Geltungsbereichs bedeutet. Ihnen wird kein fertiges Regelwerk mit zusätzlicher Zeit zur Umsetzung überlassen. Ihnen wird zusätzliche Zeit genau deshalb gegeben, weil das Regelwerk noch nicht fertig ist. Die Arbeit der Klassifizierung Ihrer Systeme, die Zuordnung zu den Pflichten und der Aufbau von Risikomanagement- und Datengovernance-Praktiken muss nun vor einem sich noch bewegenden Ziel erfolgen. Das ist schwieriger – nicht einfacher – als die Einhaltung eines feststehenden Standards. Teams, die den 2. Dezember 2027 als „Kommen wir nächstes Jahr nochmal drauf zurück“ betrachten, werden Ende 2027 mit demselben unklaren Problem dastehen, das sie heute haben – mit weniger Zeit und einem Standard, der erst kurz vor dem Ziel zum Stillstand kommt.

Die ehrliche Interpretation der Verzögerung ist das Gegenteil von Komfort. Der Regulierer teilt Ihnen mit, dass die operativen Details noch geschrieben werden, und der Grund, warum Sie mehr Zeit erhalten, ist genau der Grund, warum Sie jetzt mit den dauerhaften, standardunabhängigen Teilen der Arbeit beginnen sollten: eine Bestandsaufnahme, wo KI in Ihren Produkten und Prozessen eingesetzt wird, eine vertretbare Klassifizierung jedes Einsatzes anhand der Kategorien in Anhang III sowie die Risiko- und Datengovernance-Praktiken, die jeder Version des finalen Standards vorausgehen werden. Keiner dieser Schritte hängt davon ab, dass die letzte Klausel feststeht.

Verwechseln Sie diese Verzögerung nicht mit dem anderen Digital Omnibus

Es gibt ein zweites Paket, das unter einem ähnlichen Namen durch Brüssel geht – und die Verwechslung beider ist eine eigene Falle. Der weiter gefasste Digital Omnibus schlägt vor, die DSGVO und benachbarte digitale Datenregeln zu vereinfachen, und eine der vorgeschlagenen Änderungen würde die Definition personenbezogener Daten enger fassen und damit den Anwendungsbereich des Gesetzes verringern.

Dieses Paket ist noch nicht beschlossen. Es handelt sich um einen umstrittenen Vorschlag, und diejenigen, die die DSGVO durchsetzen, wehren sich vehement dagegen. In der Gemeinsamen Stellungnahme 2/2026 (angenommen am 10. Februar 2026) warnten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) die Mitgesetzgeber davor, die vorgeschlagene Änderung der Definition personenbezogener Daten anzunehmen, da dies zu einer erheblichen Verengung des Konzepts führen würde (EDPB und EDPS, Gemeinsame Stellungnahme 2/2026, angenommen 2026-02-10). Ihre Botschaft lautete, dass Vereinfachung nicht zu einer Verringerung des Schutzes führen darf, den die DSGVO gewährleisten soll.

Die Lehre für Praktiker:innen lautet, beide Prozesse in der Planung strikt zu trennen. Die Verzögerung bei Hochrisiko-KI-Systemen im AI Act steht kurz vor der Rechtskraft, und Sie können sich auf die neuen Fristen verlassen. Der Vorschlag zur „Vereinfachung“ der DSGVO ist ein Entwurf, den Ihre eigenen Aufsichtsbehörden anfechten – und vorsorglich Ihre Verarbeitungsverzeichnisse oder DPIA-Praktiken aufgrund dieses Entwurfs zu reduzieren, wäre eine Planung anhand einer Klausel, die möglicherweise nicht überlebt. Planen Sie nicht gegen einen Vorschlag. Warten Sie auf den finalen Text.

Die Regel, die es zu beachten gilt

Wenn ein Regulierer eine Regel verschiebt, ist das Datum die am wenigsten informative Information in der Ankündigung. Bevor Sie Ihre Roadmap anpassen, lesen Sie die anderen beiden Fakten: Was hat sich neben dem Stichtag nicht bewegt, und warum wurde der Stichtag verschoben? Hier haben sich die Verbote und GPAI-Pflichten nicht bewegt, und der Zeitplan für Hochrisiko-Systeme wurde verschoben, weil der Standard noch nicht fertig war. Zusammengenommen verwandeln diese beiden Fakten eine sechzehnmonatige Verzögerung von einem Grund, langsamer zu werden, in einen Grund, mit den Teilen der Arbeit zu beginnen, die nie vom Stichtag abhängig waren.

Wenn Ihre unmittelbare Aufgabe die weniger glamouröse Mitte dieses Prozesses ist – die Bestandsaufnahme, wo KI in Ihrem Unternehmen eingesetzt wird, und die Klassifizierung jedes Einsatzes anhand der Kategorien in Anhang III sowie der damit verbundenen Pflichten –, dann ist genau das die standardunabhängige Vorarbeit, die Sie jetzt angehen sollten. Und genau diese Art von Querverweisarbeit ist es, für die ISMS Copilot entwickelt wurde, um sie zu beschleunigen. Der Stichtag hat sich verschoben. Die Arbeit nicht.

Verwandte Beiträge