EU-Staaten wollen Befugnisse des AI Office im Rahmen der AI-Act-Revision beschneiden – was das für Unternehmen bedeutet

Ausgangslage: AI Act steht, aber seine Architektur wird neu verhandelt

Der AI Act ist seit 2024 in Kraft und definiert einen einheitlichen Rahmen für KI im EU-Binnenmarkt. Kern der ursprünglichen Architektur ist ein starkes zentrales European AI Office bei der Europäischen Kommission, das insbesondere für mächtige General-Purpose-AI-Modelle (GPAI) mit Systemrisiken Aufsicht und Durchsetzung bündeln sollte.

Aktuell verhandeln die Mitgliedstaaten jedoch über eine Revision des AI Act im Rahmen eines „Digital Omnibus“. Nach einem heute bekannt gewordenen Verhandlungsstand arbeiten die Regierungen auf einen Deal hin, der zentrale Elemente verändert: Die Rolle des AI Office würde geschwächt, nationale Behörden stärker aufgewertet und verschiedene Verfahrensregeln – etwa zu Bußgeldern, Sandboxen und zur Nutzung sensibler Daten – neu zugeschnitten.

Für Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen, ist dies mehr als ein technischer Rechtsakt: Es geht um die künftige Machtbalance zwischen Brüssel und den Hauptstädten – und damit um Kosten, Planungssicherheit und Durchsetzungsrisiko.

Was sich konkret ändern soll

1. Beschränkte Durchsetzungsbefugnisse des AI Office

Nach dem berichteten Entwurf würden:

• Die exklusiven oder dominanten Enforcement-Befugnisse des AI Office gegenüber GPAI-Anbietern reduziert und

• stärkere Zuständigkeiten bei den nationalen Marktüberwachungsbehörden verbleiben oder dorthin zurückverlagert.

Praktisch bedeutet dies:

• Weniger zentrale Untersuchungen und Sanktionen direkt aus Brüssel

• Mehr koordiniertes, aber nationales Enforcement, ähnlich wie bei der DSGVO, nur ohne einen so klaren „One-Stop-Shop“-Mechanismus wie dort

Für Anbieter großer Modelle, aber auch für Nutzerunternehmen, kann dies zu unterschiedlichen Interpretationen der AI-Act-Pflichten zwischen Mitgliedstaaten führen – etwa bei der Einstufung als Hochrisiko-System, bei Dokumentationspflichten oder beim Umfang von Tests vor Inverkehrbringen.

2. Zeitliche Begrenzung von Bußgeldverfahren

Die Mitgliedstaaten dringen zudem auf Verjährungs- oder Fristenregelungen für Bußgelder. Bislang war die Sorge vor sehr weit zurückreichender Haftung unter einem starken EU-Level-Enforcement groß.

Mit klaren zeitlichen Grenzen würde:

• Das Langfrist-Risiko aus zurückliegenden Verstößen kalkulierbarer

• Die Anreizstruktur für frühe Selbstkorrektur gestärkt: Wer Defizite zeitnah behebt und dokumentiert, reduziert sein späteres Exposure

Aus Unternehmenssicht ist dies ein wichtiger Parameter für Rückstellungen, Versicherungen und Risikoberichte.

3. Mögliche Herausnahme weiterer Hochrisiko-Sektoren

Der Entwurf sieht offenbar auch vor, bestimmte Anwendungsfälle aus dem Katalog der Hochrisiko-Systeme herauszunehmen oder diese enger zu definieren. Diskutiert werden u. a. Anpassungen in Bereichen wie:

• HR- und Recruiting-Systeme

• bestimmte Industrie-4.0- und Logistik-Anwendungen

• ausgewählte öffentliche Dienstleistungen mit begrenztem Grundrechtsbezug

Für diese Bereiche könnten dadurch

• aufwendige Konformitätsbewertungsverfahren wegfallen oder entschärft werden,

• Dokumentations- und Testpflichten reduziert werden.

Damit verschiebt sich der Fokus auf wenige, klarer umrissene Hochrisiko-Domänen (z. B. kritische Infrastrukturen, Gesundheitswesen, Strafverfolgung), in denen der volle AI-Act-Apparat greift.

4. Klärungen zu sensiblen Daten, Real-World-Testing und Sandboxes

Über den Zuschnitt der Befugnisse hinaus enthält der aktuelle Verhandlungstext weitere Weichenstellungen:

• Verarbeitung sensibler Daten: Konkretisierungen, in welchen Grenzen sensible Daten (z. B. für Bias-Tests) verarbeitet werden dürfen, können für Anbieter von Trainings- und Evaluationspipelines Rechtsklarheit schaffen.

• Real-World-Testing: Bedingungen, unter denen KI-Systeme in kontrollierten Live-Umgebungen getestet werden dürfen, sollen präzisiert werden – wichtig für branchennahe Pilotprojekte.

• Regulatorische Sandboxes: Ein EU-weiter Zieltermin 2027 für nationale KI-Sandboxes soll sicherstellen, dass Unternehmen in jedem Mitgliedstaat experimentelle Räume mit erleichterten Vorgaben nutzen können.

Konsequenzen für Unternehmen

Mehr Fragmentierung, mehr Forum Shopping – aber auch mehr Nähe zur Aufsicht

Eine Beschneidung der AI-Office-Befugnisse zugunsten nationaler Behörden hat zwei Seiten:

Risiken:

• Uneinheitliche Auslegung der AI-Act-Vorgaben zwischen Mitgliedstaaten

• Risiko von unterschiedlichen technischen Mindeststandards (z. B. bei Logging, Human Oversight, Robustness-Tests)

• Steigende Komplexität für Anbieter, die in vielen EU-Ländern tätig sind

Chancen:

• Unternehmen mit starker Präsenz in einzelnen Ländern können von eingespielten Beziehungen zu nationalen Regulatoren profitieren

• Potenzial für „forum shopping“ bei Standortentscheidungen für Entwicklung und Markteintritt, sofern einzelne Behörden pragmatischer agieren

Für Konzerne mit europäischen Hubs (z. B. in Irland, Deutschland, Frankreich oder den Niederlanden) wird die Wahl des „Heimatregulators“ nochmals strategischer.

Compliance-Planung: Drei Prioritäten bis 2026

Auch wenn die Revision noch nicht final ist, zeichnen sich klar drei Handlungsfelder ab:

1. Regulatorisches Mapping nach Mitgliedstaaten

- Für alle wesentlichen EU-Märkte sollten Unternehmen frühzeitig analysieren:

- Zuständige AI-Act-Behörden und ihre bisherigen Digital-/Daten-Track-Records

- Nationale Ergänzungsgesetze (z. B. zu Aufsichtsbefugnissen, Sanktionen)

- Ergebnis sollte ein Länder-Profiling sein, das Produkt- und Standortentscheidungen informiert.

1. Risikosegmentierung des KI-Portfolios

- Alle KI-Anwendungen sollten nach dem (gegebenenfalls überarbeiteten) Hochrisiko-Katalog klassifiziert werden.

- Für Anwendungen, die voraussichtlich aus dem Hochrisiko-Bereich herausfallen, können Compliance-Roadmaps entschlackt werden – ohne jedoch vollständig auf Governance-Standards zu verzichten.

- Für verbleibende Hochrisiko-Systeme lohnt sich ein „Over-Compliance“-Ansatz, um Spielräume bei nationalen Interpretationen zu haben.

1. Einbettung von Verjährungs- und Bußgeldlogik in Governance-Prozesse

- Interne Richtlinien für Incident-Management, Bug-Fixing und Modellaktualisierungen sollten so gestaltet sein, dass sie

- saubere Nachweise für rechtzeitige Korrekturen liefern und

- auf die erwarteten Verfahrensfristen abgestimmt sind.

- Dies erleichtert im Streitfall die Argumentation gegenüber Aufsichtsbehörden und reduziert finanzielles Exposure.

Beispiele aus der Praxis

• Multinationale HR-Plattform: Bietet KI-gestützte Matching-Algorithmen in 15 EU-Ländern an. Fällt Recruiting-Software in bestimmten Konstellationen nicht mehr in den Hochrisiko-Katalog, kann das Unternehmen seine geplante Zertifizierung verschlanken, sollte aber weiterhin einheitliche Fairness- und Transparenzstandards für alle Märkte beibehalten, um Reputationsrisiken zu vermeiden.

• Industrie-Konzern mit Predictive-Maintenance-Lösungen: Setzt KI-Systeme für Wartungsvorhersagen in kritischen Infrastrukturen und in „normalen“ Fabriken ein. Durch die Revision kann es sein, dass nur noch der Teil für kritische Infrastruktur strengen Hochrisiko-Anforderungen unterfällt. Der Konzern sollte sein Produktportfolio entsprechend trennen, unterschiedliche Compliance-Pfade definieren und ggf. den Sitz seiner zentralen KI-Einheit in einem Mitgliedstaat wählen, dessen Behörden pragmatisch mit Industrie-KI umgehen.

• GPAI-Provider mit europäischem Hauptsitz: Ein Anbieter eines großen Sprachmodells hatte bisher vor allem das AI Office als zentralen Ansprechpartner im Blick. Mit stärkeren nationalen Befugnissen muss er zusätzlich eine Pan‑EU-Strategie für Aufsichtsbeziehungen entwickeln, um divergierende Anforderungen zur Modell-Dokumentation, zu Red-Teaming oder Risk-Mitigations zu harmonisieren.

Strategische Einordnung für Führungsteams

Für Vorstände, C‑Level und Aufsichtsräte bedeutet die anstehende Revision des AI Act:

• AI-Compliance wird politischer und nationaler: Nicht nur Brüssel, sondern auch Berlin, Paris, Warschau oder Madrid werden zu strategisch wichtigen Ansprechpartnern.

• Kosten und Risiken werden neu verteilt: Einige Sektoren gewinnen Spielräume, während verbleibende Hochrisiko-Bereiche und GPAI-Anbieter mit komplexerem, potenziell inkonsistenterem Enforcement rechnen müssen.

• Jetzt ist Fenster für Einflussnahme: Branchenverbände, Unternehmen und zivilgesellschaftliche Akteure können die laufenden Trilog‑ähnlichen Verhandlungen und die nationale Umsetzung noch beeinflussen.

Kurzfristig sollten Unternehmen ihre AI-Governance nicht „auf Pause“ setzen, sondern im Gegenteil so robust ausbauen, dass sie sowohl mit einem stärkeren AI Office als auch mit stärker national fragmentiertem Enforcement funktionieren. Wer seine Strukturen jetzt flexibel gestaltet, wird von der finalen Kompromisslinie im AI Act eher profitieren als überrascht werden.

Häufig gestellte Fragen (FAQ)

Was ändert sich durch die geplante AI-Act-Revision für das European AI Office?

Die EU-Staaten wollen die Durchsetzungsbefugnisse des European AI Office einschränken und mehr Kompetenzen bei den nationalen Marktüberwachungsbehörden belassen. Für Unternehmen bedeutet das weniger zentral gesteuerte Verfahren aus Brüssel und mehr länderspezifische Interpretation und Aufsicht der AI-Act-Vorgaben.

Wie wirkt sich die Begrenzung von Bußgeldfristen im AI Act auf Unternehmen aus?

Durch Verjährungsfristen für AI-Act-Verstöße wird das langfristige Haftungsrisiko besser kalkulierbar. Unternehmen können Rückstellungen, Versicherungen und Risikoberichte gezielter planen und haben stärkere Anreize, Compliance-Lücken frühzeitig zu erkennen, zu beheben und sauber zu dokumentieren.

Welche Hochrisiko-KI-Anwendungsfälle könnten durch die Revision des AI Act entlastet werden?

Diskutiert wird, bestimmte HR- und Recruiting-Systeme, Industrie-4.0- und Logistik-Anwendungen sowie ausgewählte öffentliche Dienstleistungen mit begrenztem Grundrechtsbezug enger zu fassen oder ganz aus dem Hochrisiko-Katalog zu streichen. Für betroffene Unternehmen könnten damit aufwendige Konformitätsbewertungsverfahren, Test- und Dokumentationspflichten spürbar reduziert werden.

Welche Auswirkungen hat eine stärkere Rolle nationaler Behörden auf die AI-Compliance in der EU?

Wenn nationale Behörden gegenüber dem AI Office an Bedeutung gewinnen, steigt die Gefahr einer fragmentierten Auslegung des AI Act zwischen den Mitgliedstaaten. Gleichzeitig eröffnet dies Unternehmen Chancen, durch den gezielten Aufbau von Beziehungen zu Heimatregulatoren und standortbezogenes „forum shopping“ regulatorische Spielräume strategisch zu nutzen.

Wie sollten Unternehmen ihr KI-Portfolio im Hinblick auf den überarbeiteten Hochrisiko-Katalog strukturieren?

Unternehmen sollten ihre KI-Anwendungen systematisch nach dem (voraussichtlich angepassten) Hochrisiko-Katalog klassifizieren und nach Sektoren sowie Use Cases segmentieren. Anwendungen, die wahrscheinlich aus dem Hochrisiko-Bereich herausfallen, können mit abgespeckten, aber weiterhin soliden Governance-Standards betrieben werden, während für verbleibende Hochrisiko-Systeme eher ein Over-Compliance-Ansatz sinnvoll ist.

Was bedeutet die AI-Act-Revision für die Governance- und Risikomanagement-Prozesse von Unternehmen bis 2026?

Unternehmen sollten bis 2026 ein länderspezifisches regulatorisches Mapping, eine klare Risikosegmentierung ihres KI-Portfolios und Governance-Prozesse aufbauen, die Verjährungs- und Bußgeldlogiken systematisch berücksichtigen. Dazu gehören belastbare Incident-Management- und Dokumentationsprozesse, um rechtzeitige Korrekturen nachweisen und das finanzielle Exposure im Streitfall begrenzen zu können.

Welche Rolle spielen Sandboxes und Real-World-Testing im zukünftigen AI-Act-Regime?

Die geplante Verpflichtung zu nationalen KI-Sandboxes bis 2027 soll in allen Mitgliedstaaten experimentelle Räume schaffen, in denen Unternehmen KI-Lösungen unter erleichterten Rahmenbedingungen testen können. Präzisere Regeln für Real-World-Testing und den Umgang mit sensiblen Daten geben Anbietern zudem mehr Rechtssicherheit bei Pilotprojekten und bei Bias- sowie Robustheitstests ihrer Modelle.