EU AI Act: Welche Frist gilt wann — und was der Digital Omnibus verschieben will

Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten und wird gestaffelt anwendbar (Art. 113). Vier Stufen: Seit dem 2. Februar 2025 gelten die verbotenen Praktiken (Art. 5) und die KI-Kompetenz-Pflicht (Art. 4). Seit dem 2. August 2025 gelten die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI, Kapitel V), die Governance-Struktur (KI-Büro, KI-Gremium) und die Sanktionsvorschriften ^[1].

Die beiden entscheidenden Daten für Finanzdienstleister stehen noch aus: Ab dem 2. August 2026 gilt der Großteil der Verordnung — einschließlich der Hochrisiko-Pflichten für die Anhang-III-Systeme und der Transparenzpflichten nach Art. 50. Ab dem 2. August 2027 folgen die Hochrisiko-Pflichten für KI, die ein Sicherheitsbauteil regulierter Produkte ist (Art. 6 Abs. 1, Anhang-I-Route), sowie die verlängerte Übergangsfrist für GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden (Art. 111 Abs. 3) ^[1].

Der Finanzsektor steht an zwei Stellen in Anhang III Nummer 5. Buchstabe b erfasst KI zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Bildung von Bonitäts-Scores — ausdrücklich ausgenommen ist KI zur Aufdeckung von Finanzbetrug. Buchstabe c erfasst KI zur Risikobewertung und Preisbildung gegenüber natürlichen Personen in der Lebens- und Krankenversicherung. Beides ist damit Hochrisiko mit den vollen Pflichten zu Daten-Governance, technischer Dokumentation, Protokollierung, Transparenz und menschlicher Aufsicht ^[1].

Es gibt einen Filter: Nach Art. 6 Abs. 3 ist ein Anhang-III-System nicht hochriskant, wenn es kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte birgt (etwa eine eng begrenzte Verfahrensaufgabe). Doch dieser Ausnahmetatbestand entfällt, sobald das System ein Profiling natürlicher Personen vornimmt — und genau das ist bei Kreditscoring und Versicherungs-Tarifierung der Regelfall. In der Praxis steht der Filter Finanzdienstleistern daher meist nicht offen; die Einstufung als Hochrisiko ist die realistische Annahme.

Die meisten Banken und Versicherer sind Betreiber, nicht Anbieter von KI-Modellen — die schweren GPAI-Pflichten treffen den Modell-Anbieter. Aber zwei Dinge fließen zu Ihnen zurück. Erstens muss der Anbieter seit dem 2. August 2025 nach Art. 53 technische Dokumentation und nachgelagerte Informationen (Anhang XII) bereitstellen — Unterlagen, die Sie für Ihre eigene Compliance-Akte aktiv einfordern sollten. Zweitens kann das Modell-Risiko in Ihren eigenen Anhang-III-Anwendungsfall durchschlagen, wenn Sie ein GPAI-Modell in ein Kreditscoring- oder Tarifierungs-System einbauen ^[1].

Hinzu kommt die Transparenzpflicht nach Art. 50 (anwendbar ab 2. August 2026): Wer ein KI-System betreibt, das mit Menschen interagiert (Chatbots) oder synthetische Inhalte erzeugt, muss offenlegen, dass es sich um KI handelt, und KI-generierte Inhalte maschinenlesbar kennzeichnen. Diese Pflicht greift auch dann, wenn Sie nur ein fremdes Modell per Schnittstelle einbinden — denn Sie sind der Anbieter bzw. Betreiber des konkreten Systems ^[1].

Hier liegt die wichtigste Nuance. Die Europäische Kommission hat am 19. November 2025 ein Vereinfachungspaket vorgeschlagen; der KI-spezifische Teil — der Digital Omnibus on AI (COM(2025) 836, Verfahren 2025/0359(COD)) — würde die Hochrisiko-Fristen verschieben: die Anhang-III-Systeme von 2. August 2026 auf den 2. Dezember 2027, die Anhang-I-Produkte von 2. August 2027 auf den 2. August 2028. Der ursprünglich erwogene Mechanismus, die Anwendung an die Verfügbarkeit harmonisierter Normen zu koppeln, wurde in den Verhandlungen zugunsten fester Kalenderdaten fallengelassen ^[2][3].

Entscheidend für die Planung: Dieser Aufschub ist noch nicht geltendes Recht. Stand 2. Juni 2026 gibt es eine vorläufige politische Einigung (Trilog Anfang Mai 2026, von den Mitgliedstaaten am 13. Mai 2026 im Ausschuss der Ständigen Vertreter bestätigt; die Befassung im Parlamentsausschuss läuft, die Plenarabstimmung wird für die Juni-/Juli-Sitzung erwartet) — aber keine verabschiedete Verordnung und keine Veröffentlichung im Amtsblatt. Solange der Omnibus nicht förmlich angenommen und veröffentlicht ist, bleibt der 2. August 2026 für die Anhang-III-Hochrisiko-Pflichten das geltende Datum ^[2].

Die nüchterne Konsequenz: Planen Sie bis auf Weiteres für den 2. August 2026. Wer die Vorbereitung der Anhang-III-Pflichten — Inventar der KI-Systeme, Risikoeinstufung, Daten-Governance, Dokumentation, menschliche Aufsicht — auf den vermeintlich sicheren Dezember 2027 schiebt, wettet auf einen Gesetzgebungsakt, der noch nicht beschlossen ist. Wird der Omnibus rechtzeitig verabschiedet, gewinnen Sie Luft; wird er es nicht, gilt August 2026 wie ursprünglich erlassen.

Genau das ist ein Horizon-Scanning-Problem: Der Status des Omnibus bewegt sich wöchentlich, die Kommission hat am 19. Mai 2026 Leitlinien zur Hochrisiko-Einstufung (Art. 6) veröffentlicht, und die harmonisierten Normen entstehen parallel. Wer die Verabschiedung am Tag der Veröffentlichung erkennt, die Friständerung korrekt einstuft und sie an die Modell-Governance und die Compliance-Funktion routet, plant auf Basis des geltenden Rechts statt auf Basis von Schlagzeilen — und genau dafür ist Horizon Scanner gebaut.