KI-Verordnung

EU verschiebt zentrale Regelungen des AI Acts

News
Meike Jenrich
Meike Jenrich
Redakteurin Personalmagazin
Abstrakter Datenfluss
Bild: Yuichiro Chino/GettyImages Vereinfachter AI-Act: Die EU einigt sich mit dem digitalen Omnibus-Paket auf Änderungen zur Vereinfachung der KI-Verordnung.

Das Europäische Parlament und der Rat haben sich auf den „Digital Omnibus“ zur Vereinfachung der EU-Verordnung zur Regulierung von Künstlicher Intelligenz (AI Act) geeinigt. Damit werden zentrale KI-Regelungen verschoben sowie inhaltliche Änderungen vorgenommen.

Die KI-Verordnung (AI Act) bildet den einheitlichen rechtlichen Rahmen für den Einsatz von Künstlicher Intelligenz in der Europäischen Union und ist seit dem 1. August 2024 in mehreren Stufen in Kraft getreten. Die komplexen Vorgaben sollen gewährleisten, dass KI-Systeme, die in der EU eingesetzt werden, sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind.

In einem digitalen Omnibus-Paket hat die EU-Kommission bereits am 19. November 2025 Vorschläge zur Vereinfachung des KI-Gesetzes gemacht. Dazu gehört auch, dass die Umsetzung der zentralen Pflichten im Bereich der Hochrisiko-KI-Systeme, die ab August 2026 Anwendung finden sollten, um maximal 16 Monate verschoben werden sollen.

Am 7. Mai 2026 haben sich Parlament und Rat auf die neue Regelungen geeinigt. Was ändert sich?

Änderungen am AI Act durch "Digital Omnibus"-Paket

Der Beginn der Anwendung von Vorschriften für Hoch- und Hochrisiko-KI-Systeme soll mit der Verfügbarkeit von Unterstützungsinstrumenten, einschließlich der erforderlichen Standards, verknüpft werden. Dafür wird der Zeitplan für die Anwendung von Vorschriften für Hochrisiko-Systeme angepasst:

Die Vorschriften für Systeme, die in bestimmten Hochrisikobereichen eingesetzt werden – darunter Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle – gelten ab dem 2. Dezember 2027. Für Systeme, die in Produkte wie Aufzüge oder Spielzeug integriert sind, gelten die Vorschriften ab dem 2. August 2028. Laut EU-Kommission wird diese zeitliche Anpassung dazu führen, dass technische Standards und andere Unterstützungsinstrumente vorhanden sind, bevor die Anwendung der Vorschriften beginnt.

Zusätzlich eingeführt wird ein stärkerer Schutz für EU-Bürgerinnen und Bürger in Bezug auf Deepfakes. Die Verordnung verbietet künftig KI-Systeme, die nicht einvernehmliche sexuell explizite und intime Inhalte oder Darstellungen sexuellen Missbrauchs von Kindern erzeugen, wie KI-"Nudification"-Apps (KI-"Entblößungs"-Apps).

Insgesamt werden die Verfahren des KI-Gesetzes so angepasst werden, dass das Zusammenspiel mit anderen Gesetzen verdeutlicht und die Umsetzung und Funktionsweise insgesamt verbessert werden. Für Unternehmen werden mit der Einigung einfachere Vorschriften und eine klarere Governance eingeführt. Für kleine und mittlere Unternehmen (KMU) und kleine Midcap-Unternehmen gelten geringere Anforderungen, insbesondere vereinfachte Anforderungen an die technische Dokumentation.

Die Maßnahmen zur Unterstützung der Einhaltung der Vorschriften werden zudem ausgeweitet. Es sollen mehr geschützte Testumgebungen entstehen und EU-weite Praxistests ermöglicht werden.

Die Befugnisse des bei der EU-Kommission ansässigen AI Office sollen erweitert werden und die Aufsicht über KI-Systeme, die auf allgemeinen KI-Modellen basieren, zentralisiert werden. Damit soll eine einheitliche Kontrolle insbesondere für grenzüberschreitende KI-System ermöglicht werden. Dies betrifft besonders große Online-Plattformen oder Suchmaschinen.

Verbot von KI-Systemen mit unannehmbarem Risiko, KI-Schulungspflicht und Geldbußen

Was bereits gilt: Seit dem 2. Februar 2025 gilt das Verbot von KI-Systemen mit unannehmbarem Risiko. Ebenso müssen Unternehmen seither die KI-Kompetenz von Mitarbeitenden, die mit KI-Systemen arbeiten, sicherstellen.

Künftig sollen die Änderungen durch den KI-Omnibus dazu führen, dass die Verantwortung für die Förderung von KI-Kompetenz nicht mehr allein bei den Unternehmen liegt. Die EU und die einzelnen Mitgliedstaaten sollen anhand gezielter Programme mehr KI-Kompetenz aufbauen.

Seit dem 2. August 2025 ist vorgesehen, dass gegen Unternehmen, die gegen bereits bestehende Verpflichtungen verstoßen, mit Geldbußen vorgegangen werden kann. Möglich sind Strafen in Höhe von bis zu 35 Millionen Euro oder sieben Prozent des gesamten Jahresumsatzes von Unternehmen. Die Mitgliedstaaten sollten bis zu diesem Zeitpunkt eigene Vorschriften über Geldbußen festlegen und dabei die Situation von KMU einschließlich neu gegründeter Unternehmen besonders berücksichtigen.

Tipp: Neue KI-Lösung CoPilot HR von Haufe

Der CoPilot HR ist Ihr persönlicher KI-Assistent rund um HR-Fragen. Er steht allen Kundinnen und Kunden im Haufe Personal Office zur Verfügung und bedient sich aus dessen rechtssicheren Fachinhalten. So erhalten Sie schnell und einfach eine individuelle Antwort zu Ihren spezifischen Problemstellungen. Mehr Infos erhalten Sie hier!
 
Melden Sie sich jetzt zum kostenlosen Webinar an und erfahren Sie, wie der CoPilot HR bei verschiedensten HR-Fragen unterstützt, Fristen berechnet und auf Wunsch auch Vorlagen und Dokumententwürfe generiert.

Seit August: Mitgliedstaaten müssen KI-Behörde stellen

Die Mitgliedstaaten waren zudem verpflichtet, bis zum 2. August 2025 die nationalen Aufsichtsbehörden zu etablieren. Dazu mussten sie mindestens eine Marktüberwachungsbehörde sowie eine notifizierende Behörde benennen. In Bezug auf die Struktur und Gestaltung haben sie einen großen Ermessensspielraum.

Dieser Zeitplan konnte nicht eingehalten werden. Am 11. Februar 2026 hat das Kabinett ein Gesetz zur Durchführung der KI-Verordnung beschlossen. Darin wird die  Bundesnetzagentur als zuständige Marktüberwachungsbehörde und zuständige notifizierende Behörde benannt, soweit nicht andere Fachbehörden zuständig sind.

Pflichten für Anbieter allgemeiner General-Purpose-AI-Modelle (GPAI)

Seit dem 2. August 2025 gelten auch die Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, die den Transparenzanforderungen genügen müssen. Diese GPAI-Modelle sind vielseitig einsetzbare risikoarme KI-Systeme wie große Sprachmodelle (Large Language Models, LLM). Dazu zählt auch das generative Sprachmodell von Chat GPT.

Anbieter solcher GPAI-Modelle sind verpflichtet, Urheberrechte zu beachten, technische Dokumentationen zu erstellen und die Transparenz über die verwendeten Trainingsdaten sicherzustellen. Für Anbieter von GPAI-Modellen, die bereits vor dem 2. August 2025 in der EU in Verkehr gebracht und in Betrieb genommen wurden, gilt eine Übergangsregelung. Sie müssen erst bis zum 2. August 2027 mit der KI-Verordnung konform sein.

Alle übrigen Bestimmungen des AI Acts sollten grundsätzlich unmittelbar ab dem 2. August 2026 Anwendung finden.

AI Act: Pflichten gemäß Risikobewertung von KI-Systemen

Die KI-Verordnung legt Verpflichtungen für Anbieter und Nutzer fest, die sich nach dem jeweiligen Risiko, das von dem KI-System ausgeht, richten. Es wird unterschieden in KI-Systeme mit minimalem, hohem oder unannehmbarem Risiko.

KI-Systeme mit unannehmbarem Risiko

KI-Systeme mit einem unannehmbaren Risiko sind seit dem 2. Februar 2025 verboten. Als solche gelten KI-Systeme, die durch kognitive Verhaltensmanipulation von Personen oder bestimmten marginalisierten Gruppen Menschen gefährden. Verboten ist sogenanntes "Soziales Scoring", also die Klassifizierung von Menschen auf der Grundlage von Verhalten, sozioökonomischem Status und persönlichen Merkmalen. Auch biometrische Identifizierung und Kategorisierung natürlicher Personen sowie biometrische Echtzeit-Fernidentifizierungssysteme, wie zum Beispiel Gesichtserkennung, sind unzulässig. Ob sie möglicherweise zur Strafverfolgung zulässig sein dürfen wird diskutiert, bisher gibt es keine Rechtsgrundlage in der Strafprozessordnung.

KI-Gesetz: Definition Hochrisiko-KI-Systeme

KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, unterliegen strengen Regeln. Diese sollten im August 2026 in Kraft treten und werden jetzt aufgrund des "Digital Omnibus"-Pakets verschoben.

Hierzu gehören KI-Systeme spezifischer, auch für HR relevanter Bereiche, darunter: die allgemeine und berufliche Bildung (Bewertung von Lernergebnissen, Steuerung des Lernprozesses und Überwachung von Prüfungsbetrug) oder der Bereich Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit (z. B. Veröffentlichung gezielter Stellenanzeigen, Analyse und Filterung von Bewerbungen sowie Bewertung von Bewerberinnen und Bewerbern).

Software im HR-Bereich kann also häufig als Hochrisiko-System eingestuft werden. Für KI-Systeme mit hohem Risiko wird es ein verpflichtendes Risikomanagementsystem geben. Sie werden vor dem Inverkehrbringen und während ihres gesamten Lebenszyklus bewertet. Bürger haben das Recht, bei den zuständigen nationalen Behörden Beschwerden über KI-Systeme einzureichen.

Weitere Einsatzbereiche dieser Systeme sind der Zugang zu und die Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen, die Strafverfolgung, die Verwaltung von Migration, Asyl und Grenzkontrollen sowie die Unterstützung bei der Auslegung und Anwendung von Gesetzen. Ebenso gehören KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen, dazu. Hierzu zählen Spielzeug, Luftfahrt, Fahrzeuge, medizinische Geräte und Aufzüge.

Minimales Risiko laut AI Act: Verhaltenskodizes und Transparenzgebot

Für KI-Systeme ohne oder mit nur sehr geringem Risiko gelten grundsätzlich keine besonderen Anforderungen. Die KI-Verordnung sieht aber die Möglichkeit vor, für diese freiwillig sogenannte Verhaltenskodizes aufzustellen und sich ihnen zu verpflichten. Das Europäische Amt für Künstliche Intelligenz hat hierzu am 10. Juli 2025 eine endgültige Fassung der Verhaltenskodizes veröffentlicht, die seit dem 2. August 2025 gelten.

Von den meisten KI-Systemen geht wahrscheinlich nur ein geringes oder gar kein Risiko aus. So werden sogenannte "Generative Foundation-Modelle" wie Chat GPT als nicht risikoreich eingestuft, sie müssen aber Transparenzanforderungen und das EU-Urheberrecht erfüllen.

Dazu gehört die Offenlegung, dass der Inhalt durch KI generiert wurde. Das Modell muss so gestaltet werden, dass es die Erzeugung illegaler Inhalte verhindert. Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet wurden, müssen veröffentlicht werden. Leistungsfähigere KI-Systeme, die ein Systemrisiko darstellen könnten – wie das fortgeschrittene KI-Modell GPT-4 –, müssen gründlich bewertet werden; dazu sind alle schwerwiegenden Vorfälle der Kommission zu melden.

Kennzeichnungspflicht laut KI-Verordnung

Eine wichtige Pflicht, die wie geplant ab dem 2. August 2026 gilt, ist die Kennzeichnungspflicht: Alle Inhalte, die mithilfe von KI erzeugt oder verändert wurden – egal ob Bilder, Audio- oder Videodateien wie z. B. Deepfakes –, müssen eindeutig als KI-generiert gekennzeichnet werden, damit die Nutzer darüber Bescheid wissen, wenn sie auf solche Inhalte stoßen. 

"Digital Omnibus" zum AI Act: Wie geht es weiter?

Das Europäische Parlament und der Rat müssen den Text, auf den sie sich politisch geeinigt haben, nun noch förmlich verabschieden. Nach der Annahme werden die Änderungen im Amtsblatt der Europäischen Union veröffentlicht und treten drei Tage später in Kraft.

  

Das könnte Sie auch interessieren:

Was der KI-Omnibus für Arbeitgeber ändert

AI Act: Sicherstellung der KI-Kompetenz als neue Arbeitgeberpflicht

HR und KI: Wo die rechtlichen Fallen lauern

Wie KI-Agenten Arbeit und Führung verändern


Schlagworte zum Thema:  EU-Verordnung , Künstliche Intelligenz (KI) , EU-Richtlinie , EU-Kommission
Meistgelesene Beiträge
Neueste Beiträge
0 Kommentare
Das Eingabefeld enthält noch keinen Text oder nicht erlaubte Sonderzeichen. Bitte überprüfen Sie Ihre Eingabe, um den Kommentar veröffentlichen zu können.
Noch keine Kommentare - teilen Sie Ihre Sicht und starten Sie die Diskussion
Zum Haufe Shop
Zum Thema Recht
Deutsches Anwalt Office Premium: Die umfassende digitale Fachbibliothek
Deutsches Anwalt Office Premium

Neben 150 Fachbüchern, Zeitschriften und einer Entscheidungsdatenbank bietet diese Fachbibliothek nützliche Umsetzungshilfen für die tägliche Fallbearbeitung sowie ein umfassendes Fortbildungsangebot.
Kostenloses Whitepaper: KI für Anwälte in Kanzleien
WP_KI-Kanzlei

Erfahren Sie, wo die Grenzen der Technologie liegen, welche Herausforderungen entstehen und wie der erfolgreiche Einstieg in die KI-gestützte Arbeitsweise gelingt.
Machen Sie Ihre Kanzlei digital fit: Mit der Kanzleisoftware Advolux
Advolux Kanzleisoftware

Mit der modernen Kanzleisoftware für Windows, Mac und Linux – auch in der Cloud – nutzen Sie die Vorteile der Digitalisierung für Ihre Kanzlei.
Gesetzliche Vorgaben sicher umsetzen: Geldwäscherecht
Geldwäscherecht

Das Buch fokussiert sich auf die wesentlichen Themen des Geldwäscherechts. Anhand von Checklisten, zahlreichen Praxisbeispielen und Arbeitshilfen ermöglicht es eine sichere und effiziente Umsetzung der regulatorischen Anforderungen.