Tech-Konzerne drängen auf Aufschub beim EU AI Act: Was das „Vereinfachungspaket“ für Unternehmen bedeutet

Ausgangslage: AI Act steht vor der schärfsten Umsetzungsphase

Der EU AI Act ist seit August 2024 in Kraft; die meisten operativen Pflichten für Hochrisiko‑Systeme greifen jedoch erst ab August 2026, generative KI‑Pflichten bereits früher. Parallel bereitet die EU‑Kommission einen sogenannten Digital‑ bzw. AI‑Omnibus vor – ein „Vereinfachungspaket“, das Anwendungsfristen und Detailvorgaben nachschärfen soll.

Genau in dieser Phase intensivieren Branchenverbände und große Tech‑Unternehmen ihre Lobbyaktivitäten: Sie fordern längere Übergangsfristen, pragmatische Auslegungshilfen und teilweise eine Entschärfung der Regeln für Hochrisiko‑ und General‑Purpose‑AI‑(GPAI‑)Systeme.

Aktuelle Entwicklungen der letzten 24–48 Stunden

Gemeinsame Schreiben der Industrie: mehr Zeit für Kennzeichnung und Hochrisiko‑Pflichten

Mehrere Industrie‑ und Digitalverbände haben in den letzten 24–48 Stunden gemeinsame Stellungnahmen veröffentlicht, in denen sie gegenüber Kommission, Rat und Parlament zentrale Forderungen erheben:

• Verlängerung der Übergangsfrist für generative KI: Die bisher vorgesehene Frist von sechs Monaten für bestimmte Kennzeichnungs‑ und Transparenzpflichten bei generativer KI soll auf zwölf Monate ausgedehnt werden. Begründung: Unternehmen bräuchten mehr Zeit, um Content‑Labeling und Nachweissysteme technisch zuverlässig zu implementieren.

• Einbezug „später“ Produkte: Systeme, die erst nach der aktuellen Stichtagslogik auf den Markt kommen, sollen ebenfalls von verlängerten Übergangsfristen profitieren, um Wettbewerbsnachteile zu vermeiden.

• Aufschub ausgewählter Hochrisiko‑Pflichten: Für Hochrisiko‑Systeme, die bereits von sektoraler EU‑Regulierung (z. B. Produktsicherheitsrecht) erfasst werden, wird ein gestaffelter Start der AI‑Act‑Pflichten beziehungsweise deren spätere volle Anwendbarkeit gefordert.

EU-Parlament und Kommission arbeiten am „Vereinfachungspaket“

Parallel haben Abgeordnete des Europäischen Parlaments sowie die Kommission in den letzten Tagen Eckpunkte eines Vereinfachungspakets skizziert:

• Klarere Abgrenzung zu bestehender Regulierung: Doppelregulierung mit bestehendem Produkt‑, Medizin‑ oder Finanzmarktrecht soll reduziert werden. Für bestimmte Hochrisiko‑Systeme, die bereits streng sektorreguliert sind, könnten AI‑Act‑Pflichten angepasst oder zeitlich gestreckt werden.

• Fokus auf praktische Umsetzbarkeit: Standards, Leitlinien und die Kapazitäten der Marktaufsicht sollen berücksichtigt werden. Es zeichnet sich ab, dass Fristen dort verschoben werden könnten, wo die technische Standardisierung oder behördliche Infrastruktur noch nicht ausreichend vorhanden ist.

• Keine formelle „Aufweichung“ des Schutzniveaus – zumindest offiziell: Offizielle Stellungnahmen betonen, dass es um Klarstellung und Entbürokratisierung gehe, nicht um eine Absenkung von Grundrechts‑ oder Sicherheitsstandards. Gleichwohl warnen Verbraucher‑ und Bürgerrechtsorganisationen vor „Deregulierung durch die Hintertür“.

Was hinter den Forderungen der Tech‑Konzerne steht

Motive der Industrie

Für große KI‑Anbieter, Cloud‑Plattformen und GPAI‑Modelle stehen vor allem drei Punkte im Vordergrund:

1. Komplexität und Kosten: Die parallele Umsetzung von AI Act, DSA, DMA, Daten‑ und Cyberregulierung bindet erhebliche Ressourcen. Verlängerte Fristen sollen Budgets und interne Teams entlasten.

2. Technische Machbarkeit: Content‑Kennzeichnung, Wasserzeichen oder Logging‑Pflichten für GPAI‑Modelle erfordern teils neue Infrastruktur und Standards, die heute noch nicht finalisiert sind.

3. Wettbewerbsfähigkeit: Unternehmen argumentieren, dass zu enge Fristen europäische Anbieter gegenüber Wettbewerbern in Drittstaaten benachteiligen könnten, sofern diese nicht ähnlichen Vorgaben unterliegen.

Gegenposition: Zivilgesellschaft und Verbraucherverbände

Zivilgesellschaftliche Organisationen und einige Datenschutz‑ und Verbraucherverbände warnen zugleich entschieden vor:

• Verlängerter Rechtsunsicherheit: Eine Verschiebung von Fristen bei gleichzeitigen inhaltlichen Anpassungen könne den „Moving Target“-Effekt verstärken und Planbarkeit für Unternehmen wie Betroffene verschlechtern.

• Gefahr der Aushöhlung von Schutzmechanismen: Unter dem Label „Vereinfachung“ könnten aus ihrer Sicht zentrale Schutzvorgaben für Betroffene, etwa bei biometrischer Überwachung oder KI im Personalwesen, faktisch abgeschwächt oder in die Zukunft verschoben werden.

Konkrete Implikationen für Unternehmen

1. Zeitplan bleibt volatil – Roadmaps müssen Szenarien abbilden

Unternehmen sollten aktuell von mindestens zwei Szenarien ausgehen:

• Basisszenario: Die bestehenden Stichtage (insbesondere 2026 für Hochrisiko‑Systeme, frühere Pflichten für GPAI) bleiben im Kern bestehen, Detailanpassungen erfolgen nur punktuell. Vereinfachung bedeutet vor allem Klarstellung und bessere Verzahnung mit anderem EU‑Recht.

• Verlängerungsszenario: Bestimmte Pflichten – etwa Kennzeichnungspflichten für generative KI oder ausgewählte Hochrisiko‑Anforderungen – werden um sechs bis zwölf Monate verschoben oder gestaffelt eingeführt.

Empfehlung:

• Roadmaps nicht „einfrieren“, sondern rollierend aktualisieren.

• Für kritische Hochrisiko‑Anwendungen (z. B. HR‑Screening, Kredit‑Scoring, sicherheitsrelevante Industrie‑ oder Medizin‑Anwendungen) von keiner substantiellen Entschärfung ausgehen – hier ist mit anhaltend hohem Schutzniveau zu rechnen.

2. Governance und Dokumentation: Arbeit verschiebt sich, fällt aber nicht weg

Auch wenn Fristen verlängert werden, zeichnen sich keine radikalen materiellen Erleichterungen ab. Stattdessen ist zu erwarten:

• Mehr Detailvorgaben zu Risiko‑ und Datenmanagement statt grundsätzlicher Lockerungen.

• Klarere Templates für technische Dokumentation, Konformitätsbewertung und Post‑Market‑Monitoring.

Für Unternehmen bedeutet das:

• AI‑Governance‑Strukturen (Rollen, Risiken, Prozesse) jetzt aufsetzen, statt auf endgültige Fristen zu warten.

• Dokumentations‑ und Logging‑Anforderungen so konzipieren, dass spätere Detailvorgaben durch parametrisierbare Lösungen (z. B. konfigurierbare Logging‑Tiefe, modulare Risiko‑Reports) abgebildet werden können.

3. Generative KI: Kennzeichnungspflichten nicht unterschätzen

Die Debatte um verlängerte Fristen für Kennzeichnungspflichten ist ein Indikator dafür, dass dieser Bereich technisch und organisatorisch anspruchsvoll ist. Relevante Fragen für Unternehmen:

• Wie werden KI‑generierte Inhalte in internen Workflows und gegenüber Kunden zuverlässig gekennzeichnet (z. B. Wasserzeichen, Metadaten, Disclaimer‑Layer)?

• Wie wird sichergestellt, dass Third‑Party‑Modelle (z. B. über API eingebundene GPAI‑Dienste) diese Anforderungen ebenfalls erfüllen?

Auch bei einem Aufschub bleibt sinnvoll:

• Frühzeitig Pilotprojekte für Content‑Labeling und Nachweisführung starten.

• Verträge mit KI‑Dienstleistern um AI‑Act‑konforme Zusicherungen ergänzen.

4. Hochrisiko‑Systeme in regulierten Sektoren

Für Branchen mit bestehender EU‑Sektorregulierung (Medizinprodukte, Industrieanlagen, Finanzdienstleistungen etc.) ist zu erwarten, dass das Vereinfachungspaket vor allem auf Harmonisierung statt zusätzliche Pflichten zielt.

Praktische Konsequenzen:

• Mapping‑Übungen zwischen AI‑Act‑Pflichten und bestehenden QM‑ bzw. Compliance‑Systemen (z. B. ISO‑Managementsysteme, MDR, MiFID) werden wichtiger.

• Unternehmen können potenzielle Synergien nutzen, indem sie gemeinsame Risiko‑ und Qualitätsprozesse aufsetzen, statt isolierte KI‑Compliance‑Stränge zu pflegen.

Handlungsempfehlungen für die nächsten 3–6 Monate

1. Regulatorisches Monitoring professionalisieren

Für größere Unternehmen empfiehlt sich ein dediziertes Monitoring des AI‑Omnibus‑Prozesses (Kommissionsentwürfe, Parlamentsposition, Trilog). Mittelständler können hier auf Verbandsinformationen oder spezialisierte Kanzleien zurückgreifen.

1. Szenario‑basierte AI‑Compliance‑Planung

Anstatt auf „den endgültigen Termin“ zu warten, sollten Unternehmen Meilensteine planen, die mit und ohne Fristverlängerung tragfähig sind – etwa:

- Aufbau eines AI‑Inventars aller relevanten Systeme,

- Einführung eines AI‑Risiko‑Assessments für neue Projekte,

- erste Konformitäts‑Lückenanalysen gegenüber dem AI Act.

1. Vertrags- und Lieferkettenperspektive einbeziehen

Viele AI‑Act‑Pflichten betreffen nicht nur Eigenentwicklungen, sondern auch eingekaufte Modelle und Services. Unternehmen sollten:

- Lieferanten nach ihrer AI‑Act‑Readiness befragen,

- Vertragsklauseln zu Datenquellen, Modell‑Updates, Logging und Auskunftspflichten prüfen oder ergänzen.

1. Kommunikation mit Aufsicht und Stakeholdern vorbereiten

Selbst bei Verschiebungen wird erwartet, dass Unternehmen ihre Vorbereitungsarbeiten nachweisen können. Ein strukturierter Ansatz zur internen und externen Kommunikation (z. B. gegenüber Aufsicht, Betriebsrat, Datenschutzbeauftragten) senkt spätere Reputations‑ und Rechtsrisiken.

Fazit: Weniger Zeitdruck – aber höhere Anforderungen an strategische Planung

Die aktuelle Lobbyoffensive großer Tech‑Akteure zielt vor allem darauf ab, den Zeitdruck bei der Umsetzung des AI Act zu reduzieren und Unklarheiten zu beseitigen. Für Unternehmen bedeutet dies keine Entwarnung, sondern eine Verschiebung des Schwerpunkts: von der Frage „Wann gilt was?“ hin zu „Wie integrieren wir AI‑Compliance tragfähig in Governance, Prozesse und Lieferketten?“.

Wer die nächsten Monate nutzt, um Strukturen, Inventare und Risiko‑prozesse aufzubauen, profitiert von zusätzlichem Vorlauf – unabhängig davon, ob Brüssel die Fristen am Ende tatsächlich verschiebt oder nur punktuell nachjustiert.

Häufig gestellte Fragen (FAQ)

Was ist das „Vereinfachungspaket“ (Digital- bzw. AI-Omnibus) im Kontext des EU AI Act?

Das Vereinfachungspaket ist ein von EU-Kommission und Parlament vorbereitetes Maßnahmenbündel, das den EU AI Act mit bestehender Regulierung besser verzahnen soll. Es zielt darauf ab, Übergangsfristen, Detailvorgaben und Abgrenzungen zu anderen Rechtsbereichen zu präzisieren, ohne das offizielle Schutzniveau für Grundrechte und Sicherheit abzusenken.

Wie beeinflussen die Lobbyforderungen großer Tech-Konzerne den Zeitplan des EU AI Act?

Branchenverbände und Tech-Konzerne drängen auf verlängerte Übergangsfristen, insbesondere für Kennzeichnungspflichten bei generativer KI und für bestimmte Hochrisiko-Systeme. Dies könnte dazu führen, dass einzelne Pflichten um sechs bis zwölf Monate verschoben oder gestaffelt eingeführt werden, während der grundsätzliche Startzeitpunkt des AI Act unverändert bleibt.

Welche Auswirkungen haben mögliche Fristverlängerungen auf Unternehmen, die KI einsetzen?

Fristverlängerungen reduzieren kurzfristig den Umsetzungsdruck, nehmen Unternehmen aber nicht die Pflicht, ihre KI-Systeme AI-Act-konform zu gestalten. Die Arbeit verlagert sich stärker auf Governance, Dokumentation, Risiko-Management und die Integration von AI-Compliance in bestehende Qualitäts- und Compliance-Strukturen.

Was ist der Unterschied zwischen generativer KI und Hochrisiko-KI im EU AI Act?

Generative KI (GPAI) umfasst breit einsetzbare Modelle, die Inhalte wie Text, Bilder oder Code erzeugen und vor allem Transparenz- und Kennzeichnungspflichten auslösen. Hochrisiko-KI dagegen bezieht sich auf spezifische, sicherheitsrelevante oder grundrechtskritische Anwendungen, zum Beispiel in Medizin, Industrie oder Personalwesen, für die besonders strenge Anforderungen an Risiko-Management, Datenqualität und Überwachung gelten.

Wie sollten Unternehmen ihre AI-Compliance-Roadmap in den nächsten 3–6 Monaten ausrichten?

Unternehmen sollten ein systematisches KI-Inventar aufbauen, ein standardisiertes AI-Risiko-Assessment etablieren und erste Lückenanalysen gegenüber den Anforderungen des AI Act durchführen. Parallel dazu empfiehlt sich ein professionelles Monitoring des AI-Omnibus-Prozesses sowie die Anpassung von Verträgen und Lieferketten an künftige AI-Act-Pflichten.

Welche Rolle spielt bestehende Sektorregulierung (z. B. Medizin, Finanzmarkt) im Verhältnis zum EU AI Act?

In stark regulierten Sektoren soll der EU AI Act vor allem harmonisieren und Doppelregulierung vermeiden, statt völlig neue Parallelregime zu schaffen. Unternehmen können dies nutzen, indem sie AI-Act-Anforderungen mit bestehenden Standards und Managementsystemen (z. B. ISO, MDR, MiFID) abgleichen und gemeinsame Risiko- und Qualitätsprozesse aufsetzen.

Warum warnen Verbraucher- und Bürgerrechtsorganisationen vor einer „Aushöhlung“ des EU AI Act?

Diese Organisationen befürchten, dass unter dem Label „Vereinfachung“ zentrale Schutzmechanismen, etwa bei biometrischer Überwachung oder KI im Personalwesen, faktisch abgeschwächt oder in die Zukunft verschoben werden. Zudem sehen sie das Risiko verlängerter Rechtsunsicherheit, wenn Fristen verschoben und Vorgaben gleichzeitig laufend angepasst werden.