Andrea Margiovanni .it

Siebzehn Monate sind keine Schonfrist

Der Digital Omnibus hat die Hochrisiko-Pflichten des AI Act auf 2027 verschoben, und die Gesundheitssoftware hat aufgeatmet. Aber der Druck kam nie von dieser Frist: Er kommt von drei Uhren, der Durchsetzung, dem Engineering und dem Markt, und keine der drei wurde angerührt.

Dieser Tage geht ein Aufatmen um unter denen, die Software für das Gesundheitswesen bauen. Der Digital Omnibus ist Ende Juni endgültig verabschiedet worden, und die Pflichten des AI Act für Hochrisikosysteme rutschen auf den 2. Dezember 2027, mit einem weiteren Ausläufer im August 2028 für Künstliche Intelligenz, die in bereits regulierte Produkte wie Medizinprodukte eingebettet ist. Die Erleichterung hat, das muss man sagen, ernsthafte Argumente auf ihrer Seite. Die Kommission selbst hat implizit eingeräumt, dass der ursprüngliche Zeitplan nicht zu halten war: Die harmonisierten Normen existieren noch nicht, die Leitlinien zur Klassifizierung kamen als Entwurf erst kurz vor der Frist, die notifizierten Stellen sind wenige, und die Zertifizierungskapazität des Kontinents hätte dem Ansturm nicht standgehalten. Zu verschieben war das Rationale, und wer heute seine Budgets entsprechend nachjustiert, tut nichts Unverantwortliches. Er liest ein Signal, das der Gesetzgeber selbst gesendet hat.

Das Problem ist, dass dieses Signal etwas anderes sagt als das, was der Markt hineinliest. Die Verschiebung betrifft eine Frist. Die Erleichterung betrifft den Druck. Und die versteckte Prämisse der Erleichterung, die niemand ausspricht, weil sie selbstverständlich scheint, lautet: Der Druck kam von der Frist. In der Gesundheitssoftware ist diese Prämisse falsch, und es lohnt sich, sie in Ruhe zu zerlegen, denn auf ihr werden in diesen Wochen Entscheidungen über Budgets, Roadmaps und Personal getroffen, die jemand bereuen wird.

Der Druck kommt in diesem Sektor von drei verschiedenen Uhren. Keine der drei hat der Digital Omnibus angerührt.

Die erste Uhr: Wer schon heute kontrolliert

Die erste Uhr ist die der Durchsetzung, und sie zeigt die Gegenwart an. Wer Compliance macht, weiß das längst, aber es lohnt sich, es für jene zu sagen, die die Verordnungen von der Kommandobrücke aus betrachten: Die Behörde, die ein System Künstlicher Intelligenz kontrolliert, das klinische Daten verarbeitet, ist nicht die Behörde des AI Act, die erst in anderthalb Jahren ihre Arbeit aufnimmt. Es ist die italienische Datenschutzbehörde, der Garante, die die DSGVO seit acht Jahren anwendet, mit erprobten Instrumenten, gefestigter Rechtsprechung und einer Sanktionsgewalt, von der sie gerade gezeigt hat, dass sie sie auch gegen Akteure allerersten Ranges einzusetzen weiß. Und der Garante hat die letzten Monate damit verbracht, mit bemerkenswerter Klarheit zu sagen, wohin er schaut: Er hat den Gesundheitssektor öffentlich zu einem verantwortungsvollen Umgang mit Daten und Künstlicher Intelligenz ermahnt, und er hat ein Startup förmlich verwarnt, wegen eines Systems, das Emotionen und Stresslevel von Beschäftigten erkennen wollte. Diese zweite Maßnahme verdient einen Moment Aufmerksamkeit, denn Emotionserkennung am Arbeitsplatz ist eine der Praktiken, die der AI Act verbietet. Die Behörde hat nicht gewartet, bis das Verbot mit den Instrumenten der neuen Verordnung durchsetzbar wird: Sie hat die benutzt, die sie schon hatte. Es ist eine Vorschau darauf, wie alles Übrige funktionieren wird. Die beiden Regelwerke stehen nicht in Abfolge, als löste das zweite das erste ab; sie überlagern sich, und das ältere deckt schon heute den größten Teil des Terrains ab, das das neue morgen formalisieren wird. Ein Modell, das Gesundheitsdaten ohne solide Rechtsgrundlage verarbeitet, ohne nachweisbare Datenminimierung, ohne Transparenz gegenüber den Betroffenen, ist kein Problem von 2027. Es ist ein Problem dieses Quartals, mit Sanktionen dieses Quartals.

Es gibt ein Prinzip der DSGVO, das diese Überlagerung für jeden, der sich entspannt hat, besonders tückisch macht, und das ist die Accountability, die Rechenschaftspflicht. Konform zu sein genügt nicht: Man muss es nachweisen können, jederzeit, auf Verlangen. Wer je ein Prüfverfahren begleitet hat, weiß, dass der Unterschied zwischen einem Verfahren, das in einem Monat endet, und einem, das eskaliert, fast vollständig in der Qualität der Nachweise liegt, die man in den ersten Wochen vorlegen kann. Und die Nachweise führen uns zur zweiten Uhr.

Die zweite Uhr lässt sich nicht zurückspulen

Die zweite Uhr ist die des Engineerings, und sie hat eine Eigenschaft, die regulatorische Kalender nicht haben: Man kann sie nicht zurückspulen. Die Pflichten, die auf 2027 rutschen, sehen aus wie Dokumentationsaufgaben, die Sorte Ding, die eine willige Organisation in einem Quartal Aufholjagd mit zwei guten Beratern erledigt. Aus der Nähe betrachtet sind sie etwas anderes. Sie sind unveränderliche Logs, die vom ersten Betriebstag des Systems an existieren müssen, denn ein rekonstruiertes Log ist kein Log, es ist eine Zeugenaussage. Sie sind das Lineage der Trainingsdatensätze: welche Daten, aus welcher Quelle, auf welcher Rechtsgrundlage, in welcher Version, transformiert von welcher Pipeline. Sie sind die Dokumentation der Designentscheidungen in dem Moment, in dem sie getroffen wurden, nicht Jahre später erinnert von Leuten, die inzwischen die Firma gewechselt haben. Sie sind der Entwurf der menschlichen Aufsicht, die entweder in der Architektur des Systems steckt oder nirgends ist, denn einen menschlichen Kontrollpunkt in einen Entscheidungsfluss einzubauen, der schon in Produktion ist, heißt den Fluss neu zu entwerfen, nicht ein Modul anzuhängen.

Das alles lässt sich nicht nachholen. Dokumentation, die nach den Tatsachen entsteht, ist keine Dokumentation, sie ist Archäologie: Man gräbt, findet ein paar Fundstücke und erfindet den Rest in bestmöglichem Glauben. Wer je versucht hat, die Herkunft der Daten eines zwei Jahre zuvor trainierten Modells zu rekonstruieren, kennt das Gefühl genau: Die Leute, die es wussten, sind weg, die Skripte, die die Datensätze erzeugten, wurden umgeschrieben, die Zwischen-Buckets wurden gelöscht, um Speicher zu sparen, und was bleibt, ist eine Kette plausibler Schlussfolgerungen, die niemand vor einem Inspektor unterschreiben würde. Die Compliance-Schuld verhält sich wie technische Schuld, mit einem erschwerenden Umstand, der sie gefährlicher macht: Code lässt sich refaktorisieren, die Vergangenheit nicht. Ein CTO kann jederzeit beschließen, eine schlecht gebaute Komponente neu zu schreiben. Er kann nicht beschließen, geloggt zu haben, was er nicht geloggt hat.

Das fixe Datum ist kein Geschenk

Es gibt in der Geschichte dieser Verschiebung auch ein Detail, das dem Aufatmen entgangen ist und das sich jeder notieren sollte, der Roadmaps plant. Im ursprünglichen Vorschlag der Kommission waren die neuen Fristen bedingt: Die Pflichten hätten sechs Monate nach der Bestätigung gegriffen, dass die harmonisierten Normen verfügbar sind, mit 2027 als bloßer Obergrenze. Die Verhandlung hat die Bedingung gestrichen, und die Daten sind jetzt fix. Das sieht aus wie ein Geschenk an die Aufschieber, und es ist das Gegenteil. Zwei Jahre lang lautete die offizielle Rechtfertigung des Wartens, man könne sich nicht nach Normen richten, die nicht existieren; mit Daten, die von den Normen entkoppelt sind, ist diese Rechtfertigung tot. Und die Normen kommen trotzdem: Der Entwurf der Klassifizierungsleitlinien hat gerade seine öffentliche Konsultation abgeschlossen, die harmonisierten Normen werden deutlich vor der Frist erwartet, und jedes Stück, das veröffentlicht wird, steht am Tag danach in Lastenheften und Due-Diligence-Fragebögen, ohne auf 2027 zu warten. Eine Anpassung zu planen, die Mitte 2027 startet, heißt zu wetten, dass man in sechs Monaten einen Maßstab verdauen kann, für den die Konkurrenz achtzehn Monate hatte. Kann gutgehen. Aber die eigene regulatorische Position auf eine solche Wette zu bauen ist eine Strategie, die einen Namen hat, und der Name ist nicht Strategie.

Die dritte Uhr wartet nicht

Die dritte Uhr ist die des Marktes, und sie ist die, die meiner Ansicht nach am meisten unterschätzt wird, auch weil sie in keinem Amtsblatt steht. Während die Pflichten des AI Act rutschten, ist der ganze Rest des europäischen Regulierungsrahmens exakt geblieben, wo er war. Die Sicherheitsmaßnahmen der italienischen NIS2-Umsetzung greifen im Herbst vollständig, und von da an kann die nationale Cybersicherheitsbehörde inspizieren. Die Meldepflichten für Schwachstellen aus dem Cyber Resilience Act starten im September, und sie gelten auch für Produkte, die schon auf dem Markt sind, nicht nur für künftige. Und es gibt eine fast unbemerkt gebliebene Pflicht, die die Position von jedem verändert, der Software an Krankenhäuser, Regionen oder große Konzerne verkauft: Die NIS-Einrichtungen haben gerade der Behörde die Liste ihrer relevanten Lieferanten gemeldet. Wer diesen Einrichtungen Plattformen liefert, steht jetzt formell in deren Risikoperimeter. Mit Vor- und Nachnamen.

Die praktische Folge dieser Erhebung ist, dass die Anforderungen die Lieferkette auf dem Vertragsweg hinunterwandern werden, lange bevor sie es auf dem Gesetzesweg tun. Ein Krankenhaus oder ein Generalunternehmer, der im Oktober die Sicherheit seiner Lieferkette nachweisen muss, wartet nicht auf 2027, um von seinen Lieferanten Nachweise zu verlangen, Klauseln zur Meldung von Vorfällen, Auditrechte, Prozesse für das Schwachstellenmanagement. Er tut es bereits, oder er tut es bei der ersten Verlängerung. Und hier wird die Perspektive des CEO interessanter als die des Juristen, denn der Durchsetzungsmechanismus der Lieferkette sieht keine Sanktionen vor, er sieht Ersetzungen vor. Der Lieferant, der ohne vorzeigbare technische Dokumentation an den Tisch kommt, bekommt keine Geldbuße, die man anfechten, stunden, bilanzieren kann. Er bekommt eine ausgebliebene Verlängerung, gegen die es keinen Rechtsbehelf gibt. Das erste echte Audit macht keine Behörde: Es macht eine Einkaufsabteilung, und Einkaufsabteilungen kennen keine mildernden Umstände.

Die Kehrseite, die niemand einpreist

Auch die Kehrseite gilt, und sie ist der Teil, der in den Diskussionen über die Kosten der Compliance fast nie vorkommt. In einem Markt, in dem die Mehrheit der Anbieter die Verschiebung als Erlaubnis zum Langsamerwerden liest, demonstriert der Anbieter, der mit Logs, Lineage, dokumentierten Entscheidungen und einem getesteten Meldeprozess erscheint, keine Konformität: Er verkürzt den Verkaufszyklus. Jede Frage des Auftraggebers, die mit einem Link statt mit einem Meeting endet, ist Marge. Jede Due Diligence, die eine Woche dauert statt zwei Monate, ist ein Deal, der nicht abkühlt. Die während der Entwicklung aufgebaute Konformität hat fast unsichtbare Kosten, weil sie sich mit den Kosten guter Arbeit vermischt; die danach aufgebaute hat einen Haushaltsposten mit eigenem Namen, und zwischen beiden liegt eine Lücke, die auf Systemebene jemand auf Hunderttausende Euro geschätzt hat, für ein KMU, das beim hohen Risiko bei null anfängt. Aber die Zahl zählt weniger als die Form der Kurve: Die Kosten des Aufschubs wachsen nicht linear mit der Zeit, sie wachsen mit dem Volumen undokumentierter Vergangenheit, das sich ansammelt. Jeder Sprint ohne Nachweise ist eine Sedimentschicht mehr, die man später ausgraben muss.

Eine Frage, drei Räume

Wenn die drei Uhren auf etwas zulaufen, dann auf eine einzige Frage, dieselbe für die drei Rollen, die sich dieses Problem gewöhnlich teilen, ohne miteinander zu reden. Der Compliance-Verantwortliche hört sie von einer Behörde: Können Sie das nachweisen? Der CTO hört sie in einem Architecture Review: Können wir das nachweisen? Der CEO wird sie in einer Due Diligence hören, an dem Tag, an dem das Unternehmen Kapital oder einen Käufer sucht, und in diesem Raum erzeugt die falsche Antwort keine Sanktion, sondern einen Abschlag auf den Preis. Die Frage ist identisch, weil der europäische Rahmen unter den Kürzeln nur eines verlangt: den Nachweis der Sorgfalt. Der AI Act verlangt ihn bei den Modellen, die DSGVO bei den Daten, der CRA bei den Schwachstellen, und die neue Produkthaftungsrichtlinie, die im Dezember kommt und Software ausdrücklich einschließt, wird ihn vor einem Zivilrichter verlangen. Man kann endlos darüber streiten, welche Frist rutscht und welche nicht. Die Richtung des Systems steht nicht zur Debatte, und die Richtung ist: Das Wort dessen, der Software herstellt, zählt immer weniger, und sein Archiv zählt immer mehr.

Die Dokumentation oder die Erzählung

Siebzehn Monate sind exakt die Zeit, die man braucht, um diese Arbeit ohne Notfälle zu erledigen, innerhalb der normalen Entwicklungszyklen, verteilt dorthin, wo sie wenig kostet. Sie sind auch exakt die Zeit, die man braucht, um sich einzureden, es sei noch genug davon übrig. Die Verschiebung hat nicht die Arbeit verschoben: Sie hat die Ausrede verschoben. Wer jetzt anfängt, kommt im Dezember 2027 mit einer Dokumentation an, die mit dem Produkt gewachsen ist. Wer Mitte 2027 anfängt, kommt mit einer Erzählung an, und Erzählungen haben vor einem Inspektor, einer Einkaufsabteilung oder einem Fonds in der Due Diligence eine miserable Konversionsrate.

Was du mitnimmst

  • Die Verschiebung auf den 2. Dezember 2027 betrifft eine Frist des AI Act, nicht den regulatorischen Druck. In der Gesundheitssoftware kommt der Druck von drei verschiedenen Uhren (Durchsetzung, Engineering, Markt), und der Digital Omnibus hat keine davon angerührt.

  • Die Behörde, die heute ein KI-System mit klinischen Daten kontrolliert, ist nicht die des AI Act: Es ist der Garante, die italienische Datenschutzbehörde, die die DSGVO seit acht Jahren anwendet und gerade ein Startup förmlich verwarnt hat, das Emotionen am Arbeitsplatz erkannte, mit den Instrumenten, die sie schon hat. Die beiden Regelwerke überlagern sich, sie folgen nicht aufeinander.

  • Unveränderliche Logs, das Lineage der Datensätze, Designentscheidungen, die im Moment ihrer Entstehung dokumentiert werden, und eine in die Architektur eingebaute menschliche Aufsicht lassen sich nachträglich nicht wiederherstellen. Dokumentation, die später entsteht, ist Archäologie: Code lässt sich refaktorisieren, die Vergangenheit nicht.

  • Die verschobenen Daten sind fix: Der ursprüngliche Vorschlag band sie an die Verfügbarkeit der harmonisierten Normen, die Verhandlung hat die Bedingung gestrichen. Das ist das Ende des Alibis „man kann sich nicht nach Normen richten, die nicht existieren“: Die Normen kommen ohnehin vor der Frist, und jedes veröffentlichte Stück steht sofort in Lastenheften und Due Diligences.

  • NIS2 und der CRA sind nicht gerutscht, und die NIS-Einrichtungen haben gerade die Liste ihrer relevanten Lieferanten gemeldet: Die Anforderungen wandern per Vertrag die Lieferkette hinunter, lange bevor sie es per Gesetz tun. Der Lieferant ohne Nachweise bekommt keine Geldbuße, er bekommt eine ausgebliebene Verlängerung. Und Einkaufsabteilungen kennen keine mildernden Umstände.

Fragen & Antworten

Was genau hat der Digital Omnibus für die Gesundheitssoftware verschoben?

Die Pflichten des AI Act für Hochrisikosysteme rutschen auf den 2. Dezember 2027, mit einem weiteren Ausläufer im August 2028 für Künstliche Intelligenz, die in bereits regulierte Produkte wie Medizinprodukte eingebettet ist. Die Verschiebung hat ernsthafte Argumente auf ihrer Seite: Die harmonisierten Normen existieren noch nicht, die Leitlinien zur Klassifizierung kamen als Entwurf erst kurz vor der Frist, und die notifizierten Stellen sind wenige. Aber sie betrifft nur diese Fristen: Der ganze Rest des europäischen Regulierungsrahmens ist geblieben, wo er war.

Warum verringert die Verschiebung des AI Act nicht den Druck auf alle, die klinische Daten verarbeiten?

Weil die Behörde, die heute ein KI-System mit klinischen Daten kontrolliert, nicht die des AI Act ist, die erst in anderthalb Jahren ihre Arbeit aufnimmt: Es ist der Garante, die italienische Datenschutzbehörde, die die DSGVO seit acht Jahren anwendet. Und der Garante hat gerade ein Startup förmlich verwarnt, wegen eines Systems, das Emotionen von Beschäftigten erkannte, eine der Praktiken, die der AI Act verbietet, mit den Instrumenten, die er schon hat. Die beiden Regelwerke überlagern sich, sie folgen nicht aufeinander: Ein Modell, das Gesundheitsdaten ohne solide Rechtsgrundlage verarbeitet, ist kein Problem von 2027, sondern ein Problem dieses Quartals.

Warum lässt sich Compliance-Dokumentation nicht nachträglich rekonstruieren?

Weil die Pflichten, die wie Papierkram aussehen, in Wirklichkeit Eigenschaften des Systems sind, die von seinem ersten Betriebstag an existieren müssen: unveränderliche Logs (ein rekonstruiertes Log ist kein Log, sondern eine Zeugenaussage), das Lineage der Trainingsdatensätze, Designentscheidungen, die im Moment ihrer Entstehung festgehalten werden, eine in die Architektur eingebaute menschliche Aufsicht. Wer je versucht hat, die Herkunft der Daten eines zwei Jahre zuvor trainierten Modells zu rekonstruieren, weiß es: Die Leute, die es wussten, sind weg, die Skripte wurden umgeschrieben, die Zwischen-Buckets wurden gelöscht. Die Compliance-Schuld verhält sich wie technische Schuld, mit einem erschwerenden Umstand: Code lässt sich refaktorisieren, die Vergangenheit nicht.

Ist die Frist des 2. Dezember 2027 endgültig?

Ja, und das ist der wichtigste Unterschied zum ursprünglichen Vorschlag der Kommission, in dem die Pflichten sechs Monate nach der Bestätigung der Verfügbarkeit der harmonisierten Normen gegriffen hätten, mit 2027 als bloßer Obergrenze. Die Verhandlung hat die Bedingung gestrichen: Die Daten sind fix. Aber die Kalendersicherheit ist keine Erlaubnis zum Aufschieben. Sie nimmt das Alibi des Wartens auf die Normen, und die Normen kommen ohnehin vor der Frist: Der Entwurf der Klassifizierungsleitlinien hat seine öffentliche Konsultation bereits abgeschlossen, und die harmonisierten Normen werden deutlich vor 2027 erwartet. Jedes veröffentlichte Stück steht sofort in Lastenheften und Due Diligences, ohne auf das Anwendungsdatum zu warten.

Was passiert auf dem Markt, während die Pflichten des AI Act rutschen?

Alles andere geht weiter. Die Sicherheitsmaßnahmen der italienischen NIS2-Umsetzung greifen im Herbst vollständig, die Meldepflichten für Schwachstellen aus dem CRA starten im September und gelten auch für Produkte, die schon auf dem Markt sind, und die NIS-Einrichtungen haben der Behörde gerade die Liste ihrer relevanten Lieferanten gemeldet. Wer Krankenhäusern, Regionen oder großen Konzernen Plattformen liefert, steht jetzt formell in deren Risikoperimeter, und die Anforderungen wandern per Vertrag die Lieferkette hinunter: Nachweise, Klauseln zur Meldung von Vorfällen, Auditrechte. Wer ohne Dokumentation erscheint, bekommt keine Geldbuße, er bekommt eine ausgebliebene Verlängerung.

Der Autor

Andrea Margiovanni

Andrea Margiovanni

Ich verfolge das Verhältnis zwischen KI und europäischer Regulierung als politisches Faktum, nicht als technisches Spektakel. Ich arbeite mit Teams, die KI mit AI Act, CRA, NIS2 vereinbar machen müssen, ohne Compliance auf eine Checkliste zu reduzieren.

Zum Weg
© 2026 Andrea Margiovanni Mit Sorgfalt, von Hand gemacht