EU einigt sich: KI-Gesetz vereinfacht, Fristen verlängert
Jahrelange Verhandlungen, ein Scheitern am 28. April und eine Einigung neun Tage später: Die Europäische Union hat am 7. Mai 2026 eine grundlegende Überarbeitung ihres KI-Gesetzes vereinbart. Die konkreteste Änderung betrifft die Zeit: Unternehmen, die Hochrisiko-KI-Systeme einsetzen, erhalten 16 Monate mehr, um die Compliance-Anforderungen zu erfüllen. Gleichzeitig enthält die Novelle das erste gesetzliche Verbot von KI-Anwendungen, die ohne Einwilligung intime Bildmontagen realer Personen erzeugen, sowie ein auf Dezember 2026 vorgezogenes Kennzeichnungsgebot für KI-generierte Inhalte.
Was der ursprüngliche AI Act verlangte
Der EU AI Act trat im August 2024 in Kraft. Die ersten verbindlichen Regeln für große KI-Systeme mit allgemeinem Verwendungszweck, sogenannte GPAI-Modelle wie GPT oder Gemini, gelten seit August 2025. Für Hochrisiko-KI, also Systeme in der Kreditvergabe, im Bildungsbereich, in der Personalauswahl oder in kritischer Infrastruktur, war der 2. August 2026 als verbindliche Compliance-Deadline vorgesehen. Das ist in weniger als drei Monaten.
Genau dieser Zeitdruck befeuerte die Verhandlungen über die sogenannte Digital-Omnibus-Novelle. Die Europäische Kommission hatte im November 2025 einen Reformvorschlag eingebracht. Das Parlament stimmte am 26. März 2026 mit 569 zu 45 Stimmen für seine Verhandlungsposition, der Rat hatte seine Position am 13. März beschlossen. Am 28. April stockten die Triloge; am 7. Mai erzielte das Verhandlungsteam die Einigung.
Die Kernänderungen
Eigenständige Hochrisiko-KI-Systeme, also solche, die nicht in regulierte Produkte eingebettet sind, müssen die Anforderungen nun erst ab dem 2. Dezember 2027 erfüllen statt wie bisher ab dem 2. August 2026. Der Aufschub beträgt damit 16 Monate. Für KI-Systeme, die in regulierten Produkten verbaut sind, also Medizinprodukte, Fahrzeugsicherheitssysteme oder biometrische Erkennungssysteme, verschiebt sich die Frist auf den 2. August 2028.
Neu eingeführt wird eine Entlastungskategorie namens "small mid-caps": Betriebe mit weniger als 750 Mitarbeitern und einem Jahresumsatz unter 150 Millionen Euro profitieren von vereinfachten technischen Dokumentationspflichten und schlankeren Qualitätsmanagementsystemen. Die übliche EU-Definition von kleinen und mittelständischen Unternehmen liegt bei maximal 250 Mitarbeitern. Für KI-Regulierungszwecke wurde diese Grenze damit verdreifacht. Das dürfte einen erheblichen Teil des deutschen Mittelstands erfassen.
Vorgezogen wird die Pflicht zur Kennzeichnung KI-generierter Inhalte. Ab dem 2. Dezember 2026 müssen Audio-, Bild-, Video- und Textinhalte, die von KI erstellt wurden, maschinell erkennbar markiert sein. Diese Wasserzeichenpflicht war ursprünglich für Februar 2027 vorgesehen und wird mit der Novelle um fast drei Monate vorgezogen.
Neue Verbote ab sofort
Neben den Fristverlängerungen enthält das Paket konkrete neue Verbote, die unmittelbar nach formaler Annahme des Gesetzes gelten. Erstmals wird es EU-weit gesetzlich untersagt sein, KI-Systeme zu betreiben, die ohne Einwilligung der betroffenen Person intime oder nackte Bildmontagen erstellen. Diese Anwendungen, im Englischen als "Nudification Apps" bezeichnet, haben sich in den vergangenen Jahren verbreitet und wurden bislang in vielen Mitgliedsstaaten nur über allgemeines Strafrecht oder Datenschutzrecht verfolgt, ohne spezifische KI-Regulierung. Ebenfalls verboten wird die KI-gestützte Erzeugung von Darstellungen sexuellen Kindesmissbrauchs.
Zwischen Entlastung und Schutzstandards
Amnesty International übte scharfe Kritik an der Einigung. Die Organisation sieht in den Fristverlängerungen und der erweiterten Ausnahmekategorie eine Abschwächung digitaler Rechte und wirft dem Parlament vor, Unternehmensinteressen über Schutzstandards gestellt zu haben. Besonders die Entlastung für Betriebe bis 750 Mitarbeiter entlasse de facto einen Großteil der europäischen Unternehmen, die KI einsetzen, aus dem Kernbereich der Compliance-Pflichten.
Der federführende Berichterstatter des Europäischen Parlaments wies das zurück. Man habe Regeln präzisiert, nicht geschwächt: "Unternehmen sollen nicht doppelt reguliert werden", sagte er nach Abschluss der Triloggespräche. Die europäischen Technologieverbände begrüßten die Einigung. Mehrere Verbände aus Deutschland und Frankreich hatten seit Herbst 2025 auf einen Aufschub gedrungen mit dem Argument, dass die Zertifizierungsstellen für Hochrisiko-KI-Systeme noch im Aufbau sind und die notwendigen Prüfverfahren nicht rechtzeitig verfügbar sein würden.
Formale Annahme bis August erwartet
Die Einigung vom 7. Mai ist eine politische Einigung, noch keine rechtskräftige Entscheidung. Parlament und Rat müssen die Rechtstexte formell annehmen, was bis spätestens Ende Juli 2026 erwartet wird. Nur wenn dieser Zeitplan eingehalten wird, tritt die neue Frist in Kraft, bevor die ursprüngliche August-Deadline abläuft. Bis dahin gilt rechtlich noch der alte Stand.
Für Unternehmen, die ihre Hochrisiko-KI-Projekte in den vergangenen Wochen bereits verlangsamt haben, bedeutet das konkret: Die politische Einigung schafft Planungssicherheit für Investitionsentscheidungen und Personalplanung, rechtliche Gewissheit jedoch erst nach der formalen Abstimmung. Unabhängig davon läuft eine Frist bereits: Wer KI-generierte Inhalte veröffentlicht, muss bis Dezember 2026 die Kennzeichnungspflicht erfüllen, also in weniger als sieben Monaten.
