1
Gestaffelte Anwendung
Verbote und KI-Kompetenzpflichten sind bereits relevant. GPAI-Regeln greifen ebenfalls bereits. Die Hochrisiko-Timeline wird durch den AI Omnibus differenzierter.
Die wichtigste Botschaft: Der EU AI Act wird nicht aufgehoben – aber die praktische Umsetzung wird neu sortiert.
Für Unternehmen bedeutet das nicht Entwarnung, sondern Planungsarbeit. Einige Pflichten gelten bereits, andere werden präzisiert, verschoben oder an neue Support-Instrumente wie Leitlinien und Standards gekoppelt.
2
Hochrisiko wird konkreter
Für Hochrisiko-KI entstehen neue Zeitpunkte, Leitlinien und Beispiele. Unternehmen müssen trotzdem jetzt wissen, welche Use Cases potenziell betroffen sind.
3
Nachweise bleiben zentral
Auch bei mehr Zeit bleiben Inventar, Rollenklärung, Datenbezug, Governance, Anbieterinformationen, Dokumentation und Verantwortlichkeiten der Kern der Vorbereitung.
Was sich durch den AI Omnibus 2026 konkret abzeichnet.
Die folgende Übersicht übersetzt die aktuellen EU-Informationen in eine praktische Unternehmenssicht. Sie ist bewusst als Vorbereitungshilfe formuliert, nicht als verbindliche Rechtsauslegung.
| Thema | Aktueller Stand / Änderung | Bedeutung für Unternehmen |
|---|---|---|
| Hochrisiko-KI nach Annex III | 2. Dezember 2027 als neuer Planungszeitpunkt | Use Cases in Biometrie, kritischer Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle sollten trotzdem früh inventarisiert und vorgeprüft werden. |
| Hochrisiko-KI in regulierten Produkten | 2. August 2028 als neuer Planungszeitpunkt | Hersteller und Anbieter mit Produktbezug, zum Beispiel Maschinen, Spielzeug, Medizinprodukte, Aufzüge oder andere harmonisierte Bereiche, müssen AI Act und Produktrecht gemeinsam denken. |
| Transparenzpflichten | zusätzliche Leitlinien und verkürzte Umsetzungslogik | Chatbots, Deepfakes, KI-generierte Inhalte und Nutzerinformationen bleiben kurzfristig prüfungsrelevant. Unternehmen sollten Kennzeichnung, Nutzerhinweise und Verantwortlichkeiten dokumentieren. |
| AI Office / GPAI | stärkere und klarere Rolle des AI Office | Bei Systemen auf Basis allgemeiner KI-Modelle muss die Lieferkette sauber dokumentiert werden: Modellanbieter, Systemanbieter, Deployer, Produktintegration und Nutzerkontext. |
| SME / Small Mid-Cap | Erleichterungen sollen ausgeweitet werden | Vereinfachungen helfen nur, wenn Unternehmen sauber belegen können, welche Größe, Rolle, Systeme und Dokumentationspflichten tatsächlich einschlägig sind. |
| Regulatory Sandboxes | mehr Zugang zu Reallaboren / EU-level Sandbox | Innovative Anbieter sollten früh prüfen, ob ein KI-Reallabor oder eine behördlich begleitete Erprobung in Betracht kommt. |
| Neue Verbote | Verbot bestimmter Systeme zur Erzeugung nicht einvernehmlicher intimer Inhalte / CSAM | Unternehmen mit generativer KI, Bild-, Video- oder Content-Funktionen sollten Missbrauchsszenarien, Sperren, Moderation und Anbietermaßnahmen dokumentieren. |
| Standards und Leitlinien | Standards werden zum praktischen Umsetzungshebel | Risikomanagement, Datenqualität, Logging, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit, Cybersecurity, Qualitätsmanagement und Konformitätsbewertung müssen vorbereitet werden. |
Warum eine verschobene Frist nicht bedeutet, dass Unternehmen warten sollten.
Der AI Omnibus verschiebt und präzisiert vor allem den Zeitpunkt und die praktische Einbettung bestimmter Hochrisiko-Pflichten. Die eigentliche Vorarbeit bleibt unverändert aufwendig: Unternehmen müssen zuerst wissen, welche KI überhaupt im Einsatz ist, welche Rollen entstehen, welche Daten verarbeitet werden, welche Anbieter beteiligt sind und welche Nachweise fehlen.
Gerade weil die EU weitere Leitlinien, Standards und Tools vorbereitet, ist eine vorbereitete Daten- und Dokumentationsbasis wertvoll. Wer erst nach finalen Details mit der Inventarisierung beginnt, verliert Zeit und muss später oft unter Druck nachdokumentieren.
Welche Informationen CheckCom für die Pro Version und Enterprise Version benötigt →
CheckCom übersetzt Aktualität in Vorbereitung
- EU AI Act Use Cases und KI-Systeme systematisch erfassen.
- Rollen, Datenarten, Anbieter und Nutzergruppen sichtbar machen.
- Hochrisiko- und Transparenzindikatoren als Prüffragen vorbereiten.
- Fristen nicht als starre Einzeltermine, sondern als risikobasierte Roadmap betrachten.
- Rechtsberatung, Datenschutz und Audit mit einem strukturierten Dossier vorbereiten.
Aktuelle Fristen und Planungslogik im Überblick.
Die Termine können sich durch finale Gesetzgebung, Leitlinien und nationale Umsetzung weiter konkretisieren. Für die Unternehmensplanung eignet sich eine konservative Roadmap mit klaren Vorbereitungsphasen.
Welche Fragen Unternehmen jetzt beantworten sollten.
Diese Fragen sind unabhängig davon sinnvoll, ob einzelne Hochrisiko-Pflichten später, früher oder differenzierter gelten. Sie bilden die Grundlage für eine effiziente spätere Expertenprüfung.
1. Welche KI-Systeme nutzen wir?
Tools, Modelle, integrierte Funktionen, Eigenentwicklungen, Drittanbieter, Schatten-KI und KI-Funktionen in Standardsoftware sollten als Inventar erfasst werden.
2. Welche Rolle nehmen wir ein?
Anbieter, Betreiber, Importeur, Händler, Produktintegrator oder Nutzer von Drittanbieter-KI: Die Pflichten hängen stark von der Rolle ab.
3. Welche Menschen sind betroffen?
Beschäftigte, Bewerber, Kunden, Schüler, Patienten, Bürger oder Verbraucher können unterschiedliche Grundrechts- und Datenschutzfragen auslösen.
4. Welche Daten fließen ein?
Personenbezogene Daten, besondere Kategorien, Trainingsdaten, Kundendaten, Beschäftigtendaten und vertrauliche Geschäftsinfos müssen gesondert betrachtet werden.
5. Welche Nachweise fehlen?
Richtlinien, Freigaben, Schulungen, Datenschutzdokumente, Anbieterunterlagen, technische Beschreibungen, Logging, Monitoring und Human Oversight sind typische Lücken.
6. Welche Frist ist für uns relevant?
Unternehmen brauchen keine pauschale Frist, sondern eine Zuordnung pro KI-System, Rolle, Risiko, Marktbezug und Produktkontext.
Offizielle Quellen und Kurzbewertung.
CheckCom nutzt diese Quellen als Ausgangspunkt für die laufende Aktualisierung der Seiten. Die Liste zeigt auch, warum Unternehmen ohne strukturierte Vorbereitung schnell den Überblick verlieren.
EU-Kommission: AI Act Hauptseite
Offizielle Übersichtsseite mit aktueller Timeline, Risikokonzept, Governance, AI Office, GPAI, AI Omnibus und Links zu Leitlinien.
Quelle öffnen →Digital Omnibus on AI Regulation Proposal
Kommissionsvorschlag vom 19. November 2025 zur Vereinfachung und proportionalen Umsetzung bestimmter AI-Act-Bestandteile.
Quelle öffnen →Rat der EU: politische Einigung vom 7. Mai 2026
Wichtige Quelle zu neuen Hochrisiko-Zeitpunkten, CSAM-/Nudification-Verbot, Transparenz, Sandboxes, AI Office und Produktrechtsbezug.
Quelle öffnen →Entwurf Hochrisiko-Leitlinien
Kommissionsentwurf vom 19. Mai 2026 mit Interpretationen und praktischen Beispielen zur Klassifikation von Hochrisiko-KI nach Artikel 6.
Quelle öffnen →Konsultation Hochrisiko-Leitlinien
Feedbackphase vom 19. Mai bis 23. Juni 2026; zeigt, dass zentrale Auslegungsfragen noch aktiv präzisiert werden.
Quelle öffnen →Standardisierung des AI Act
Übersicht zu harmonisierten Standards für Risikomanagement, Datenqualität, Logging, Transparenz, Human Oversight, Cybersecurity und Konformität.
Quelle öffnen →AI Act Service Desk FAQ
Offizielle FAQ zu AI Act, Digital Omnibus, Rollen, Risikostufen, Hochrisiko-KI, Transparenz, GPAI und praktischen Einordnungen.
Quelle öffnen →Bundesnetzagentur KI-Service Desk
Deutsche Orientierung zu KI-Verordnung, Service Desk, KI-Compliance-Kompass, Risikostufen, Transparenz, KI-Kompetenz und Marktüberwachung.
Quelle öffnen →Bundesregierung zur nationalen Umsetzung
Informationen zum Gesetzentwurf für die Durchführung der KI-Verordnung in Deutschland und zur Rolle der Bundesnetzagentur.
Quelle öffnen →Was CheckCom an den rechtlichen Hinweisen angepasst hat.
Die CheckCom-Seiten sprechen nicht mehr von einer einzigen pauschalen Deadline. Stattdessen wird die EU AI Act Vorbereitung als gestaffelte, risikobasierte und laufend zu aktualisierende Aufgabe beschrieben. Das ist wichtig, weil der AI Omnibus gerade bei Hochrisiko-Systemen zwischen unterschiedlichen Anwendungsfällen und Produktkontexten unterscheidet.
Die Pro Version und Enterprise Version bleiben bewusst Vorbereitungspakete. Sie liefern Struktur, Nachweise, offene Fragen und Entscheidungsvorlagen, aber keine verbindliche Rechtsberatung.
Nächster sinnvoller Schritt
Unternehmen sollten jetzt nicht versuchen, jeden Artikel isoliert auszulegen. Sinnvoller ist zuerst eine saubere Faktenbasis: KI-Systeme, Rollen, Daten, Anbieter, Nutzergruppen, Risiken, Nachweise und Zuständigkeiten.