Verschiebung der KI-Pflichten: Was das für Ihr Unternehmen bedeutet

Ab dem 2. August 2026 sollten die strengen Pflichten für sogenannte Hochrisiko-KI-Systeme aus der europäischen KI-Verordnung (EU AI Act) gelten. Dieser Termin wird aller Voraussicht nach verschoben – allerdings nur für Unternehmen, die solche Hochrisiko-KI-Systeme entwickeln, in Verkehr bringen oder einsetzen. Alle anderen Pflichten der Verordnung gelten bereits heute oder treten planmäßig in Kraft, weshalb Sie daran denken sollten, zeitnah Ihre KI-Richtlinie zu implementieren. In diesem Beitrag erklären wir, was sich ändert, wen die Verschiebung betrifft und warum Sie trotzdem jetzt handeln sollten.

Der Begriff klingt abstrakt, betrifft aber viele Unternehmen ganz konkret. Als Hochrisiko-KI gelten Systeme, die in sensiblen Bereichen eingesetzt werden und dort Einfluss auf wichtige Entscheidungen über Menschen haben. Beispiele, die für unsere Kunden besonders relevant sind:

• Gesundheitswesen und Pflege: KI-Systeme, die Diagnosen unterstützen, Behandlungsempfehlungen geben, Patientendaten auswerten oder bei der Triage helfen. Auch Software, die Gesundheitsdaten analysiert, um Risiken einzuschätzen, fällt darunter.
• Personalwesen und Recruiting: KI-Tools, die Bewerbungen vorsortieren, Eignungstests auswerten oder Empfehlungen für Einstellungen und Beförderungen geben.
• Kreditentscheidungen und Scoring: Systeme, die die Bonität von Personen bewerten oder über die Vergabe von Krediten und Versicherungen mitentscheiden.
• Bildung und Soziales: KI, die Prüfungsleistungen bewertet, Lernempfehlungen gibt oder über den Zugang zu Leistungen und Maßnahmen mitentscheidet.

Kurz gesagt: Überall dort, wo KI Entscheidungen trifft oder wesentlich beeinflusst, die das Leben von Menschen spürbar verändern können, greift die Hochrisiko-Einstufung. Für solche Systeme sieht die Verordnung umfangreiche Pflichten vor – von der Dokumentation über Risikomanagement bis hin zu menschlicher Aufsicht.

Die EU-Kommission hat im November 2025 ein Vereinfachungspaket („Digitaler Omnibus on AI“) vorgelegt. Der Grund: Die technischen Standards und Leitlinien, die Unternehmen für eine rechtssichere Umsetzung bräuchten, sind schlicht noch nicht fertig. Ohne diese Vorgaben können Unternehmen ihre Pflichten kaum erfüllen. Der Kommissionsvorschlag sieht daher vor, die Hochrisiko-Pflichten an die Verfügbarkeit dieser Standards zu koppeln – mit festen Endterminen: spätestens 2. Dezember 2027 für die meisten Hochrisiko-Systeme und spätestens 2. August 2028 für KI in regulierten Produkten wie Maschinen oder Medizinprodukten. Das Europäische Parlament und der Rat der EU arbeiten derzeit an eigenen Positionen. Eine Einigung wird für Sommer 2026 erwartet – also noch vor dem bisherigen Stichtag.

Das ist der wichtigste Punkt: Die Verschiebung betrifft nur die Hochrisiko-Pflichten. Wesentliche Teile der KI-Verordnung gelten bereits heute oder treten planmäßig in Kürze in Kraft:

• Seit Februar 2025: Bestimmte KI-Praktiken sind verboten – etwa Social Scoring oder unterschwellige Manipulation.
• Seit August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (z. B. Sprachmodelle wie ChatGPT) und Governance-Regeln sind anwendbar.
• Ab August 2026: Transparenzpflichten treten in Kraft. Nutzer müssen erkennen können, wenn sie mit einer KI interagieren. KI-generierte Inhalte müssen als solche gekennzeichnet werden.

Auch der Europäische Datenschutzausschuss (EDPB) warnt in seiner Stellungnahme zum Omnibus-Vorschlag ausdrücklich davor, die Verschiebung als Grund zu nehmen, mit der Vorbereitung zu warten. Vereinfachung dürfe nicht auf Kosten des Grundrechtsschutzes gehen.

Die zusätzliche Zeit durch die Verschiebung ist eine Chance, aber nur, wenn Sie sie nutzen. Gerade für kleine und mittlere Unternehmen ohne eigene Rechtsabteilung empfehlen wir drei Sofortmaßnahmen:

• KI-Inventar erstellen: Welche KI-Systeme setzen Sie ein? Welche Daten verarbeiten diese? Wo könnten Hochrisiko-Einstufungen greifen? Oft ist Unternehmen gar nicht bewusst, dass sie bereits KI-Systeme nutzen – etwa in der Buchhaltung, im Kundenservice oder bei der Terminplanung.
• KI-Richtlinie aufsetzen: Eine interne KI-Richtlinie legt fest, wie Ihr Unternehmen mit KI umgeht – von der Auswahl über den Einsatz bis zur Kontrolle. Das ist keine Bürokratie, sondern schafft Klarheit für Ihre Mitarbeitenden und schützt Sie im Ernstfall.
• Verantwortlichkeiten klären: Wer in Ihrem Unternehmen kümmert sich um KI-Compliance? Das kann eine interne Stelle sein oder ein externer KI-Beauftragter. Wichtig ist, dass die Zuständigkeit klar geregelt ist, bevor die Pflichten greifen.

Wir begleiten unsere Kunden von der ersten Bestandsaufnahme bis zur laufenden Betreuung – mit einer Kombination aus KI-Kompetenz und Datenschutz, die in dieser Form selten ist. Ob KI-Richtlinie, Schulung Ihrer Mitarbeitenden oder die Bestellung eines externen KI-Beauftragten: Wir sorgen dafür, dass Sie gut vorbereitet sind, wenn die Pflichten greifen, egal ob 2027 oder früher.

Sprechen Sie uns an! Wir beraten Sie gern persönlich zu Ihrer Situation. Weitere Informationen finden Sie auf unserer Seite zu KI-Compliance und KI-Beratung.

Stand: 12. März 2026