digital omnibus ai act

Veröffentlicht am

Digital Omnibus on AI

Wie die EU die KI-Verordnung nachschärft – und die Fristen verschiebt

Weniger als zwei Jahre nach Inkrafttreten des EU AI Act hat die Europäische Kommission einen umfassenden Änderungsvorschlag vorgelegt: den Digital Omnibus on AI. Das Ziel ist eine Vereinfachung der Umsetzung und eine Verschiebung zentraler Fristen für Hochrisiko-KI-Systeme. Gleichzeitig werden neue Verbote eingeführt und die Rolle des AI Office gestärkt.

Für Unternehmen, die sich auf die Anforderungen des EU AI Act vorbereiten, verändert der Digital Omnibus die Planungsgrundlage erheblich. Dieser Beitrag erklärt, was der Omnibus enthält, wie Rat und Parlament ihn verändert haben, wo die Verhandlungen stehen – und was das für die eigene Compliance-Planung bedeutet.

1. Warum der Digital Omnibus? Hintergrund und Auslöser

Der Vorschlag der Kommission vom 19. November 2025 kam nicht überraschend. Bereits der Draghi-Bericht zur europäischen Wettbewerbsfähigkeit vom September 2024 hatte die Komplexität der EU-Digitalregulierung als Innovationshemmnis identifiziert: rund 100 technologiebezogene Gesetze und über 270 Regulierungsbehörden im digitalen Bereich. Die Empfehlung lautete, bestehende Regelwerke wie die DSGVO und den AI Act zu vereinfachen, ohne den Grundrechtsschutz aufzugeben.

Drei konkrete Umsetzungsprobleme beschleunigten den Vorschlag:

  • Fehlende Normen: Die harmonisierten europäischen Normen, die Unternehmen als technische Grundlage für den Konformitätsnachweis benötigen, werden voraussichtlich erst Ende 2026 oder später vorliegen. Ohne diese Normen bleibt unklar, wie eine konforme technische Dokumentation konkret aussehen muss.
  • Kostenbelastung für den Mittelstand: Nach Berechnungen der Kommission betragen die initialen Compliance-Kosten für ein mittelständisches Unternehmen, das ein Hochrisiko-KI-System entwickelt, bis zu 600.000 Euro. Das entspricht einer Gewinnbelastung von 30 bis 40 Prozent – ein Maß, das viele Unternehmen als unverhältnismäßig bewerteten.
  • Mangelhafte nationale Vorbereitung: Zum Zeitpunkt des Vorschlags hatten nur 8 von 27 Mitgliedstaaten eine zentrale Anlaufstelle (Single Point of Contact) für die KI-Marktüberwachung benannt – eine Grundvoraussetzung für die Durchsetzung der Hochrisiko-Bestimmungen. In mehreren Ländern fehlten die zuständigen Aufsichtsbehörden oder die gesetzliche Grundlage für deren Tätigkeit.

Der Digital Omnibus ist Teil eines größeren Digitalpakets, das neben dem AI Act auch Änderungen an der DSGVO, der ePrivacy-Richtlinie, der NIS2-Richtlinie und dem Data Act umfasst. Die Kommission schätzt die Gesamteinsparungen für Unternehmen und Verwaltungen auf mindestens 6 Milliarden Euro bis Ende 2029, mit einer Verwaltungskostenreduktion von 25 Prozent insgesamt und 35 Prozent für kleine und mittlere Unternehmen. Branchenverbände wie DIGITALEUROPE begrüßten den Ansatz, stellten aber die Frage, ob die Maßnahmen ausreichend seien, um die Wettbewerbsfähigkeit im internationalen Vergleich tatsächlich zu stärken.

2. Der Kommissionsvorschlag: Was geändert werden soll

Der Vorschlag vom 19. November 2025 greift in mehrere zentrale Bestimmungen des EU AI Act ein:

Fristverschiebung für Hochrisiko-KI (Kernstück): Die Kommission schlug vor, die Anwendung der Hochrisiko-Bestimmungen nicht mehr an ein festes Datum zu knüpfen, sondern an die Verfügbarkeit harmonisierter Normen, gemeinsamer Spezifikationen oder Leitlinien. Die Pflichten sollten sechs Monate nach Feststellung der Verfügbarkeit durch die Kommission greifen – spätestens jedoch am 2. Dezember 2027 für eigenständige Hochrisiko-KI nach Anhang III und am 2. August 2028 für in regulierte Produkte eingebettete KI nach Anhang I.

Erleichterungen für den Mittelstand: Die Kategorie der „Small Mid-Caps“ (bis 750 Mitarbeitende oder 150 Millionen Euro Umsatz) wird auf den AI Act ausgedehnt. Diese Unternehmen erhalten vereinfachte Dokumentationspflichten. Kleine und mittlere Unternehmen erhalten eine Bußgeldreduktion von 50 Prozent, Kleinstunternehmen von 75 Prozent.

Abschwächung der KI-Kompetenzpflicht (Art. 4): Die Pflicht für Anbieter und Betreiber, ein „ausreichendes Maß an KI-Kompetenz“ bei Mitarbeitenden sicherzustellen, sollte zu einer institutionellen Förderungsaufgabe herabgestuft werden. Anbieter wären nicht mehr direkt verpflichtet, sondern lediglich aufgefordert, Kompetenzaufbau zu unterstützen.

Wegfall der Registrierungspflicht: Anbieter, die ein System nach Art. 6 Abs. 3 eigenständig als nicht-hochriskant einstufen, sollten von der Registrierung in der EU-Datenbank befreit werden – eine interne Dokumentation sollte genügen.

Konformitätsbewertung: Für KI-Systeme, die sowohl unter Anhang I (sektorale Produktregulierung) als auch unter Anhang III (eigenständige Hochrisiko-Anwendung) fallen, sollte künftig die sektorale Konformitätsbewertung Vorrang haben. Benannte Stellen könnten mit einem einzigen Antrag für beide Regelwerke benannt werden.

3. Datenschutzbehörden schlagen Alarm: Die Gemeinsame Stellungnahme

Am 20. Januar 2026 veröffentlichten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) ihre Gemeinsame Stellungnahme 1/2026. Die Grundhaltung: Vereinfachung ja, aber nicht auf Kosten des Grundrechtsschutzes. Im Detail richtete sich die Kritik gegen vier Punkte:

  • Fristverschiebung: Die Verzögerung um bis zu 16 Monate für Anhang-III-Systeme gefährde den Schutz von Grundrechten in einem sich schnell entwickelnden Technologiefeld. Die Behörden plädierten für eine möglichst kurze Verschiebung.
  • Verarbeitung besonderer Datenkategorien: Die Kommission wollte die Schwelle für die Verarbeitung sensibler Daten zur Verzerrungserkennung von „streng erforderlich“ auf „erforderlich“ absenken und den Anwendungsbereich auf nicht-hochriskante Systeme ausweiten. EDPB und EDPS lehnten dies als Aufweichung einer zentralen DSGVO-Schutzmaßnahme ab.
  • Registrierungspflicht: Der Wegfall der Datenbankregistrierung für Art.-6-Abs.-3-Systeme untergrabe Transparenz und Aufsicht – bei nur marginaler Verwaltungsentlastung.
  • EU-weite KI-Sandboxes: Die vorgeschlagenen EU-Innovations-Sandboxes für allgemeine KI-Modelle sahen keine verpflichtende Beteiligung der Datenschutzbehörden vor. EDPB und EDPS forderten eine verbindliche Einbindung.

Die Stellungnahme hatte erheblichen Einfluss auf die späteren Positionen von Rat und Parlament. In beiden Verhandlungspositionen finden sich die zentralen Forderungen der Datenschutzbehörden weitgehend wieder.

4. Rat und Parlament: Feste Fristen und neue Verbote

Der Rat der EU verabschiedete am 13. März 2026 unter zyprischer Präsidentschaft seine Verhandlungsposition. Die zentralen Abweichungen vom Kommissionsvorschlag:

  • Feste Fristen statt offener Terminierung: Der Rat ersetzte den normenabhängigen Zeitplan der Kommission durch verbindliche Daten: 2. Dezember 2027 für Anhang-III-Systeme und 2. August 2028 für Anhang-I-Systeme. Damit erhalten Unternehmen Planungssicherheit, unabhängig vom Fortschritt der Normung.
  • Registrierungspflicht bleibt: Die Pflicht zur Registrierung in der EU-Datenbank wurde beibehalten, jedoch mit vereinfachtem Inhalt.
  • Strenge Erforderlichkeit wiederhergestellt: Die Verarbeitung besonderer Datenkategorien zur Verzerrungserkennung bleibt an den Maßstab der „strengen Erforderlichkeit“ gebunden.
  • Neue Verbote: Nicht einvernehmlich erstellte intime Darstellungen und KI-generierte Darstellungen von Kindesmissbrauch werden als verbotene Praktiken in Art. 5 aufgenommen.

Das Europäische Parlament folgte am 26. März 2026 mit einer deutlichen Mehrheit von 569 zu 45 Stimmen bei 23 Enthaltungen. Zuvor hatten die Ausschüsse IMCO und LIBE am 18. März mit 101 zu 9 Stimmen bei 8 Enthaltungen abgestimmt. Die Parlamentsposition stimmt in den Kernfragen mit dem Rat überein, geht aber in drei Bereichen weiter:

  • Nudifier-Verbot: Das Parlament fügte ein eigenständiges Verbot von KI-Systemen ein, die sexuell explizite Bilder identifizierbarer Personen ohne deren Einwilligung erzeugen oder manipulieren. Systeme mit wirksamen technischen Schutzmaßnahmen sind ausgenommen.
  • Strukturelle Änderung an Anhang I: Das Parlament schlägt vor, Abschnitt A des Anhang I zu streichen und die dort aufgeführte Gesetzgebung (u. a. Medizinprodukteverordnung, Maschinenverordnung) in Abschnitt B zu verschieben. Für KI in regulierten Produkten würde damit die sektorale Konformitätsbewertung zum primären Compliance-Pfad. Die KI-spezifischen Anforderungen würden integriert, statt als eigenständige Bewertung durchgeführt zu werden. Dies ist die strukturell weitreichendste Änderung und einer der zentralen Verhandlungspunkte im Trilog.
  • Schnellerer Zeitplan für Wasserzeichen: Während die Kommission eine Übergangsfrist bis Februar 2027 vorschlug, drängt das Parlament auf November 2026.

5. Trilog-Verhandlungen: Zeitdruck und offene Fragen

Die formellen Verhandlungen zwischen Rat, Parlament und Kommission begannen Ende März 2026. Ein zweiter Trilog ist für den 28. April 2026 angesetzt. Die zyprische Ratspräsidentschaft strebt eine Einigung bis Mai 2026 an.

Der Zeitdruck ist erheblich: Ohne verabschiedeten und im Amtsblatt veröffentlichten Digital Omnibus vor dem 2. August 2026 greifen die ursprünglichen Fristen der KI-Verordnung. Die Hochrisiko-Bestimmungen würden dann unverändert am 2. August 2026 anwendbar – ohne Fristverschiebung, ohne Vereinfachung für den Mittelstand. Zwischen einem möglichen Trilog-Ergebnis Ende April und dem 2. August liegen nur drei Monate für die formelle Annahme durch beide Organe und die Veröffentlichung im Amtsblatt. Das ist ambitioniert, aber bei breitem politischen Konsens machbar.

Die wesentlichen offenen Verhandlungspunkte:

  • Anhang-I-Struktur: Der Rat will die bestehende Unterscheidung zwischen Abschnitt A und B beibehalten. Das Parlament fordert die Streichung von Abschnitt A. Dieser Punkt hat das größte Konfliktpotenzial, da er die Durchsetzbarkeit der KI-Verordnung für regulierte Produkte unmittelbar betrifft.
  • Wasserzeichen-Frist: November 2026 (Parlament) versus Februar 2027 (Kommission). Ein Kompromiss in der Mitte ist wahrscheinlich.
  • KI-Kompetenzpflicht: Die Kommission wollte die direkte Anbieterpflicht streichen. Rat und Parlament tendieren dazu, eine abgeschwächte, aber weiterhin verbindliche Pflicht beizubehalten.

Die breite Übereinstimmung zwischen Rat und Parlament in den Kernfragen – feste Fristen, Registrierungspflicht, strenge Erforderlichkeit bei sensiblen Daten – lässt eine zügige Einigung im Trilog erwarten.

6. Was bedeutet der Digital Omnibus für Unternehmen?

Die wichtigste Erkenntnis: Der Digital Omnibus verschiebt Fristen, aber er schafft keine Pflichten ab. Die inhaltlichen Anforderungen des EU AI Act bleiben in der Substanz unverändert. Was sich ändert, ist der Zeitplan – und in Teilen die administrative Komplexität.

Pflichten, die bereits gelten und vom Omnibus nicht berührt werden:

  • Verbotene KI-Praktiken nach Art. 5 (sanktionsbewehrt seit August 2025)
  • KI-Kompetenzpflicht nach Art. 4 (anwendbar seit Februar 2025)
  • GPAI-Pflichten nach Art. 53 (anwendbar seit August 2025, Durchsetzung ab August 2026)

Pflichten, deren Frist sich voraussichtlich verschiebt:

  • Vollständige Compliance für Hochrisiko-KI nach Anhang III: voraussichtlich 2. Dezember 2027
  • Vollständige Compliance für KI in regulierten Produkten nach Anhang I: voraussichtlich 2. August 2028

Pflichten mit eigenem Zeitplan:

  • Transparenzpflichten nach Art. 50: anwendbar ab 2. August 2026
  • Wasserzeichen für KI-generierte Inhalte: zwischen November 2026 und Februar 2027

Fazit: Zeit gewonnen, nicht verlieren

Der Digital Omnibus gibt Unternehmen voraussichtlich mehr als ein Jahr zusätzliche Vorbereitungszeit für die Hochrisiko-KI-Compliance. Das ist keine Einladung zum Abwarten. Die regulatorischen Anforderungen ändern sich nicht – nur der Zeitpunkt, ab dem sie durchgesetzt werden.

Für die Compliance-Planung empfiehlt sich ein dualer Ansatz: die gewonnene Zeit nutzen, um Governance-Strukturen, Risikomanagement und technische Dokumentation systematisch aufzubauen – und gleichzeitig den 2. August 2026 als verbindliches Datum für die Transparenzpflichten und als mögliches Datum für Hochrisiko-KI im Blick behalten, falls der Omnibus nicht rechtzeitig verabschiedet wird.

Unternehmen, die jetzt mit der systematischen Erfassung ihrer KI-Systeme, der Risikoklassifizierung und dem Aufbau eines Qualitätsmanagementsystems beginnen, gewinnen unabhängig vom genauen Zeitplan einen strukturellen Vorsprung. Wer dagegen auf endgültige Klarheit wartet, riskiert, unter Zeitdruck nachrüsten zu müssen.

Lesen Sie mehr zum Thema!

Mariusz C. Bodek TÜV Rheinland Consulting

Nächste Schritte – Jetzt handeln!

Vermeiden Sie Verzögerungen und stellen Sie Ihr Unternehmen rechtzeitig auf den EU AI Act ein.
Nehmen Sie direkt Kontakt zu unserem Geschäftsführer Mariusz Bodek für ein unverbindliches Erstgespräch auf und erfahren Sie, wie wir Sie gezielt unterstützen können! Als KI-Experte ist er nicht nur Berater in diesem Bereich, sondern in seiner Rolle als Geschäftsführer ebenso ein „Betroffener“ des EU AI Acts. Er berät dadurch CEOs und Geschäftsführer auf Augenhöhe mit der gleichen Perspektive auf die Risiken und Pflichten der regulativen Vorgaben. Erfahren Sie hier mehr zu unseren Leistungen beim Thema EU AI Act und Einführung von KI.

Jetzt Kontakt aufnehmen

Weiterbildung im Bereich Künstliche Intelligenz: Innovatives Fachwissen für Ihre Zukunft

Die rasante Entwicklung im Bereich Künstlicher Intelligenz (KI) beeinflusst nahezu jede Branche und jeden Berufszweig. Ob Sie Prozesse optimieren, neue Geschäftsmodelle schaffen oder den Wissensvorsprung Ihres Teams sichern möchten – eine zielgerichtete KI-Weiterbildung ist der Schlüssel zum Erfolg.

Finden Sie Ihre KI Weiterbildung
Cathrin Ribbrock