Am 7. Mai 2026 haben sich Rat und Europäisches Parlament politisch auf den Digital Omnibus on AI geeinigt. Die Einigung ist für Unternehmen hochrelevant, weil sie den Umsetzungsfahrplan des EU AI Act an mehreren Stellen verändert: Hochrisiko-Pflichten werden verschoben, bestimmte KI-Missbrauchspraktiken ausdrücklich verboten und einzelne Schnittstellen zu Datenschutz-, Produkt- und Maschinenrecht präzisiert.

Zugleich bleibt wichtig: Die Einigung ist noch kein final verabschiedetes Änderungsgesetz. Nach der politischen Einigung folgen noch die formelle Annahme, die sprachjuristische Überarbeitung und die Veröffentlichung im Amtsblatt.

1. Hintergrund: Was ist der Digital Omnibus on AI?

Der Digital Omnibus on AI ist Teil des sogenannten Omnibus VII-Pakets der EU-Vereinfachungsagenda. Ziel ist es, die Umsetzung des AI Act zu vereinfachen und stärker an der praktischen Verfügbarkeit von Standards, Leitlinien und Compliance-Werkzeugen auszurichten.

Die Kommission beschreibt die Einigung als Schritt zu einfacheren, innovationsfreundlichereren KI-Regeln, ohne die Ziele des AI Act in Bezug auf Sicherheit, Grundrechte und Vertrauen in KI aufzugeben.

Der politische Kontext ist wesentlich: Der AI Act ist seit 2024 in Kraft, seine Pflichten treten aber gestaffelt in Anwendung. Schon vor der Omnibus-Einigung bestand in der Praxis erhebliche Unsicherheit, weil harmonisierte Standards und konkrete Umsetzungsleitlinien für viele Unternehmen noch nicht vollständig verfügbar waren.

2. Der Kern der Einigung: Mehr Zeit für Hochrisiko-KI

Die praktisch wichtigste Änderung betrifft Hochrisiko-KI-Systeme. Für Stand-alone-Hochrisiko-KI-Systeme, insbesondere in Bereichen wie Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration und Grenzkontrolle, sollen zentrale Pflichten nun erst ab 2. Dezember 2027 gelten.

Für Hochrisiko-KI-Systeme, die in regulierte Produkte integriert sind, etwa in Spielzeug, Aufzüge oder bestimmte Maschinen, soll die Anwendung auf 2. August 2028 verschoben werden.

Diese Verschiebung ist mehr als eine bloße Schonfrist. Sie reagiert auf ein reales Umsetzungsproblem: Viele Unternehmen können ihre Compliance-Pflichten nur belastbar erfüllen, wenn technische Standards, Leitlinien und Dokumentationsanforderungen hinreichend konkretisiert sind.

Für Unternehmen bedeutet das aber nicht, dass sie ihre AI-Act-Projekte pausieren sollten. Im Gegenteil: Die zusätzliche Zeit sollte genutzt werden, um KI-Systeme zu inventarisieren, Risikoklassen zu bestimmen, Verantwortlichkeiten festzulegen und technische Dokumentation vorzubereiten.

3. Neue Verbote: Nudification Apps und KI-generierte Missbrauchsinhalte

Neben der Verschiebung von Pflichten enthält die Einigung auch eine deutliche inhaltliche Verschärfung. Die EU will KI-Systeme verbieten, die nicht-einvernehmliche intime oder sexualisierte Inhalte erzeugen.

Erfasst werden sollen insbesondere sogenannte Nudification Apps, also Anwendungen, die aus Bildern realer Personen sexualisierte oder intime Darstellungen erzeugen. Zudem adressiert die Einigung KI-Systeme zur Erzeugung von Child Sexual Abuse Material.

Das ist politisch bedeutsam, weil der Digital Omnibus häufig als Deregulierungs- oder Vereinfachungsprojekt diskutiert wird. Die neuen Verbote zeigen jedoch, dass die EU jedenfalls bei besonders grundrechtsintensiven Missbrauchsszenarien nachschärft.

4. Transparenzpflichten: Nicht alles wird gleichermaßen verschoben

Besondere Aufmerksamkeit verdienen die Transparenzpflichten, insbesondere im Zusammenhang mit generativer KI und KI-generierten Inhalten. Nach aktuellen Analysen sollen Anbieterpflichten zur Kennzeichnung beziehungsweise Markierung KI-generierter Inhalte auf 2. Dezember 2026 verschoben werden.

Für die Praxis ist entscheidend, diese Pflichten nicht pauschal mit den Hochrisiko-Fristen gleichzusetzen. Der AI Act enthält unterschiedliche Pflichtengruppen mit unterschiedlichen Anwendungszeitpunkten.

  • Welche Transparenzpflichten betreffen Chatbots oder direkte Interaktion mit natürlichen Personen?
  • Welche Pflichten betreffen synthetische Inhalte, Deepfakes oder KI-generierte audiovisuelle Inhalte?
  • Welche Pflichten treffen Anbieter, Betreiber oder sonstige Akteure in der Wertschöpfungskette?
  • Welche Pflichten bleiben vom Omnibus unberührt?

Gerade Anbieter generativer KI sollten ihre Transparenz-Roadmap daher nicht stoppen, sondern aktualisieren.

5. Registrierung und Hochrisiko-Ausnahmen: Dokumentation bleibt zentral

Ein weiterer wichtiger Punkt betrifft die Registrierungspflichten. Nach der Einigung sollen Anbieter von KI-Systemen weiterhin Registrierungspflichten beachten müssen, wenn sie sich darauf berufen, dass ein System trotz möglicher Hochrisiko-Nähe nicht als Hochrisiko-KI-System einzustufen ist.

Das ist für Unternehmen besonders relevant, weil die Risikoklassifizierung nicht nur eine interne Einschätzung bleibt. Wer ein System als „nicht hochriskant“ einstuft, obwohl es in einem sensiblen Anwendungsbereich eingesetzt wird, sollte diese Entscheidung nachvollziehbar begründen können.

Empfehlenswert ist daher ein dokumentiertes AI Classification Memo, das mindestens folgende Punkte enthält:

  • Zweck und Funktionsweise des KI-Systems
  • betroffene Nutzer- und Personengruppen
  • Einsatzkontext und Entscheidungsrelevanz
  • mögliche Auswirkungen auf Rechte, Sicherheit oder Zugang zu Leistungen
  • Begründung der Einstufung nach AI Act
  • Verantwortlichkeiten und Freigabeprozess

Die Omnibus-Einigung nimmt Unternehmen also nicht die Klassifizierungsarbeit ab. Sie verschiebt eher den Zeitpunkt bestimmter Pflichten und erhöht zugleich den Wert sauberer Dokumentation.

6. Bias Detection und besondere Kategorien personenbezogener Daten

Ein besonders sensibler Bereich ist die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erkennung und Korrektur von Bias. Die Einigung hält an der Möglichkeit fest, solche Daten für Bias Detection und Bias Correction zu verarbeiten, stellt dies aber unter den Maßstab der strict necessity.

Für Unternehmen ist das datenschutzrechtlich anspruchsvoll. Besondere Kategorien personenbezogener Daten, etwa Gesundheitsdaten, biometrische Daten oder Daten, aus denen ethnische Herkunft oder politische Meinungen hervorgehen können, unterliegen nach der DSGVO besonders strengen Anforderungen.

Der Digital Omnibus schafft insoweit keinen allgemeinen Freibrief. Vielmehr müssen Unternehmen eng begründen, warum die Verarbeitung für Bias-Erkennung oder Bias-Korrektur zwingend erforderlich ist.

  • Bias-Tests sollten mit möglichst datensparsamen Verfahren geplant werden.
  • Die Erforderlichkeit sensibler Daten muss konkret begründet werden.
  • Alternativen mit anonymisierten, synthetischen oder aggregierten Daten sollten geprüft werden.
  • Datenschutz-Folgenabschätzung und AI-Act-Risikomanagement sollten aufeinander abgestimmt werden.
  • Löschfristen, Zugriffskonzepte und technische Schutzmaßnahmen müssen dokumentiert werden.

Die Schnittstelle zwischen AI Act und DSGVO bleibt damit einer der anspruchsvollsten Compliance-Bereiche.

7. Produktrecht und Maschinenrecht: Weniger Doppelregulierung

Die politische Einigung adressiert auch die Überschneidung des AI Act mit sektoralem Produktrecht. Besonders relevant ist dies für KI-Systeme, die Bestandteil regulierter Produkte sind, etwa Maschinen, Spielzeug, Medizinprodukte oder Aufzüge.

Für Hersteller und Inverkehrbringer ist das ein zentraler Punkt. In der Praxis stellt sich häufig die Frage, ob ein KI-basiertes Produkt primär über bestehende Produktsicherheitsvorschriften, über den AI Act oder über beide Regelwerke zu bewerten ist.

Der Omnibus soll hier Entlastung schaffen, ohne jedoch die Pflicht zur sicheren Gestaltung KI-basierter Produkte aufzuheben. Unternehmen sollten daher nicht isoliert auf den AI Act schauen. Sinnvoll ist ein integrierter Compliance-Ansatz, der Produktsicherheit, CE-Konformität, technische Dokumentation, Risikomanagement und KI-spezifische Anforderungen zusammenführt.

8. Erleichterungen für KMU und Small Mid-Caps

Ein weiteres Ziel der Einigung ist die Entlastung kleinerer und mittlerer Unternehmen. Bestimmte Erleichterungen sollen nicht nur klassischen KMU, sondern auch sogenannten Small Mid-Caps zugutekommen. Das betrifft insbesondere Dokumentations- und Verfahrensanforderungen sowie die Berücksichtigung der Unternehmensgröße bei der praktischen Umsetzung.

Diese Entlastungen dürfen jedoch nicht missverstanden werden. Auch kleinere Unternehmen bleiben verpflichtet, ihre KI-Systeme korrekt einzuordnen, Risiken zu bewerten und einschlägige Pflichten einzuhalten. Der Unterschied liegt eher im Umfang und in der Verhältnismäßigkeit der Umsetzung.

9. Governance: Stärkere Rolle des AI Office

Die Einigung sieht außerdem Änderungen bei der Governance vor. Das AI Office soll zusätzliche Kompetenzen erhalten, insbesondere bei bestimmten KI-Systemen, die auf General-Purpose-AI-Modellen beruhen, sowie bei Systemen im Kontext sehr großer Online-Plattformen oder Suchmaschinen.

Das deutet auf eine stärkere Zentralisierung bestimmter Aufsichts- und Koordinierungsfragen hin. Für Unternehmen kann dies vorteilhaft sein, wenn dadurch einheitlichere Auslegungslinien entstehen. Gleichzeitig bleiben nationale Marktüberwachungs- und Datenschutzbehörden relevant.

10. Bewertung: Vereinfachung, Verschiebung oder Verwässerung?

Die politische Einigung lässt sich unterschiedlich bewerten. Aus Unternehmenssicht bringt sie mehr Planungssicherheit, weil zentrale Hochrisiko-Pflichten nun an einen realistischeren Zeitplan gekoppelt werden sollen.

Aus grundrechtlicher Perspektive kann die Verschiebung allerdings kritisch gesehen werden. Je später Hochrisiko-Pflichten greifen, desto länger bleiben bestimmte Schutzmechanismen praktisch unvollständig. Hinzu kommt, dass die öffentliche Debatte um den Digital Omnibus nicht nur von Vereinfachung, sondern auch von Sorge vor einer regulatorischen Rücknahme digitaler Schutzstandards geprägt ist.

Die überzeugendste Einordnung liegt daher zwischen beiden Polen: Der Digital Omnibus on AI ist weder eine vollständige Abkehr vom AI Act noch eine rein technische Korrektur. Er ist eine politische Nachjustierung des Umsetzungsfahrplans. Für Unternehmen schafft er Zeit, aber keine Entpflichtung.

11. Was Unternehmen jetzt konkret tun sollten
  1. AI-Inventar aktualisieren: Alle eingesetzten und entwickelten KI-Systeme sollten erfasst werden, einschließlich Zweck, Anbieter, Nutzergruppen, Datenarten und Einsatzkontext.
  2. Risikoklassifizierung prüfen: Systeme sollten nach dem AI Act klassifiziert werden. Besonderes Augenmerk gilt Annex-III-Anwendungsbereichen, Produktintegration und möglichen Grundrechtsauswirkungen.
  3. Fristen-Roadmap anpassen: Die neuen politischen Fristen sollten in die Compliance-Roadmap übernommen werden, allerdings mit dem Hinweis, dass der finale Gesetzestext noch aussteht.
  4. Transparenzpflichten separat bewerten: Transparenz-, Kennzeichnungs- und Deepfake-Pflichten sollten unabhängig von Hochrisiko-Pflichten geprüft werden.
  5. Datenschutz und AI Governance verzahnen: Bias Detection, Trainingsdaten, besondere Kategorien personenbezogener Daten und Datenschutz-Folgenabschätzungen sollten nicht isoliert behandelt werden.
  6. Lieferketten und Verträge prüfen: Anbieter-, Betreiber-, Importeur- und Distributorrollen sollten vertraglich abgebildet werden.
  7. Produktrecht einbeziehen: Bei KI in regulierten Produkten sollte geprüft werden, wie AI Act, Produktsicherheitsrecht, Maschinenrecht und CE-Prozesse zusammenspielen.
12. Fazit

Die politische Einigung zum Digital Omnibus on AI vom 7. Mai 2026 verschiebt zentrale Pflichten des AI Act, vereinfacht einzelne Umsetzungsfragen und ergänzt zugleich neue Verbote für besonders missbräuchliche KI-Anwendungen. Unternehmen erhalten dadurch mehr Zeit, aber keine regulatorische Pause.

Die wichtigste praktische Botschaft lautet: Wer KI-Systeme entwickelt, anbietet oder einsetzt, sollte die zusätzliche Zeit nutzen, um AI Governance, Datenschutz, technische Dokumentation und Vertragsstrukturen belastbar aufzusetzen. Der finale Gesetzestext steht noch aus, doch die Richtung ist klar genug, um jetzt strukturiert weiterzuarbeiten.

Referenzen