Während Verbote und Regeln für allgemeine KI-Systeme (GPAI) schon in Kraft sind, haben jüngste Gesetzesänderungen die strengsten Auflagen für Hochrisiko-Anwendungen nach hinten verschoben. Unternehmen erhalten damit mehr Zeit für die Umsetzung komplexer technischer Anforderungen.
Neue Fristen für Hochrisiko-Systeme
Der sogenannte Digital Omnibus und anschließende Parlamentsentscheidungen brachten Anfang des Jahres eine überarbeitete Zeitachse für verschiedene Kategorien des KI-Gesetzes. Der Großteil der Regelungen gilt ab dem 2. August 2026. Doch für Hochrisiko-KI-Systeme nach Anhang III – darunter Anwendungen in kritischer Infrastruktur, Personalwesen und Bonitätsprüfung – wurde die Frist auf den 2. Dezember 2027 verschoben.
Noch später dran sind Systeme nach Anhang I. Diese umfassen Produkte, die bereits EU-Sicherheitsvorschriften unterliegen, etwa Medizinprodukte. Ihre Compliance-Frist endet erst am 2. August 2028. Allerdings bleiben die Transparenzpflichten nach Artikel 50 bestehen: Sie schreiben vor, dass KI-Interaktionen offengelegt und KI-generierte Inhalte gekennzeichnet werden müssen – und zwar ab dem 2. August 2026. Einige Berichte deuten darauf hin, dass bestimmte Wasserzeichen-Pflichten sogar schon bis Dezember 2026 umgesetzt werden könnten.
Technische Pflichten für IT-Abteilungen
Trotz der verlängerten Fristen für Hochrisiko-Systeme müssen IT-Abteilungen jetzt mit strengen Governance-Standards rechnen. Für Systeme, die etwa im Gesundheitswesen zur Diagnose oder Triage eingesetzt werden, sind umfassende Rahmenwerke nötig:
Die neuen EU-Regeln stellen Unternehmen vor komplexe Herausforderungen bei der Risikoklassifizierung ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung einen kompakten Überblick über alle neuen Pflichten und Fristen. EU AI Act in 5 Schritten verstehen
- Risikomanagement (Artikel 9): Ein kontinuierlicher Prozess zur Identifizierung und Minderung von Risiken über den gesamten Lebenszyklus der KI.
- Daten-Governance (Artikel 10): Hohe Qualitätsstandards für Trainings-, Validierungs- und Testdatensätze, um Verzerrungen zu vermeiden und Genauigkeit sicherzustellen.
- Technische Dokumentation (Artikel 11-13): Detaillierte Aufzeichnungen über Design und Logik des Systems sowie klare Anleitungen für Betreiber.
- Aufzeichnungspflichten (Artikel 12): Automatisierte Protokollierung von Systemereignissen zur Rückverfolgbarkeit.
- Menschliche Aufsicht (Artikel 14): Systeme müssen so gestaltet sein, dass natürliche Personen sie effektiv überwachen können.
Im Gesundheitssektor, wo KI-Modelle oft Expertenniveau erreichen, aber aufgrund von „Black-Box“-Entscheidungen mit Misstrauen kämpfen, wächst die Nachfrage nach erklärbarer KI (XAI) und standardisierten Berichtsformaten.
Compliance-Kosten und Governance-Software
Die finanziellen Risiken bei Verstößen sind enorm: Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes drohen. Für spezifische Verstöße im Gesundheitsbereich sind es bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes.
Ein Markt für KI-Governance-Software hat sich bereits entwickelt. Die Lösungen decken verschiedene Säulen des Gesetzes ab:
- Credo AI: Fokussiert auf technische Dokumentation nach Artikel 11, Kosten zwischen 30.000 und 80.000 Euro.
- OneTrust: Bietet Risikomanagement-Tools für Artikel 9, Preise zwischen 50.000 und 150.000 Euro.
- TruEra: Adressiert Bias und Daten-Governance nach Artikel 10, Kosten zwischen 25.000 und 75.000 Euro.
- Arize AI: Nutzungsabhängige Preise für Aufzeichnungspflichten nach Artikel 12.
Branchendaten zeigen: Mehr als 50 Prozent der Organisationen verfügen derzeit über kein umfassendes KI-Inventar – ein grundlegender Schritt für die bevorstehenden Transparenzpflichten ab August 2026.
Angesichts drohender Strafzahlungen in Millionenhöhe sollten Compliance-Verantwortliche die neuen Dokumentationspflichten nicht ignorieren. Ein kostenloser Experten-Report klärt auf, welche KI-Systeme als Hochrisiko gelten und wie Sie die geforderte Risikodokumentation rechtssicher umsetzen. Kostenlosen KI-Umsetzungsleitfaden herunterladen
Strengere Regeln für Biometrie
Parallel zu den Fristenverschiebungen fordern europäische Regulierungsbehörden härtere Grenzen für bestimmte KI-Anwendungen. Wojciech Wiewiórowski, Chef des Europäischen Datenschutzbeauftragten (EDPS), hat sich kürzlich für ein temporäres Verbot automatisierter Erkennungstechnologien im öffentlichen Raum ausgesprochen. Dieses Verbot würde Gesichtserkennung, Gangart-, Fingerabdruck-, Stimm- und sogar Tastenanschlagsverfolgung umfassen. Das Europäische Parlament hatte zuvor bestimmte Pläne zur Gesichtserkennung erwogen, dann aber wieder verworfen. Der EDPS beobachtet die Nutzung solcher Technologien in EU-Institutionen weiterhin genau.
Auch die Rechtsbranche reagiert: Berufshaftpflichtversicherer verlangen zunehmend Auskünfte über KI-Nutzungsprotokolle. Und Bundesgerichte in mehreren Ländern führen Offenlegungspflichten für KI-generierte Rechtsmaterialien ein – nach spektakulären Fällen von KI-bezogenen Sanktionen.
