← Alle Beiträge

EU AI Omnibus: Die Frist wurde verschoben — kein Grund zur Entwarnung

Matthias Bruns · · 5 Min. Lesezeit
eu ai act ki-governance compliance regulierung

Die Kommission hat nachgegeben

Im Februar 2026 hat die Europäische Kommission den Digital-Omnibus-Vorschlag veröffentlicht — ein Gesetzespaket, das unter anderem die Durchsetzungsfristen für Hochrisiko-KI-Systeme im Rahmen des EU AI Act nach hinten verschiebt.

Die neue Zeitschiene:

  • Annex-III-Hochrisikosysteme (Kreditscoring, HR-Screening, Strafverfolgung): verschoben von August 2026 auf spätestens Dezember 2027.
  • Annex-I-Hochrisikosysteme (Sicherheitskomponenten in regulierten Produkten): verschoben von August 2027 auf August 2028.

Der Grund? Harmonisierte Standards sind nicht fertig. Nationale Behörden wurden nicht benannt. Konformitätsbewertungsstellen werden noch aufgebaut. Die Infrastruktur für die Durchsetzung existiert schlicht noch nicht.

Kurz gesagt: Die Regulierer sind nicht bereit zu regulieren.

Warum das kein Freifahrtschein ist

Wenn Deine erste Reaktion ist „Super, KI-Governance können wir auf nächstes Jahr schieben“ — denk nochmal nach.

Die gemeinsame Stellungnahme von EDPB und EDPS zum Omnibus macht den Ton klar: Den Datenschutzbehörden sind diese Verzögerungen nicht geheuer. Sie warnen explizit, dass die Verschiebung „Grundrechte verletzen und die Rechtssicherheit untergraben“ könnte. Am liebsten wäre ihnen der ursprüngliche Zeitplan.

Was das praktisch bedeutet:

  1. Die GPAI-Regeln gelten bereits. Pflichten für allgemeine KI-Modelle — Transparenz, Dokumentation, Urheberrechts-Compliance — sind seit August 2025 in Kraft. Das AI Office kann ab August 2026 durchsetzen. Das sind fünf Monate.

  2. Der Omnibus ist ein Vorschlag, kein Gesetz. Er braucht noch die Zustimmung von Europäischem Parlament und Rat im Trilog. Der finale Zeitplan kann sich in beide Richtungen verschieben.

  3. NIS2-Fristen laufen parallel. Der Cybersecurity Act 2 und die überarbeitete NIS2-Richtlinie sind bis April 2026 in der Konsultation. Wenn Deine KI-Systeme kritische Infrastruktur berühren, schlägst Du Dich mit überlappenden Regulierungswellen herum.

  4. Deine Kunden warten nicht. Enterprise-Einkaufsabteilungen nehmen AI-Act-Compliance bereits in Ausschreibungen auf. „Wir sind bis 2027 bereit“ gewinnt 2026 keine Deals.

Was der Omnibus konkret ändert

Neben der Zeitverschiebung enthält der Vorschlag inhaltliche Änderungen, die man verstehen sollte:

Sensible Daten für Bias-Erkennung — erweitert

Aktuell darf man besondere Datenkategorien (Ethnie, Gesundheit etc.) nur bei Hochrisikosystemen unter strenger Notwendigkeit für die Bias-Erkennung verarbeiten. Der Omnibus würde das auf alle KI-Systeme erweitern und die Schwelle von „streng notwendig“ auf „notwendig und verhältnismäßig“ senken.

Der EDPB kritisiert das scharf — er sieht darin eine Aufweichung der DSGVO-Schutzmaßnahmen. Wer KI-Systeme baut, die sensible Kategorien berühren, sollte sich auf intensive Debatten zu diesem Punkt einstellen.

Registrierungspflichten — gelockert

Aktuell müssen alle Annex-III-Systeme in der EU-Hochrisikodatenbank registriert werden, auch wenn ein Anbieter sie nach Artikel 6(3) selbst als nicht-hochriskant einstuft. Der Omnibus würde das für selbst-klassifizierte Nicht-Hochrisikosysteme streichen.

Der EDPB lehnt das entschieden ab — mit dem Argument, es reduziere Transparenz und setze Anreize für „übertrieben optimistische Selbsteinschätzung.“ Übersetzt: Unternehmen werden sich aus Pflichten herausklassifizieren, wenn man sie lässt.

EU-weite KI-Sandboxes — neu

Der Vorschlag schafft EU-weite regulatorische Sandboxes unter dem AI Office. Nationale Sandboxes gab es schon, aber grenzüberschreitende könnten besonders kleineren Unternehmen helfen, KI-Systeme zu testen, ohne sich durch 27 verschiedene Regulierungslandschaften zu navigieren. Der Haken: Die Beteiligung von Datenschutzbehörden ist nicht explizit vorgeschrieben — der EDPB will das geändert haben.

VLOPs unter zentraler Aufsicht

KI-Systeme in sehr großen Online-Plattformen (VLOPs/VLOSEs) würden unter die exklusive Aufsicht des AI Office gestellt. Die Zentralisierung ergibt Sinn — niemand will, dass 27 nationale Behörden unabhängig voneinander die gleiche Plattform-KI prüfen.

Was kluge Teams jetzt tun sollten

Die Extra-Zeit ist ein Geschenk — aber nur, wenn Du sie nutzt. Das ist der Plan:

1. KI-Inventar erstellen

Du kannst keine Regeln einhalten, die Du nicht zuordnen kannst. Die meisten Unternehmen haben immer noch keinen klaren Überblick, welche KI-Systeme sie betreiben, woher die Modelle stammen und welche Daten verarbeitet werden. Fang hier an.

2. Governance-Fundament jetzt bauen

Risikoanalysen, Dokumentationsvorlagen, Verfahren für menschliche Aufsicht — das braucht in der Praxis Monate. Die Organisationen, die Ende 2027 bereit sein werden, sind diejenigen, die Q1 2026 anfangen, nicht Q1 2027.

3. NIS2-Konvergenz beobachten

Wenn Deine KI kritische Infrastruktursektoren berührt (Energie, Transport, Gesundheit, Finanzen), kommen NIS2-Pflichten auf einer parallelen Schiene. Deine Compliance-Architektur muss beides abdecken.

4. Am Omnibus-Prozess teilnehmen

Der Vorschlag durchläuft 2026 den Trilog. Industrie-Input beeinflusst den finalen Text. Wenn eine bestimmte Regelung Dein Geschäft betrifft, ist jetzt der Moment, Position zu beziehen — über Branchenverbände, Konsultationen oder direkt.

5. Nicht auf weitere Verschiebungen wetten

Die Kommission hat bereits einmal verlängert. Ein weiterer Aufschub ist politisch schwer vermittelbar. Plane mit Dezember 2027 als harte Deadline und baue Puffer in Deine Zeitplanung ein.

Fazit

Der EU AI Omnibus ist ein ehrliches Eingeständnis, dass die Regulierungsinfrastruktur nicht dort ist, wo sie sein müsste. Die Kommission hat Pragmatismus über symbolische Durchsetzung gestellt — was, ehrlich gesagt, die richtige Entscheidung ist. Regeln durchzusetzen, die niemand überprüfen kann, hilft niemandem.

Aber die Richtung hat sich nicht geändert. Der AI Act wird durchgesetzt. Die Frage war nie ob, sondern wann und wie streng.

Unternehmen, die diese Verschiebung als zusätzliche Vorbereitungszeit nutzen, werden besser dastehen. Unternehmen, die sie als Erlaubnis verstehen, KI-Governance zu ignorieren, werden ein sehr teures 2027 erleben.

Deine Entscheidung.

Lesebarkeit

Schriftgröße