
foto magnific
- Die Fristverlängerung für Hochrisiko-KI-Systeme nach Anhang III auf den 2. Dezember 2027 verschafft Unternehmen mehr Zeit, ändert aber weder die Anforderungen noch das Sanktionsrisiko.
- Unternehmen sollten die zusätzlichen 16 Monate nicht als Aufschub, sondern als Umsetzungsfenster für belastbare KI-Governance, Risikomanagement und technische Nachweisfähigkeit nutzen.
- Die größten Herausforderungen liegen weniger in der Technologie als in Organisation, Verantwortlichkeiten, Datengovernance, Dokumentation und revisionssicheren Kontrollmechanismen.
- EU AI Act, DSGVO, NIS2 und DORA folgen einem ähnlichen Muster: Nach der Übergangsphase ist mit konsequenter Durchsetzung und hohen Bußgeldern zu rechnen.
- IT- und Compliance-Verantwortliche sollten sofort mit Systeminventar, Risikoklassifizierung, Datengovernance-Lückenanalyse und Konformitätsplanung beginnen, um bis Ende 2027 prüffähig zu sein.
Am 16. Juni 2026 hat das Europäische Parlament Änderungen zum EU AI Act verabschiedet. Darin verschiebt sich die Frist für die strengen Pflichten bei Hochrisiko-KI-Systeme nach Anhang III vom 2. August 2026 um 16 Monate auf den 2. Dezember 2027. In den Tagen danach kursierten viele Kommentare mit Varianten derselben Botschaft: »Sie haben mehr Zeit.« Diese Botschaft ist zwar technisch korrekt und doch strategisch gefährlich.
Die Grundanforderungen für Anhang-III-Systeme – also Risikomanagementsysteme, Datengovernance-Praktiken, Mechanismen zur menschlichen Aufsicht, technische Dokumentation und Prüfprotokolle – sind identisch mit dem, was sie am Tag vor der Abstimmung waren. Und auch die Bußgelder sind unverändert: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Was sich geändert hat, ist das Umsetzungsfenster. Was sich nicht geändert hat, ist der Maßstab. Für deutsche Unternehmen bedeutet das: Wer die Fristverlängerung als Atempause behandelt, wird im Dezember 2027 genau dort ankommen, wo er heute steht – nur mit weniger Handlungsspielraum und höherem Risiko.
Was sich konkret ändert
Die Abstimmung vom 16. Juni betraf drei spezifische Punkte:
- Erstens: Die Anhang-III-Frist für eigenständige Hochrisiko-KI-Systeme – biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, Kreditwürdigkeit, Strafverfolgung, Migration und Rechtspflege – wurde auf den 2. Dezember 2027 verschoben.
- Zweitens: KI-Systeme, die als Sicherheitskomponenten in Produkte eingebettet sind, die der EU-Harmonisierungsgesetzgebung unterliegen – beispielsweise Medizinprodukte oder Industriemaschinen – erhalten eine gesonderte Verlängerung bis zum 2. August 2028. Für Unternehmen in der Fertigungsindustrie oder im Medtech-Bereich handelt es sich um zwei getrennte Zeitpläne. Sie zu verwechseln ist eine Compliance-Lücke.
- Drittens: Ein neues Verbot für KI-gestützte Nudifier-Anwendungen tritt am 2. Dezember 2026 in Kraft – eine Frist, die sich nicht verschoben hat.
Die allgemeinen Transparenzpflichten für KI-Systeme blieben von den Verlängerungen unberührt und sind bereits in Kraft. Doch wie sind die aktuellen Änderungen einzuordnen? Die Fristenverlängerung ist keine Beschwichtigung. Sie ist als Ankündigung zu lesen. Die EU-Regulierer haben ihre Absicht bekundet, ab dem Moment des Inkrafttretens dieser neuen Fristen das Einhalten der Verordnung auch strikt durchzusetzen.
Ein bereits bekanntes Muster
Bei dieser Annahme kann man auf bekannte Muster zurückgreifen. Die DSGVO ist seit 2018 in Anwendung. Der Europäische Datenschutzausschuss hat bis 2025 mehr als 2.200 Bußgelder in Höhe von insgesamt 7,1 Milliarden Euro registriert – davon mehr als 1,2 Milliarden Euro allein im Jahr 2023 für KI-Datenverarbeitungsverstöße. Deutschland ist kein Beobachter dieser Entwicklung gewesen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzbehörden haben eine zunehmend aktive Durchsetzungspraxis entwickelt.
Auch NIS2 und DORA, die 2025 in deutsches Recht umgesetzt wurden, folgen demselben Muster: Einer Aufbauphase gefolgt von einer Durchsetzung, die ohne weitere Vorwarnung einsetzte. Jedes Unternehmen, das die Umsetzungsfristen als Planungshorizont behandelt hatte, anstatt als harte Stichtage, befindet sich heute im Aufholmodus.
Die Zeit läuft: Warum 16 Monate täuschen können
16 Monate wirken auf den ersten Blick lang. Doch eine Studie von EY in europäischen Märkten ergab, dass nur 18 Prozent der Unternehmen klar definierte Datengovernance-Verantwortlichkeiten für KI haben und nur 10 Prozent systematische Prozesse zur Aktualisierung von KI-Modellen besitzen [1]. Organisationen, die noch keine Governance-Verantwortung verteilt haben, stehen keinem technologischen Problem gegenüber. Sie haben ein organisatorisches – und Organisationsveränderungen brauchen Zeit.
Die systematische Evaluation, die die KI-Verordnung vorschreibt, erfordert dokumentierte Nachweise über Risikomanagemententscheidungen, die Qualität von Trainingsdaten, Mechanismen zur menschlichen Aufsicht sowie die technische Leistung gegenüber definierten Kriterien. Diese Dokumentation für Systeme aufzubauen, die bereits ohne sie laufen, dauert erheblich länger als der simultane Aufbau während der Implementierung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner technischen Richtlinie zur KI-Sicherheit darauf hingewiesen, dass KI-Systeme in kritischen Umgebungen nicht nur Policies, sondern technisch nachweisbare Kontrollmechanismen benötigen. Das deckt sich unmittelbar mit den Anforderungen der EU-KI-Verordnung: Protokollierung, Nachvollziehbarkeit und der Aufsichtsnachweis sind keine optionalen Ergänzungen. Sie sind Hauptbedingungen.
Anforderungen an die Architektur
Die Protokollierungs- und Dokumentationsanforderungen des EU AI Act sind Architekturanforderungen. Ein System, das keinen manipulationssicheren Nachweis darüber liefern kann, welche Daten es wann und unter welcher Richtlinie verarbeitet hat, ist kein konformes System mit fehlenden Unterlagen – es ist ein System, das neu gebaut werden muss.
Die KI-Verordnung und die DSGVO teilen erhebliche Governance-Infrastrukturanforderungen. Eine einheitliche Content-Governance, bei der jedes Datenobjekt, das ein KI-System betritt oder verlässt, klassifiziert, protokolliert und richtlinienkonform gesteuert wird, erfüllt gleichzeitig die Dokumentationsanforderungen des EU AI Act und die Rechenschaftspflichten der DSGVO aus einem einzigen Prüfprotokoll. Wer für beide getrennt baut, baut doppelt und prüft doppelt.
Der Vier-Stufen-Plan für IT-Verantwortliche
Fast anderthalb Jahre reichen aus, um ein belastbares Compliance-Programm aufzubauen – sofern die Reihenfolge stimmt:
- Schritt 1: Es muss sofort eine KI-Systembestandsaufnahme erfolgen: Jedes System muss identifiziert werden, das unter die Anhang-III-Kategorien fällt – einschließlich KI, die in Beschaffungs-, Einstellungs-, Kundenservice- und Betrugserkennungs-Tools eingebettet ist und möglicherweise nie formell als hochriskant klassifiziert wurde.
- Schritt 2: Innerhalb von 60 Tagen sollte eine Risikoklassifizierung vorgenommen werden: Jedes betroffene System muss anhand der Kriterien der Verordnung bewertet und die Klassifizierungsentscheidung dokumentiert werden. Die Entscheidung selbst ist Teil des erforderlichen Nachweises.
- Schritt 3. Es sollte eine Datengovernance-Lückenanalyse erstellt werden: Es muss erfasst werden, welche Daten jedes System verarbeitet. Zudem muss die bestehende Governance-Infrastruktur identifiziert und dokumentiert werden, wo sie fehlt.
- Schritt 4: Es sollte eine Konformitätsbewertungsplanung bis Ende Q3 2026 erstellt werden – so kann die Umsetzungsarbeit noch vor Jahresende beginnen.
Fazit: Wer jetzt handelt, sichert sich den Vorsprung
Der aktuelle Data Security and Compliance Risk Report von Kiteworks zeigt, dass die Konformität mit EU-Regulierungen 2026 ganz oben auf der Agenda der IT-Sicherheitsteams steht [2]. Daran ändert auch die Fristverlängerung nichts. Sie ist kein Freibrief für Untätigkeit, sondern ein großzügiges Umsetzungsfenster für nachhaltige Architekturinvestitionen. Im Dezember 2027 werden sich die Unternehmen durchsetzen, die das Thema Governance organisch gelöst haben. Alle anderen riskieren nicht nur empfindliche Bußgelder, sondern auch den technologischen Anschluss.
Marc ten Eikelder, Head of EMEA Marketing und Sr. Director of Industry Research bei Kiteworks
Marc ten Eikelder ist Head of EMEA Marketing und Senior Director of Industry Research bei Kiteworks und arbeitet seit über zehn Jahren an der Schnittstelle zwischen technischer Datensicherheits-Architektur, regulatorischer Compliance und Marktkommunikation in der DACH-Region.
[1] EY’s AI Governance, Risks and Compliance Survey 2025: https://www.ey.com/en_gl/newsroom/2025/06/ey-survey-ai-adoption-outpaces-governance-as-risk-awareness-among-the-c-suite-remains-low
[2] Kiteworks Data Security and Compliance Risk: 2026 Forecast Report: https://www.kiteworks.com/cybersecurity-risk-management/2026-data-security-forecast-ai-governance-predictions/
5045 Artikel zu „EU AI Act KI“
News | Digitale Transformation | Digitalisierung | Favoriten der Redaktion | Kommentar | Künstliche Intelligenz | Strategien
Von Knowledge Retail zu Impact Projects: Hochschulbildung neu denken im Zeitalter der KI
Management Summary Dringender Wandel in der Hochschulbildung: KI verändert die Anforderungen des Arbeitsmarktes grundlegend; statt reiner Wissensvermittlung zählt die Fähigkeit, mit KI wirkungsvolle Ergebnisse zu erzielen (AI Literacy, analytisches Denken, kreative Problemlösung). Traditionelle Hochschulen unter Druck: Viele Institutionen reagieren zu zögerlich mit halbherzigen Reformen. Lizenzierung digitaler Tools allein reicht nicht, wenn Prüfungsordnungen und Lehrformate vordigital…
News | Kommentar | Künstliche Intelligenz
Der EU AI Act: Regulieren wir KI zu Tode?
Ein Kommentar von Christoph Hohenberger, Co-CEO von Retorio Ein Gespenst geht um. Die Angst vor künstlicher Intelligenz und deren Auswirkungen befeuert den Ruf nach mehr Regulierung. Klar, dass die EU Vorreiter sein will, wenn es um Bürokratie und Vorschriften geht. Darin sind wir schließlich Weltmeister. In der zukunftsweisenden kerntechnologischen Entwicklung hinken wir dagegen hinterher. Als…
News | Favoriten der Redaktion | IT-Security | Künstliche Intelligenz | Strategien | Tipps
Den Abfluss sensibler Daten im KI-Zeitalter verhindern
Unbeabsichtigte Datenschutz- und Sicherheitsverletzungen durch Mitarbeiter stellen ein größeres Risiko dar als klassische Datendiebstähle durch böswillige Insider. Die Nutzung von KI-Tools erhöht die Gefahr des Datenabflusses, da sensible Informationen über Prompts, Uploads oder unkontrollierte Freigaben nach außen gelangen können. Wirksames Insider-Risikomanagement beginnt mit umfassender Data Discovery und Datenklassifizierung über alle Datenquellen und Kanäle hinweg. Unternehmen…
Trends 2026 | News | Trends Kommunikation | Kommunikation | Künstliche Intelligenz | New Work
KI-Assistenten etablieren sich als zweithäufigste Informationsquelle
39 Prozent der deutschen Online-Nutzer verwenden KI-Assistenten zur Informationssuche – Suchmaschinen weiterhin führend. Jüngere Generationen nutzen breiteres Spektrum an Kanälen. Künstliche Intelligenz verändert die Art und Weise, wie Menschen in Deutschland online nach Informationen suchen. Laut der aktuellen YouGov-Studie »Searching for answers: How AI is changing online discovery in 2026« haben sich KI-Assistenten und…
News | IT-Security | Kommunikation | Services
E-Mail-Sicherheit im Gesundheitswesen: Wenn eine Nachricht den Klinikbetrieb gefährdet
Management Summary E-Mail ist im Gesundheitswesen längst Teil der Versorgungskette – und damit ein geschäftskritischer Angriffsvektor für Kliniken, MVZ und Praxen. Gesundheitsdaten verlangen mehr als Standard-Schutz: Vertraulichkeit, Verfügbarkeit und nachvollziehbare Zugriffe müssen im Alltag zusammenspielen. Phishing, kompromittierte Postfächer und manipulierte Anhänge treffen auf Zeitdruck, Vertrauen und viele externe Kommunikationspartner – ideale Bedingungen für Angreifer. Wirksame…
News | IT-Security | Lösungen | Produktmeldung | Services
Neue Sicherheitslösung unterstützt FIDO2 und PKI für gesicherten logischen Zugriff
Die Infineon Technologies AG bringt SECORA ID Key S USB auf den Markt, eine auf Java Card basierende Lösung mit USB- und NFC-Konnektivität für gesicherte Authentifizierung und digitale Signaturen. Als erste für FIDO Level 3+ zertifizierte und CTAP 2.1-konforme Lösung ermöglicht der Authentifikator eine phishing-resistente, passwortlose Authentifizierung sowie Schutz vor aus der Ferne durchgeführten Softwareangriffen…
News | Business | Cloud Computing | Künstliche Intelligenz | Services | Strategien
Lokale KI-Assistenten: Der nächste Schritt zur souveränen, sicheren und effizienten Unternehmens-KI
Management Summary Lokale KI-Assistenten bieten Unternehmen eine strategische Alternative zu Cloud-basierten KI-Lösungen, indem sie Daten innerhalb der eigenen Infrastruktur verarbeiten und so Datensouveränität und Kontrolle stärken. Besonders für Organisationen mit sensiblen Daten oder regulatorischen Anforderungen schaffen lokale KI-Systeme klare Vorteile bei Datenschutz, Sicherheit und Compliance. Durch den Wegfall nutzungsabhängiger Cloud-Kosten und die Verlagerung auf planbare…
Ausgabe 5-6-2026 | News | Cloud Computing | Infrastruktur | Strategien
Regionale Rechenzentren – Die souveräne KI-Antwort für den deutschen Mittelstand
Die öffentliche Debatte über digitale Souveränität und KI pendelt zwischen Verheißung und Untergang. Zwischen Produktivitätssprüngen, neuen Geschäftsmodellen und Autonomie auf der einen und Know-how-Verlust, Abhängigkeit und Insolvenz auf der anderen Seite. Die Realität in Deutschland liegt in der Mitte: Die Lücke zwischen globalem Hyperscaler und eigenem Serverraum schließt eine Infrastrukturkategorie, die zur mittelständisch geprägten Wirtschaft passt: das regionale, souveräne Rechenzentrum.
News | Business | Digitalisierung | Favoriten der Redaktion | Kommentar | New Work | Strategien
Droht ein massiver Stellenabbau durch KI?
Management Summary Die Bonner Wirtschafts-Akademie warnt vor einem massiven Beschäftigungsabbau in Deutschland durch die gleichzeitige Wirkung von Energiekrise, KI-Einsatz und strukturellem Wandel. KI wird aus Sicht der BWA nicht nur Büroarbeitsplätze verändern, sondern über humanoide Roboter künftig auch industrielle Tätigkeiten zunehmend automatisieren. Internationale CEO-Befragungen deuten auf deutliche Personaleinschnitte hin; BWA-Geschäftsführer Harald Müller erwartet vergleichbare…
News | Business | Business Process Management | Künstliche Intelligenz | Strategien
KI in Hochschulprüfungen erlaubt – AI Literacy wird zur Grundkompetenz
Während über das Verbot von künstlicher Intelligenz an Hochschulen debattiert wird, hat Bayern eine Richtungsentscheidung getroffen und per Kabinettsbeschluss den Weg dafür freigemacht, die Nutzung von KI in Prüfungen künftig zuzulassen [1]. Dabei entscheidet weniger der Beschluss als die Frage, wie souverän Studierende mit der Technologie umgehen. Denn viele nutzen KI nicht nur, sondern setzen…
News | Business Process Management | Digitalisierung | Künstliche Intelligenz | Strategien
KI-Strategie: Warum Vibe-Coding bei Java keine gute Idee ist
Vibe Coding versprach die Demokratisierung der Softwareentwicklung. Für Prototypen mag das stimmen. Für Java-Systeme, die Banken, Krankenhäuser oder Behörden am Laufen halten, gilt das nicht. IT-Entscheider müssen das Fundament ihrer Unternehmens-IT schützen. Ein Kommentar von Simon Ritter*, Deputy CTO bei Azul Der Hype um Vibe Coding flaut ab – und die Schadensbilanz wird langsam…
Trends 2026 | News | Business Process Management | Digitalisierung | Trends Services | New Work | Services
KI-Code wird im Review gelobt – bis zum Go-live
Der »2026 State of AI Coding Report« von New Relic zeigt: KI-generierter Code wird im Moment der Überprüfung als qualitativ hochwertiger eingestuft und liefert messbar schlechtere Ergebnisse, sobald er in die Produktion gelangt. Der »2026 State of AI Coding Report« deckt einen zentralen Widerspruch der Vibe-Coding-Ära auf: Während beim Review 94 Prozent der befragten…
Ausgabe 5-6-2026 | News | Cloud Computing | Infrastruktur | Kommunikation
Internetknoten machen Europas Cloud-Landschaft souveräner – Mehr Souveränität, weniger Risiko
News | Favoriten der Redaktion | Infrastruktur | IT-Security | Strategien
FTC-Entscheidung bringt EU-US Data Privacy Framework unter Druck
Mit der aktuellen US-Entscheidung zur Unabhängigkeit der Federal Trade Commission wackelt eine zentrale Grundlage des EU-US Data Privacy Framework: die Annahme, dass Datenschutzverstöße in den USA unabhängig kontrolliert und überprüft werden können [1]. Damit wird aus einer vermeintlichen juristischen Detailfrage ein handfestes Risiko für Unternehmen, Behörden und Betreiber kritischer Infrastrukturen in Europa. Dazu sagt…
Ausgabe 5-6-2026 | News | Business | Cloud Computing | Strategien
Warum Souveränität zur letzten Verteidigungslinie der Unternehmens-IT wird – Die Zukunft gehört den Steuerungsfähigen
Lange galt die Cloud als Synonym für Effizienz, Tempo und technologische Überlegenheit. Doch diese Erzählung bricht auf. Im Zeitalter von KI, NIS2, DORA und geopolitischer Eskalation wird aus der Architekturfrage eine Machtfrage: Wer seine digitale Wertschöpfung nicht mehr selbst steuern kann, verliert nicht nur Kontrolle über Daten und Prozesse, sondern über die eigene strategische Handlungsfähigkeit. Genau deshalb ist Cloud-Souveränität heute kein IT-Thema mehr, sondern Vorstandssache.
Trends 2026 | News | Trends Security | Trends Kommunikation | Trends Services | Internet der Dinge | IT-Security | Kommunikation | Services
KI-Bots: Jede fünfte Webanfrage erfolgt mittlerweile automatisiert
KI-Bots verändern die Vorstellungen von guter Cybersicherheit. Bunny.net analysiert 42,5 Milliarden Anfragen und deckt auf, dass KI-Crawler mittlerweile mit Suchmaschinen konkurrieren und rekordverdächtige Angriffe auf Anwendungsebene verzeichnen. Jede fünfte Anfrage, die bei Websites eingeht, ist mittlerweile automatisiert, da KI-gestützte Bots, KI-Crawler und API-gesteuerter Datenverkehr die Art und Weise, wie Unternehmen mit dem Internet…
Ausgabe 5-6-2026 | News | Künstliche Intelligenz | Services | Strategien | Tipps
SaaS Management hilft die Kontrolle zurückzugewinnen – Schatten-KI ist die neue Schatten-IT
Schatten-KI entsteht, wenn Mitarbeitende KI-Tools eigenständig nutzen und dabei offizielle IT-Prozesse umgehen. Das erschwert den Überblick und erhöht Risiken bei Kosten, Datenschutz und Compliance. Mit KI-Discovery, intelligenter Klassifizierung und risikobasierten Richtlinien schaffen Sie Transparenz und klare Verantwortlichkeiten. Integrieren Sie KI-Anwendungen in Ihr SaaS-Management und steuern Sie deren gesamten Lebenszyklus. So behalten Sie Kosten, Sicherheit und Datenschutz jederzeit im Griff.
Ausgabe 5-6-2026 | News | Business | Künstliche Intelligenz | Strategien
KI im Finanzwesen – Wie der »neue« CFO aktiv mitgestaltet
Rund die Hälfte der deutschen Unternehmen hat Standardaufgaben im Finanzwesen mit KI bereits automatisiert oder ist gerade dabei. Künstliche Intelligenz soll aber nicht nur Prozesse optimieren. Sie soll vielmehr helfen, Chancen und Risiken schneller zu ermitteln. Welche neuen Fähigkeiten Finanzteams dafür jetzt brauchen und wie sich die Rolle des CFOs verändert, beschreibt Oliver Rauschil, Senior Director Digital Sales bei Quadient, im Gespräch mit »manage it«.
Ausgabe 5-6-2026 | News | Business Process Management | Geschäftsprozesse | Künstliche Intelligenz | E-Government
Der Schlüssel zu souveräner und vertrauenswürdiger KI in der öffentlichen Verwaltung – Confidential AI
Künstliche Intelligenz verspricht der öffentlichen Verwaltung mehr Effizienz, schnellere Auswertungen und besseren Zugang zu komplexen Wissensbeständen. Doch je sensibler die verarbeiteten Daten sind, desto drängender wird die Frage, wie sich Datenschutz, Sicherheit und digitale Souveränität beim Einsatz moderner KI-Systeme gewährleisten lassen. Confidential AI zeigt, wie Behörden die Potenziale generativer KI nutzen können, ohne die Kontrolle über kritische Informationen aus der Hand zu geben.
Trends 2026 | News | Trends Kommunikation | Trends Services | Kommunikation | Künstliche Intelligenz
Firmen setzen bei KI im Contact Center auf Konsolidierung statt Wildwuchs
Governance, Datensouveränität und Skalierbarkeit wichtiger als einzelne KI-Modelle. Nach Jahren rasanter Innovation bei künstlicher Intelligenz zeichnet sich im Markt für Contact-Center-Technologien ein deutlicher Strategiewechsel ab: Unternehmen verabschieden sich zunehmend von einer Vielzahl isolierter KI-Werkzeuge und setzen stattdessen auf integrierte Plattformen. Zu diesem Ergebnis kommt eine aktuelle Analyse der Schweizer Spitch AG, die eine hochskalierbare…
