EU AI Act: Ein Gesetz im Umbau – und warum das sinnvoll ist
Der EU AI Act war bei seiner Verabschiedung im Jahr 2024 als erstes umfassendes KI-Gesetz der Welt gefeiert worden. Doch die Realität der Umsetzung ist komplizierter als die politische Symbolik. Am 7. Mai 2026 haben Europäisches Parlament und Rat einen wegweisenden Deal beschlossen: den Digital Omnibus on AI. Das Ergebnis: erhebliche Vereinfachungen des Regelwerks und – vor allem – deutlich verlängerte Fristen für Hochrisiko-KI-Systeme. Kein Rückzieher, sondern eine notwendige Korrektur.
- ⚡ Quick Facts: EU AI Act Digital OmnibusDeal abgeschlossen: 7. Mai 2026
- Neue Frist (Annex III / standalone): 2. Dezember 2027
- Neue Frist (Annex I / eingebettet): 2. August 2028
- Transparenzpflichten: Vorgezogen auf 2. Dezember 2026
- Grund: Technische Standards noch nicht fertig
- Formale Annahme: Erwartet bis August 2026
Was ändert sich konkret durch den Digital Omnibus?
Der Digital Omnibus on AI bringt sieben zentrale Änderungen am EU AI Act. Die wichtigste: die Verlängerung der Compliance-Fristen für Hochrisiko-KI-Systeme.
Hochrisiko-KI-Systeme nach Annex III – also KI-Systeme, die in sensiblen Bereichen wie Biometrie, kritischer Infrastruktur, Bildung, Beschäftigung, Strafverfolgung und Grenzkontrolle eingesetzt werden – müssen nun erst bis zum 2. Dezember 2027 die Anforderungen des AI Acts erfüllen. Das ist eine erhebliche Verlängerung gegenüber der ursprünglichen Frist.
Hochrisiko-KI-Systeme nach Annex I – also KI-Systeme, die in Produkte eingebettet sind, die bereits unter EU-Sicherheitsgesetzgebung fallen, wie Medizingeräte oder Maschinen – erhalten sogar noch mehr Zeit: bis zum 2. August 2028. Diese Systeme sind besonders komplex, weil sie zwei Regulierungsregime gleichzeitig erfüllen müssen.
Warum die Verlängerung notwendig war
Das Europäische Parlament und der Rat haben die Verlängerungen explizit damit begründet, dass die technischen Standards und Leitliniendokumente, die Unternehmen für die Umsetzung benötigen, noch nicht vollständig fertiggestellt sind. Das ist ein bemerkenswertes Eingeständnis: Man kann von Unternehmen nicht verlangen, Standards einzuhalten, die noch gar nicht existieren.
Der European AI Office, der für die Erstellung dieser Standards zuständig ist, ist mit dem Tempo der KI-Entwicklung nicht mitgekommen. Harmonisierte Normen – also technische Detailspezifikationen, die zeigen, wie ein Unternehmen die gesetzlichen Anforderungen konkret erfüllen kann – liegen für viele Anwendungsbereiche noch nicht vor. Ohne diese Normen wären Unternehmen in einer rechtlichen Grauzone: Compliant oder nicht? Keiner kann es sagen.
Wer ist von Hochrisiko-KI-Anforderungen betroffen?
Die Frage, welche KI-Systeme als Hochrisiko gelten, ist für viele Unternehmen die entscheidende. Annex III des AI Acts listet acht Bereiche auf, in denen KI-Systeme automatisch als hochriskant eingestuft werden:
Biometrische Identifikation und Kategorisierung von Personen, KI in kritischer Infrastruktur (Strom, Wasser, Gas), Bildungseinrichtungen (z.B. KI bei Zulassungsentscheidungen), Personalentscheidungen und Kreditvergabe, Strafverfolgung und Migrationsmanagement sowie KI-gestützte Entscheidungen im Rechtssystem. Wer in diesen Bereichen tätig ist, muss sich auf erhebliche Compliance-Anforderungen vorbereiten – wenn auch mit mehr Zeit als ursprünglich gedacht. Weitere regulatorische KI-Entwicklungen verfolgt ihr auf unserer KI-Seite.
Transparenzpflichten: Vorgezogen, nicht verlängert
Nicht alles wurde aufgeschoben. Die Transparenzpflichten des AI Acts – darunter die Pflicht zur Kennzeichnung von KI-generierten Inhalten (Watermarking) – wurden sogar vorgezogen: Statt des ursprünglichen Datums gilt nun der 2. Dezember 2026 als Frist. Das zeigt: Der Digital Omnibus ist kein Rückzieher aus der KI-Regulierung, sondern eine Priorisierung. Verbraucher sollen schnell wissen, wann sie mit KI-Inhalten konfrontiert werden – auch wenn die komplexen Hochrisiko-Anforderungen noch Zeit brauchen.
Pro und Contra: Der Digital Omnibus
- ✅ ProVerhindert Compliance-Chaos durch fehlende technische Standards
- Unternehmen können realistische Umsetzungspläne erstellen
- Transparenzpflichten bleiben streng und werden vorgezogen
- Eingebettete Systeme erhalten nötige zusätzliche Zeit (Annex I)
- Pragmatischer Ansatz stärkt Vertrauen in EU-Regulierung
- ❌ ContraVerlängerungen schwächen den politischen Druck auf Hersteller
- Hochrisiko-KI bleibt bis 2027/2028 weniger reguliert
- Kritiker sehen Lobbydruck hinter den Aufweichungen
- Bürger in sensiblen Bereichen haben weiterhin weniger Schutz
- EU verliert internationalen Vorreiterbonus durch Verzögerungen
Was bedeutet das für deutsche Unternehmen?
Für Unternehmen in Deutschland und der EU ergibt sich aus dem Digital Omnibus vor allem eines: mehr Zeit, aber kein Freifahrtschein. Wer KI-Systeme in Hochrisikobereichen entwickelt oder einsetzt, sollte die gewonnene Zeit nutzen, um Compliance-Strukturen aufzubauen – nicht, um das Thema auf die lange Bank zu schieben. Die Fristen werden nicht nochmals verlängert, und die Strafen bei Nicht-Compliance sind erheblich: bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.
Besonders wichtig: Die Pflicht, ein AI-System-Register zu führen und interne Risikobewertungen zu dokumentieren, bleibt bestehen. Unternehmen tun gut daran, jetzt zu inventarisieren, welche ihrer KI-Systeme unter Hochrisiko-Kategorien fallen könnten – und entsprechende Governance-Strukturen aufzubauen.
Key Takeaways
- 🇪🇺 Digital Omnibus on AI wurde am 7. Mai 2026 beschlossen
- 🇪🇺 Hochrisiko-KI Annex III: neue Frist 2. Dezember 2027
- 🇪🇺 Hochrisiko-KI Annex I (eingebettet): neue Frist 2. August 2028
- 🇪🇺 Transparenzpflichten (Watermarking) vorgezogen auf 2. Dezember 2026
- 🇪🇺 Grund: Technische Standards des European AI Office noch nicht fertig
FAQ: EU AI Act Digital Omnibus
Was ist der Unterschied zwischen Annex I und Annex III?
Annex I enthält KI-Systeme, die in regulierte Produkte eingebettet sind (z.B. Medizingeräte). Annex III listet eigenständige KI-Anwendungen in sensiblen Bereichen wie Biometrie und Strafverfolgung. Beide gelten als Hochrisiko, aber Annex I hat eine längere Compliance-Frist.
Müssen KI-Chatbots wie ChatGPT oder Claude jetzt Inhalte kennzeichnen?
Ja, die Transparenzpflichten ab Dezember 2026 umfassen auch das Kennzeichnen KI-generierter Inhalte. Für General-Purpose-AI-Modelle gelten die GPAI-Regeln des AI Acts, die bereits früher in Kraft traten.
Was passiert, wenn ein Unternehmen die Fristen nicht einhält?
Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes drohen. Für KMUs gelten abgemilderte Strafen. Die Durchsetzung liegt bei den nationalen Marktaufsichtsbehörden.
Wird der AI Act nochmals verlängert?
Das ist politisch unwahrscheinlich. Der Digital Omnibus wurde als einmalige Korrektur verhandelt. Weitere Verlängerungen würden die Glaubwürdigkeit der EU-Regulierung ernsthaft beschädigen.
Fazit: Pragmatismus statt Rückzug
Der Digital Omnibus on AI ist kein Scheitern des EU AI Acts – er ist seine Reifung. Die EU zeigt damit, dass sie in der Lage ist, ihr Regelwerk pragmatisch anzupassen, wenn die Realität es erfordert. Unternehmen, die auf KI setzen, haben nun klarere Zeitpläne. Verbraucher werden zumindest bei Transparenz und Kennzeichnung schneller geschützt. Und die EU bleibt der weltweit einzige Akteur mit einem verbindlichen, umfassenden KI-Regulierungsrahmen.
Die Verlängerungen sind eine Chance – für Unternehmen, ihre KI-Governance ernsthaft aufzubauen, statt unter Zeitdruck oberflächliche Checkboxen abzuhaken. Wer diese Zeit nutzt, wird 2027 und 2028 entspannter dastehen als die Konkurrenz. Alle weiteren Entwicklungen zum Thema KI-Regulierung findet ihr auf Wiribu.







