Wer in den vergangenen Wochen die Schlagzeilen las, konnte den Eindruck gewinnen, der EU AI Act – die Verordnung über Künstliche Intelligenz – sei in einem zentralen Teil ausgesetzt. Am 7. Mai 2026 erzielten Ratspräsidentschaft und Europäisches Parlament eine vorläufige politische Einigung zum sogenannten Digital Omnibus on AI. Kern der Verständigung: Die Pflichten für bestimmte Hochrisiko-KI-Systeme werden vom 2. August 2026 auf den 2. Dezember 2027 verschoben. Für Banken und Versicherer ist das eine relevante Nachricht. Aber sie ist enger gefasst und vorläufiger, als die Überschriften vermuten lassen.

Die für Risiko- und Compliance-Verantwortliche entscheidende Frage lautet nicht „Ist die Frist weg?", sondern „Welche Frist genau, für welche Systeme, und ab wann gilt das überhaupt?". Genau hier lohnt die Präzision. Denn der Aufschub betrifft längst nicht alle Pflichten, er differenziert zwischen zwei Kategorien von Hochrisiko-Systemen, und er ist zum jetzigen Stand rechtlich noch nicht bindend. Wer aus der vorläufigen Einigung ein „erst einmal nichts tun" ableitet, optimiert auf die falsche Größe.

In Kürze

Was: Vorläufige politische Einigung vom 7. Mai 2026 zum Digital Omnibus on AI (Teil des Omnibus-VII-Simplification-Pakets) – Verschiebung der Hochrisiko-Pflichten des EU AI Act

Annex III (eigenständige Hochrisiko-Systeme): Frist verschoben vom 2. August 2026 auf den 2. Dezember 2027, also um 16 Monate

Annex I (eingebettet in regulierte Produkte): separat verschoben auf den 2. August 2028, also um 12 Monate

Nicht verschoben: Verbote (Artikel 5), Transparenzpflichten (Artikel 50) und die KI-Kompetenzpflicht (Artikel 4) gelten unverändert ab dem 2. August 2026; die Wasserzeichenpflicht für generative KI ab dem 2. Dezember 2026

Caveat: Die Einigung ist noch nicht rechtskräftig – formale Abstimmungen in Parlament und Rat sowie die Veröffentlichung im EU-Amtsblatt stehen aus (erwartet für Juni oder Juli 2026)

Was der 7. Mai 2026 wirklich bedeutet – und was noch nicht gilt

Beginnen wir mit dem, was tatsächlich vereinbart wurde. Die Verständigung vom 7. Mai ist Teil des Digital Omnibus on AI, der wiederum im Omnibus-VII-Simplification-Paket der Europäischen Kommission verortet ist. Sie verschiebt den Geltungsbeginn der Pflichten für eigenständige Hochrisiko-Systeme nach Anhang III (Annex III) des EU AI Act vom 2. August 2026 auf den 2. Dezember 2027. Das sind 16 zusätzliche Monate für jene Systeme, die für Finanzinstitute am unmittelbarsten relevant sind, dazu gleich mehr.

Entscheidend ist der Status dieser Einigung. Es handelt sich um eine vorläufige politische Verständigung, im Brüsseler Sprachgebrauch ein „provisional agreement". Sie ist noch nicht rechtskräftig. Bevor die neue Frist gilt, müssen das Europäische Parlament und der Rat der Europäischen Union formal abstimmen, und der Text muss im Amtsblatt der EU veröffentlicht werden. Erwartet wird das für Juni oder Juli 2026. Bis zur Veröffentlichung gilt formaljuristisch weiter die alte Frist 2. August 2026. Das ist keine Spitzfindigkeit für Juristen, sondern ein operatives Risiko: Wer Projektpläne und Budgets allein auf die Pressemitteilung stützt, baut auf einem Stand, der sich im Trilog noch verschieben kann.

Council presidency and European Parliament negotiators reached a provisional agreement on a proposal to streamline certain rules regarding artificial intelligence (AI). Rat der Europäischen Union, Pressemitteilung, 7. Mai 2026

Die Formulierung des Rates ist bewusst zurückhaltend: „provisional agreement" und „proposal to streamline" – also vorläufige Verständigung über einen Vorschlag zur Vereinfachung. Es ist die Sprache eines Zwischenschritts, nicht eines abgeschlossenen Gesetzgebungsverfahrens. Genau diese Nuance geht in der Berichterstattung regelmäßig verloren.

Welche Finanzsysteme betroffen sind – und welche nicht

Für ein Finanzinstitut ist die erste Pflichtfrage, ob die eigenen KI-Systeme überhaupt unter Annex III fallen. Der EU AI Act benennt hier zwei finanznahe Anwendungsfälle ausdrücklich, und beide sind enger gefasst, als oft angenommen wird.

Erstens: KI zur Bewertung der Kreditwürdigkeit natürlicher Personen, also klassisches Credit Scoring. Dies ist der praktisch wichtigste Hochrisiko-Fall für Banken. Wichtig ist die Ausnahme: Reine Betrugserkennung ist nach dem Verordnungstext nicht als Hochrisiko eingestuft. Ein System, das ausschließlich Zahlungsbetrug detektiert, fällt also nicht automatisch in dieselbe Kategorie wie ein System, das über die Kreditvergabe an einen Verbraucher mitentscheidet. Diese Trennlinie sauber zu ziehen, ist die Voraussetzung jeder belastbaren Klassifizierung.

Zweitens: KI zur Risikobewertung und Preissetzung bei natürlichen Personen, allerdings ausdrücklich nur in der Lebens- und Krankenversicherung. Sach-, Kfz-, Gewerbe- und Rückversicherung sind hier nicht erfasst. Ein Versicherer, der KI im Pricing einsetzt, muss also genau prüfen, welche Sparte betroffen ist – die Hochrisiko-Einstufung greift nicht pauschal für jedes versicherungstechnische Modell, sondern nur für den klar abgegrenzten Personenbereich der Lebens- und Krankenversicherung.

Der Aufschub differenziert zudem zwischen zwei Anhängen. Annex-III-Systeme sind eigenständige Hochrisiko-Anwendungen, etwa ein dediziertes Scoring-Modell. Für sie gilt die neue Frist 2. Dezember 2027. Annex-I-Systeme sind solche, die in bereits anderweitig regulierte Produkte eingebettet sind; sie werden separat auf den 2. August 2028 verschoben, also um zwölf statt sechzehn Monate. Wer pauschal von „16 Monaten Aufschub" spricht, übersieht diese Differenzierung. Für die Finanzbranche dominiert in der Praxis Annex III, doch die Unterscheidung gehört in jede saubere Risikobetrachtung.

Der Aufschub verschiebt einen Stichtag. Er verschiebt nicht die Frage, ob ein Institut weiß, welche seiner KI-Systeme überhaupt unter den Hochrisiko-Begriff fallen. Christian Schablitzki, the agentic banker

Was der Aufschub kauft – und was nicht

Hier liegt der eigentliche Kern für Risiko- und Compliance-Verantwortliche. Der Aufschub kauft Zeit für die Konformitätsbewertung der Hochrisiko-Systeme – die technische Dokumentation, das Risikomanagementsystem, die menschliche Aufsicht, die Konformitätserklärung. Diese aufwendigen Pflichten greifen für Annex-III-Systeme erst ab Dezember 2027. Das ist eine echte Entlastung, gerade für Institute, die mit der Klassifizierung und Dokumentation ihrer Modelle noch nicht durch sind.

Was der Aufschub aber ausdrücklich nicht kauft, ist eine Pause bei den Pflichten, die nicht verschoben wurden. Drei davon gelten unverändert ab dem 2. August 2026. Die Verbote bestimmter KI-Praktiken nach Artikel 5 bleiben in Kraft. Die Transparenzpflichten nach Artikel 50 – etwa die Kennzeichnung, dass ein Mensch mit einem KI-System interagiert – gelten weiter. Und die KI-Kompetenzpflicht nach Artikel 4, die von Anbietern und Betreibern ein angemessenes Maß an KI-Kompetenz beim Personal verlangt, bleibt ebenfalls bestehen. Hinzu kommt die Wasserzeichenpflicht für generative KI ab dem 2. Dezember 2026. Ein Institut, das diese vier Bereiche unter Verweis auf den Annex-III-Aufschub ignoriert, missversteht die Einigung grundlegend.

Eine zweite Fehlannahme betrifft die Rollenverteilung. Der EU AI Act unterscheidet zwischen Anbieter (Provider) und Betreiber (Deployer). Ein Institut, das ein KI-System einsetzt, ist Betreiber – und Betreiber können ihre Verantwortung nicht an den Anbieter delegieren. Wer als Anbieter und Betreiber zugleich auftritt, also intern entwickelte Modelle selbst einsetzt, trägt beide Pflichtenlasten. Diese Verantwortung verschwindet nicht durch den Aufschub, sie verschiebt sich lediglich im Zeitpunkt ihrer vollen Wirksamkeit für die eigentlichen Hochrisiko-Anforderungen.

Besonders relevant ist Artikel 27. Er verlangt von Betreibern im Kredit- und Versicherungsbereich eine Grundrechtefolgenabschätzung (Fundamental Rights Impact Assessment) und deren Meldung an die zuständige nationale Aufsicht. Diese Pflicht ist nicht delegierbar – kein externer Dienstleister kann sie für ein Institut übernehmen. Sie ist eine Betreiberpflicht im eigentlichen Sinne und gehört zu den Arbeiten, die ein Institut unabhängig vom Hochrisiko-Stichtag frühzeitig vorbereiten sollte.

Was Institute jetzt konkret tun sollten

Aus der vorläufigen Einigung lassen sich vier Maßnahmen ableiten, die nach Zeithorizont gestaffelt sind. Sie folgen einem einfachen Prinzip: Der Aufschub ist ein Puffer für die Umsetzung, kein Aufschub für die Bestandsaufnahme.

1. KI-Inventar abschließen und Annex-III-Systeme klassifizieren

Sofort, bis August 2026: Die unverändert geltenden Pflichten – Verbote, Transparenz, KI-Kompetenz – setzen voraus, dass ein Institut überhaupt weiß, welche KI-Systeme es betreibt und welche davon unter Annex III fallen. Diese Bestandsaufnahme wird durch den Aufschub nicht ausgesetzt, sondern erst recht zur Voraussetzung. Wer Credit-Scoring- und Pricing-Modelle nicht sauber klassifiziert, kann weder beurteilen, ob die alte oder neue Frist greift, noch ob die nicht verschobenen Pflichten bereits berührt sind.

2. Grundrechtefolgenabschätzung nach Artikel 27 vorbereiten

Bis Ende 2026: Die Grundrechtefolgenabschätzung für Betreiber im Kredit- und Versicherungsbereich ist eine nicht delegierbare Pflicht. Sie unabhängig vom Hochrisiko-Aufschub frühzeitig vorzubereiten, verteilt die Arbeitslast und vermeidet einen Engpass kurz vor Dezember 2027. Die Methodik, die Datengrundlage und der Meldeweg an die nationale Aufsicht lassen sich jetzt aufsetzen, nicht erst, wenn die Frist drückt.

3. Provider-Deployer-Governance vertraglich verankern

2026 bis 2027: Externe KI-Dienstleister können die Betreiberverantwortung nicht übernehmen. Verträge mit Anbietern von Scoring- oder Pricing-Modellen sollten daher klar regeln, welche Dokumentations-, Informations- und Mitwirkungspflichten der Anbieter liefert, damit das Institut seine eigenen Betreiberpflichten erfüllen kann. Diese Klärung in der Vertragsschicht ist günstiger und belastbarer, wenn sie vor der Konformitätsbewertung erfolgt, nicht parallel zu ihr.

4. Den 16-Monats-Puffer als Standardisierungsphase nutzen

Strategisch: Die harmonisierten Normen der europäischen Normungsorganisationen CEN und CENELEC sowie die Verfahren der Konformitätsbewertung werden im verschobenen Zeitfenster finalisiert. Wer den Puffer nutzt, um die eigene Dokumentation an diesen entstehenden Normen auszurichten, statt früh auf einen ungewissen Stand zu bauen, spart Nacharbeit. Der Aufschub ist damit keine Verschnaufpause, sondern ein Zeitfenster, in dem die technische Grundlage der späteren Pflichten überhaupt erst belastbar wird.

Risiken und offene Fragen

Drei Vorbehalte gehören zur ehrlichen Einordnung. Erstens die Frist-Differenzierung: Die viel zitierten 16 Monate gelten nur für Annex III. Annex-I-Systeme, die in regulierte Produkte eingebettet sind, bekommen lediglich zwölf Monate bis August 2028. Wer beide in einen Topf wirft, plant für einen Teil seiner Systeme falsch.

Zweitens die Rechtskraft. Solange Parlament und Rat nicht formal abgestimmt haben und der Text nicht im Amtsblatt steht, ist die neue Frist eine politische Absichtserklärung, kein geltendes Recht. Bis dahin bleibt die alte Frist 2. August 2026 formal in Kraft. Verantwortliche, die ihre Planung allein auf die Einigung stützen, sollten den Veröffentlichungsschritt aktiv verfolgen, statt ihn vorauszusetzen.

Drittens die Verantwortungsfrage. Die Betreiberverantwortung ist differenzierter, als die Debatte oft nahelegt. Die Pflichtenteilung zwischen Anbieter und Betreiber, die Doppelrolle bei intern entwickelten Modellen und die nicht delegierbare Grundrechtefolgenabschätzung bleiben bestehen. Der Aufschub verschiebt einen Stichtag für einen Teil der Pflichten. Er entlastet kein Institut von der Aufgabe, zu wissen, welche Rolle es bei welchem System einnimmt.

Die strategische Konsequenz für deutsche Banken und Versicherer ist damit klar umrissen. Der Aufschub ist eine reale, aber begrenzte Entlastung: 16 Monate mehr Zeit für die Konformitätsbewertung der Annex-III-Hochrisiko-Systeme, nicht mehr und nicht weniger. Die nicht verschobenen Pflichten, die nicht delegierbare Betreiberverantwortung und die noch ausstehende Rechtskraft bleiben Arbeit, die jetzt beginnt. Wer den Puffer als Pause liest, verliert ihn. Wer ihn als geordnete Vorbereitungsphase nutzt, geht im Dezember 2027 vorbereitet und nicht getrieben in die Hochrisiko-Pflichten.

Timeline: Der EU AI Act nach der Mai-Einigung
Welche Frist wann gilt – und was vorläufig bleibt
7. Mai 2026
Vorläufige Einigung zum Digital Omnibus on AI
Rat und Parlament verständigen sich auf die Verschiebung der Hochrisiko-Pflichten – noch nicht rechtskräftig.
Juni / Juli 2026
Erwartete formale Abstimmung und Veröffentlichung
Parlament und Rat stimmen ab, Veröffentlichung im EU-Amtsblatt – erst dann gilt die neue Frist.
2. August 2026
Unverschobene Pflichten greifen
Verbote (Art. 5), Transparenz (Art. 50) und KI-Kompetenz (Art. 4) gelten unverändert ab diesem Datum.
2. Dezember 2026
Wasserzeichenpflicht für generative KI
Kennzeichnungspflicht für KI-generierte Inhalte – nicht von der Verschiebung erfasst.
2. Dezember 2027
Hochrisiko-Pflichten für Annex-III-Systeme
Credit Scoring und Lebens-/Krankenversicherungs-Pricing: volle Konformitätspflichten, plus 16 Monate.
2. August 2028
Hochrisiko-Pflichten für Annex-I-Systeme
In regulierte Produkte eingebettete Systeme: separat verschoben, plus 12 Monate.
Haftungsausschluss: Dieser Artikel wurde teilweise mithilfe von KI erstellt, aber von einem Menschen redigiert, geprüft und faktisch überprüft. Stand 3. Juni 2026. Die Einigung vom 7. Mai 2026 ist eine vorläufige politische Verständigung und zum Redaktionsschluss noch nicht im EU-Amtsblatt veröffentlicht; Fristen und Detailregelungen können sich bis zur formalen Verabschiedung ändern.
Christian Schablitzki

Christian Schablitzki

Strategy & Management Consultant · Agentic-AI-Experte für Finanzinstitute

Über 20 Jahre in Investmentbanking und Derivatehandel, anschließend mehr als 10 Jahre als Berater für Finanzinstitute. Aktuell Partner bei Infosys Consulting in Deutschland. Zertifiziert in Google AI, Generative AI Leader (Google Cloud) und IBM RAG and Agentic AI.

LinkedIn-Profil →
newsletter
the agentic banker

Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.

Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.

DSGVO-konform. Jederzeit abbestellbar.

← Zurück zur Übersicht