top of page
Suche

AI-Act-Update: Mehr Zeit für High-Risk-Pflichten? Orientierung im Regelwerk kurz vor Jahresende


Futuristische Abbildung AI Act (Hintergrund von Brian Penny, Pixabay)

Die aktuell diskutierten AI-Act-Anpassungen verschieben zentrale High-Risk-Pflichten, reduzieren Bürokratie und stärken europäische Normen als Referenz. Unser Artikel beleuchtet, warum Life-Science-KMU zwar mehr Zeit gewinnen, aber gerade jetzt in Governance, Dokumentation und verantwortungsvolle Strategien investieren sollten, um künftig nicht unter Druck zu geraten.



Inhaltsverzeichnis





Zum Jahresausklang, während vielerorts die ersten Lichter angehen und der Betriebsalltag etwas ruhiger wirkt, kommt aus Brüssel eine Nachricht, die in der europäischen KI-Landschaft einiges in Bewegung bringt. Die „Digital-Omnibus-Verordnung“ der EU-Kommission stellt eine Reihe von Reformen in Aussicht, die zentrale Pflichten des AI Act verschieben und gleichzeitig vereinfachen sollen.

Für viele KMU könnte das eine Entlastung in einer Zeit sein, in der Innovation, Regulierung und Marktdruck ohnehin eng miteinander verwoben sind. Doch auch wenn der zeitliche Umsetzungsspielraum größer wird: Die strategischen Aufgaben bleiben.


1.     Flexiblerer zeitlicher Rahmen

Die High-Risk-Pflichten des AI Act, die insbesondere für KI-basierte Medizinprodukte, HR-Systeme, Kredit-Scoring sowie Anwendungen in der Strafverfolgung relevant sind, sollten ursprünglich ab dem 2. August 2026 gelten. Die Kommission schlägt nun ein flexibleres System vor, das stärker an den tatsächlichen Reifegrad sogenannter „technischer Standards“ anknüpft. Sobald ausreichende Normen und Werkzeuge verfügbar sind, beginnen gestaffelte Übergangsfristen:

  • 12 Monate für KI in Medizinprodukten (Anhang I)

  • 6 Monate für ausgewählte Anwendungen in HR, Kreditvergabe und Gesundheitswesen (Anhang III)


Unabhängig davon, ob diese Standards früher oder später erreicht werden, würden spätestens Dezember 2027 bzw. August 2028 verbindliche Endtermine gelten (sog. „Backstops“). Die Wirksamkeit der High-Risk-Pflichten wäre somit nicht mehr an einem fixen Stichtag gebunden (siehe August 2026 bzw. August 2027 für die vollständige Wirksamkeit der KI-VO), sondern an ein zeitlich flexibleres Zusammenspiel regulatorischer und technischer Entwicklungen.


Definitionen

Standards & Normen 

Vor allem harmonisierte europäische Normen, die die Anforderungen des AI Act in detaillierte technische Regeln und Prüfmethoden übersetzen.


Werkzeuge

Praktische Implementierungs-Hilfen: Guidelines, Checklisten, Online-Tools, Testumgebungen, Sandboxes, ggf. auch branchenspezifische Templates.


Was bedeutet das für KMU in der Praxis?

Wenn Sie als mittelständisches Unternehmen z. B. ein KI-basiertes Medizinprodukt entwickeln, könnte die Situation künftig wie folgt aussehen:

  1. Der AI Act setzt verschiedene Pflichten voraus: Risikomanagement, Datenqualität, Human Oversight, Logging, Post-Market Monitoring, etc.

  2. Eine harmonisierte Norm (z. B. eine künftige EN-Norm zu AI-Risikomanagement) gibt dann im Detail vor:


    – Wie häufig zu evaluieren ist,

    – Welche Nachweise im Audit vorzuweisen sind, – Welche Rollen, Dokumente, Prozeduren und Metriken einzuführen sind usw.

  3. Verschiedene „Werkzeuge“ helfen schließlich dabei:

    • Über den Compliance-Checker die Unternehmensplichten zu identifizieren.

    • Über EU-Leitlinien zu sehen, wie ernste Vorfälle berichtet werden müssen.

    • Über Test-Tools sein System unter Aufsicht einer Behörde zu prüfen usw.


2.     Weniger Bürokratie, mehr Erleichterung


Die Reformen verfolgen klar das Ziel, kleinen und mittleren Unternehmen mehr Planungssicherheit zu verschaffen und die administrativen Belastungen zu verringern. Vorgesehen sind u. a.:

  • vereinfachte Compliance-Pfade speziell für KMU

  • der Wegfall eines einheitlichen Post-Market-Monitoring-Plans

  • reduzierte Meldepflichten für Nicht-High-Risk-Systeme

  • eine zentrale Aufsicht für KI-Modelle im AI Office

Zudem sollen regulatorische Sandboxes erweitert werden, ab 2028 sogar EU-weit. Gerade für Life-Science-KMU eröffnet dies neue Möglichkeiten, Innovationen frühzeitig in einem regulierten Rahmen zu erproben und die eigene Entwicklungsstrategie präziser auf zukünftige Anforderungen auszurichten.

3.     Datenschutz, Cookies und Datenzugang

Mit der Digital-Omnibus-Verordnung, einem EU-Reformpaket zur Vereinheitlichung und Aktualisierung digitaler Rechtsrahmen, werden zentrale Vorgaben neu strukturiert (siehe Tabelle). Die folgenden Punkte zeigen die wichtigsten geplanten Änderungen wie modernisierte Datenschutzbegriffe, vereinfachte Cookie-Regeln und klarere Vorgaben für Datenzugang und IT-Sicherheit.


Datenschutz, ePrivacy und Datenzugang

An Änderungen vorgesehen sind hier u. a.: eine modernisierte Definition personenbezogener Daten, klarere Vorgaben für den Austausch pseudonymisierter Datensätze und ein präziseres Verständnis des „berechtigten Interesses“ für KI-Training und -Betrieb.

Cookies

Bei Cookies soll es unkomplizierter werden: One-Click-Ablehnung, zentrale Browser-Voreinstellungen und weniger Banner für reine Analyse-Cookies. Bußgelder orientieren sich am GDPR-Niveau.

Data Act

Beim Data Act sind Ausnahmen von Cloud-Wechselpflichten für KMU geplant, außerdem maßgeschneiderte Services. Die Registrierung von Datenintermediären und der Data-Altruism-Rahmen sollen verschlankt und staatliche Zugriffe auf Unternehmensdaten stärker auf echte Notlagen begrenzt werden.

IT- & Daten-sicherheit

Im Bereich IT- und Datensicherheit soll es künftig einen gemeinsamen Meldeweg für Sicherheitsvorfälle geben: anstatt vieler paralleler Pflichten aus unterschiedlichen EU-Regelwerken (z.B. Vorgaben zu Cybersicherheit, Datenschutz, Finanz-IT und EU-Digital-Identität; u.a. NIS2, DSGVO/GDPR, DORA, KRITIS-Regeln). Diesen einheitlichen Mechanismus soll die EU-Cybersicherheitsagentur ENISA betreiben.


4. Was diese Änderungen für KMU bedeuten würden

Wenn die Vorschläge der Kommission umgesetzt werden, verschafft dies KMUs klare Erleichterungen und einen größeren zeitlichen Spielraum. Dennoch, die zentralen „No-Regrets“-Maßnahmen bleiben trotz aller Modifikationsvorschläge unverändert:

  • klare Klassifikation der Systeme entlang der AI-Act-Risiko-Kategorien

  • Aufbau eines KI-fähigen Qualitäts- und Risikomanagements

  • Implementierung belastbarer Test-, Logging- und Dokumentationsprozesse

  • Schärfung von Datengovernance- und DSGVO-Strategien für sensible Gesundheitsdaten

Unternehmen, die diese Grundlagen frühzeitig professionalisieren, verschaffen sich nicht nur regulatorische Sicherheit, sondern stärken Vertrauen bei klinischen Partnern, Kostenträgern oder Investoren. Ein möglicher Aufschub kann so zur strategischen Vorwärtsbewegung werden und nicht nur eine reine Atempause.

Weihnachts- und Neujahrsgrüße 2026, KI-generiertes Bild


Wenn Ihnen dieser Artikel gefallen hat, freuen wir uns über Ihr Feedback in den Kommentaren. Teilen Sie Ihre Gedanken und lassen Sie uns wissen, wie wir Sie noch besser unterstützen können. Verpassen Sie außerdem nicht unsere nächste Veröffentlichung im neuen Jahr, die wie immer donnerstags und diesmal am 22. Januar erscheint.



Weitere nützliche Quellen:


Disclaimer:  Alle Angaben erfolgen nach bestem Wissen und Gewissen, jedoch ohne Gewähr für Vollständigkeit, Richtigkeit und Aktualität.




Das könnte Sie auch interessieren:


Futuristische Abbildung AI Act (Hintergrund von Brian Penny, Pixabay)

Kommentare

bottom of page