Die Europäische Kommission und mehrere Mitgliedstaaten, darunter Deutschland, haben vorgeschlagen, zentrale Anwendungsfristen des EU Artificial Intelligence Act (EU AI Act , Verordnung (EU) 2024/1689) um ein Jahr zu verschieben. Besonders betroffen sind die sogenannten Hochrisiko-KI-Systeme gemäß Anhang I und III. Diese sollen nun erst 2026 bzw. 2027 verbindlich gelten, so der Vorschlag. Ziel ist es, den Unternehmen, Behörden und Aufsichtsstellen mehr Zeit zur technischen und organisatorischen Umsetzung zu geben – eine Entscheidung mit weitreichenden Folgen für Datenschutz, Governance und Compliance in Europa. Die EU-Komission will ihre diesbezügliche Pläne voraussichtlich am 19.11.25 vorstellen.
Hintergrund der EU AI Act Übergangsfristen
Der EU AI Act ist die „weltweit erste umfassende KI-Verordnung“ und bildet den zentralen Rechtsrahmen für die Entwicklung, Bereitstellung, Integration und Nutzung von Künstlicher Intelligenz in der EU. Die Verordnung unterscheidet zwischen vier Risikostufen – von „unannehmbar“ bis „minimal“. Systeme, die als „Hochrisiko“ eingestuft werden (z.B. KI-Sicherheitskomponenten in kritischen Infrastrukturen oder Gesundheitssystemen), unterliegen strengen Pflichten wie Risikomanagement, Transparenz, Dokumentation und Konformitätsbewertung, um gegenüber den Aufsichtsbehörden entsprechende Nachweise erbringen zu können.
Die entsprechenden Anwendungsfälle sind in den Anlagen I und III des Gesetzes definiert. Ursprünglich sollten die Regeln rund 24 Monate nach Inkrafttreten (1. August 2024 )gelten, d.h. ab dem 01. August 2026. Durch die nun diskutierte Anpassung würden sich die EU AI Act Übergangsfristen auf 36 Monate verlängern, womit August 2027 im Raum steht. Die EU-Kommission schreibt hier selbst:
Die Vorschriften für Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind, haben einen verlängerten Übergangszeitraum bis zum 2. August 2027.
Die Begründung: Viele Mitgliedstaaten und Branchenverbände sehen derzeit noch Lücken bei der praktischen Umsetzung – insbesondere bei der Normung, der Einrichtung der nationalen Aufsichtsbehörden sowie bei der technischen Ausgestaltung der Compliance-Prozesse.
Auswirkungen auf Unternehmen
Für Unternehmen bedeutet die geplante Fristverlängerung mehr Zeit, aber keine Entwarnung.
- Planungs- und Rechtssicherheit: Organisationen können ihre eigenen KI-Strategien und Governance-Strukturen mit größerem zeitlichen Spielraum anpassen und entsprechende Governance, Risk und Compliance Prozesse entwickeln
- Implementierung: Compliance-Teams gewinnen Zeit für Risikoanalysen, technische Dokumentation, Daten-Governance und den Aufbau von KI-Registrierungen.
- Lieferantenmanagement: Anbieter von KI-Komponenten sollten bestehende Vertrags- und Prüfprozesse frühzeitig anpassen, um künftige Anforderungen an Transparenz und Nachvollziehbarkeit zu erfüllen.
- Ressourcen: Gerade KMU und SaaS-Unternehmen erhalten die Möglichkeit, Personal und Budgets für KI-Compliance gezielter einzuplanen, ohne durch kurzfristige Umsetzungspflichten behindert zu werden.
Eine Verschiebung der Anwendung ist jedoch keine inhaltliche Abschwächung – die regulatorischen Anforderungen selbst bleiben unverändert!
Bezug zu Governance, Risk und Compliance
Die Anpassung betrifft unmittelbar den Compliance-Bereich (Einhaltung gesetzlicher Vorschriften) und steht zugleich in engem Bezug zu Governance und Risikomanagement. Nachfolgend liefere ich Ihnen einen kompakten Eindruck über die Bedeutung für GRC:
- Governance: Unternehmen müssen KI-Einsatz und Verantwortlichkeiten intern strategisch planen, steuern, dokumentieren und transparent machen.
- Risk: Der AI Act verlangt die systematische Identifikation, Bewertung und Minderung von Risiken, die aus KI-Anwendungen entstehen, insbesondere für die Verarbeitung von personenbezogenen Daten (Beachtung der DSGVO weiterhin relevant!)
- Compliance: Aufbau eines rechtssicheren Nachweis- und Kontrollsystems, das gegenüber Aufsichtsbehörden belegt, dass KI-Systeme die Anforderungen erfüllen.
Die Verlängerung der EU AI Act Übergangsfristen verschiebt somit die operative Umsetzung, nicht jedoch die Pflicht zur Vorbereitung.
Fachliche Einschätzung
Die vorgeschlagene Fristverlängerung ist aus praktischer Sicht sinnvoll: Viele Organisationen, insbesondere KMU, stehen noch am Anfang einer strukturierten KI-Governance. Gleichzeitig besteht das Risiko, dass eine zu lange Übergangsphase zu Unsicherheit führt, insbesondere bei der Auslegung der „High-Risk“-Kriterien (Stufe 2) und der Klassifizierung von General-Purpose-KI-Modellen. Entscheidend wird sein, ob die EU klare Leitlinien und technische Standards frühzeitig bereitstellt, die auch „verständlich“ und praxistauglich sind.
Beratung zum EU AI Act durch Elsen GRC
Elsen GRC unterstützt Unternehmen, öffentliche Einrichtungen (Ämter, Behörden, Kommunen) und SaaS-Anbieter bei der Umsetzung der Compliance-Anforderungen, die aus dem EU AI Act resultieren. Dazu gehören neben einer konkreten Risiko- und Systemklassifizierung gemäß AI Act Anhängen I bis III und der Erstellung von Governance- und Dokumentationsstrukturen auch die Begleitung bei KI-Readiness-Analysen + Audits bis hin zu Integration von Datenschutz-Prozessen (DSGVO, ISO 27701) und KI-Management (ISO 42001), die durch den Aufbau von internen Kontrollsystemen und Compliance-Workflows langfristig im Blick des Managements bleiben.
Mit einem praxisnahen Ansatz verbinden wir rechtliche Anforderungen mit technischer Machbarkeit – für eine sichere, nachvollziehbare und nachhaltige KI-Nutzung. Melden Sie sich jetzt für ein unverbindliche Erstberatung zum AI Act.
Unverbindliche Beratung anfordernQuellen
- Europäische Kommission: Artificial Intelligence Act – Legislative Framework
- Heise Online (2025): Bundesregierung will EU-KI-Regeln massiv überarbeiten
- VDE (2025): KI-Systeme und Risikoklassen im EU AI Act
Bild: Markus Spiske – Unsplash.com
2 Comments