EU hält an KI-Gesetz fest: Keine „Stop-the-Clock“-Pause vor den Fristen 2026

Die Europäische Kommission hat Anfang Januar 2026 klargestellt, dass es keine Aussetzung („Stop-the-Clock“), keinen generellen Aufschub und keine pauschale Übergangsfrist für die Durchsetzung des EU-KI-Gesetzes (AI Act) geben wird. Die im Gesetz verankerten Zeitpläne bleiben damit maßgeblich – insbesondere für Hochrisiko-KI-Systeme, deren Kernpflichten ab August 2026 gelten sollen.

Für Unternehmen, die KI-Systeme in der EU betreiben oder in den EU‑Markt liefern, wird 2026 damit zur faktischen regulatorischen Deadline: Wer bis dahin keine belastbare KI-Governance, technische Kontrollen und Dokumentation etabliert hat, riskiert erhebliche Störungen im Betrieb, kostspielige Architekturänderungen oder Bußgelder.

Kontext: Was ist passiert und wer ist betroffen?

EU weist Forderungen nach Moratorium zurück

In den vergangenen Monaten hatten große US‑ und EU‑Technologieunternehmen – darunter Konzerne wie Alphabet, Meta sowie europäische Industrieunternehmen – die Kommission öffentlich aufgefordert, die Anwendung des KI-Gesetzes um mehrere Jahre zu verschieben. In einem offenen Brief unter dem Label „Stop the Clock“ argumentierten sie, die Industrie könne ohne finale technische Standards und Leitlinien faktisch nicht regelkonform planen und entwickeln.

Die Kommission hat diese Forderungen nun explizit zurückgewiesen. Ein Sprecher stellte klar, dass es „keine Stop-the-Clock-Regelung, keine Gnadenfrist und keine Pause“ geben werde und dass die gesetzlich festgelegten Stichtage unverändert gelten. Die wesentlichen Meilensteine sind:

• Seit Februar 2025: Bestimmte Grundpflichten und Verbote (z. B. für unzulässige KI-Praktiken) sind bereits in Kraft.

• August 2025: Verpflichtungen für General Purpose AI (GPAI)-Modelle, insbesondere große Basis- und Foundation-Modelle, beginnen zu greifen.

• August 2026: Zentrale Pflichten für Hochrisiko-KI-Systeme werden anwendbar – etwa in kritischer Infrastruktur, Personalrekrutierung, Bildung, Kreditvergabe und Strafverfolgung.

Damit ist die Botschaft der EU eindeutig: Das KI-Gesetz befindet sich nicht mehr im Entwurfsstadium, sondern geht schrittweise in den Vollzug über. 2026 markiert den Wendepunkt von der Vorbereitungs- zur Umsetzungsphase.

Parallel: Digital Omnibus und selektive Entlastungen

Parallel zur harten Linie beim Zeitplan treibt die Kommission ein Digital-Omnibus-Paket voran. Dieses soll verschiedene Digitalgesetze – darunter Elemente des KI-Gesetzes – vereinfachen und teilweise entlasten. Diskutiert werden etwa:

• gezielte Verzögerungen einzelner Pflichten für bestimmte Hochrisiko-Anwendungsfälle, falls harmonisierte Normen nicht rechtzeitig vorliegen,

• vereinfachte Dokumentations- und Meldepflichten für kleinere Anbieter,

• eine stärkere Koordinierung von Prüf- und Aufsichtsanforderungen über verschiedene Digitalregime hinweg.

Wichtig ist: Das Omnibus-Paket ist kein Moratorium. Es ändert nichts an der Grundlogik, dass Hochrisiko-KI ab 2026 einer verbindlichen Konformitätsbewertung und laufender Aufsicht unterliegt. Unternehmen dürfen daher nicht auf eine generelle Aufschiebung spekulieren.

Wer besonders im Fokus steht

Besonders betroffen sind:

• Anbieter von Hochrisiko-KI-Systemen nach Anhang III des KI-Gesetzes, z. B.:

- KI in Bewerbungs- und Einstellungsprozessen

- KI für Bildungszugang und Prüfungsbewertung

- KI in Kreditwürdigkeitsprüfungen

- sicherheitsrelevante KI in Verkehr, Energie, Gesundheitswesen

• Betreiber solcher Systeme (z. B. Banken, Krankenhäuser, Energienetzbetreiber), die Verantwortung für den konkreten Einsatz im Feld tragen.

• Provider von General-Purpose-Modellen, deren Modelle als Grundlage für zahlreiche nachgelagerte Anwendungen dienen.

Für all diese Akteure steht nun fest: 2026 ist ein harter regulatorischer Ecktermin – kein weicher Zielwert.

Detaillierte Analyse: Auswirkungen, Risiken und Chancen

Technische Realität: Regulierung ohne fertige Standards

Ein Hauptargument der „Stop-the-Clock“-Initiative war der Rückstand bei technischen Leitplanken:

• Nur ein Teil der geplanten harmonisierten Normen (CEN/CENELEC) für das KI-Gesetz ist Anfang 2026 im Stadium der öffentlichen Konsultation.

• Wichtige Normen zu Risikomanagement, Datenqualität, Transparenz, Logging und menschlicher Aufsicht sind noch nicht abschließend verabschiedet.

• Unternehmen entwickeln daher gegen ein sich bewegendes Ziel und müssen derzeit mit Entwürfen und Best Practices arbeiten.

Die Kommission nimmt diese Einwände auf, aber nicht als Grund für eine Vollbremsung. Stattdessen entsteht ein System, in dem:

• Konformität sich zunächst stärker an Prinzipien und Risikomanagement orientiert,

• Unternehmen bei fehlenden Normen eigene „State-of-the-Art“-Nachweise erbringen müssen (z. B. interne Policies, Auditberichte, Modellkarten, Data Sheets),

• harmonisierte Normen später eher als „sichere Häfen“ dienen, aber nicht die einzige Option sind.

Governance-Druck: Vom Projekt zur Dauerfunktion

Mit den klaren Fristen verschiebt sich die Perspektive in Unternehmen:

• KI-Compliance lässt sich nicht mehr als einmaliges Projekt organisieren, sondern wird zur permanenten Funktion ähnlich wie Informationssicherheit oder Datenschutz.

• Es entsteht Druck, Rollen und Verantwortlichkeiten klar zu definieren:

- Product Owner / Systemverantwortliche

- KI‑Risk Manager

- Data Stewards

- interne Audit- und Kontrollfunktionen

• Board und Geschäftsführung müssen aufsichtsrechtliche Verantwortung übernehmen – insbesondere in regulierten Sektoren (Finanzdienstleistungen, Gesundheit, kritische Infrastruktur).

Auditoren-Lücke und „Compliance Bottleneck“

Ein absehbares strukturelles Risiko ist die „Auditor Gap“:

• Nur eine begrenzte Zahl von Notified Bodies (benannten Stellen) wird zertifiziert sein, um Hochrisiko-KI-Systeme offiziell zu prüfen.

• Der Aufbau dieser Kapazitäten ist zeit- und ressourcenintensiv.

• Bereits Anfang 2026 ist absehbar, dass sich Warteschlangen für Konformitätsbewertungen bilden werden.

Für Unternehmen bedeutet das:

• Späte Antragstellung kann dazu führen, dass Systeme nicht rechtzeitig zertifiziert und somit nicht rechtssicher betrieben werden können.

• Interne Vor-Audits und Self-Assessments werden zur Pflicht, um die externe Prüfung effizient zu gestalten.

• Externe Beratungs- und „Compliance-as-a-Service“-Anbieter werden zu strategischen Partnern.

Strategische Spaltung unter Big Tech

Die klare Linie der EU verstärkt bereits sichtbare Strategiedivergenzen großer Technologieanbieter:

• Einige Hyperscaler positionieren sich als „Compliance-first“-Partner und investieren massiv in Tooling, Dokumentation und vorgefertigte Kontrollbausteine für Kunden.

• Andere Akteure äußern offen die Gefahr einer „Splinternet“-Situation, in der bestimmte frontier models in Europa eingeschränkt oder gar nicht verfügbar sind.

• Zwischenpositionen setzen auf GPAI-Code-of-Practice, Sovereign-Cloud-Architekturen und regionale Anpassungen der Modelle.

Für europäische Unternehmen ist entscheidend, diese Unterschiede zu verstehen, da sie direkten Einfluss auf Abhängigkeiten, Lock-in-Risiken und regulatorische Planungssicherheit haben.

Globale Signalwirkung: Der „Brussels Effect“ für KI

Die EU unterstreicht mit der Absage an „Stop-the-Clock“ ihre Rolle als Taktgeber für globale KI-Regulierung:

• Internationale Anbieter können es sich wirtschaftlich oft nicht leisten, für jeden Markt völlig unterschiedliche Compliance-Level zu unterhalten.

• Häufig setzt sich das strengste relevante Regime als globaler De-facto-Standard durch.

• Andere Jurisdiktionen – etwa im Bereich Finanzmarkt- oder Produktsicherheit – beobachten die Umsetzung des KI-Gesetzes genau und orientieren ihre eigenen Regeln daran.

Für global agierende Unternehmen heißt das: Wer jetzt eine EU-kompatible KI-Governance etabliert, schafft zugleich eine Blaupause für andere Märkte.

Praktische Beispiele und konkrete Implikationen

Beispiel 1: Bank mit KI-gestützter Kreditwürdigkeitsprüfung

Eine europaweit tätige Bank nutzt KI-Modelle zur Scoring-Entscheidung bei Verbraucherkrediten. Diese Anwendung ist klar als Hochrisiko-KI klassifiziert.

Konsequenzen bis August 2026:

• Das System muss ein formales Risikomanagement durchlaufen, inkl. Dokumentation von Trainingsdaten, Modellarchitektur, Performance-Metriken und Bias-Analysen.

• Es sind Datenqualitäts- und Governanceprozesse nachzuweisen – z. B. Kriterien für die Auswahl historischer Daten, Umgang mit Out-of-Distribution-Fällen.

• Die Bank muss nachweisbare menschliche Aufsicht sicherstellen: klare Kriterien, wann Sachbearbeiter Entscheidungen überprüfen oder überschreiben.

• Ein Konformitätsbewertungsverfahren (ggf. mit Notified Body) ist vor Markteinführung oder wesentlicher Änderung des Systems zu durchlaufen.

Unterlassene Vorbereitung kann dazu führen, dass:

• das Modell ab August 2026 nicht weiter produktiv betrieben werden darf,

• laufende Kreditprozesse umgestellt werden müssen (operatives Risiko),

• Aufsichtsbehörden Maßnahmen oder Bußgelder verhängen.

Beispiel 2: Industrieunternehmen mit KI-gestützter Qualitätskontrolle

Ein Maschinenbauunternehmen setzt KI-Systeme für visuelle Qualitätskontrolle ein, die über Ausschuss und Freigabe entscheiden. Je nach Einordnung kann dies in die Kategorie Hochrisiko fallen, etwa wenn Sicherheitsrelevanz für Endkunden besteht.

Praktische Anforderungen:

• Dokumentierte Validierungsszenarien und Testdatensätze (Edge Cases, neue Chargen, wechselnde Lichtverhältnisse).

• Lückenlose Protokollierung von Systementscheidungen, um im Rückblick Fehlerketten nachvollziehen zu können.

• Klare Fallback-Mechanismen: Was passiert bei Modell-Unsicherheit oder Systemausfall?

• Periodische Re-Validierung nach Modellupdates oder Prozessänderungen.

Wird dies bis 2026 nicht implementiert, drohen nicht nur regulatorische Risiken, sondern auch Lieferkettenstörungen, wenn Abnehmer KI-Compliance zur Bedingung machen.

Beispiel 3: SaaS-Anbieter mit generativer KI für HR-Prozesse

Ein SaaS-Startup bietet ein KI-gestütztes Produkt für Recruiting und Talentmanagement an, das z. B. Lebensläufe vorsortiert und Interviewfragen generiert. Teile dieser Funktionalität können in den Hochrisikobereich fallen.

Konkrete Schritte:

• Risikoklassifizierung des Produktportfolios entlang der Kategorien des KI-Gesetzes.

• Anpassung des Produkt- und Pricing-Modells, um zusätzliche Kosten für Dokumentation, Audits und Support zu reflektieren.

• Aufbau eines Transparenzlayers für Kunden (z. B. Modellkarten, Beschränkungen, bekannte Bias-Risiken).

Ohne proaktive Planung riskiert das Unternehmen, 2026 keine Neukunden in der EU mehr onboarden zu können oder umfangreiche Refactorings unter Zeitdruck durchführen zu müssen.

Business-Relevanz: Was Unternehmen jetzt konkret tun sollten

1. KI-Inventur und Risikoklassifizierung

Unternehmen benötigen kurzfristig eine vollständige Übersicht über alle eingesetzten und geplanten KI-Systeme:

• Welche Systeme sind bereits produktiv? Welche in der Pipeline?

• Welche davon fallen wahrscheinlich in die Hochrisiko-Kategorien?

• Wo werden GPAI-Modelle genutzt (intern entwickelt oder von Dritten bezogen)?

Ergebnis sollte eine KI-Portfolio-Map sein, in der für jedes System ein vorläufiger Risikostatus, Owner und kritische Fristen vermerkt sind.

2. Governance-Strukturen etablieren

Mindestens für mittlere und große Unternehmen ist es nicht mehr ausreichend, KI-Governance nebenbei im Datenschutz oder in der IT-Sicherheit mitlaufen zu lassen. Sinnvolle Schritte:

• Einrichtung eines KI-Governance-Boards mit Vertretern aus Business, Technik, Recht, Compliance und Datenschutz.

• Definition eines KI-Lifecycle-Prozesses (von Use-Case-Idee über Entwicklung und Deployment bis zum Retirement), der regulatorische Checkpoints enthält.

• Verankerung von KI-Risikomanagement in bestehenden Enterprise-Risk-Management- und ICS-Strukturen.

3. Technische Grundlagen und Dokumentation aufbauen

Technisches Fundament, das bis 2026 in jedem KI-intensiven Unternehmen vorhanden sein sollte:

• Versionierte Modell- und Datenpipelines, um Änderungen nachvollziehen zu können.

• Standardisierte Evaluations- und Monitoring-Frameworks (z. B. für Bias, Drift, Robustheit, Performance).

• Tools oder Templates für Modellkarten, Data Sheets und technische Dokumentation, abgestimmt mit Legal und Compliance.

Je früher diese Basiskomponenten etabliert werden, desto geringer ist der zusätzliche Aufwand für einzelne Projekte.

4. Externe Abhängigkeiten und Provider-Strategie überprüfen

Für Unternehmen, die stark auf externe KI-Plattformen oder -Modelle setzen, stellt sich die Frage:

• Welche Provider bieten bereits jetzt klare Roadmaps zur KI-Act-Compliance?

• Wer stellt vertragliche Zusicherungen zu Dokumentation, Logging, Auditability und Support zur Verfügung?

• Wo bestehen Konzentrations- und Lock-in-Risiken, falls ein Anbieter seine Dienste in der EU einschränkt?

Gegebenenfalls ist eine Diversifikationsstrategie oder der Aufbau eigener, EU‑konformer Modelle erforderlich.

5. Frühzeitige Einbindung von Aufsichtsbehörden und Arbeitnehmervertretungen

Besonders in regulierten Branchen und bei mitbestimmten Unternehmen ist es sinnvoll, frühzeitig das Gespräch zu suchen:

• Aufsichtsbehörden können Hinweise geben, welche Interpretationslinien sie bei der Anwendung des KI-Gesetzes verfolgen.

• Betriebsräte und Arbeitnehmervertreter erwarten Transparenz zu KI in Personalprozessen und Arbeitsplatzgestaltung.

Proaktive Kommunikation reduziert das Risiko, 2026 in konfliktgetriebene und zeitkritische Anpassungsprozesse zu geraten.

Fazit: 2026 als Zäsur für KI-Betrieb in Europa

Mit der deutlichen Absage an eine „Stop-the-Clock“-Pause hat die EU unmissverständlich klargemacht, dass das KI-Gesetz nicht verhandelbar ist – lediglich seine Umsetzung kann an ausgewählten Stellen feinjustiert werden. Für Unternehmen bedeutet das:

• Zuwarten ist keine Option: Wer KI-Systeme in oder für die EU entwickelt, muss 2026 als harte operative Deadline behandeln.

• Compliance-by-Design wird zur Kernanforderung in der Produktentwicklung – vergleichbar mit Security- oder Privacy-by-Design.

• Kurzfristig steigen Aufwand und Komplexität, mittelfristig entsteht jedoch ein klareres und vertrauenswürdigeres Marktumfeld für KI-Anwendungen.

Zentrale Takeaways für Entscheider

• Keine Pause: Die EU lehnt ein generelles „Stop-the-Clock“-Moratorium ab; die Fristen 2025/2026 bleiben maßgeblich.

• Hochrisiko im Fokus: Anwendungen in Kredit, HR, Bildung, kritischer Infrastruktur und Strafverfolgung müssen bis August 2026 konform sein.

• Standards im Verzug: Harmonisierte Normen kommen später als geplant; Unternehmen müssen interimistisch mit Best Practices und Eigenlösungen arbeiten.

• Auditoren-Engpass: Knappheit bei Notified Bodies und Prüfinstanzen macht frühe Vorbereitung und Pre-Audits geschäftskritisch.

• Governance-Pflicht: KI-Governance wird zur Daueraufgabe auf Vorstands- und Aufsichtsebene, nicht zum einmaligen Projekt.

• Strategischer Vorteil: Wer jetzt KI-Act-konforme Strukturen aufbaut, sichert Marktzugang, reduziert spätere Umrüstkosten und schafft einen global nutzbaren Governance-Standard.

Häufig gestellte Fragen (FAQ)

Was bedeutet die Absage der EU an eine „Stop-the-Clock“-Pause beim KI-Gesetz konkret für Unternehmen?

Die EU-Kommission hält an den im KI-Gesetz verankerten Fristen fest und lehnt eine allgemeine Aussetzung oder Verschiebung ab. Unternehmen müssen daher davon ausgehen, dass die Kernpflichten – insbesondere für Hochrisiko-KI – ab August 2026 verbindlich gelten und ihre Systeme bis dahin entsprechend konform aufgesetzt sein müssen.

Welche Fristen des EU-KI-Gesetzes sind für GPAI- und Hochrisiko-KI-Systeme besonders wichtig?

Bereits seit Februar 2025 gelten erste Grundpflichten und Verbote für bestimmte KI-Praktiken. Ab August 2025 greifen Pflichten für General-Purpose-AI-Modelle, und ab August 2026 werden die zentralen Anforderungen für Hochrisiko-KI-Systeme in Bereichen wie Kreditvergabe, HR, Bildung und kritischer Infrastruktur anwendbar.

Was sind Hochrisiko-KI-Systeme nach dem EU-KI-Gesetz und wer ist davon betroffen?

Hochrisiko-KI-Systeme sind Anwendungen, die in besonders sensiblen Bereichen eingesetzt werden, etwa in Bewerbungsprozessen, Bildungszugang, Kreditwürdigkeitsprüfungen, sicherheitsrelevanter Industrie oder im Gesundheitswesen. Betroffen sind sowohl die Anbieter dieser Systeme als auch die Betreiber, also z. B. Banken, Krankenhäuser, Energienetzbetreiber oder Industrieunternehmen, die solche KI produktiv nutzen.

Wie wirkt sich der Rückstand bei technischen Standards auf die KI-Compliance aus?

Da viele harmonisierte Normen zu Risikomanagement, Datenqualität, Transparenz und Logging noch nicht final vorliegen, müssen Unternehmen vorerst mit Entwürfen und Best Practices arbeiten. Konformität orientiert sich daher zunächst stärker an Prinzipien und risikobasierten Nachweisen, etwa durch interne Policies, Auditberichte, Modellkarten und technische Dokumentation.

Welche Risiken entstehen durch die erwartete „Auditor Gap“ bei der Konformitätsbewertung von KI-Systemen?

Weil nur begrenzte Kapazitäten bei den benannten Stellen (Notified Bodies) zur Verfügung stehen, drohen Warteschlangen bei Konformitätsbewertungen für Hochrisiko-KI. Unternehmen, die ihre Zertifizierung spät anstoßen, laufen Gefahr, Systeme nicht rechtzeitig rechtskonform betreiben zu können und müssen daher frühzeitig mit Self-Assessments und Pre-Audits starten.

Was sollten Unternehmen jetzt tun, um bis 2026 KI-Act-konform zu sein?

Unternehmen sollten kurzfristig eine vollständige KI-Inventur durchführen, ihre Use Cases entlang der Risikokategorien des KI-Gesetzes klassifizieren und eine KI-Portfolio-Map erstellen. Parallel dazu sind Governance-Strukturen, technische Dokumentations- und Monitoring-Frameworks sowie eine klare Provider-Strategie aufzubauen, um Hochrisiko- und GPAI-Anwendungen rechtzeitig compliant zu machen.

Wie hängen das Digital-Omnibus-Paket und das KI-Gesetz zusammen?

Das Digital-Omnibus-Paket zielt darauf ab, verschiedene Digitalgesetze – einschließlich Teilen des KI-Gesetzes – zu vereinfachen und selektiv zu entlasten, etwa durch gezielte Verzögerungen einzelner Pflichten oder reduzierte Dokumentationsanforderungen für kleinere Anbieter. Es stellt jedoch kein Moratorium dar und ändert nichts daran, dass Hochrisiko-KI ab 2026 verbindlichen Konformitätsbewertungen und laufender Aufsicht unterliegt.