Text:  Miran Melansek  •   Veröffentlicht: 18.05.2026 09:37   •   Lesedauer: 7,0 Min.

EU AI Act aktuell

Brüssel sortiert den Fahrplan neu

Neuer Zeitplan im EU AI Act vereinbart – formale Bestätigung im Sommer 2026 erwartet
Neuer Zeitplan im EU AI Act vereinbart – formale Bestätigung im Sommer 2026 erwartet

Der EU AI Act bleibt – aber sein Zeitplan wackelt. In der Nacht zum 7. Mai 2026 haben sich Rat und Europäisches Parlament auf das sogenannte „Digital-Omnibus-Paket“ geeinigt: ein Bündel gezielter Änderungen am AI Act. Formal ist das Paket noch nicht endgültig angenommen – die offizielle Bestätigung wird im Sommer erwartet. Praktisch arbeiten Aufsichtsbehörden, Kommission und einschlägige Kanzleien aber schon mit den neuen Daten. Die Richtung ist klar: Einige Pflichten kommen später, andere werden verschärft. Und ein paar wichtige Dinge bleiben, wo sie sind.

Die zentrale Verschiebung: Hochrisiko-KI bekommt Luft

Der größte Eingriff betrifft die Hochrisiko-Systeme, also genau die Kategorie, an der sich die Mehrheit der industriellen Compliance-Diskussionen aufhängt. Hier wird sauber zwischen zwei Welten getrennt:

Annex III: alleinstehende Hochrisiko-Systeme. Gemeint sind KI-Anwendungen in sensiblen Einsatzfeldern: Personalwesen, Bildung, Kreditprüfung, biometrische Identifizierung, kritische Infrastruktur, Strafverfolgung, Migration. Die zentralen Hochrisiko-Pflichten greifen hier nicht mehr ab 2. August 2026, sondern erst ab 2. Dezember 2027. Eine Verschiebung um knapp 16 Monate.

Annex I: eingebettete Hochrisiko-KI. KI als Sicherheitskomponente in Produkten, die ohnehin unter EU-Harmonisierungsrecht fallen: bestimmte Medizinprodukte, Maschinen, Spielzeug, Aufzüge. Hier gilt sogar 2. August 2028 als neuer Stichtag. Die Begründung: Die für die Konformitätsbewertung nötigen harmonisierten Normen sind schlicht noch nicht fertig. Lieber realistisch verschieben als unsauber regulieren.

Wichtig für die operative Lesart: Die Verschiebung ist kein „Pause-Button“. Im Gegenteil. Aufsichtsbehörden gehen davon aus, dass Unternehmen die zusätzliche Zeit für die ohnehin überfälligen Vorbereitungen nutzen, also Risikomanagement, Datenqualität, technische Dokumentation, Governance. Wer sich jetzt zurücklehnt, holt das später nicht mehr ein.

Was die EU zugleich verschärft: Nudifier-Verbot und Wasserzeichen

An anderer Stelle zieht Brüssel die Zügel an. Der Omnibus ergänzt Artikel 5 (die Liste der verbotenen Praktiken) um zwei Neuzugänge:

  • KI-Systeme, die nicht-einvernehmliche intime Inhalte erzeugen oder manipulieren – gemeinhin als „Nudify-“ oder „Nudifier-Apps“ bezeichnet
  • KI-Systeme zur Erzeugung von Missbrauchsdarstellungen Minderjähriger

Beide Verbote sollen ab 2. Dezember 2026 gelten und strenggenommen fallen darunter auch Anbieter universeller Bildgenerierungs-Modelle. Schließlich besitzen die genau diese Fähigkeit: jedes Foundation-Model für Bilder kann theoretisch zu solchen Inhalten missbraucht werden. Würde der Gesetzgeber hier hart durchziehen, wäre praktisch jeder Anbieter einer offenen Bild-KI im EU-Markt blockiert.

Genau für dieses Dilemma gibt es eine Safe-Harbour-Klausel: Wer nachweisen kann, dass sein System wirksame Schutzmaßnahmen gegen genau diese Art von Missbrauch hat, etwa Content-Filter, Prompt-Blocker oder funktionierende Missbrauchserkennung, fällt nicht unter das Verbot. Die Krux: Der Nachweis muss erbracht werden, und zwar dokumentiert im Risikomanagement-Dossier gemäß EU AI Act. Wer ein Foundation-Model für Bilder anbietet und die Safeguards nicht sauber dokumentiert, kann sich auf die Klausel nicht berufen und steht dann mitten im Verbot.

Ebenfalls auf den 2. Dezember 2026 verschoben: die Watermarking-Pflichten nach Artikel 50 Absatz 2 für Anbieter generativer KI. UI-Kennzeichnung, maschinenlesbare Metadaten, Erkennbarkeit synthetischer Inhalte – das alles muss zu diesem Stichtag funktionieren. Für jedes Team, das ein generatives Feature in den EU-Markt bringt, ist das die nächste scharfe Engineering-Deadline. Es bleiben rechnerisch noch rund sieben Monate.

Was unverändert bleibt

Drei Dinge, die der Omnibus nicht angefasst hat und die deshalb in jeder Compliance-Roadmap weiterhin als feste Punkte stehen:

  • Die KI-Kompetenzpflicht nach Artikel 4 gilt seit dem 2. Februar 2025. Wer KI anbietet oder einsetzt, muss sicherstellen, dass die beteiligten Personen (Mitarbeitende, Freelancer) mit Chancen, Risiken und Grenzen der eingesetzten Systeme angemessen umgehen können. Diese Pflicht ist abstrakt formuliert, aber alles andere als zahnlos.
  • Die Regeln für General-Purpose-AI-Modelle und die Governance-Strukturen gelten seit dem 2. August 2025.
  • Die Transparenzpflichten für Deployer – also für Unternehmen, die Chatbots einsetzen, Deepfakes erzeugen oder KI-generierte Inhalte veröffentlichen – greifen weiterhin zum 2. August 2026. Verschoben wurden nur die Watermarking-Pflichten der Anbieter, nicht die Kennzeichnungspflichten der Nutzer.

Was du jetzt operativ machen solltest

Die Verschiebung bedeutet vor allem eines: mehr Zeit – aber wie gesagt kein Grund, sich auszuruhen. Drei Dinge sind in den nächsten Monaten sinnvoll.

Wenn dein Unternehmen Hochrisiko-KI einsetzt, lohnt es sich, jetzt eine ehrliche Bestandsaufnahme zu machen: Welche Systeme habt ihr im Einsatz, welche Daten fließen rein, wer ist verantwortlich, was passiert bei Fehlern? Genau diese Fragen werden später ohnehin dokumentiert werden müssen. Wer früh anfängt, hat saubere Antworten statt hektisch zusammengeschriebener.

Wenn du generative KI anbietest oder in deinem Produkt einbaust, ist die Watermarking-Deadline am 2. Dezember 2026 die nächste echte Hürde. Sieben Monate klingen viel, sind aber für Engineering-Teams knapp bemessen, wenn Kennzeichnung, Metadaten und Erkennbarkeit synthetischer Inhalte sauber laufen sollen.

Und für alle, die KI nur einsetzen statt selbst zu bauen: Die KI-Kompetenzpflicht aus Artikel 4 gilt seit Februar 2025 und wird oft übersehen. Hier kann euch die KI-BUZZER Campus Schulungsplattform mit der Basisschulung helfen – sprich uns an: [email protected]

Mitarbeitende sollen in vertieften Schulungen oder Workshop aber auch die eingesetzten Systeme verstehen – Stärken, Grenzen, typische Fehler. Eine kurze interne Bestandsaufnahme, wer welche KI wofür nutzt und wer das wirklich einordnen kann, schadet nicht.

Fazit

Der Omnibus ist keine Entschärfung des AI Act. Es wurde vielmehr pragmatisch an den Stellen zeitlich Luft geschaffen, wo die technische Infrastruktur fehlt, schärfere Verbote dort verabschiedet, wo der gesellschaftliche Schaden offensichtlich ist. Für Compliance-Teams ändert sich an der Substanz wenig. Die Arbeit, die am 6. Mai anstand, steht auch am 8. Mai noch an.

Zeitstrahl EU AI Act

Geltungsdaten nach Omnibus-Einigung vom 7. Mai 2026

Ursprünglicher AI Act Geändert / neu durch Omnibus
2024

Verabschiedung & Inkrafttreten

Parlament stimmt im März zu, Rat im Mai. Veröffentlichung am 12.7.2024, Inkrafttreten am 1.8.2024.

2. Februar 2025

Erste Regeln gelten

Verbotene KI-Praktiken und die Pflicht zur KI-Kompetenz nach Artikel 4 treten in Kraft.

2. August 2025

GPAI & Governance

Regeln für General-Purpose-AI-Modelle (etwa große Sprachmodelle) und Governance-Strukturen werden anwendbar.

2. August 2026

Breite Anwendung des AI Act

Transparenzpflichten für Deployer greifen: Kennzeichnung von Chatbots, Deepfakes und KI-generierten Inhalten.

2. Dezember 2026

Neu durch Omnibus

Verbote für Nudifier-Apps und KI-generierte Missbrauchsdarstellungen Minderjähriger. Watermarking-Pflichten nach Art. 50(2) für Anbieter generativer KI greifen.

2. Dezember 2027

Hochrisiko-KI nach Annex III

Zentrale Hochrisiko-Pflichten greifen für alleinstehende Systeme – etwa in Personalwesen, Bildung, Kreditprüfung, biometrischer Identifizierung und bestimmten Behördenverfahren.

2. August 2028

Hochrisiko-KI nach Annex I

KI als Sicherheitskomponente in regulierten Produkten – Medizinprodukte, Maschinen, Spielzeug – fällt unter die Hochrisiko-Pflichten.

Weiterführende Links:

Rat der EU – Pressemitteilung zur Omnibus-Einigung vom 7. Mai 2026
Unsere Primärquelle für die aktuellen Änderungen. 

EU-Kommission: Navigieren im KI-Gesetz
Offizielle Übersichtsseite mit Pflichten, Terminen und FAQ. 

EUR-Lex: Volltext der KI-Verordnung 2024/1689
Die juristische Primärquelle für den ursprünglichen AI Act. 

  • Hochrisiko-KI nach Annex III (Personalwesen, Bildung, Kreditprüfung) wird von August 2026 auf 2. Dezember 2027 verschoben
  • Hochrisiko-KI nach Annex I (eingebettet in regulierte Produkte wie Medizingeräte oder Maschinen) erst ab 2. August 2028
  • Neue Verbote ab 2. Dezember 2026: Nudifier-Apps und KI-generierte Missbrauchsdarstellungen Minderjähriger – mit Safe-Harbour-Klausel für seriöse Foundation-Models
  • Watermarking-Pflicht für generative KI greift ebenfalls am 2. Dezember 2026 – die nächste echte Deadline
  • Unverändert bleiben KI-Kompetenzpflicht (seit Februar 2025), GPAI-Regeln (seit August 2025), Transparenzpflichten für Deployer (ab August 2026)
  • Die Einigung ist politisch, formal noch nicht angenommen. Die endgültige Bestätigung wird im Sommer erwartet

17. Mai 2026

Schöne neue KI-Welt?Utopie oder Chaos – was erwartet uns?

15. Mai 2026

Images 2.0Wenn Bild-KI mitdenkt

18. April 2026

KI-Agent OpenClawWoher bekommen, wie installieren, was absichern?

25. März 2026

Sora am EndeOpenAI stoppt sein Video-KI-Projekt abrupt

10. März 2026

KI-PlattformenMehr als nur ein Einzeltool

0 Artikel
dunkel hell

Buzzletter

Du willst immer mehr wissen als andere?
Tools, Features, News, Gewinnspiele
– gratis und nur auf KIBUZZER.com
JETZT REGISTRIEREN UND NICHTS MEHR VERPASSEN.