EU-Parlament drängt auf „Stop-the-Clock“ beim AI Act: Was eine Verschiebung der Hochrisiko-Fristen für Unternehmen bedeutet

Ausgangslage: AI-Act-Fristen unter Druck

Der EU AI Act ist seit August 2024 in Kraft und sieht einen gestaffelten Roll-out der Pflichten vor. Verbote bestimmter Praktiken greifen bereits ab 2025, Transparenzpflichten für generative KI und Kennzeichnung von KI-Inhalten sind ab August 2026 vorgesehen, die umfassenden Auflagen für Hochrisiko-KI-Systeme größtenteils ab 2026/2027.

Ein heute veröffentlichter Bericht aus Brüssel zeigt nun: Im Europäischen Parlament formiert sich eine Mehrheit der zuständigen Abgeordneten, die im Rahmen eines sogenannten KI-„Omnibus“-Gesetzes einen „Stop-the-Clock“-Mechanismus für zentrale AI-Act-Pflichten anstrebt. Ins Visier geraten insbesondere:

• Fristen für Anbieter und Betreiber von Hochrisiko-KI-Systemen (z.B. in HR, Kreditvergabe, kritischer Infrastruktur, Medizin)

• Pflichten zu Kennzeichnung, Wasserzeichen und Metadaten für KI-generierte Inhalte

• Teile der technischen Anforderungen, die stark von noch nicht finalisierten Normen und Leitlinien abhängen

Der politische Druck zielt darauf, die Uhr für bestimmte Verpflichtungen vorübergehend anzuhalten, ohne den AI Act als solchen aufzuschnüren.

Was hinter dem „Stop-the-Clock“-Ansatz steckt

„Stop-the-Clock“ ist in Brüssel kein neues Instrument. Bereits in anderen Dossiers (z.B. Nachhaltigkeitsberichterstattung, Sorgfaltspflichten, Chemikalienrecht) wird es genutzt, um Unternehmen mehr Zeit zur Umsetzung komplexer Regeln zu geben, wenn untergesetzliche Standards oder Leitlinien verspätet vorliegen.

Übertragen auf den AI Act bedeutet dies:

• Rechtsakt bleibt unverändert: Die Verordnung gilt weiter, der grundsätzliche Zeitplan wird formal nicht abgeschafft.

• Bestimmte Fristen werden eingefroren oder nach hinten verschoben: Konkret für einzelne Artikel, Pflichten oder Sektoren.

• Begründung: fehlende Standards und Leitlinien: Technische Normen zu Robustheit, Risikoüberwachung, Logging, Datenqualität und Kennzeichnung verzögern sich; Unternehmen argumentieren, ohne diese nur eingeschränkt compliance-fähig zu sein.

Aus Sicht des Parlaments soll dies Rechtsunsicherheit reduzieren und Wettbewerbsfähigkeit sichern – ohne den Anspruch eines strengen KI-Regimes aufzugeben.

Politische Dynamik: Warum der Druck jetzt steigt

Mehrere Faktoren erklären, warum gerade jetzt – rund eineinhalb Jahre vor den zentralen AI-Act-Anwendungsterminen – der Ruf nach Entschleunigung lauter wird:

1. Verzögerungen bei europäischen Normungsorganisationen: Viele Detailanforderungen (z.B. Testmethoden für Robustheit oder Protokollierungsstandards) sind noch im Fluss.

2. Parallel laufende Regulierungswellen: Unternehmen müssen zeitgleich CSRD, CSDDD, Data Act, NIS2 und sektorspezifische Vorgaben umsetzen; interne Compliance-Ressourcen sind begrenzt.

3. Industriepolitische Sorge: Europäische Anbieter fürchten Standortnachteile gegenüber USA und Asien, wenn sie als Erste umfassenden KI-Pflichten unterliegen.

4. Mangelnde Aufsichtskapazitäten: Auch nationale Behörden signalisieren, dass Personal, Fachwissen und Tools für systematische KI-Aufsicht erst im Aufbau sind.

Das KI-Omnibus-Gesetz, über das die Abgeordneten nun verhandeln, wird so zum Hebel, um den Vollzug des AI Act „realitätsnäher“ zu takten.

Konkrete Szenarien für Hochrisiko-KI-Systeme

Für Unternehmen, die Hochrisiko-KI einsetzen oder entwickeln, zeichnen sich mehrere Szenarien ab:

Szenario 1: Moderate Verschiebung einzelner Pflichten

• Bestimmte Anforderungen (z.B. detaillierte technische Dokumentation, externe Konformitätsbewertung in ausgewählten Sektoren) werden um 12–18 Monate nach hinten geschoben.

• Transparenz- und Grundsicherheitsanforderungen treten wie geplant in Kraft, Detailpflichten folgen später.

Implikation: Unternehmen gewinnen Zeit, aber müssen eine zweistufige Implementierung planen: Basiskomponenten jetzt (Governance, Risikoregister, Verantwortlichkeiten), Detailanforderungen später.

Szenario 2: Fokussierter „Stop-the-Clock“ für generative KI und Kennzeichnung

• Kennzeichnungspflichten für KI-generierte Inhalte (Wasserzeichen, Metadaten, Nutzerhinweise) werden verzögert, bis technische Interoperabilitätsstandards feststehen.

• Für klassische, tabellenbasierte Hochrisiko-Systeme (z.B. Kredit-Scoring) bleibt der Zeitplan weitgehend unverändert.

Implikation: Unternehmen mit starkem Content-Fokus (Medien, Marketing, Plattformen) erhalten Luft, während regulierte Branchen wie Finanzdienstleistung, Gesundheit oder öffentliche Verwaltung kaum Entlastung spüren.

Szenario 3: Breiter Aufschub des Hochrisiko-Kapitels

• Der Kern des Hochrisiko-Regimes (Risikomanagement, Datenanforderungen, Logging, menschliche Aufsicht, Konformitätsbewertung) wird in einem Paket verschoben.

• Begrenzte Übergangsregeln für bestehende Systeme werden weiter ausgedehnt.

Implikation: Kurzfristig deutliche Entlastung, aber erhebliche Rechts- und Investitionsunsicherheit. Unternehmen könnten Projekte stoppen oder minimal-invasiv weiterführen, bis Klarheit herrscht.

Auswirkungen auf Unternehmensplanung und Budgets

Für CIOs, CDOs, Chief Compliance Officers und Rechtsabteilungen ergeben sich aus der Stop-the-Clock-Debatte mehrere Handlungsfelder:

1. Szenariobasierte Roadmaps statt Stichtagsplanung

Die bisher häufig genutzte „Rückwärtsplanung“ von fixen AI-Act-Stichtagen reicht nicht mehr. Notwendig ist eine Szenarioplanung mit:

• Best-Case (keine oder nur geringe Verschiebungen)

• Mid-Case (verschobene Detailpflichten, unveränderte Kernregeln)

• Worst-Case (breiter Aufschub, aber hohe Erwartung informeller Compliance durch Aufseher)

Roadmaps für Daten-Governance, Modellkataloge, Risikoanalysen und MLOps sollten so entworfen werden, dass sie zwischen diesen Szenarien justierbar bleiben.

2. Re-Priorisierung von Investitionen in KI-Governance

Eine mögliche Fristverschiebung wird in vielen Organisationen die Frage auslösen, ob bereits geplante Investitionen „gestreckt“ werden können. Sinnvoll ist jedoch eine differenzierte Sicht:

• Nicht verschieben: Aufbau zentraler KI-Governance, Policy-Rahmen, Rollen (z.B. AI Compliance Officer), Inventarisierung von KI-Systemen, Grundprinzipien von Risiko- und Qualitätsmanagement.

• Anpassbar halten: Sehr detaillierte Dokumentations-Templates, Tool-Auswahl für Konformitätsbewertung, Integration spezifischer Normen, solange diese noch im Fluss sind.

• Verzögerbar: Projekte, die ausschließlich auf formale Erfüllung einzelner, potenziell verschobener Pflichten zielen (z.B. bestimmte Label-Formate für Nutzerhinweise), können taktisch gestreckt werden.

3. Umgang mit Aufsichtsbehörden und Boards

Auch bei einem Stop-the-Clock werden Aufsichtsbehörden und interne Kontrollorgane (Aufsichtsrat, Risikoausschüsse) erwarten, dass Unternehmen:

• Risiken kritischer KI-Anwendungen systematisch erfassen und bewerten,

• grundlegende Sicherheits- und Qualitätsstandards einhalten,

• dokumentieren können, warum sie bestimmte Modelle wie einsetzen.

Die Kommunikationslinie sollte daher lauten: „Wir nutzen die zusätzliche Zeit, um Substanz in Governance und Technik zu bringen – nicht, um zu warten.“

Praxisbeispiele: Wie Unternehmen jetzt reagieren können

Beispiel 1: Bank mit Scoring- und AML-Systemen

Eine europäische Bank betreibt KI-gestützte Kredit-Scoring-Modelle und Transaktionsüberwachung. Beide sind als Hochrisiko einzustufen.

• Kurzfristig richtet sie ein zentrales KI-Register ein, kartiert alle Modelle und ordnet sie den AI-Act-Risikokategorien zu.

• Parallel etabliert sie einen einheitlichen Prozess für Modelländerungen und Dokumentationsanforderungen (Versionierung, Trainingsdaten, Validierung).

• Detailanforderungen aus noch ausstehenden Normen werden als „Platzhalter“ in die Prozesse integriert, um später mit minimalem Umbau ergänzt zu werden.

So bleibt die Bank unabhängig vom exakten Fristverlauf weitgehend anschlussfähig.

Beispiel 2: Medienhaus mit generativer KI

Ein Medienunternehmen produziert Texte, Bilder und Videos mit generativer KI.

• Es entscheidet, bereits jetzt interne Kennzeichnungsregeln für KI-Content umzusetzen (z.B. sichtbare Hinweise für Nutzer, Wasserzeichen-Testläufe), obwohl eine offizielle Verzögerung der Pflicht möglich ist.

• Technikteams evaluieren Formate für Metadaten und setzen auf offene Standards, um künftige EU-Vorgaben leichter einbauen zu können.

Das Haus reduziert damit Reputationsrisiken und kann später regulatorische Anforderungen schneller erfüllen.

Handlungsempfehlungen für die nächsten 3–6 Monate

1. Regulatorisches Monitoring schärfen: Die Debatte um den Stop-the-Clock-Mechanismus aktiv verfolgen und in Rechts- und Risiko-Reports einbinden.

2. KI-Inventar und Risikoklassifizierung abschließen: Ohne Übersicht über eingesetzte KI-Systeme ist jede Anpassung an geänderte Fristen reaktiv und teuer.

3. Minimum Viable Compliance definieren: Festlegen, welches Governance- und Kontrollniveau unabhängig von Fristen heute schon erreicht werden soll.

4. Verträge und Lieferketten prüfen: KI-Anbieter und Dienstleister vertraglich auf künftige AI-Act-Pflichten vorbereiten, inklusive Anpassungsklauseln für geänderte Zeitpläne.

5. Vorstände und Aufsichtsräte informieren: Klar kommunizieren, dass mögliche Fristverschiebungen kein Freibrief sind, sondern ein Fenster, um strukturelle Fähigkeiten aufzubauen.

Fazit: Mehr Zeit – aber keine Ausrede

Die wachsende Unterstützung im EU-Parlament für einen Stop-the-Clock-Mechanismus beim AI Act verschiebt den Fokus von der reinen Stichtagsorientierung hin zu nachhaltiger KI-Governance. Unternehmen sollten die Debatte nicht als Signal zum Abwarten verstehen, sondern als Gelegenheit, technische, organisatorische und rechtliche Grundlagen so zu stärken, dass sie unter verschiedenen Regulierungs-Szenarien belastbar bleiben. Wer jetzt strukturiert handelt, reduziert nicht nur Compliance-Risiken, sondern schafft zugleich die Basis für vertrauenswürdige, skalierbare KI-Nutzung im Kerngeschäft.

Häufig gestellte Fragen (FAQ)

Was bedeutet der „Stop-the-Clock“-Mechanismus beim EU AI Act konkret?

Der „Stop-the-Clock“-Mechanismus ermöglicht es, bestimmte Fristen und Anwendungstermine des AI Act vorübergehend auszusetzen oder nach hinten zu verschieben, ohne die Verordnung selbst zu ändern. Betroffen wären vor allem Pflichten für Hochrisiko-KI-Systeme und Kennzeichnungspflichten für KI-generierte Inhalte, wenn technische Normen und Leitlinien noch nicht final vorliegen.

Welche Hochrisiko-KI-Systeme sind besonders von einer möglichen Fristverschiebung betroffen?

Im Fokus stehen Hochrisiko-KI-Systeme in sensiblen Bereichen wie Personalwesen, Kreditvergabe, kritischer Infrastruktur, Medizin oder Finanzdienstleistungen. Hier greifen umfangreiche Anforderungen an Risikomanagement, Datenqualität, Protokollierung, menschliche Aufsicht und Konformitätsbewertung, deren Umsetzung durch einen Stop-the-Clock-Ansatz zeitlich gestreckt werden könnte.

Welche Auswirkungen hätte ein Stop-the-Clock beim AI Act auf Unternehmen?

Unternehmen würden mehr Zeit gewinnen, um Governance-Strukturen, technische Kontrollen und Dokumentationsprozesse aufzubauen. Gleichzeitig steigt jedoch die Planungsunsicherheit, da Investitionen und Roadmaps an verschiedene Szenarien angepasst werden müssen und Aufsichtsbehörden trotz verschobener Fristen hohe Standards bei Transparenz und Risikomanagement erwarten.

Was ist der Unterschied zwischen einer Verschiebung der AI-Act-Fristen und einer Änderung der Verordnung selbst?

Bei einer Fristverschiebung über einen Stop-the-Clock-Mechanismus bleibt der AI Act inhaltlich unverändert; nur die Anwendung einzelner Pflichten wird zeitlich angepasst. Eine Änderung der Verordnung würde dagegen den Rechtsakt selbst aufschneiden, etwa Definitionen, Pflichten oder Anwendungsbereiche anpassen – genau das soll politisch vermieden werden.

Wie sollten Unternehmen ihre AI-Act-Compliance angesichts möglicher Fristverschiebungen planen?

Unternehmen sollten von starren Stichtagsplänen auf szenariobasierte Roadmaps umstellen, die Best-, Mid- und Worst-Case-Zeitpläne berücksichtigen. Zentral ist, jetzt ein KI-Inventar, Risikoklassifizierungen, Governance-Strukturen und Minimum-Viable-Compliance aufzubauen und Detailanforderungen so zu gestalten, dass sie später flexibel an neue Normen und Fristen angepasst werden können.

Sollten Unternehmen Investitionen in KI-Governance und technische Kontrollen jetzt zurückstellen?

Ein generelles Zurückstellen ist riskant, weil Aufseher und interne Gremien bereits heute eine solide KI-Governance und Grundsicherheitsstandards erwarten. Sinnvoll ist eine Re-Priorisierung: zentrale Governance, Rollen, Risiko- und Qualitätsmanagement sollten vorangetrieben werden, während sehr spezifische, möglicherweise verschiebbare Detailanforderungen taktisch gestreckt, aber konzeptionell vorbereitet werden.

Wie können Unternehmen sich kurzfristig auf mögliche Änderungen beim AI-Act-Zeitplan vorbereiten?

Kurzfristig sollten sie ein strukturiertes regulatorisches Monitoring etablieren, ihr KI-Inventar und die Risikoklassifizierung abschließen und Mindeststandards für Compliance definieren. Zusätzlich empfiehlt sich die Anpassung von Verträgen mit KI-Anbietern an künftige AI-Act-Pflichten sowie eine aktive Information von Vorständen und Aufsichtsräten, dass zusätzliche Zeit zum Substanzaufbau und nicht zum Abwarten genutzt wird.