Demo anfordern
Vertrieb kontaktieren
Suchbegriff
Suchbegriff
Demo anfordern
Vertrieb kontaktieren

On-demand-Webinar kommt bald...

On-demand-Webinar kommt bald...

Blog

EU AI Act Update: Was sich ändert und was bleibt

21. Dezember 2025

EU flag flying in front of a government building

Inhalte

Wichtige Erkenntnisse

  • Der Fokus aktueller Vorschläge und regulatorischer Diskussionen liegt auf der Umsetzung des EU AI Act und nicht auf dessen Anwendung.
  • Änderungen des Zeitplans beeinflussen weder den risikobasierten Rahmen noch die Erwartungen hinsichtlich der Rechenschaftspflicht.
  • Unternehmen, die auf endgültige Leitlinien warten, laufen Gefahr, Fristen zu verpassen und Compliance nur reaktiv umzusetzen.
  • Am besten vorbereitet ist, wer eine vernetzte, wiederholbare KI-Governance etabliert hat, die die Bereiche Datenschutz, Risiken, Sicherheit und die Kontrolle von Drittparteien umfasst.

 

Aktuelle News zum EU AI Act

Wenn Sie die Entwicklungen rund um den EU AI Act verfolgen, ist Ihnen möglicherweise aufgefallen, dass in den letzten Monaten zahlreiche Updates, Kommentare und Einschätzungen dazu veröffentlicht wurden. Ein Großteil dieser Aufmerksamkeit gilt der Frage, wie die Europäische Union das Gesetz in der Praxis umsetzen und durchsetzen will.

Getrieben werden die aktuellen Diskussionen vor allem durch die Bemühungen der Europäischen Kommission, die digitale Regulierung der EU zu vereinheitlichen und zu vereinfachen – ein Ansatz, der unter dem Begriff Digital Omnibus bekannt ist.

Die Vorschläge zielen darauf ab, unnötige Komplexität zu reduzieren, mehr Konsistenz zwischen den Mitgliedstaaten zu schaffen und die Durchsetzung stärker an verfügbaren Standards, Leitlinien und Aufsichtskapazitäten auszurichten. Damit rückt neben der theoretischen Compliance zunehmend die operative Governance in den Mittelpunkt, also die Frage, wie Unternehmen im Alltag mit KI-Risiken, Verantwortlichkeiten und Nachweisen umgehen.

In der Praxis bedeutet dies, dass einige Aspekte der Umsetzung des AI Act im Laufe der Zeit angepasst oder präzisiert werden können. Dabei sind bestimmte Verpflichtungen eher an die Reife des gesamten Compliance-Ökosystems als an feste Termine gebunden.

Für Unternehmen verschiebt sich die Herausforderung somit von der Verfolgung einzelner Updates hin zur Aufrechterhaltung einer kontinuierlichen Bereitschaft, die mit den sich wandelnden Anforderungen Schritt hält.

OneTrust ermöglicht es Ihnen, KI-Governance gemeinsam mit Datenschutz, Risiken und Sicherheit auf einer zentralen Plattform zu verwalten. So kann sich Ihr Unternehmen mühelos an neue Leitlinien anpassen, ohne bei jeder Änderung der Durchsetzungsvorgaben Arbeitsabläufe oder Nachweise erneut erstellen zu müssen.

Es ist wichtig, zu unterscheiden, was die aktuellen Vorschläge bereits klar erkennen lassen und was sich noch in der Weiterentwicklung befindet:

  • Bereiche, in denen die Richtung bereits klar erkennbar ist, etwa ein schrittweiser Umsetzungsansatz sowie eine engere Abstimmung mit unterstützenden Standards und Leitlinien
  • Bereiche, die sich noch in der Entwicklung befinden, darunter detaillierte Leitlinien, Durchsetzungspraktiken und Aufsichtserwartungen auf Ebene der Mitgliedstaaten

Die Vorschläge beziehen sich nicht auf den Gesetzestext des AI Act. Vielmehr zeigen sie das Bestreben, dessen Durchsetzung in einer komplexen und sich schnell entwickelnden Technologielandschaft praxistauglicher zu gestalten.

Was vorgeschlagen wird  

Die jüngsten Vorschläge zum EU AI Act beziehen sich vor allem auf Zeitpläne, die praktische Umsetzung und Leitlinien. Inhaltliche Änderungen des Gesetzes selbst werden jedoch nicht thematisiert.

Anpassungen der Zeitpläne und Einführungsmechanismen 

Im Rahmen der Diskussionen zum Digital Omnibus wurden Vorschläge zur Anpassung der Art und Weise sowie des Zeitpunkts der Anwendung bestimmter Verpflichtungen aus dem AI Act gemacht, insbesondere für komplexere oder risikoreichere Anwendungsfälle. In einigen Fällen kann die Durchsetzung an die Verfügbarkeit harmonisierter Standards, technischer Spezifikationen oder offizieller Leitlinien geknüpft sein.

Dies bringt für Unternehmen sowohl Flexibilität als auch Unsicherheit mit sich.  

Wenn Verpflichtungen an Meilensteine der Reife statt an feste Termine geknüpft sind, besteht das Risiko, dass Unternehmen, die abwarten, weniger Zeit als erwartet haben, sobald die Anforderungen in Kraft treten.

Klarstellungen zu Hochrisiko-KI und Aufsicht 

Hochrisiko-KI-Systeme stehen weiterhin im Mittelpunkt. Jüngste Updates und Stellungnahmen betonen die Bedeutung klarer Leitlinien in Bezug auf Dokumentation, Risikomanagement, menschliche Aufsicht und Überwachung nach dem Inverkehrbringen. Diese Klarstellungen sollen Unternehmen dabei unterstützen, die Anforderungen einheitlich anzuwenden, ohne dabei die Messlatte des Gesetzes zu senken.

Warum die Vorschläge eingebracht wurden 

Die Anpassungen spiegeln die praktischen Gegebenheiten wider:

  • Normungsgremien und Aufsichtsbehörden benötigen Zeit, um Leitlinien vollständig auszuarbeiten
  • Unternehmen benötigen Klarheit, um Maßnahmen korrekt und einheitlich umsetzen zu können
  • Regulierungsbehörden wollen sicherstellen, dass die Durchsetzung im gesamten EU-Raum glaubwürdig und konsistent erfolgt 

Kurz gesagt: Die EU konzentriert sich darauf, wie Compliance umgesetzt wird – nicht darauf, ob sie überhaupt umgesetzt wird.

Was sich nicht geändert hat 

Auch wenn sich Zeitpläne und Leitlinien ändern können, bleiben die zentralen Grundsätze des AI Act bestehen. Genau hier unterschätzen viele Unternehmen oft, worauf es wirklich ankommt.

Der risikobasierte Ansatz bleibt bestehen 

Der AI Act basiert weiterhin auf einem risikobasierten Rahmen. Die Pflichten richten sich danach, wie und wo KI eingesetzt wird. Dies gilt insbesondere dann, wenn Systeme die Rechte, die Sicherheit oder den Zugang zu wesentlichen Dienstleistungen beeinflussen.

Von Unternehmen wird weiterhin erwartet, dass sie Folgendes verstehen: 

  • welche KI-Systeme sie einsetzen oder bereitstellen
  • wie diese Systeme verwendet und integriert werden 
  • welches Risikopotenzial sie bergen

Die Verantwortung bleibt bei den Unternehmen 

Anbieter und Betreiber bleiben für die Einhaltung der Vorgaben verantwortlich.Die Verantwortung liegt auch künftig bei den Unternehmen selbst und nicht bei den Aufsichtsbehörden oder Lieferanten. Unternehmen müssen nachweisen können, dass ihre Governance funktioniert und wirksam umgesetzt wird.

Nachweisbare Governance ist nach wie vor erforderlich 

Richtlinien allein reichen nicht aus. Unternehmen müssen Folgendes nachweisen können:

  • Risiko- und Folgenabschätzungen
  • dokumentierte Entscheidungen und Genehmigungen
  • laufende Überwachung und Kontrolle 
  • klare Zuständigkeiten und Eskalationswege

Die breite Anwendbarkeit über Grenzen und Branchen hinweg bleibt bestehen 

Der AI Act gilt nach wie vor industrie- und grenzübergreifend. Er betrifft multinationale Unternehmen, europäische Tochtergesellschaften und globale Anbieter mit EU-Nutzern gleichermaßen.

In diesem Kontext erweist sich eine Plattform wie  OneTrust  als entscheidend. Sie bietet einen soliden Rahmen für klare Governance-Erwartungen, selbst wenn sich die Details der praktischen Umsetzung weiterentwickeln. Unternehmen erhalten damit eine zentrale, vernetzte Lösung, um Nachweise, Arbeitsabläufe und Aufsicht effizient zu steuern, anstatt auf voneinander getrennte Tools und improvisierte Prozesse angewiesen zu sein.

Warum das für Führungskräfte wichtig ist

Es geht nicht nur um rechtliche Fragen. Ebenso wichtig ist das zugrunde liegende Betriebsmodell, denn es bestimmt, wie ein Unternehmen KI plant, entwickelt und skaliert.

KI-Systeme sind selten in nur einer einzigen Abteilung verankert. In der Regel werden sie von mehreren Teams entworfen, trainiert, implementiert und überwacht – oft über verschiedene Regionen und Berichtslinien hinweg. In der Praxis berührt KI viele Unternehmensbereiche:

  • Produkt- und Engineering-Teams entwickeln KI-gestützte Funktionen und setzen sie ein
  • Datenteams trainieren, testen und pflegen die Modelle
  • Sicherheitsteams steuern Zugriff, Überwachung und Incident Response
  • Datenschutz- und Risikoteams bewerten Auswirkungen, Anforderungen und Compliance-Pflichten
  • Beschaffungsteams sind für das Management externer KI-Anbieter und zugehöriger Tools verantwortlich

Für Führungskräfte ergibt sich daraus eine Herausforderung, die sich nicht allein durch rechtliche Updates lösen lässt.

Bei fragmentierten Zuständigkeiten ist oft unklar, wer wirklich in der Pflicht steht. Entscheidungen werden in Silos getroffen, Nachweise liegen in unterschiedlichen Systemen und es fehlt eine unternehmensweite Übersicht über KI-Risiken. 

Diese Fragmentierung erhöht das Risiko, wenn Führungskräfte auf eine vermeintlich „endgültige Klarheit“ warten:

  • Governance erfolgt reaktiv statt vorausschauend
  • Teams geraten unter Zeitdruck und müssen sich hastig abstimmen
  • Dokumentation und Nachweisführung müssen im Nachhinein neu aufgebaut werden 
  • regionale Teams spüren die Auswirkungen zuerst – oft ohne passende Tools oder Leitlinien für ein einheitliches Vorgehen

Die jüngsten Entwicklungen rund um den EU AI Act zeigen deutlich, dass nicht alle Unternehmen gleichermaßen von regulatorischer Unsicherheit betroffen sind. Unternehmen mit fragmentierter Governance haben Mühe, Schritt zu halten, während Unternehmen mit vernetzter Aufsicht und klaren Verantwortlichkeiten sich problemlos an neue Anforderungen anpassen können.

Für Führungskräfte stellt sich somit nicht mehr die Frage, ob KI-Governance durchgesetzt wird, sondern ob das eigene Unternehmen dafür ausreichend strukturiert ist. 

Immer deutlicher zeigt sich, dass informelle Abstimmungen und isolierte Tools dafür nicht ausreichen. Gefragt ist ein einheitlicher Governance-Ansatz, der KI, Datenschutz, Risiken, Sicherheit und die Kontrolle von Drittparteien in einem zentralen System zusammenführt – genau das Betriebsmodell, das Plattformen wie Onetrust unterstützen.

Was Führungskräfte jetzt tun sollten

Es geht nicht darum, die Anforderungen des AI Act vorzeitig vollständig zu erfüllen, sondern vielmehr darum, die richtigen Grundlagen zu schaffen.

1. Verankern Sie KI-Governance als Teil Ihrer übergreifenden Risiko-Governance

KI sollte nicht isoliert betrachtet werden. Die Governance sollte mit bestehenden Risiko-, Datenschutz- und Sicherheitsprogrammen verknüpft werden, um eine gemeinsame Nutzung von Kontrollen und Nachweisen zu ermöglichen.

2. Verbinden Sie die KI-Aufsicht eng mit Datenschutz, Datenmanagement und Sicherheit

Viele KI‑Verpflichtungen beruhen auf denselben grundlegenden Kontrollen wie die DSGVO und gängige Sicherheitsrahmenwerke. Durch eine enge Abstimmung dieser Bereiche wird Doppelarbeit reduziert und potenzielle Lücken werden geschlossen.

3. Etablieren Sie wiederholbare und prüfbare Prozesse

Ein häufiger Fehler bei der KI-Governance ist die Betrachtung jeder Bewertung als einmalige Angelegenheit. Dadurch werden die Teams ausgebremst und es wird schwieriger, eine konsistente und überprüfbare Compliance über einen längeren Zeitraum hinweg nachzuweisen.

  • Inventarisierung und Klassifizierung der KI‑Systeme
  • Risiko‑ und Folgenabschätzungen
  • Überprüfung und Genehmigung
  • Überwachung und regelmäßige Neubewertung

 

4. Bereiten Sie sich auf Audits und sich weiterentwickelnde Durchsetzungsmaßnahmen vor

Die Frage der Aufsichtsbehörden wird nicht lauten: „Haben Sie eine Richtlinie?”, sondern: „Können Sie zeigen, wie Ihre Governance in der Praxis funktioniert?”

Genau hier entfalten Plattformen wie OneTrust ihren Mehrwert. Sie unterstützen Unternehmen dabei, KI-, Datenschutz-, Risiko- und Third-Party-Governance über vernetzte Workflows und gemeinsame Nachweise statt durch manuelle Koordination zu steuern.

Die strategische Erkenntnis 

Der AI Act wird sich weiterentwickeln. Leitlinien werden präziser, Standards werden finalisiert und die Durchsetzungspraxis wird mit der Zeit klarere Formen annehmen. Diese Phase des Wandels ist keine Ausnahme, sondern spiegelt voraussichtlich die zukünftige Funktionsweise der KI-Regulierung in Europa wider.

In einem solchen Umfeld sind Unternehmen im Vorteil, die sich an neue Erwartungen anpassen können, ohne jedes Mal ihre Governance-Programme von Grund auf vollständig neu aufzubauen. Unternehmen, die auf eine einheitliche Governance setzen, können Updates mit deutlich weniger Reibungsverlusten umsetzen, da Aufsicht, Nachweise und Verantwortlichkeiten bereits miteinander verknüpft sind. Unternehmen, die auf Tabellenkalkulationen, Insellösungen oder informelle Abstimmungen angewiesen sind, stoßen dagegen schnell an ihre Grenzen – insbesondere, wenn die Anforderungen zusammenwachsen und enger werden.

Der eigentliche Wettbewerbsvorteil entsteht nicht allein durch die rechtliche Auslegung.

Er wird sich aus der operativen Reife ergeben, also der Fähigkeit, jederzeit nachzuweisen, wie KI-Systeme in der Praxis über Teams, Regionen und Risikobereiche hinweg gesteuert werden.

Plattformen wie OneTrust  wurden genau dafür entwickelt. Sie unterstützen Unternehmen dabei, KI-Governance als integrierten Bestandteil eines umfassenden, vernetzten Risiko- und Compliance-Programms umzusetzen.

Erfahren Sie, wie ein einheitlicher Governance-Ansatz Ihr Unternehmen auf den EU AI Act vorbereiten und Sie beim Umgang mit sich weiterentwickelnden Anforderungen unterstützen kann.

Fordern Sie noch heute eine Demo an!


Häufig gestellte Fragen

In den jüngsten Meldungen zum AI Act stehen Details der Umsetzung im Mittelpunkt. Beispielsweise wird über die schrittweise Einführung, die Ausarbeitung von Leitlinien sowie Vorschläge zur Vereinfachung der Durchsetzung im Rahmen der breiteren digitalen Harmonisierung innerhalb der EU berichtet.

Einige Aspekte der praktischen Umsetzung können sich verschieben, insbesondere bei komplexen oder risikoreichen KI-Systemen. Der AI Act selbst bleibt jedoch in Kraft und seine zentralen Anforderungen haben sich nicht geändert.

In den jüngsten Vorschlägen zum AI Act sowie in den regulatorischen Diskussionen stehen vor allem Fragen der praktischen Umsetzung im Vordergrund. Dabei geht es beispielsweise um Zeitpläne, Leitlinien und Durchsetzungsmechanismen. Änderungen am zugrunde liegenden risikobasierten Rahmen oder an den Anforderungen an die Rechenschaftspflicht sind kein Thema.

Unternehmen müssen ihre KI-Systeme verstehen, Risiken bewerten, Entscheidungen dokumentieren und eine fortlaufende Governance in Bezug auf KI, Datenschutz, Sicherheit und Risiken nachweisen.

Es gilt, eine vernetzte Grundlage für KI-Governance zu schaffen. Dazu müssen KI-Systeme inventarisiert, Zuständigkeiten festgelegt und wiederholbare Bewertungsverfahren etabliert werden. Zudem muss die KI-Aufsicht eng mit bestehenden Risiko- und Datenschutzprogrammen abgestimmt werden.

Das könnte Sie auch interessieren

Photo of abstract architecture behind a purple overlay with a play button

KI-Governance erfolgreich umsetzen: Praktische Einblicke und Tools

AI Governance
On-Demand
Illustration of a report atop a multi gradient blue background

KI-ready Governance: Der Bericht 2025

AI Governance
Bericht
Photo of abstract architecture behind a orange overlay with a play button

AI-Governance aus neuer Perspektive: Worauf Auditoren beim Thema AI achten und wie Unternehmen sich am effizientesten vorbereiten

AI Governance
Webinar

Top-Suchanfragen

Ressourcen

Plattform

Unternehmen

Kontakt

Der Schutz Ihrer Daten ist uns wichtig

In unserem Datenschutz-Center erfahren Sie, wie wir Ihre Daten erfassen und nutzen.

Wie wir Ihre Daten schützen

Wir informieren Sie stets über Ihre Rechte, wenn wir personenbezogene Daten erfassen, und geben Ihnen die Kontrolle über deren Nutzung. Sie entscheiden, welche Daten Sie mit uns und unseren Partnern teilen möchten, wann immer dies möglich ist.

© {{CURRENT_DATE}} OneTrust, LLC. Alle Rechte vorbehalten.

On-demand-Webinar kommt bald...

Unsere Richtlinien

Ihre Rechte