EU verschiebt Hochrisiko-Pflichten des AI Act auf 2027: Was das Digital-Omnibus-Paket für Unternehmen wirklich ändert

Die Europäische Kommission hat im Rahmen eines Digital-Omnibus-Pakets vorgeschlagen, die Anwendung der Hochrisiko-Pflichten des AI Act deutlich nach hinten zu verschieben. Statt August 2026 sollen zentrale Verpflichtungen nun spätestens ab Dezember 2027 bzw. August 2028 greifen. Gleichzeitig soll ein neuer Mechanismus eingeführt werden, der die Anwendung der Regeln an verfügbare Standards und Leitlinien koppelt und bestimmte Datenschutzvorgaben lockert.

Für Unternehmen bedeutet das keine Entwarnung, sondern eine Verschiebung und Neujustierung der Compliance-Roadmap – mit mehr Spielraum, aber auch erhöhter Planungsunsicherheit.

Kontext: Was genau vorgeschlagen wurde

Digital-Omnibus-Paket als Hebel zur „Verschlankung“

Die Kommission hat am 19. November 2025 ein umfassendes „Digital Omnibus“-Paket vorgelegt. Ziel ist es, verschiedene digitale Rechtsakte zu harmonisieren, zu vereinfachen und an die Praxis anzupassen. Im Fokus stehen u. a.:

• AI Act

• DSGVO

• ePrivacy-Richtlinie

• Data Act und weitere Datenregelwerke

Ein Kernpunkt: Die Anwendung der strengeren Regeln für Hochrisiko-KI soll im Rahmen des Omnibus angepasst und zeitlich gestreckt werden.

Verschiebung der Hochrisiko-Fristen

Die ursprüngliche Planung sah vor, dass die meisten Hochrisiko-Pflichten des AI Act ab 2. August 2026 bzw. 2027 gelten. Der neue Vorschlag bringt nun:

• Annex-III-Systeme (Hochrisiko-Anwendungen nach Einsatzfeld)

Beispiele: Bewerbungsscreening, Bildung/Prüfungen, Kreditwürdigkeitsprüfung, biometrische Identifikation, Zugang zu kritischen Infrastrukturen (Verkehr, Energie, Wasser), bestimmte Law-Enforcement- und Migrationsanwendungen.

Neue Longstop-Deadline: spätestens 2. Dezember 2027.

• Annex-I-Systeme (Hochrisiko-Produkte im Rahmen sektoraler Harmonisierungsrichtlinien)

Beispiele: Medizinprodukte, Maschinen, Fahrzeuge und andere Produkte, in die KI als Sicherheitskomponente integriert ist.

Neue Longstop-Deadline: spätestens 2. August 2028.

„Stop-the-Clock“-Mechanismus

Statt eines einfachen Aufschubs wird ein konditionierter Mechanismus vorgeschlagen:

• Die Hochrisiko-Pflichten beginnen erst dann zu laufen, wenn die Kommission feststellt, dass

- harmonisierte Standards,

- common specifications und

- Leitlinien

ausreichend vorliegen.

• Danach gilt eine Übergangsfrist von

- 6 Monaten für Annex-III-Systeme und

- 12 Monaten für Annex-I-Systeme.

• Unabhängig davon gibt es einen spätestens geltenden Endzeitpunkt (Dezember 2027 / August 2028), bis zu dem alle Hochrisiko-Pflichten in jedem Fall anwendbar sein müssen.

Damit behält die Kommission Flexibilität: Sie kann die Anwendung vorziehen, wenn der normative Unterbau (Standards, Spezifikationen) früher als erwartet bereitsteht – oder den Spielraum bis zur Longstop-Deadline ausschöpfen.

Anpassungen an DSGVO und Datennutzung für KI-Training

Parallel zur Fristverschiebung enthält das Digital-Omnibus-Paket Vorschläge, die Datennutzung für KI-Training zu erleichtern, u. a. durch:

• Klarstellungen und zielgerichtete Lockerungen bei der Nutzung personenbezogener Daten für das Training von KI-Modellen,

• Vereinfachung der Cookie-Einwilligungen und Online-Tracking-Banner,

• teilweise Harmonisierung und Entschlackung bestehender Pflichten, ohne den formellen Schutzniveau-Anspruch der DSGVO offiziell abzusenken.

Dies soll es vor allem großen Modellentwicklern (z. B. Anbietern generativer KI) erleichtern, europäische Daten im Rahmen der DSGVO-konformen Rechtsgrundlagen zu nutzen.

Detaillierte Analyse: Auswirkungen, Risiken und Chancen

1. Entlastung bei kurzfristigem Umsetzungsdruck

Für Unternehmen, die bereits heute Hochrisiko-KI planen oder betreiben, ist der offensichtlichste Effekt:

• Mehr Zeit für die Anpassung von Systemen, Prozessen und Dokumentation.

• Verlagerung der Spitzenlast in Richtung 2027/2028 statt 2026.

Insbesondere folgende Bereiche gewinnen Luft:

• Recruiting & HR: Automatisiertes CV-Screening, Scoring von Kandidaten, Videointerviews mit KI-Auswertung.

• Finanzsektor: Kreditwürdigkeitsprüfungen, Betrugserkennung mit direktem Einfluss auf Kund*innen.

• Gesundheitswesen & MedTech: KI-gestützte Diagnostik und Therapieunterstützung in Medizinprodukten.

• Biometrie & Zugangssysteme: Gesichtserkennung in öffentlichen Räumen oder für Zugangskontrollen.

• Law Enforcement & Migration: Analyse-Tools mit hohem Grundrechtseinfluss.

Für diese Anwendungsfälle ist die Liste an AI-Act-Pflichten umfangreich – von Risikomanagement über Daten-Governance, Transparenz, technische Robustheit bis zu Human Oversight. Der Aufschub reduziert das Risiko, in eine übereilte „Häkchen-Compliance“ zu verfallen.

2. Zunehmende Planungsunsicherheit

Die Kehrseite des „Stop-the-Clock“-Mechanismus ist Unsicherheit:

• Unternehmen wissen nicht exakt, ob sie sich am Longstop-Datum (Dezember 2027/August 2028) orientieren können oder ob die Pflichten faktisch früher scharf gestellt werden.

• Die entscheidende Größe ist das Datum, an dem die Kommission offiziell erklärt, dass

- harmonisierte Standards,

- Spezifikationen und

- Leitlinien

ausreichend zur Verfügung stehen.

Folgen:

• Roadmaps müssen Szenarien abbilden (z. B. Anwendung bereits 2026/2027 vs. spätester Termin 2027/2028).

• Budgets und Ressourcenplanung sollten Puffer enthalten.

• Unternehmen können die gewonnene Zeit nutzen – laufen aber Gefahr, bei verspäteter Vorbereitung von einem früheren Start überrascht zu werden.

3. Verschiebung des Machtgleichgewichts zugunsten großer Player?

Die vorgeschlagenen Änderungen zur Datennutzung im KI-Training und die Erleichterungen im AI Act werden vor allem großen Technologieanbietern zugutekommen:

• Breiterer Zugriff auf Datenpools für das Training großer generativer Modelle und spezialisierter KI.

• Stärkere Zentralisierung der Aufsicht durch das AI Office auf EU-Ebene für mächtige Modelle und sehr große Plattformen.

Für kleinere und mittlere Unternehmen bedeutet das:

• Einerseits leichtere Kooperation mit großen Modellentwicklern (mehr rechtliche Klarheit, harmonisierte Rahmenbedingungen).

• Andererseits droht eine weitere Konsolidierung des Marktes, da große Anbieter durch Datenzugang und Compliance-Skaleneffekte Vorteile haben.

4. Signalwirkung: Anpassungsbereitschaft der Regulierer

Die Verschiebung folgt deutlich sichtbarem Druck aus Industrie und manchen Mitgliedstaaten. Das sendet ein wichtiges Signal:

• Die EU ist bereit, strikte Zeitpläne anzupassen, um Wettbewerbsfähigkeit und Innovationskraft zu schützen.

• Künftig könnten Unternehmen noch stärker versuchen, über Verbände und Allianzen auf Umsetzungsdetails einzuwirken.

Für die Governance-Praxis bedeutet das:

• Unternehmen erhalten mehr Einflusskanäle – aber auch eine höhere Verantwortung, diese konstruktiv zu nutzen.

• Langfristplanungen müssen die Möglichkeit weiterer Korrekturen und Feinanpassungen der digitalen Regulierungsarchitektur einpreisen.

5. Compliance bleibt komplex – nur anders getaktet

Die Verzögerung reduziert nicht die Inhaltsschärfe der Vorgaben. Insbesondere für Hochrisiko-KI bleiben Kernpflichten bestehen:

• Systematisches Risikomanagement entlang des gesamten Lebenszyklus.

• Datenqualitäts- und Bias-Kontrollen.

• Technische Robustheit, Sicherheit und Performance-Monitoring.

• Umfassende Dokumentation und Konformitätsbewertung.

• Transparenz gegenüber Nutzenden und ggf. Betroffenen.

• Human Oversight und Eingriffsmöglichkeiten.

Unternehmen, die den Aufschub als Anlass sehen, die Thematik auf „später“ zu verschieben, riskieren mittelfristig hohen Nachholbedarf und operative Störungen.

Praktische Beispiele und Implikationen für verschiedene Branchen

Beispiel 1: Internationaler Industriekonzern mit KI-gestützten Qualitätskontrollen

Ein Maschinenbaukonzern nutzt KI-Systeme zur visuellen Qualitätsprüfung von Komponenten. Diese Systeme gelten – in Verbindung mit regulierten Produkten – tendenziell als Hochrisiko (Annex I).

Bisherige Lage:

• Enge Frist bis 2026/27 für vollständige AI-Act-Konformität.

• Parallel dazu MDR/Produktrichtlinien, interne QM-Zertifizierungen etc.

Neues Szenario:

• Frist verschiebt sich auf spätestens August 2028, mit möglichem früherem Start je nach Kommissionsentscheidung.

• Der Konzern kann sein bereits laufendes ISO-Managementsystem für Qualität und Informationssicherheit nutzen, um AI-Act-Kontrollen „mitzudenken“.

Konkrete Implikationen:

• Aufbau eines KI-spezifischen Risikomanagements (z. B. Mapping auf Annex I-Anforderungen, technische Doku, Monitoring) kann in einem mehrjährigen Programm erfolgen.

• Beschaffungsprozesse für KI-Komponenten werden angepasst: Lieferanten müssen mittelfristig AI-Act-konforme Module anbieten.

• Interne Auditpläne werden so umgestaltet, dass 2026/27 bereits Probeläufe stattfinden, um 2027/28 ohne Produktionsunterbrechung konform zu sein.

Beispiel 2: Europäische Bank mit KI-basiertem Kredit-Scoring

Eine Großbank setzt KI-Modelle zur Kreditwürdigkeitsprüfung und Betrugserkennung ein. Diese Anwendungen fallen unter Annex III (Hochrisiko).

Neues Timing:

• Pflichten treten spätestens im Dezember 2027 in Kraft, ggf. bis zu 6–12 Monate früher.

Praktische Folgen:

• Die Bank kann ein geplantes Modell-Refresh oder eine Migration auf neue Plattformen 2026/27 so timen, dass die neuen Modelle bereits AI-Act-ready sind.

• Es besteht Zeit, Fairness- und Bias-Analysen auszubauen, interne Governance-Gremien (Model Risk Committees) zu stärken und Stress-Tests in realen Portfolios durchzuführen.

• Gleichzeitig steigt der Erwartungsdruck von Aufsichtsbehörden, dass Fachkonzepte für AI-Act-Compliance (z. B. interne Policies, Rollenmodelle, Dokumentation) deutlich vor Dezember 2027 stehen.

Beispiel 3: Tech-Scale-up mit KI-gestütztem Recruiting-Tool

Ein HR-Tech-Scale-up bietet SaaS-Lösungen an, die Bewerbungsunterlagen vorfiltern, Kandidaten ranken und automatisierte Benachrichtigungen steuern. Solche Lösungen gelten künftig als Hochrisiko-Anwendungen im Bereich Arbeit/Beschäftigung.

Chancen durch den Aufschub:

• Das Start-up gewinnt rund ein weiteres Jahr, um:

- Produkte modular so aufzubauen, dass Hochrisiko-Funktionalitäten klar trennbar und dokumentierbar sind.

- Explainability-Funktionen in die Oberflächen zu integrieren.

- Standardisierte Audit-Pakete für Unternehmenskunden bereitzustellen.

Risiken:

• Kundinnen (HR-Abteilungen großer Unternehmen) erwarten zunehmend AI-Act-kompatible Produkte*, noch bevor der Rechtsrahmen zwingend ist.

• Wer frühzeitig nachweisbare Konformität demonstrieren kann, erhält einen Wettbewerbsvorteil, während Nachzügler Gefahr laufen, in Ausschreibungen ausgeschlossen zu werden.

Beispiel 4: Krankenhausverbund mit KI-Unterstützung in der Diagnostik

Ein Verbund von Kliniken führt KI-Tools in der Radiologie und Pathologie ein. Diese fallen überwiegend in den Bereich medizinischer Produkte (Annex I).

Mit dem neuen Zeitplan:

• Die Integration der AI-Act-Anforderungen kann synchron mit MDR- und Qualitätsmanagementanforderungen über mehrere Jahre geplant werden.

• Die Kliniken können Pilotprojekte in Regulatory Sandboxes oder Real-World-Testing-Programmen der Mitgliedstaaten nutzen, um Prozesse abzusichern.

Strategische Konsequenz:

• Der Verbund sollte frühzeitig ein klinikinternes KI-Gremium etablieren, das ethische, rechtliche und technische Aspekte bündelt – auch wenn die rechtliche Pflicht erst 2027/28 scharf wird.

Geschäftliche Relevanz: Was Unternehmen jetzt tun sollten

1. Roadmaps und Budgets aktualisieren – aber Ambitionsniveau halten

Unternehmen sollten ihre Compliance- und Technologie-Roadmaps an die neuen Zeitfenster anpassen:

• Überprüfung der Meilensteine für Risikobewertung, Daten-Governance, technische Anpassungen und Dokumentation.

• Umschichtung von Budgets, um laufende Projekte zu entzerren – ohne die Zielsetzung „AI-Act-ready bis spätestens 2027/28“ aufzugeben.

Wichtig: Der Aufschub ist eine Chance zur Qualitätsverbesserung, kein Freifahrtschein für Aufschub bis zur letzten Minute.

2. Szenarioplanung anhand des Stop-the-Clock-Mechanismus

Da der genaue Startpunkt von der Verfügbarkeit von Standards und Spezifikationen abhängt, empfiehlt sich ein Zwei- bis Drei-Szenarien-Modell:

• Szenario A (früher Start): Hochrisiko-Pflichten gelten praktisch ab 2026/2027.

• Szenario B (mittlerer Start): Anwendung Mitte 2027 (Annex III) / Mitte 2028 (Annex I).

• Szenario C (Spätstart): Ausschöpfung des Longstop-Datums.

Für jedes Szenario sollten Unternehmen definieren:

• Welche Systeme und Use Cases betroffen sind.

• Welche Minimalanforderungen bis wann erfüllt sein müssen.

• Welche Investitionen ggf. vorgezogen oder verschoben werden.

3. Interne Governance-Architektur für KI stärken

Unabhängig vom exakten Startdatum ist klar: Professionelle KI-Governance wird zum Hygienefaktor. Elemente:

• Einrichtung eines KI-Governance-Gremiums (z. B. AI Steering Committee) mit Vertretung aus IT, Fachbereichen, Compliance, Datenschutz, HR.

• Festlegung verbindlicher Policies und Richtlinien zu:

- Einsatzgrenzen von KI,

- Datenquellen und -qualität,

- Fairness- und Bias-Prüfungen,

- Dokumentations- und Freigabeprozessen.

• Verzahnung mit bestehenden Risikomanagement- und Compliance-Systemen (z. B. ISMS, QMS, BCMS).

4. Lieferketten und Vendor-Management anpassen

Viele Unternehmen setzen KI-Systeme nicht selbst um, sondern beziehen sie von Anbietern oder in Form von Cloud-Services.

Konsequenz:

• Vertragswerke (DPAs, SLAs, technische Anlagen) sollten AI-Act-relevante Pflichten explizit abbilden.

• Beschaffungsprozesse müssen in der Lage sein, AI-Act-Dokumentation (z. B. technische Dossiers, Risikoberichte) einzufordern und zu bewerten.

• Langfristige Partnerschaften mit Anbietern, die frühzeitig klare Compliance-Roadmaps kommunizieren, werden attraktiver.

5. Datenstrategie und DSGVO-Anpassungen strategisch nutzen

Die geplanten Anpassungen an der DSGVO und anderen Datenregeln können für Unternehmen eine Gelegenheit sein, die eigene Datenstrategie zu schärfen:

• Evaluierung, welche internen und externen Datenquellen künftig rechtssicher für KI-Training genutzt werden können.

• Aufbau oder Ausbau von Data-Sharing- und Data-Clean-Room-Konzepten, um kollaborativ, aber DSGVO-konform zu arbeiten.

• Abstimmung zwischen Datenschutz, IT, Fachbereichen und Rechtsabteilung, um mögliche Erleichterungen zielgerichtet und risikobewusst einzusetzen.

6. Frühzeitige Positionierung gegenüber Kunden und Aufsichtsbehörden

Unternehmen, die Hochrisiko-KI einsetzen oder vermarkten, sollten aktiv kommunizieren:

• Transparenz gegenüber Kunden und Nutzenden, wie mit der verlängerten Übergangsphase umgegangen wird.

• Darlegung einer klaren Roadmap zur AI-Act-Compliance, um Vertrauen aufzubauen.

• Proaktive Dialoge mit Aufsichtsbehörden (z. B. im Rahmen von Konsultationen, Verbänden, Branchengremien), um Interpretationsspielräume zu klären.

Fazit: Verlängerte Frist, aber kein Aufschub für Governance

Die vorgeschlagene Verschiebung der Hochrisiko-Pflichten des AI Act auf 2027/2028 verschafft Unternehmen wertvolle Zeit. Gleichzeitig erhöht der Stop-the-Clock-Mechanismus die Notwendigkeit professioneller Szenarioplanung und robuster KI-Governance. Wer die kommenden zwei bis drei Jahre nutzt, um Prozesse, Datenbasis und technische Infrastruktur zu stabilisieren, kann sich in regulierten KI-Märkten strategisch besser positionieren.

Kern-Insights für Unternehmen:

• Mehr Zeit, gleiche Anforderungen: Die Inhalte des AI Act werden nicht grundsätzlich abgeschwächt – nur später und flexibler angewandt.

• Planungsunsicherheit einkalkulieren: Der exakte Start der Pflichten hängt von Standards und Leitlinien ab; Roadmaps brauchen Szenariodenken und Puffer.

• Governance wird zum Wettbewerbsvorteil: Wer früh belastbare KI-Governance-Strukturen aufbaut, kann Kunden, Investoren und Aufsichtsbehörden überzeugen.

• Datenstrategie überdenken: Geplante DSGVO-Anpassungen sollten genutzt werden, um Datenbasis und -architektur für KI langfristig zu optimieren.

• Lieferketten fit machen: Vendor-Management und Vertragswerke müssen AI-Act-Pflichten abbilden; Anbieterwahl wird stärker von Compliance-Reife abhängen.

• Nicht warten, sondern testen: Die Übergangszeit eignet sich für Pilotierungen, Sandboxes und interne Audits, um 2027/28 ohne Produktivrisiken konform zu sein.

Häufig gestellte Fragen (FAQ)

Was ändert das Digital-Omnibus-Paket konkret an den Hochrisiko-Pflichten des AI Act?

Das Digital-Omnibus-Paket verschiebt zentrale Hochrisiko-Pflichten des AI Act auf spätestens den 2. Dezember 2027 (Annex-III-Systeme) bzw. den 2. August 2028 (Annex-I-Systeme). Inhaltlich werden die Anforderungen nicht abgeschwächt, sondern nur zeitlich gestreckt und mit mehr Flexibilität bei der Anwendung versehen.

Wie funktioniert der vorgeschlagene Stop-the-Clock-Mechanismus im AI Act?

Beim Stop-the-Clock-Mechanismus beginnen die Hochrisiko-Pflichten erst zu laufen, wenn die EU-Kommission feststellt, dass ausreichende harmonisierte Standards, Common Specifications und Leitlinien verfügbar sind. Ab diesem Zeitpunkt gelten Übergangsfristen von sechs Monaten für Annex-III- und zwölf Monaten für Annex-I-Systeme, unabhängig von der spätesten Longstop-Deadline 2027/2028.

Welche Auswirkungen hat die Fristverschiebung auf Unternehmen, die Hochrisiko-KI einsetzen?

Unternehmen erhalten mehr Zeit, um Risikomanagement, Daten-Governance, technische Robustheit und Dokumentation geordnet aufzubauen. Gleichzeitig steigt die Planungsunsicherheit, weil der tatsächliche Startpunkt der Pflichten von der Entscheidung der Kommission abhängt und damit früher als 2027/2028 liegen kann.

Wie beeinflusst das Digital-Omnibus-Paket die Nutzung personenbezogener Daten für KI-Training?

Das Paket sieht Klarstellungen und gezielte Lockerungen bei der Nutzung personenbezogener Daten für das Training von KI-Modellen vor, etwa durch vereinfachte Einwilligungen und harmonisierte Vorgaben. Ziel ist es, DSGVO-konforme Datennutzung für KI-Innovation zu erleichtern, ohne das formale Schutzniveau der DSGVO offiziell zu senken.

Was ist der Unterschied zwischen Annex-I- und Annex-III-Systemen im AI Act?

Annex-I-Systeme sind KI-Komponenten in regulierten Produkten wie Medizinprodukten, Maschinen oder Fahrzeugen, die meist über sektorale Harmonisierungsrichtlinien adressiert werden. Annex-III-Systeme sind hochriskante KI-Anwendungen nach Einsatzfeld, etwa in Recruiting, Kreditvergabe, Bildung, Biometrie oder Law Enforcement, unabhängig vom konkreten Produkt.

Welche strategischen Schritte sollten Unternehmen jetzt im Hinblick auf den AI Act unternehmen?

Unternehmen sollten ihre Roadmaps und Budgets an die neuen Zeitfenster anpassen, dabei aber das Ziel „AI-Act-ready bis spätestens 2027/2028“ beibehalten. Zentrale Maßnahmen sind der Aufbau eines KI-Governance-Gremiums, Szenarioplanung entlang des Stop-the-Clock-Mechanismus, die Anpassung von Lieferantenverträgen und die Weiterentwicklung der eigenen Datenstrategie.

Wie können sich kleinere Unternehmen und Start-ups trotz Verschiebung einen Wettbewerbsvorteil sichern?

Kleinere Unternehmen sollten die zusätzliche Zeit nutzen, um frühzeitig AI-Act-kompatible Produkte, Explainability-Funktionen und standardisierte Audit-Pakete zu entwickeln. Wer gegenüber Kunden und Aufsichtsbehörden bereits vor dem gesetzlichen Stichtag transparente KI-Governance und nachweisbare Konformität zeigen kann, verschafft sich einen klaren Wettbewerbsvorteil bei Ausschreibungen und Partnerschaften.