Michael Witzenleiter und Jean-Luc Winkler ordnen in Folge 103 die jüngsten Brüsseler Entwicklungen rund um den EU AI Act ein – diesmal mit Ann-Kathrin Zierau, EU-Policy-Managerin beim KI-Bundesverband, direkt aus dem politischen Maschinenraum. Der Ton der Folge: weniger Theorie, mehr Fristenrealität, Trilog-Dynamik und die Frage, was „Stop the clock“ für Compliance in Unternehmen wirklich bedeutet.
Brüssel-Update: Warum der EU AI Act überhaupt ins Wanken geriet
Der EU AI Act wurde seit 2021 verhandelt und ist im August 2024 in Kraft getreten – als bewusst „vorausschauende“ Regulierung, nicht als nachträgliche Reparatur wie frühere Digitalgesetze. Herzstück ist der risikobasierte Ansatz: eine Pyramide von Low-Risk-Anwendungen bis zu High-Risk-Systemen und darüber verbotene KI. High-Risk ist dabei nicht akademisch, sondern operativ – etwa bei KI in HR, Bildung oder Kreditvergabe, also überall dort, wo Entscheidungen Menschen unmittelbar betreffen. Verhandelt wurde im Trilog, also zwischen EU-Kommission (erster Aufschlag), Rat und Parlament, flankiert von Stakeholder-Konsultationen, Expertise aus Industrie, Forschung, NGOs und Verbänden. Beschleuniger und Störfaktor zugleich war der Technologiesprung durch ChatGPT mitten in den Verhandlungen: Debatten liefen über Annahmen, während leistungsfähige generative Systeme bereits am Markt waren. Der eigentliche ökonomische Druckpunkt kam dann über die Umsetzbarkeit: Zwei Jahre Vorlauf klangen zunächst großzügig, in der Praxis fehlten jedoch harmonisierte Normen und technische Standards – „Brückenbau ohne Bauplan“. Parallel lief (und läuft) in Mitgliedstaaten wie Deutschland zusätzlich die nationale Umsetzungsarchitektur, was die operative Vorbereitung weiter verkompliziert. Ergebnis: Alarm aus Industrie und Mittelstand, politisch verstärkt durch den Draghi-Bericht als Wendepunkt in Richtung Wettbewerbsfähigkeit.
Fristen verschoben, Architektur bleibt – und Maschinenbau bekommt den Exit
Der „Digital Omnibus“ steht in der Folge für ein beschleunigtes, vereinfachtes EU-Verfahren, mit dem zentrale Stellschrauben rund um AI-Act-Umsetzung nachjustiert werden. Ausgangspunkt war die Hochrisiko-Frist 2. August 2026 – genau die Deadline, die ohne Standards, Normen und ausreichend Implementierungszeit als realitätsfern galt. Die Trilog-Einigung kam nach einer gescheiterten Runde am 28. April (rund 12 Stunden Verhandlung ohne Ergebnis) schließlich in der Nacht auf den 7. Mai 2026 – überraschend vor dem ursprünglich erwarteten Termin. Kern der Einigung: High-Risk-KI wird auf den 2. Dezember 2027 verschoben, KI in regulierten Produkten auf den 2. August 2028. Politischer Knackpunkt war allerdings weniger die Uhr als der Zuschnitt: Die Annex‑1‑Debatte drehte sich um die Grundfrage „horizontal über den AI Act oder sektoral über bestehendes Sektorrecht skalieren?“. Daraus entstand der sogenannte Sektor-Exit: Maschinenbau fällt künftig aus dem AI-Act-Anwendungsbereich heraus und soll über sektorale Regeln plus delegierte Rechtsakte (Delegated Acts) eingehegt werden. Reaktionen in Brüssel laufen unter „Licht und Schatten“: Bitkom und TÜV stehen beispielhaft für die Spannweite zwischen Erleichterung (mehr Zeit, weniger Fristpanik) und Sorge (mehr Rechtsunsicherheit durch Ausnahmen). Gleichzeitig blieb die inhaltliche Substanz weitgehend unangetastet – verschoben wird primär die Anwendung, nicht das Pflichtenheft; zusätzlich wurde u. a. ein Verbot von Nudifier-Apps verankert.
Formale Schritte laufen – aber Deadline 2. August 2026 bleibt politisch kritisch
Die Einigung vom 7. Mai ist noch nicht das finale Gesetz, sondern muss formell durch Parlament und Rat und anschließend veröffentlicht werden (u. a. Übersetzungen, Abstimmungen). Entscheidend ist die formelle Annahme vor dem 2. August 2026, weil daran Inkrafttreten und Fristenlogik hängen. Die EU-Sommerpause macht den Takt eng: wenige Sitzungswochen, wenig Puffer. Politisch wurde der Omnibus auch deshalb so dynamisch, weil das Verfahren im Vergleich zu „normalen“ EU-Gesetzen ungewöhnlich schnell lief.
Unternehmen bekommen Zeit – aber keine inhaltliche Entwarnung
Die zentrale Botschaft aus der Folge: Es gibt einen Aufschub, aber kein Ende der Anforderungen. Governance, Qualitätsmanagement und technische Dokumentation bleiben Pflichtbausteine, nur der Termindruck verschiebt sich. Empfohlen wird eine frühe Inventarisierung: Welche KI-Systeme sind im Einsatz, welche sind potenziell High-Risk, welche werden nur eingekauft und im Unternehmen deployed? Gerade Deploying-Unternehmen tragen ebenfalls Pflichten – wenn auch anders als Anbieter/Hersteller.
Pryvet stellt den externen AI Officer as a Service [sponsored]
Mal ehrlich: Wer im Mittelstand soll heute noch alle KI-Pflichten im Blick behalten — KI-Verordnung, DSGVO, ISO Normen, Mitbestimmung, sektorale Sondernormen?
Einen eigenen AI Officer in Vollzeit aufzubauen und auf dem neuesten Stand zu halten lohnt sich für den Mittelstand selten — die Pflichten gelten trotzdem, das Risiko auch.
Das Team von Pryvet übernimmt diese Rolle als externe Dienstleistung — damit Compliance verlässlich läuft und interne Ressourcen dort eingesetzt werden, wo Wertschöpfung entsteht.
Die Expertise ist durch zwei der renommiertesten Prüfstellen Deutschlands doppelt zertifiziert: TÜV Süd und DEKRA
Wer KI im Unternehmen vorantreiben will, statt sich in Pflichten zu verlieren, findet das AI-Officer-as-a-Service-Angebot auf https://www.pryvet.ai/ai-officer-as-a-service/
DSGVO-Omnibus läuft separat – und bringt KI-Training als Streitfrage ins Spiel
Neben dem AI-Omnibus existiert ein paralleler DSGVO-/Data-Omnibus, der in der öffentlichen Debatte aktuell leichter untergeht. Besonders brisant: ein von der Kommission angestoßener Ansatz für eine explizite Rechtsgrundlage („legitimes Interesse“) zum KI-Datentraining – mit Safeguards, aber mit großem Konfliktpotenzial. Kritiker verweisen auf den technologieneutralen Charakter der DSGVO und sehen die Gefahr eines Systembruchs durch einen spezifischen „KI-Paragrafen“. Befürworter sehen hingegen die seltene Chance, überfällige Erleichterungen und Klarstellungen für KI-Praxis zu schaffen.
Artikel-50-Guidelines und Normen bleiben der operative Flaschenhals
Ein wesentlicher Teil der Umsetzung hängt an Guidelines und Standards – etwa rund um Artikel 50 (Transparenzpflichten und Kennzeichnung, wann Inhalte KI-generiert sind). Neu veröffentlichte Guidelines gehen in Konsultationsphasen, in denen sich Unternehmen und Verbände noch einbringen können. Das verschiebt den Fokus: weniger „Abwarten“, mehr „früh dokumentieren und in Konsultationen mitarbeiten“, um Praxistauglichkeit zu sichern.