EU AI Act Fristverlängerung wird zur Compliance Falle

Marc ten Eikelder  |
AI Act

Mehr Zeit beim EU AI Act: Das 16-Monate-Paradoxon für Unternehmen.

Am 16. Juni 2026 hat das Europäische Parlament Änderungen zum EU AI Act verabschiedet. Darin verschiebt sich die Frist für die strengen Pflichten bei Hochrisiko-KI-Systeme nach Anhang III vom 2. August 2026 um 16 Monate auf den 2. Dezember 2027. In den Tagen danach kursierten viele Kommentare mit Varianten derselben Botschaft: “Sie haben mehr Zeit.” Diese Botschaft ist zwar technisch korrekt und doch strategisch gefährlich.

Zusammenfassung (TL; DR):

  • Die Verlängerung der EU AI Act-Fristen für Hochrisiko-KI-Systeme auf den 2. Dezember 2027 stellt eine strategische Gefahr dar. Denn die inhaltlichen Anforderungen an Datenschutz und Governance bleiben unverändert.
  • Um empfindliche Bußgelder zu vermeiden, müssen Unternehmen die zusätzliche Zeit für den Aufbau technischer Kontrollmechanismen und die Dokumentation nutzen.
  • Eine umgehende Bestandsaufnahme und die Planung der Konformitätsbewertung sind essenziell, da die Anforderungen tiefe Eingriffe in die Systemarchitektur erfordern.

Die Grundanforderungen für Anhang-III-Systeme – also Risikomanagementsysteme, Datengovernance-Praktiken, Mechanismen zur menschlichen Aufsicht, technische Dokumentation und Prüfprotokolle – sind identisch mit dem, was sie am Tag vor der Abstimmung waren. Und auch die Bußgelder sind unverändert: bis zu 35 Millionen Euro oder siebn Prozent des weltweiten Jahresumsatzes. Was sich geändert hat, ist das Umsetzungsfenster. Was sich nicht geändert hat, ist der Maßstab. Für deutsche Unternehmen bedeutet das: Wer die Fristverlängerung als Atempause behandelt, wird im Dezember 2027 genau dort ankommen, wo er heute steht – nur mit weniger Handlungsspielraum und höherem Risiko.

Was sich konkret ändert

Die Abstimmung vom 16. Juni betraf drei spezifische Punkte:

  • Erstens: Die Anhang-III-Frist für eigenständige Hochrisiko-KI-Systeme – biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, Kreditwürdigkeit, Strafverfolgung, Migration und Rechtspflege – ist auf den 2. Dezember 2027 verschoben.
  • Zweitens: KI-Systeme, die als Sicherheitskomponenten in Produkte eingebettet sind, die der EU-Harmonisierungsgesetzgebung unterliegen – beispielsweise Medizinprodukte oder Industriemaschinen – erhalten eine gesonderte Verlängerung bis zum 2. August 2028. Für Unternehmen in der Fertigungsindustrie oder im Medtech-Bereich handelt es sich um zwei getrennte Zeitpläne. Sie zu verwechseln ist eine Compliance-Lücke.
  • Drittens: Ein neues Verbot für KI-gestützte Nudifier-Anwendungen tritt am 2. Dezember 2026 in Kraft – eine Frist, die sich nicht verschoben hat.

Die allgemeinen Transparenzpflichten für KI-Systeme blieben von den Verlängerungen unberührt und sind bereits in Kraft. Doch wie sind die aktuellen Änderungen einzuordnen? Die Fristenverlängerung ist keine Beschwichtigung. Sie ist als Ankündigung zu lesen. Die EU-Regulierer haben ihre Absicht bekundet, ab dem Moment des Inkrafttretens dieser neuen Fristen das Einhalten der Verordnung durchzusetzen.

Ein bereits bekanntes Muster

Bei dieser Annahme kann man auf bekannte Muster zurückgreifen. Die DSGVO ist seit 2018 in Anwendung. Der Europäische Datenschutzausschuss hat bis 2025 mehr als 2.200 Bußgelder in Höhe von insgesamt 7,1 Milliarden Euro registriert – davon mehr als 1,2 Milliarden Euro allein im Jahr 2023 für KI-Datenverarbeitungsverstöße. Deutschland ist kein Beobachter dieser Entwicklung gewesen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzbehörden haben eine zunehmend aktive Durchsetzungspraxis entwickelt.

Auch NIS2 und DORA, seit 2025 in deutsches Recht umgesetzt, folgen demselben Muster: Einer Aufbauphase gefolgt von einer Durchsetzung, die ohne weitere Vorwarnung einsetzte. Jedes Unternehmen, das die Umsetzungsfristen als Planungshorizont behandelt hatte, anstatt als harte Stichtage, befindet sich heute im Aufholmodus.

Die Zeit läuft: Warum 16 Monate täuschen können

16 Monate wirken auf den ersten Blick lang. Doch eine Studie von EY  in europäischen Märkten ergab, dass nur 18 Prozent der Unternehmen klar definierte Datengovernance-Verantwortlichkeiten für KI haben. Nur zehn Prozent besitzen systematische Prozesse zur Aktualisierung von KI-Modellen. Organisationen, die noch keine Governance-Verantwortung verteilt haben, stehen keinem technologischen Problem gegenüber. Sie haben ein organisatorisches – und Organisationsveränderungen brauchen Zeit.

Die systematische Evaluation, die die KI-Verordnung vorschreibt, erfordert dokumentierte Nachweise über Risikomanagemententscheidungen, die Qualität von Trainingsdaten, Mechanismen zur menschlichen Aufsicht sowie die technische Leistung gegenüber definierten Kriterien. Diese Dokumentation für Systeme aufzubauen, die bereits ohne sie laufen, dauert erheblich länger als der simultane Aufbau während der Implementierung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner technischen Richtlinie zur KI-Sicherheit darauf hingewiesen, dass KI-Systeme in kritischen Umgebungen nicht nur Policies, sondern technisch nachweisbare Kontrollmechanismen benötigen. Das deckt sich unmittelbar mit den Anforderungen der EU-KI-Verordnung: Protokollierung, Nachvollziehbarkeit und der Aufsichtsnachweis sind keine optionalen Ergänzungen. Sie sind Hauptbedingungen.

Anforderungen an die Architektur

Die Protokollierungs- und Dokumentationsanforderungen des EU AI Act sind Architekturanforderungen. Ein System, das keinen manipulationssicheren Nachweis darüber liefern kann, welche Daten es wann und unter welcher Richtlinie verarbeitet hat, ist kein konformes System mit fehlenden Unterlagen – es ist ein neuzubauendes System.

Die KI-Verordnung und die DSGVO teilen erhebliche Governance-Infrastrukturanforderungen. Eine einheitliche Content-Governance, bei der jedes Datenobjekt, das ein KI-System betritt oder verlässt, klassifiziert, protokolliert und richtlinienkonform gesteuert wird, erfüllt gleichzeitig die Dokumentationsanforderungen des EU AI Act und die Rechenschaftspflichten der DSGVO aus einem einzigen Prüfprotokoll. Wer für beide getrennt baut, baut doppelt und prüft doppelt.

Der Vier-Stufen-Plan für IT-Verantwortliche

Fast anderthalb Jahre reichen aus, um ein belastbares Compliance-Programm aufzubauen – sofern die Reihenfolge stimmt:

  • Schritt 1: Es muss sofort eine KI-Systembestandsaufnahme erfolgen: Jedes System muss identifiziert werden, das unter die Anhang-III-Kategorien fällt – einschließlich KI, die in Beschaffungs-, Einstellungs-, Kundenservice- und Betrugserkennungs-Tools eingebettet ist und möglicherweise nie formell als hochriskant klassifiziert wurde.
  • Schritt 2: Innerhalb von 60 Tagen sollte eine Risikoklassifizierung vorgenommen werden: Jedes betroffene System muss anhand der Kriterien der Verordnung bewertet und die Klassifizierungsentscheidung dokumentiert werden. Die Entscheidung selbst ist Teil des erforderlichen Nachweises.
  • Schritt 3. Es sollte eine Datengovernance-Lückenanalyse erstellt werden: Es muss erfasst werden, welche Daten jedes System verarbeitet. Zudem muss die bestehende Governance-Infrastruktur identifiziert und dokumentiert werden, wo sie fehlt.
  • Schritt 4: Es ist eine Konformitätsbewertungsplanung bis Ende Q3 2026 zu erstellen – so kann die Umsetzungsarbeit noch vor Jahresende beginnen.

Fazit: Wer jetzt handelt, sichert sich den Vorsprung

Der aktuelle Data Security and Compliance Risk Report von Kiteworks zeigt, dass die Konformität mit EU-Regulierungen 2026 ganz oben auf der Agenda der IT-Sicherheitsteams steht. Daran ändert auch die Fristverlängerung nichts. Sie ist kein Freibrief für Untätigkeit, sondern ein großzügiges Umsetzungsfenster für nachhaltige Architekturinvestitionen. Im Dezember 2027 sind die Unternehmen besser gestellt, die das Thema Governance organisch gelöst haben. Alle anderen riskieren nicht nur empfindliche Bußgelder, sondern auch den technologischen Anschluss.

Autor

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren