Europäische Union verschiebt Verpflichtungen des AI Act für Hochrisikosoftware bis Dezember 2027
Politische Einigung zwischen Rat und Parlament verschiebt den Termin von August 2026 und eröffnet ein 19-monatiges Anpassungsfenster, während Bußgelder und die Extraterritorialitätsklausel unverändert bleiben.
Der Rat der Europäischen Union und das Europäische Parlament einigten sich am 7. Mai auf einen Aufschub der wesentlichen Verpflichtungen des AI Act für Betreiber von Künstlicher Intelligenz, die als hochriskant eingestuft werden. Der neue Termin ist Dezember 2027, was praktisch 19 Monate über den ursprünglichen Zeitplan hinausgeht, der Anforderungen ab August dieses Jahres vorsah.
Das intern als "AI Omnibus" bezeichnete Paket deckt die im Anhang III der Gesetzgebung aufgeführten Systeme ab: Anwendungen im Bereich Rekrutierung, Kreditbewertung, öffentliche Sicherheit und kritische Infrastruktur. Für in regulierte Produkte integrierte Systeme, wie medizinische Geräte und Fahrzeuge, geht die Frist noch weiter: bis August 2028. Das Abkommen muss noch formell ratifiziert werden, jedoch schätzen Büros wie Hogan Lovells und Latham & Watkins, dass der Prozess beschleunigt werden sollte, angesichts des bevorstehenden ursprünglichen Termins.
Was sich nicht ändert, sind die Bußgelder. Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes bleiben für Verstöße gegen die verbotenen Praktiken bestehen. Der Verstoß gegen die Verpflichtungen für Hochrisikosysteme kann bis zu 15 Millionen Euro oder 3 % des Umsatzes kosten. Die Verschiebung des Compliance-Zeitplans hat das Sanktionsregime nicht ausgesetzt.
Für brasilianische Beratungsgesellschaften mit Kunden in Europa bleibt die Extraterritorialitätsklausel ebenfalls unverändert. Jedes KI-System, das Auswirkungen auf EU-Bewohner hat, unterliegt den gleichen Verpflichtungen, unabhängig davon, wo das Unternehmen ansässig ist. Mit mehr als 50 % der Organisationen, die laut einer im April veröffentlichten Umfrage von Credo AI noch kein systematisches Inventar ihrer eingesetzten KI-Systeme erstellt haben, ist der zusätzliche Zeitraum willkommen, löst jedoch nicht das zugrunde liegende Problem.
Die herrschende Meinung auf dem Markt ist, dass es sich um regulatorischen Pragmatismus handelt: Die Verschiebung spiegelt die Unreife der unterstützenden technischen Standards wider und stellt keine Schwächung des Gesetzes dar. Die Verpflichtungen für allgemein verwendbare Modelle (GPAI) gelten bereits seit August 2025, und die parallelen Pflichten aus GDPR, NIS2 und DSA verlangen weiterhin Governance-Maßnahmen. In Brasilien wird der PL 2338/2023 im Kongress mit einer ähnlichen Struktur wie in Europa behandelt und könnte die Bewegung der EU als Argument für ebenfalls schrittweise Zeitpläne aufgreifen.