Die EU verschafft Unternehmen mehr Zeit für die Umsetzung der strengen KI-Regeln. Das Europäische Parlament hat diese Woche die Fristen für Hochrisiko-KI-Systeme und andere Kernpflichten des EU-KI-Gesetzes nach hinten verschoben. Der Schritt soll Behörden und Firmen mehr Vorbereitungszeit geben, unterstreicht aber auch die komplexe Umsetzung des weltweit ersten umfassenden KI-Rechtsrahmens.

Anzeige

Angesichts der neuen Fristen und komplexen Anforderungen der EU-KI-Verordnung benötigen Unternehmen jetzt eine klare Orientierung für ihre Umsetzungsprojekte. Dieser kostenlose Leitfaden bietet eine kompakte Zusammenfassung aller Pflichten, Risikoklassen und Übergangsfristen für eine rechtssichere Planung. EU-KI-Verordnung kompakt: Endlich verständlich erklärt

Neue Fristen für Hochrisiko-KI und Kennzeichnung

In einer Abstimmung am Donnerstag, dem 27. März 2026, beschlossen die Abgeordneten neue Zeitpläne. Demnach sollen die strengen Vorgaben für Hochrisiko-KI-Systeme erst ab dem 2. Dezember 2027 gelten. Diese KI kommt in sensiblen Bereichen wie Biometrie, Bildung, Beschäftigung, Strafverfolgung und kritischer Infrastruktur zum Einsatz. Für KI, die bereits unter bestehende EU-Sicherheitsvorschriften fällt, wird die Frist sogar bis zum 2. August 2028 vorgeschlagen.

Eine frühere Deadline gilt für die Kennzeichnungspflicht: Anbieter müssen bis zum 2. November 2026 Regeln zur Wasserzeichen-Kennzeichnung von KI-generierten Inhalten wie Audio, Bildern, Videos oder Text umsetzen. Die parlamentarische Entscheidung bedarf noch der Zustimmung des Rates der Europäischen Union.

Pragmatischer Ansatz mit Risiken

Das KI-Gesetz trat zwar bereits 2024 in Kraft, wird aber etappenweise umgesetzt. Während Verbote für unannehmbare Risiko-KI und Schulungspflichten im Februar 2025 wirksam wurden, folgten Regeln für Allgemeine KI-Modelle (GPAI) im August 2025. Die jetzige Verschiebung betrifft den kritischsten Bereich – jene KI, die ernste Risiken für Gesundheit, Sicherheit oder Grundrechte birgt.

Hintergrund ist die Erkenntnis, dass sowohl Aufsichtsbehörden als auch die Wirtschaft mehr Zeit für die Erstellung von Leitlinien, Standards und Infrastruktur benötigen. Die ursprüngliche Frist für die meisten restlichen Regeln war der 2. August 2026. Branchenbeobachter warnen jedoch davor, die Verzögerung als Atempause zu missverstehen. Unternehmen trügen weiterhin die Verantwortung für die Risiken ihrer KI-Systeme. CIOs wird geraten, die Compliance-Bemühungen fortzusetzen, als ob die ursprünglichen Fristen gelten. Auf perfekte regulatorische Klarheit zu warten, könnte Organisationen erheblichen Haftungsrisiken durch schlecht gesteuerte KI aussetzen.

Haftung neu gedacht: Die überarbeitete Produkthaftungsrichtlinie

Parallel zum KI-Gesetz hat die überarbeitete EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) die Haftungslandschaft für KI grundlegend verändert. Sie gilt ab dem 9. Dezember 2026 für alle in den EU-Markt gebrachten Produkte und definiert Software, Cloud-Funktionen und KI-Systeme ausdrücklich als „Produkt“. Damit wird die strenge Produkthaftung, die bisher für physische Güter galt, auf digitale Technologien ausgeweitet.

Unter dieser Richtlinie müssen Geschädigte, die Schadensersatz fordern, keine Fahrlässigkeit des Entwicklers oder Betreibers mehr nachweisen. Stattdessen genügt der Nachweis eines Mangels im KI-System, des entstandenen Schadens und eines kausalen Zusammenhangs. Entscheidend ist eine neue Vermutungsregel: Wird gegen verbindliche KI- oder Cybersicherheitsvorschriften verstoßen, wird automatisch von einem Produktmangel ausgegangen. Das erleichtert die Beweisführung für Kläger erheblich.

Diese Verknüpfung macht eine robuste Dokumentation, Versionierung, Testprotokolle und Erklärbarkeit der KI zu rechtlich relevanten Beweismitteln. Die Richtlinie stärkt zudem die Offenlegungspflichten in Zivilverfahren, was Gerichte anweisen kann, technische Beweise vorzulegen – eine Herausforderung für den Schutz von Geschäftsgeheimnissen.

Anzeige

Da die korrekte Klassifizierung und Dokumentation von KI-Systemen nun direkten Einfluss auf die Produkthaftung hat, sollten Verantwortliche ihre internen Prozesse frühzeitig anpassen. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Kennzeichnungspflichten umsetzen und die geforderten Dokumentationsanforderungen rechtssicher erfüllen. Gratis-Leitfaden zur KI-Klassifizierung und Dokumentation sichern

Digitales Vereinfachungspaket und Branchenreaktionen

Das Parlament billigte zudem die Verhandlungsposition zum „KI-Omnibus“, Teil eines umfassenderen Digitalen Vereinfachungspakets der EU-Kommission vom November 2025. Ziel ist es, den bürokratischen Aufwand für Unternehmen bis 2029 um mindestens 25 Prozent (bei KMU 35 Prozent) zu reduzieren und die Umsetzung des KI-Gesetzes zu straffen. In Reaktion auf ethische Debatten stimmten die Abgeordneten auch für ein Verbot sogenannter „Nudifier“-Systeme, die ohne Einwilligung sexuell explizite Bilder mittels KI erzeugen oder manipulieren.

Wirtschaftsverbände wie AmCham EU begrüßen grundsätzlich mehr Klarheit und Vereinfachung. Sie hatten zuvor vor zusätzlichen, sich überschneidenden Haftungsregeln gewarnt und argumentiert, die erweiterte Produkthaftungsrichtlinie adressiere die meisten Bedenken bereits. Weitere Komplexität könne Innovation hemmen.

Strategische Weichenstellungen für Unternehmen

Der laufende Gesetzgebungsprozess bedeutet, dass die genauen Zeitpläne weiter im Fluss sind. Die strategische Botschaft für alle Organisationen, die KI in der EU entwickeln oder nutzen, ist jedoch eindeutig: Proaktive Compliance ist unerlässlich. Der 2. August 2026 bleibt ein wichtiger Meilenstein, an dem viele verbleibende Regeln – etwa zu Transparenzpflichten und der Einrichtung von KI-Sandboxes in den Mitgliedstaaten – in Kraft treten sollen.

Die Konvergenz von KI-Gesetz und Produkthaftungsrichtlinie schafft ein anspruchsvolles regulatorisches Umfeld. Unternehmen müssen umfassendes KI-Risikomanagement priorisieren und Systeme von Anfang an auf Sicherheit, Transparenz und Rechenschaftspflicht auslegen. Die operativen, rechtlichen und reputationsbedingten Risiken schlecht gesteuerter KI sind keine ferne Bedrohung mehr, sondern eine unmittelbare geschäftliche Notwendigkeit.