EU-Kommission legt Leitlinien für Hochrisiko-KI vor

Die Europäische Kommission treibt die Regulierung Künstlicher Intelligenz weiter voran und hat nun den Entwurf für Leitlinien zu Hochrisiko-KI-Systemen veröffentlicht. Der Schritt folgt auf eine weitreichende Einigung vom 7. Mai 2026, den sogenannten „Digital Omnibus", der die Umsetzung des EU AI Acts neu strukturiert.

Verspätete Fristen nach dem Digital-Omnibus-Abkommen

Die Regulierung von Künstlicher Intelligenz erfuhr Anfang Mai eine grundlegende Anpassung. In einer vorläufigen Einigung vom 7. Mai 2026 beschloss die EU, den AI Act zu vereinfachen – vor allem durch verschobene Compliance-Fristen für Hochrisiko-Systeme. Für Technologien, die unter Anhang III des Gesetzes fallen – darunter KI in kritischer Infrastruktur, Bildung und Strafverfolgung – wurde die Frist zur vollständigen Einhaltung auf Dezember 2027 verschoben. Ursprünglich sollten diese Verpflichtungen bereits am 2. August 2027 in Kraft treten.

Angesichts der neuen EU-Regulierung für Hochrisiko-Systeme stehen viele Unternehmen vor komplexen Dokumentationspflichten. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen des EU AI Acts. EU AI Act in 5 Schritten verstehen

Systeme nach Anhang I erhalten eine noch längere Übergangszeit. Hier gilt nun der 2. August 2028 als neuer Stichtag. Die Änderungen spiegeln die wachsende Erkenntnis wider, dass die technischen Herausforderungen bei der Umsetzung von Hochrisiko-KI-Regeln größer sind als ursprünglich angenommen.

Allerdings: Der Digital Omnibus ist noch nicht offiziell in Kraft getreten. Rechtlich bindend bleiben bis zur Ratifizierung die ursprünglichen Fristen aus der veröffentlichten Version des AI Acts (EU 2024/1689).

Der überarbeitete Zeitplan enthält auch sofortige Verbote. Als direkte Reaktion auf jüngste Vorfälle mit gefälschten Bildern hochrangiger Politiker kündigte die EU ein Verbot von „Nudifier"-Apps an – KI-Tools zur Erstellung nicht-einvernehmlicher intimer Bilder. Dieses Verbot tritt am 2. Dezember 2026 in Kraft. Bei Verstößen drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Transparenzpflichten schon im August 2026

Trotz der Aufschübe für Hochrisiko-Systeme rücken andere Kernbestimmungen des AI Acts rasant näher. Bereits am 2. August 2026 werden die Transparenzpflichten aus Artikel 50 bindend. Ab diesem Datum müssen Organisationen Nutzer klar darüber informieren, wenn sie mit einem KI-System interagieren – etwa einem Chatbot. Zudem müssen alle KI-generierten Texte, Bilder oder Videos – einschließlich Deepfakes – eindeutig als solche gekennzeichnet werden.

In Deutschland übernimmt die Bundesnetzagentur ab dem 2. August 2026 offiziell die Rolle der Marktüberwachungsbehörde for den AI Act. Gleichzeitig läuft die Frist für die Implementierung von Wasserzeichen-Pflichten für generative KI-Systeme ab. Neue Systeme müssen diese Kennzeichnungen bis August 2026 integrieren, ältere Systeme haben eine Gnadenfrist bis zum 2. Dezember 2026. Verstöße gegen die Transparenzstandards können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden.

Diese neuen Fristen bauen auf den KI-Kompetenzanforderungen (Artikel 4) auf, die bereits seit dem 2. Februar 2025 gelten. Dieser Artikel verpflichtet Organisationen, sicherzustellen, dass ihre Mitarbeiter über grundlegende Kenntnisse zu KI-Systemen und den damit verbundenen Risiken verfügen.

Unternehmen sind schlecht vorbereitet

Aktuelle Studien zeigen eine erhebliche Kluft zwischen den kommenden gesetzlichen Anforderungen und der tatsächlichen Vorbereitung der Unternehmen. Branchenanalysten zufolge verfügen rund 78 Prozent der europäischen Mittelständler über keinerlei formale KI-Governance-Strukturen. 83 Prozent der Firmen führen kein KI-Register, und 74 Prozent haben noch keine verantwortliche Person für KI-Compliance benannt.

Während die EU die Daumenschrauben bei der KI-Regulierung anzieht, unterschätzen viele Firmen die damit verbundenen Cyberrisiken und rechtlichen Anforderungen. Erfahren Sie im kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig die neuen gesetzlichen Vorgaben rechtssicher erfüllen. IT-Sicherheit stärken und gesetzliche Anforderungen erfüllen

Auch die technische Dokumentation bereitet Sorgen: 61 Prozent der Unternehmen führen nicht die erforderlichen Aufzeichnungen über ihre KI-Einsätze. Diese mangelnde Vorbereitung fällt mit einer wachsenden Bedrohungslage zusammen. Eine am 20. Mai 2026 veröffentlichte KPMG-Studie mit knapp 1.400 Unternehmen zeigt: 50 Prozent der Organisationen sehen KI-gestützte Cyberangriffe als ihre größte Sicherheitsherausforderung. In 61 Prozent der Fälle waren Sicherheitsvorfälle auf Anwenderfehler bei der Nutzung von KI-Tools zurückzuführen.

Die Sicherheitsbedenken werden durch aktuelle Vorfälle untermauert. Am 19. Mai 2026 bestätigte der Technologiehersteller Foxconn einen Ransomware-Angriff auf seine nordamerikanischen Standorte. Die Hackergruppe Nitrogen soll 8 Terabyte an Daten erbeutet haben, darunter Millionen von Dokumenten zu Großkunden wie Apple, Intel und Nvidia. Solche Ereignisse unterstreichen die Dringlichkeit der EU-Bemühungen um höhere Sicherheitsstandards – KI kann die Zeit zwischen der Entdeckung einer Sicherheitslücke und ihrer Ausnutzung auf wenige Stunden verkürzen.

Zertifizierungen und Länderkooperation

Die EU-Bemühungen um einheitliche KI-Sicherheit werden auf nationaler und technischer Ebene flankiert. Am 19. Mai 2026 erhielt der sichere Dateiaustausch-Anbieter Kiteworks das BSI C5 Type-2-Zertifikat des Bundesamts für Sicherheit in der Informationstechnik. Dieses Zertifikat bestätigt die operative Wirksamkeit von 121 Sicherheitskontrollen – ein zunehmend wichtiger Nachweis für Unternehmen, die ihre Prüfbereitschaft für den AI Act belegen wollen.

Auch die länderübergreifende Zusammenarbeit intensiviert sich. Am 7. Mai 2026 schlossen die Bundesländer Nordrhein-Westfalen, Hessen und Baden-Württemberg einen „Zukunftsbund für KI". Ziel ist eine gemeinsame Plattformarchitektur und cloudunabhängige Infrastruktur für Verwaltungs-KI unter Einbeziehung bestehender Landesprojekte wie NRW.Genius und AIGude. Die Kooperation ist zunächst bis Ende 2028 angelegt und konzentriert sich auf offene Standards und Datenschutz in Behördendiensten.

Die Rechtsentwicklung wird auch durch Gerichtsentscheidungen geprägt. Bereits im Juli 2025 stellte das Landgericht Nürnberg klar: Die DSGVO enthält kein absolutes Verbot der „Kopplung" von Dateneinwilligung mit Vertragsabschlüssen – sofern kein Monopol vorliegt. Dieses Urteil zeigt das Zusammenspiel zwischen bestehenden Datenschutzgesetzen und den neuen KI-spezifischen Vorgaben.

Ausblick: 2026 wird zum Jahr der Marktüberwachung

Während die EU-Kommission ihre Konsultation zu den Hochrisiko-Leitlinien vorantreibt, liegt der Fokus für den Rest des Jahres 2026 auf dem Übergang zur aktiven Marktüberwachung. Unternehmen, die in der EU tätig sind, müssen die Frist zum 2. August 2026 für Transparenz und Kennzeichnung synthetischer Inhalte priorisieren. Der Digital Omnibus hat zwar für die komplexesten Hochrisiko-Systeme bis Ende 2027 etwas Luft verschafft – die grundlegenden Anforderungen an technische Dokumentation und Risikomanagement bleiben jedoch bestehen.

Die Rechtsentwicklung ist auch international im Fluss. 2025 führten mehrere US-Bundesstaaten, darunter Maryland, strenge neue Gesetze zu Privatsphäre und KI-Risikobewertungen ein. Diese globalen Entwicklungen deuten darauf hin, dass die EU-Vorstöße für eine proaktive KI-Governance Teil eines breiteren Trends zu mehr Kontrolle sind. Unternehmen, die bis Ende 2026 keine KI-Register und Compliance-Protokolle etabliert haben, riskieren nicht nur hohe Geldstrafen, sondern auch den Ausschluss von einem Markt, der zunehmend auf geprüfte, sichere und transparente Künstliche Intelligenz setzt.

de | wirtschaft | 69382124 |