EU-Kommission will zentrale Regelungen des AI Acts verschieben

In vielen Unternehmen ist der Einsatz von KI schon im Arbeitsalltag angekommen – mit Chancen, aber auch Risiken. Die KI-Verordnung (AI Act) bildet den einheitlichen rechtlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union und ist seit dem 1. August 2024 in mehreren Stufen in Kraft getreten. Die Vorgaben sollen gewährleisten, dass KI-Systeme, die in der EU eingesetzt werden, sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.

Jetzt soll das Regelwerk überarbeitet werden: In einem digitalen Omnibus-Paket hat die EU-Kommission am 19. November 2025 Vorschläge zur Vereinfachung des KI-Gesetzes gemacht. Dazu gehört auch, dass die Umsetzung der zentralen Pflichten im Bereich der Hochrisiko-KI-Systeme, die ab August 2026 Anwendung finden sollten, um maximal 16 Monate verschoben werden sollen. Dafür braucht es jedoch noch die Zustimmung der EU-Länder und des Europäischen Parlaments.

Änderungen am AI Act durch "Digital Omnibus"-Paket?

Die Kommission hat vorgeschlagen, den Beginn der Anwendung der Vorschriften für Hoch- und Hochrisiko-KI-Systeme mit der Verfügbarkeit von Unterstützungsinstrumenten, einschließlich der erforderlichen Standards, zu verknüpfen. Dafür soll der Zeitplan für die Anwendung von Vorschriften mit hohem Risiko auf höchstens 16 Monate angepasst werden. Die Vorschriften sollen erst dann gelten, wenn den Unternehmen die erforderlichen Standards und Unterstützungsinstrumente zur Verfügung stehen. Damit könnten die Regelungen, statt wie geplant im August 2026, erst ab Dezember 2027 gelten.

Insgesamt sollen die Verfahren des KI-Gesetzes so angepasst werden, dass das Zusammenspiel mit anderen Gesetzen verdeutlicht und die Umsetzung und Funktionsweise insgesamt verbessert werden. Für kleine und mittlere Unternehmen (KMU) und kleine Midcap-Unternehmen sollen geringere Anforderungen gelten, insbesondere vereinfachte Anforderungen an die technische Dokumentation.

Die Maßnahmen zur Unterstützung der Einhaltung der Vorschriften sollen ausgeweitet werden. Es sollen mehr geschützte Testumgebungen entstehen und EU-weite Praxistests ermöglicht werden.

Die Befugnisse des bei der EU-Kommission ansässigen AI Office sollen erweitert und die Aufsicht über KI-Systeme, die auf allgemeinen KI-Modellen basieren, zentralisiert werden. Damit soll eine einheitliche Kontrolle insbesondere für grenzüberschreitende KI-System ermöglicht werden. Dies betrifft besonders große Online-Plattformen oder Suchmaschinen.

Verbot von KI-Systemen mit unannehmbarem Risiko, KI-Schulungspflicht und Geldbußen

Was bereits gilt: Seit dem 2. Februar 2025 gilt das Verbot von KI-Systemen mit unannehmbarem Risiko. Ebenso müssen Unternehmen seither die KI-Kompetenz von Mitarbeitenden, die mit KI-Systemen arbeiten, sicherstellen.

Künftig soll laut dem Vorschlag der EU-Kommission die Verantwortung für die Förderung von KI-Kompetenz nicht mehr allein bei den Unternehmen liegen. Die EU und die einzelnen Mitgliedstaaten sollen anhand gezielter Programme mehr KI-Kompetenz aufbauen.

Seit dem 2. August 2025 ist vorgesehen, dass gegen Unternehmen, die gegen bereits bestehende Verpflichtungen verstoßen, mit Geldbußen vorgegangen werden kann. Möglich sind Strafen in Höhe von bis zu 35 Millionen Euro oder sieben Prozent des gesamten Jahresumsatzes von Unternehmen. Die Mitgliedstaaten sollten bis zu diesem Zeitpunkt eigene Vorschriften über Geldbußen festlegen und dabei die Situation von KMU einschließlich neu gegründeter Unternehmen besonders berücksichtigen.

Seit August: Mitgliedstaaten müssen KI-Behörde stellen

Die Mitgliedstaaten sind zudem verpflichtet, bis zum 2. August 2025 die nationalen Aufsichtsbehörden zu etablieren. Dazu müssen sie mindestens eine Marktüberwachungsbehörde sowie eine notifizierende Behörde benennen. In Bezug auf die Struktur und Gestaltung haben sie einen großen Ermessensspielraum.

Dieser Zeitplan konnte nicht eingehalten werden. In einem Referentenentwurf für ein Gesetz zur Durchführung der KI-Verordnung vom 12. September 2025 wird die  Bundesnetzagentur als zuständige Marktüberwachungsbehörde und zuständige notifizierende Behörde benannt, soweit in diesem Gesetz nichts anderes bestimmt ist.

Pflichten für Anbieter allgemeiner General-Purpose-AI-Modelle (GPAI)

Seit dem 2. August 2025 gelten auch die Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, die den Transparenzanforderungen genügen müssen. Diese GPAI-Modelle sind vielseitig einsetzbare risikoarme KI-Systeme wie große Sprachmodelle (Large Language Models, LLM). Dazu zählt auch das generative Sprachmodell von Chat GPT.

Anbieter solcher GPAI-Modelle sind verpflichtet, Urheberrechte zu beachten, technische Dokumentationen zu erstellen und die Transparenz über die verwendeten Trainingsdaten sicherzustellen. Für Anbieter von GPAI-Modellen, die bereits vor dem 2. August 2025 in der EU in Verkehr gebracht und in Betrieb genommen wurden, gilt eine Übergangsregelung. Sie müssen erst bis zum 2. August 2027 mit der KI-Verordnung konform sein.

Alle übrigen Bestimmungen des AI Acts sollten grundsätzlich unmittelbar ab dem 2. August 2026 Anwendung finden.

AI Act: Pflichten gemäß Risikobewertung von KI-Systemen

Die KI-Verordnung legt Verpflichtungen für Anbieter und Nutzer fest, die sich nach dem jeweiligen Risiko, das von dem KI-System ausgeht, richten. Es wird unterschieden in KI-Systeme mit minimalem, hohem oder unannehmbarem Risiko.

KI-Systeme mit unannehmbarem Risiko

KI-Systeme mit einem unannehmbaren Risiko sind seit dem 2. Februar 2025 verboten. Als solche gelten KI-Systeme, die durch kognitive Verhaltensmanipulation von Personen oder bestimmten marginalisierten Gruppen Menschen gefährden. Verboten ist sogenanntes "Soziales Scoring", also die Klassifizierung von Menschen auf der Grundlage von Verhalten, sozioökonomischem Status und persönlichen Merkmalen. Auch biometrische Identifizierung und Kategorisierung natürlicher Personen sowie biometrische Echtzeit-Fernidentifizierungssysteme, wie zum Beispiel Gesichtserkennung, sind unzulässig. Ob sie möglicherweise zur Strafverfolgung zulässig sein dürfen wird diskutiert, bisher gibt es keine Rechtsgrundlage in der Strafprozessordnung.

KI-Gesetz: Definition Hochrisiko-KI-Systeme

KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, unterliegen strengen Regeln. Diese sollten im August 2026 in Kraft treten und werden jetzt möglicherweise aufgrund des "Digital Omnibus"-Pakets verschoben.

Hierzu gehören KI-Systeme spezifischer, auch für HR relevanter Bereiche, darunter: die allgemeine und berufliche Bildung (Bewertung von Lernergebnissen, Steuerung des Lernprozesses und Überwachung von Prüfungsbetrug) oder der Bereich Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit (z. B. Veröffentlichung gezielter Stellenanzeigen, Analyse und Filterung von Bewerbungen sowie Bewertung von Bewerberinnen und Bewerbern).

Software im HR-Bereich kann also häufig als Hochrisiko-System eingestuft werden. Für KI-Systeme mit hohem Risiko wird es ein verpflichtendes Risikomanagementsystem geben. Sie werden vor dem Inverkehrbringen und während ihres gesamten Lebenszyklus bewertet. Bürger haben das Recht, bei den zuständigen nationalen Behörden Beschwerden über KI-Systeme einzureichen.

Weitere Einsatzbereiche dieser Systeme sind der Zugang zu und die Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen, die Strafverfolgung, die Verwaltung von Migration, Asyl und Grenzkontrollen sowie die Unterstützung bei der Auslegung und Anwendung von Gesetzen. Ebenso gehören KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen, dazu. Hierzu zählen Spielzeug, Luftfahrt, Fahrzeuge, medizinische Geräte und Aufzüge.

Minimales Risiko laut AI Act: Verhaltenskodizes und Transparenzgebot

Für KI-Systeme ohne oder mit nur sehr geringem Risiko gelten grundsätzlich keine besonderen Anforderungen. Die KI-Verordnung sieht aber die Möglichkeit vor, für diese freiwillig sogenannte Verhaltenskodizes aufzustellen und sich ihnen zu verpflichten. Das Europäische Amt für Künstliche Intelligenz hat hierzu am 10. Juli 2025 eine endgültige Fassung der Verhaltenskodizes veröffentlicht, die seit dem 2. August 2025 gelten.

Von den meisten KI-Systemen geht wahrscheinlich nur ein geringes oder gar kein Risiko aus. So werden sogenannte "Generative Foundation-Modelle" wie Chat GPT als nicht risikoreich eingestuft, sie müssen aber Transparenzanforderungen und das EU-Urheberrecht erfüllen.

Dazu gehört die Offenlegung, dass der Inhalt durch KI generiert wurde. Das Modell muss so gestaltet werden, dass es die Erzeugung illegaler Inhalte verhindert. Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet wurden, müssen veröffentlicht werden. Leistungsfähigere KI-Systeme, die ein Systemrisiko darstellen könnten – wie das fortgeschrittene KI-Modell GPT-4 –, müssen gründlich bewertet werden; dazu sind alle schwerwiegenden Vorfälle der Kommission zu melden.

Kennzeichnungspflicht laut KI-Verordnung

Eine wichtige Pflicht, die ab dem 2. August 2026 gelten sollte, ist die Kennzeichnungspflicht: Alle Inhalte, die mithilfe von KI erzeugt oder verändert wurden – egal ob Bilder, Audio- oder Videodateien wie z. B. Deepfakes –, müssen eindeutig als KI-generiert gekennzeichnet werden, damit die Nutzer darüber Bescheid wissen, wenn sie auf solche Inhalte stoßen.

Jahreswechsel 2026: In unserem Überblick erfahren Sie, welche Gesetze und Änderungen in Arbeitsrecht, Lohnsteuer und Sozialversicherung Sie im Blick haben sollten.

Das könnte Sie auch interessieren:

AI Act: Sicherstellung der KI-Kompetenz als neue Arbeitgeberpflicht

Digitalisierung & KI: Diese Kompetenzlücken sollten Unternehmen schließen

HR und KI: Wo die rechtlichen Fallen lauern

Europäische KI-Verordnung: Rechtsrahmen für den KI-Einsatz (personalmagazin digital)