Der Europäische AI Act, einst als weltweit führendes Regelwerk für Künstliche Intelligenz gefeiert, steht vor einer signifikanten zeitlichen Anpassung. Während die Öffentlichkeit medial auf das Verbot sogenannter „Entblößungs-Apps“ – also KI-Systeme, die ohne Zustimmung sexuell explizite Inhalte erstellen – aufmerksam wurde, offenbart ein Blick hinter die Kulissen der Brüsseler Gesetzgebung eine deutlich tiefergreifende Entwicklung: Die Fristen für die Regulierung hochriskanter KI-Systeme werden massiv nach hinten verschoben.
Ursprünglich war vorgesehen, dass Unternehmen und Betreiber hochriskanter KI-Anwendungen ab dem 2. August 2026 strikte Vorgaben erfüllen müssen. Doch nach einer Einigung zwischen dem Europäischen Parlament und dem Rat vom 7. Mai 2026 wurde dieser Zeitplan nun gestreckt. Die neuen Stichtage liegen für allgemeine Hochrisiko-Systeme auf dem 2. Dezember 2027, während für KI-Komponenten in sicherheitskritischen Bereichen wie Aufzügen, Maschinen oder Spielzeug erst ab dem 2. August 2028 verbindliche Regeln gelten sollen.
Diese Verzögerung, die den Zeitplan um bis zu 16 Monate nach hinten schiebt, wirft Fragen über die Schlagkraft und Aktualität der europäischen KI-Strategie auf. Kritiker sehen darin ein Eingeständnis, dass der Gesetzgeber angesichts der rasanten technologischen Entwicklung – insbesondere bei autonomen KI-Agenten, die bei der ursprünglichen Konzeption des AI Acts kaum in diesem Ausmaß berücksichtigt wurden – unter Druck geraten ist.
Ein „neues“ Verbot mit bekanntem Inhalt
Das mediale Echo auf die jüngsten Anpassungen konzentrierte sich stark auf das Verbot von Entblößungs-Apps. Doch rechtlich betrachtet handelt es sich hierbei um „alten Wein in neuen Schläuchen“. Die Erstellung und Verbreitung von nicht einvernehmlichen intimen Inhalten ist bereits heute in allen EU-Mitgliedstaaten durch ein engmaschiges Netz an Gesetzen untersagt. Persönlichkeitsrechte, das Recht am eigenen Bild und die Datenschutz-Grundverordnung (DSGVO) bilden bereits jetzt eine klare rechtliche Barriere gegen solche Praktiken.
Wer gefälschte Bilder einer Person erstellt, verstößt gegen fundamentale datenschutzrechtliche Grundsätze, insbesondere das Gebot der Richtigkeit. Anbieter, die solche Systeme wissentlich betreiben oder deren Nutzung nicht unterbinden, riskieren bereits heute eine Haftung als Beitragstäter oder Verantwortliche im Sinne der DSGVO. Das neue Verbot im AI Act mag zwar eine politische Signalwirkung haben, ändert jedoch nichts an der bestehenden Marktrealität. Die eigentliche Herausforderung für die Behörden liegt nicht in der Schaffung neuer Verbote, sondern in der konsequenten Durchsetzung des geltenden Rechts.
Warum die Verschiebung für Unternehmen Rechtssicherheit schaffen soll
Die Entscheidung, den Geltungsbeginn zu verschieben, ist vor allem der mangelnden Vorbereitung der regulatorischen Infrastruktur geschuldet. Bisher hat die EU-Kommission es versäumt, die notwendigen Leitlinien zur Auslegung der „Hochrisiko“-Definition zu veröffentlichen. Ebenso fehlen die technischen Standards, die von europäischen Standardisierungsorganisationen erarbeitet werden müssen.
Erst wenn diese Standards vorliegen und von der Kommission bestätigt wurden, können Unternehmen durch deren Einhaltung von einer sogenannten „gesetzlichen Vermutung“ profitieren – sie können also davon ausgehen, dass sie die Anforderungen des AI Acts erfüllen, wenn sie diese Standards exakt umsetzen. Ohne diese Grundlagen agieren Unternehmen in einem rechtlichen Vakuum. Die Verschiebung soll nun Zeit verschaffen, um diese Lücken zu schließen und den Unternehmen die notwendige Planungssicherheit zu geben, bevor die strengen Sanktionsmechanismen greifen.
Aktualisierte Zeitachse der AI-Act-Umsetzung
| Systemkategorie | Ursprünglicher Termin | Neuer Termin |
|---|---|---|
| Hochrisiko-KI (Allgemein) | 2. August 2026 | 2. Dezember 2027 |
| Sicherheitskritische KI (z.B. Maschinen) | 2. August 2026 | 2. August 2028 |
Geopolitischer Wandel und regulatorische Alterserscheinungen
Der AI Act, der 2024 verabschiedet wurde, zeigt bereits jetzt erste Anzeichen von „Alterserscheinungen“. Zum Zeitpunkt der Entwurfsphase war der Diskurs primär von Sicherheitsbedenken („AI Safety“) geprägt. Die geopolitische Realität hat sich jedoch durch den Ukraine-Krieg und die veränderte internationale Ordnung grundlegend gewandelt. Heute stehen Themen wie europäische Wettbewerbsfähigkeit, Innovationsgeschwindigkeit und nationale Sicherheit im Zentrum der Debatte.
Die Politik steht vor dem Dilemma, dass die technologische Disruption – etwa durch den Einsatz von KI im Gesundheitswesen, in der Industrie oder in der modernen Kriegsführung – deutlich schneller voranschreitet als der bürokratische Prozess der Gesetzgebung. Insbesondere die Auswirkungen auf den Arbeitsmarkt und die Automatisierung von Entscheidungsprozessen verlangen nach Antworten, für die der aktuelle AI Act möglicherweise bereits bei seinem vollen Inkrafttreten nicht mehr ausreichend gerüstet ist.
Bestehendes Recht als scharfes Schwert
Es wäre ein Trugschluss zu glauben, dass bis 2027 oder 2028 ein rechtsfreier Raum für KI-Systeme existiert. Schon heute bietet das geltende Recht, insbesondere die DSGVO, strenge Werkzeuge gegen automatisierte Einzelentscheidungen, die Betroffene erheblich beeinträchtigen. Wenn etwa ein KI-System bei einer Bewerbung diskriminiert oder bei der Preisgestaltung durch Profiling Nutzer benachteiligt, greifen bereits bestehende Mechanismen.
Verbraucherschutzorganisationen können in Österreich und anderen EU-Staaten bereits jetzt gegen rechtswidrige Praktiken vorgehen, die kollektive Interessen verletzen. Auch irreführende Geschäftspraktiken, etwa durch Chatbots, die Kunden falsch über ihre vertraglichen Rechte informieren, sind bereits durch das Wettbewerbsrecht gedeckt. Die Durchsetzung dieser Rechte scheitert derzeit oft nicht an fehlenden Gesetzen, sondern an der knappen Personalausstattung der zuständigen Aufsichtsbehörden.
Die kommenden Monate werden zeigen, ob die zusätzliche Zeit genutzt wird, um die technischen Standards effektiv zu gestalten oder ob der AI Act in einer sich immer schneller drehenden Welt weiter an Relevanz verliert. Der nächste entscheidende Schritt für betroffene Unternehmen wird die Veröffentlichung der finalen Leitlinien durch die EU-Kommission sein, die für die Auslegung der Hochrisiko-Definition maßgeblich sein wird.
Wir verfolgen die weitere Entwicklung der technischen Standardisierung und die Aktivitäten der europäischen Aufsichtsbehörden engmaschig für Sie. Haben Sie Fragen zur Anwendung des AI Acts in Ihrem Unternehmen oder zur Durchsetzung Ihrer Rechte als Verbraucher? Teilen Sie Ihre Gedanken und diskutieren Sie mit uns in den Kommentaren.
