Die aktuelle Dynamik rund um den „Digital Omnibus on AI“ führt zunehmend zu widersprüchlichen Signalen aus Brüssel. Zwischen Kommissionsvorschlag, Parlaments- und Ratsposition bleibt für viele Unternehmen vor allem Unklarheit:
Was genau umfasst der Omnibus tatsächlich, welche Änderungen setzen sich im Gesetzgebungsprozess durch, wo stehen die Trilog-Verhandlungen aktuell? Und vor allem: Welche Konsequenzen ergeben sich daraus konkret für die eigene Compliance-Planung? Vor diesem Hintergrund lohnt sich ein strukturierter Blick auf den aktuellen Stand und die wesentlichen Weichenstellungen.
Warum ein Digital Omnibus on AI?
Der Auslöser für den Digital Omnibus war unter anderem der Draghi-Bericht zur europäischen Wettbewerbsfähigkeit. Dieser identifizierte die überbordende Digitalregulierung in der EU als massives Innovationshindernis. Die Europäische Kommission stellte fest, dass insbesondere das Fehlen harmonisierter europäischer Normen bis Ende 2026 sowie die immensen Compliance-Kosten von bis zu 600.000 Euro für mittelständische Unternehmen eine Anpassung zwingend erforderlich machten. Hinzu kommt eine mangelhafte nationale Vorbereitung, da zum Zeitpunkt des Vorschlags erst wenige Mitgliedstaaten die notwendigen Aufsichtsbehörden benannt hatten. Der Digital Omnibus soll hier gegensteuern, indem er den administrativen Aufwand für Unternehmen um 25 bis 35 Prozent senkt. Insgesamt sollen dadurch Einsparungen von rund 6 Milliarden Euro bis zum Jahr 2029 ermöglicht werden.
Der Kommissionsvorschlag: Was geändert werden soll
Die Europäische Kommission präsentierte im November 2025 einen Entwurf, der die Anwendung der Hochrisiko-Regeln flexibel an die Verfügbarkeit technischer Standards koppeln wollte. Ein Kernpunkt ist die Einführung der Kategorie der „Small Mid-Caps“ mit bis zu 750 Mitarbeitenden. Diese sollen ähnlich wie KMU von regulatorischen Erleichterungen profitieren. Zudem sah die Kommission vor, die ursprüngliche Pflicht zur Sicherstellung von KI-Kompetenz bei Mitarbeitenden zu einer reinen Förderaufgabe herabzustufen. Ein weiterer Entlastungspunkt war der geplante Wegfall der Registrierungspflicht in der EU-Datenbank für Anbieter, die ihre Systeme nach interner Prüfung selbst als nicht-hochriskant einstufen. Ziel war es, bürokratische Hürden dort abzubauen, wo kein signifikantes Risiko für Grundrechte besteht.
Kritik der Datenschutzbehörden
Diese Pläne zur Verwaltungsvereinfachung stießen umgehend auf den Widerstand der europäischen Datenschutzaufsicht. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte warnten eindringlich davor, den Schutz der Grundrechte zugunsten der Effizienz aufzuweichen. Besonders kritisiert wurde die geplante Lockerung bei der Registrierungspflicht, da dies die öffentliche Kontrolle und Rechenschaftspflicht untergraben würde. Auch die Absenkung der Hürden für die Verarbeitung sensibler Daten zur Bias-Erkennung wurde abgelehnt, da dies eine Kernmaßnahme der DSGVO schwächen könnte. Die Behörden forderten stattdessen eine Beibehaltung des ursprünglichen Transparenzniveaus und eine stärkere Einbindung der Datenschutzbeauftragten in geplante KI-Reallabore.
Positionen von EU Rat und Parlament
In der parlamentarischen Lesung setzte sich die Forderung nach Rechtsklarheit durch. Daher ersetzte das Parlament den flexibleren Zeitplan der Kommission durch feste Kalenderdaten. Für eigenständige Hochrisiko-KI-Systeme wurde der 2. Dezember 2027 als Stichtag vorgeschlagen, während für in Produkte eingebettete Systeme der 2. August 2028 gelten soll.
Ein Zusatz des Parlaments ist das strikte Verbot von „Nudifier-Apps“, die KI nutzen, um ohne Zustimmung sexuell explizite Bilder realer Personen zu generieren. Zudem forcierte das Parlament einen engeren Zeitplan für die Kennzeichnungspflicht von KI-Inhalten nach Art. 50 KI-VO mittels Wasserzeichen bereits bis zum 2. November 2026. Im Gegensatz zur Kommission hielt das Parlament an einer abgeschwächten, aber weiterhin verbindlichen Pflicht zur Förderung der KI-Kompetenz fest.
Nächster Schritt: Trilog-Verhandlungen
Mit dem Parlamentsbeschluss sind die interinstitutionellen Verhandlungen zwischen Kommission, Rat und Parlament in die entscheidende Phase getreten. Eine finale Einigung wird bis Mitte 2026 angestrebt. Denn nur so kann der Digital Omnibus noch vor dem ursprünglichen Geltungsbeginn im August 2026 im Amtsblatt zu veröffentlicht werden.
Zu den schwierigsten Verhandlungspunkten gehört die strukturelle Integration der KI-Anforderungen in bestehende sektorale Produktgesetze wie die Medizinprodukteverordnung, was das Parlament massiv fordert. Zudem müssen Kompromisse bei den Fristen für Wasserzeichen und der genauen Ausgestaltung der Unterstützung für den Mittelstand gefunden werden. Der Zeitdruck ist hoch, da bei einem Scheitern der Verhandlungen die ursprünglichen, strengeren Fristen der KI-Verordnung unverändert in Kraft treten würden.
Bedeutung Digital Omnibus on AI für Unternehmen
Für die Unternehmenspraxis kann der Digital Omnibus eine Atempause bringen, entlässt die Verantwortlichen jedoch nicht aus der Pflicht zur frühzeitigen Governance-Planung. Während die Compliance für Hochrisiko-Systeme voraussichtlich erst Ende 2027 vollständig umgesetzt sein muss, gelten andere Verbote bereits seit August 2025. Die Transparenzpflichten für KI-Systeme bleiben nach aktuellem Stand ab dem 2. August 2026 verbindlich, und auch die Pflichten für Anbieter allgemeiner KI-Modelle greifen unverändert.
Unternehmen sollten die verbleibende Zeit daher aktiv nutzen, um ihre Risikomanagementsysteme und die technische Dokumentation aufzubauen, da die Pflichten der KI-VO durch den Omnibus nicht abgeschwächt, sondern lediglich zeitlich entzerrt werden sollen.
KI-Compliance aus einer Hand
Künstliche Intelligenz rechtssicher nutzen & entwickeln
- KINAST KI-Beratung
- KINAST externer KI-Beauftragter
- KINAST KI-Kompetenz-Schulungen
