EU AI Act: Fristverlängerung für Hochrisiko-KI-Systeme – Was jetzt zu tun ist

Das Europäische Parlament und der Rat haben vergangene Woche, am 07.05.2026, eine Einigung über die Verschiebung wichtiger Fristen im AI Act erzielt. Die Einigung muss noch formal gebilligt werden – dies wird in den kommenden Wochen erwartet. Für Unternehmen, die bereits KI-Systeme im Einsatz haben, bedeutet dies zunächst Entlastung – doch wer die gewonnene Zeit nicht strategisch nutzt, riskiert erhebliche Compliance-Lücken.

Der aktuelle Stand: Was gilt bereits, was kommt noch?

Mit dem AI Act verfolgt die EU einen gestuften Umsetzungsplan. Seit Februar 2025 sind bereits bestimmte KI-Praktiken verboten, darunter Social-Scoring-Systeme und spezifische Formen der Emotionserkennung am Arbeitsplatz. Parallel dazu greifen die Anforderungen zur AI-Literacy: Unternehmen müssen sicherstellen, dass ihre Teams über ausreichende KI-Kompetenzen verfügen. Seit August 2025 gelten zudem Dokumentations- und Informationspflichten für Anbieter von KI-Systemen mit allgemeinem Verwendungszweck (GPAI-Systeme), etwa ChatGPT.

Dieursprünglich ab 02.08.2026 geplanten Verpflichtungen für Hochrisiko-KI-Systeme wird nun voraussichtlich auf 02.12.2027 verschoben. Diese Verschiebung ist Teil des sogenannten Digital Omnibus, mit dem die EU auf die Realität reagiert: Technische Standards und Prüfverfahren sind noch nicht flächendeckend verfügbar. Für produktbezogene Hochrisiko-KI-Systeme gemäß Anhang I – etwa in Medizinprodukten, Maschinen oder Spielzeug – gilt sogar eine Frist bis 02.08.2028.

Gleichzeitig werden neue Verbote eingeführt: Ab Dezember 2026 sind KI-Systeme untersagt, die nicht einvernehmliche sexuelle oder intime Inhalte erzeugen sowie Systeme, die Darstellungen sexuellen Kindesmissbrauchs generieren oder deren Erstellung unterstützen. Für bestehende KI-Systeme ist zudem für die Kennzeichnung KI-generierter Inhalte eine Fristverlängerung bis Dezember 2026 vorgesehen.

Warum die Fristverlängerung kein Freifahrtschein ist

Die Verschiebung verschafft Luft, ändert aber nichts an der Substanz der Anforderungen. Hochrisiko-KI-Systeme umfassen Anwendungen in besonders sensiblen Bereichen: Recruiting und Personalmanagement, Bildungszugang, Gesundheitsversorgung, Kreditvergabe, Versicherungen sowie Strafverfolgung und Migration. Viele Unternehmen setzen solche Systeme bereits ein, ohne sich ihrer regulatorischen Einordnung bewusst zu sein.

Beispiele aus dem HR- und Recruiting-Bereich zeigen die Reichweite: Automatisierte Bewerbervorauswahl, KI-gestützte Eignungsdiagnostik, Performance-Management-Systeme oder algorithmische Entscheidungsunterstützung bei Beförderungen und Kündigungen können unter die Hochrisiko-Kategorie fallen. Für diese Systeme sind künftig umfassende Maßnahmen erforderlich, wie etwa Risikomanagement, technische Dokumentation, menschliche Aufsicht, Transparenzpflichten sowie hohe Standards bei Datenqualität und Cybersicherheit.

Die zentrale Herausforderung: Verantwortung auch beim Betreiber

Ein häufiges Missverständnis betrifft die Rollenverteilung. Der AI Act unterscheidet zwischen Anbietern (die KI-Systeme bereitstellen, in Betrieb nehmen oder GPAI bereitstellen) und Betreibern (die sie in Verkehr bringen, in Betrieb nehmen oder die erzeugte Ausgabe in der EU verwenden). Viele Unternehmen gehen davon aus, dass die Compliance-Verantwortung alleine beim Anbieter liegt. Das ist falsch. Als Betreiber tragen Sie eigenständige Pflichten – unabhängig davon, ob Ihr Anbieter compliant ist.

Diese Verantwortung trifft Organisationen oft unerwartet. Häufig wurden KI-Tools nicht im Rahmen einer durchdachten Digitalstrategie eingeführt, sondern sind Teil von Standardsoftware, die schrittweise erweitert wurde, wie etwa ein HR-System, das plötzlich ein KI-Modul zur Bewerberauswahl erhält. In diesem Fall ist das Unternehmen Betreiber – und damit Träger von Pflichten.

Konkrete Handlungsschritte für die Vorbereitung

  1. Bestandsaufnahme durchführen: Erfassen Sie vollständig alle KI-Systeme, die Entscheidungen über Personen treffen oder beeinflussen. Beginnen Sie mit Recruiting und Personalwesen, prüfen Sie dann Zugangskontrollsysteme, Leistungsbewertungen, Gesundheitsdiagnostik und Kreditscoring.
  2. Rollen klären und Verantwortung zuweisen: Klären Sie für jedes System, ob Ihr Unternehmen als Anbieter, Betreiber oder beides agiert. Benennen Sie konkrete Verantwortliche mit Namen und klarem Mandat zur Überwachung, Eskalation und gegebenenfalls zum Stopp des Betriebs.
  3. Risikobewertungen durchführen: Dokumentieren Sie für jedes Hochrisiko-System, welche Schäden entstehen können, wer betroffen sein könnte und welche Schutzmaßnahmen greifen. Fordern Sie Risikodokumentation bei Anbietern an, führen Sie aber eigene Bewertungen für Ihren spezifischen Einsatzkontext durch.
  4. Transparenz- und Erklärungsmechanismen aufbauen: Schaffen Sie Prozesse, mit denen betroffene Personen verständliche Erklärungen erhalten können. Definieren Sie klar, wer solche Anfragen beantwortet, nach welchen Kriterien und wie Nachvollziehbarkeit sichergestellt wird.
  5. Dokumentation aufbauen: Beginnen Sie jetzt mit der systematischen Dokumentation. Die Anforderungen an technische Dokumentation, Konformitätsnachweise, Überwachungsprotokolle und Nachweise menschlicher Aufsicht sind umfangreich und lassen sich nicht kurzfristig nachträglich erstellen.

Warum jetzt handeln?

Die geplante Fristverlängerung bis 02.12.2027 ist hilfreich. Aber sie ist kein Signal zur Entspannung. Erfahrungsgemäß unterschätzen Unternehmen den Aufwand erheblich. KI-Governance nachträglich in laufende Systeme zu integrieren ist komplexer als eine Neuimplementierung mit eingebauter Compliance. Unternehmen, die jetzt beginnen, haben die Zeit, Prozesse zu testen, anzupassen und zu verfeinern.

Die vorläufige Einigung muss nun noch vom Rat und vom Europäischen Parlament formal umgesetzt werden.

Die gewonnene Zeit ist wertvoll. Aber nur, wenn sie genutzt wird.

Wir bei ATTYS unterstützen Sie gerne bei der Vorbereitung auf die AI-Act-Anforderungen und dem Aufbau rechtskonformer KI-Governance-Strukturen.