Der Digital-Omnibus ist pünktlich vorgefahren. Am 19. November stellte die EU-Kommission zwei Vorschläge zur Vereinfachung der Digitalregulierung vor: Ein Paket zur Vereinfachung der Daten‑ und Digitalgesetze (Datenschutzgrundverordnung, ePrivacy-Richtlinie, Data Act, Data Governance Act, Open‑Data‑Richtlinie, Verordnung zum freien Verkehr nicht‑personenbezogener Daten sowie NIS2, DORA, CER und die Digital‑Identity‑Verordnung) und – heiß ersehnt – einen KI‑Omnibus zur Verschlankung der KI-Verordnung, um den es hier gehen soll. Doch Rufe nach „Stop-the-clock“ blieben darin weitgehend unerhört. KI-Agenten werden zwar erwähnt, aber als eher lose Referenz in einem Zuständigkeitsanhang. Kurz: Weniger als gedacht. Was aber bedeutet das für den Einsatz von KI im Unternehmen, und wie geht es weiter? KI-Kompetenz: Weniger ist mehr? Die gute Nachricht zuerst: Es gibt eine Pflicht weniger. Die harte (durchsetzbare) Pflicht zur „KI‑Kompetenz“ fällt weg. Anbieter und Betreiber müssen nicht mehr unternehmensweit eine formale AI‑Literacy nachweisen. Stattdessen sollen Kommission und Mitgliedstaaten die Qualifizierung fördern. In der Praxis bedeutet das allerdings wohl weniger, als es klingt. Dokumentierte Maßnahmen zur Schulung und Befähigung werden in Verfahren weiterhin als mildernder Umstand gewertet. Es fehlt künftig vor allem die unmittelbare Sanktionsdurchsetzbarkeit. Hochrisikopflichten oder das „kleine Stop-the-Clock“ Die erhoffte klare Verschiebung der Hochrisiko‑Pflichten auf einen festen Termin mit vorliegenden Standards und harmonisierten Normen kommt nicht. Die Rufe nach einer klar befristeten Verschiebung der umfassenden Compliance-Pflichten für die Anbieter von Hochrisiko-KI (zum Beispiel Biometrie, regulierte Produkte und KI für den Einsatz bei der Personalbeschaffung) waren laut. Insbesondere aus Deutschland war explizit gefordert worden, das Inkrafttreten der Pflichten auf ein eindeutiges Datum zu verschieben, an dem entsprechende Standards und harmonisierte Normen vorliegen sollen, um rechtssichere Leitplanken für die bisher ungewisse Umsetzung zu haben. Erfolglos. Stattdessen gibt es nun eine dynamische, an Entscheidungen der Kommission geknüpfte Umsetzungsfrist. Die Pflichten aus Kapitel III der KI-Verordnung greifen künftig erst, wenn „Maßnahmen zur Unterstützung der Einhaltung“ verfügbar sind – also, harmonisierte Normen, gemeinsame Spezifikationen oder Kommissionsleitlinien. Dabei wird jetzt – warum einfach, wenn es auch kompliziert geht – nach Klassifizierung unterschieden: Systeme nach Art. 6 Abs. 2 und Anhang III (etwa kritische Infrastrukturen, Beschäftigung, Strafverfolgung) haben nach einem Kommissionsbeschluss sechs Monate Zeit bis zur Anwendung. Systeme nach Art. 6 Abs. 1 und Anhang I (zum Beispiel Maschinen, Spielzeug, Medizinprodukte) zwölf Monate. Um die Planbarkeit nicht völlig auszuhöhlen, gibt es harte „Backstop“-Daten: Spätestens am 2. 12. 2027 greifen die Pflichten für Anhang‑III‑Systeme, spätestens am 2. 8. 2028 für Anhang‑I‑Systeme; wenn ein System für Behörden bestimmt ist, gilt der Endtermin 2. 8. 2030. Die bestehende Übergangsregel in Art. 111 Abs. 2 wird gleichzeitig so präzisiert, dass typ‑ und modellbezogene Kategorien erfasst sind und nicht jede einzelne Instanz des Systems. Klingt kompliziert? Ist es auch. Und rechtssicherer und damit innovationsfördernd ist es sicher nicht. Nota bene: Wenn die Kommission entsprechende Entscheidungen im Februar 2026 treffen würde (wovon zugegebenermaßen nicht auszugehen ist), bliebe ohnehin alles beim Alten. Transparenzpflichten: Kurze Atempause, aber nicht für alle Transparenzpflichten bleiben, werden aber pragmatischer getaktet: Anbieter generativer KI‑Systeme (einschließlich GPAI‑Modelle), die vor dem 2. 8. 2026 bereitgestellt wurden, erhalten bis zum 2. 2. 2027 Zeit, die Kennzeichnungspflicht aus Artikel 50 Abs. 2 KI‑VO umzusetzen. Inhalte müssen dann maschinenlesbar als künstlich generiert oder manipuliert erkennbar sein. Für viele Unternehmen ist das eine knappe, aber hilfreiche Atempause, um Wasserzeichen‑Architekturen belastbar zu planen, zu testen und auditierbar zu machen. Der Entwurf macht insofern auch deutlich, dass nach der aktuellen Rechtslage alle im Verkehr befindlichen KI-Systeme am 2. 8. 2026 entsprechende Kennzeichnungen haben müssen. Auch hier gilt aber: Achtung. Artikel 50 enthält über Absatz 2 hinaus weitere Ausprägungen der Transparenzpflichten, zum Beispiel für Deepfakes. Da ändert sich nichts, Stichtag bleibt der 2. 8. 2026. Weitere Verfahrenserleichterungen Verfahrensrechtlich bringt der KI‑Omnibus einige echte Vereinfachungen. Zum Beispiel die folgenden: KI‑Systeme, die nach Art. 6 Abs. 3 wirksam als Nicht‑Hochrisiko eingestuft sind, müssen nicht mehr in die EU‑Datenbank eingetragen werden – die Einstufung bleibt jedoch dokumentationspflichtig.Pre‑Market‑Konformitätsbewertungen werden möglich: Die Kommission oder beauftragte notifizierte Stellen können vor dem Inverkehrbringen Tests und Bewertungen organisieren; die Gebühren trägt der Anbieter. Das „Once‑only“-Prinzip erlaubt eine einzige Antragstellung und Bewertung für Benennungen unter der KI‑VO und dem einschlägigen sektoralen Produktrecht (Annex I, Section A), wo entsprechende Verfahren existieren. Für regulierte Produkte bleibt die sektorale Konformität der primäre Weg; die KI‑Pflichten aus Kapitel III, Abschnitt 2 werden in die Produktprüfung integriert.Parallel erweitert die Kommission KI‑Sandboxes und Realtests: Neben nationalen Reallaboren kann das KI‑Büro EU‑Sandboxes für bestimmte GPAI‑basierte Systeme und KI‑Systeme im Very Large Online Platform‑Kontext (Stichwort: Digital Services Act) einrichten; Real‑World‑Testing wird auf alle produktregulierten KI-Systeme ausgedehnt.Das KI‑Büro („AI Office“) erhält „alle Befugnisse einer Marktüberwachungsbehörde“ für GPAI‑Modelle/-Systeme und für KI, die Very Large Online Platforms oder Search Engines sind oder dort eingebettet werden.Gleichzeitig sieht der KI‑Omnibus Entlastungen für kleinere Unternehmen vor: Neben SMEs (unter 250 Mitarbeitende/50 Mio. Euro Umsatz) werden SMCs (unter 750 Mitarbeitende/150 Mio. Euro Umsatz) privilegiert, mit vereinfachter technischer Dokumentation, proportionalem Qualitätsmanagement und reduzierten Bußgeldern. Schnittstellen zum Datenschutz: Neue Leitplanken Besonders praxisrelevant sind die Änderungen im Datenschutzrecht für den KI‑Kontext. Die Verarbeitung sensibler Daten in Entwicklung und Betrieb von KI‑Systemen und KI‑Modellen soll erlaubt werden – wohl unter strengen organisatorischen und technischen Schutzmaßnahmen. Zugleich können nunmehr ausdrücklich „berechtigte Interessen“ als Rechtsgrundlage für Entwicklung und Betrieb von KI genutzt werden. Auf Ebene der KI‑VO wird die bisherige Bias‑Ausnahme aus Art. 10 Abs. 5 in der Sache ausgeweitet: Sensible Daten dürfen – unter strengen Sicherungen – nicht nur in Hochrisiko‑Systemen, sondern auch in KI‑Modellen und anderen KI‑Systemen für Bias‑Erkennung und ‑Korrektur verarbeitet werden. Praktisch entsteht durch diese Änderungen wohl ein belastbarer, aber anspruchsvoller Rechtsrahmen für Trainings‑ und Validierungs‑Pipelines bei der Verwendung von personenbezogenen Daten im Zusammenhang mit KI. Und was heißt das jetzt? Zunächst: Wenig. Es handelt sich beim KI-Omnibus um einen ersten Entwurf, der diskutiert werden wird. Die EU-Kommission spricht zwar von besonderer Dringlichkeit der Umsetzung, konkrete Pläne für ein beschleunigtes Verfahren scheint es aber augenblicklich nicht zu geben. Mit einem Inkrafttreten ist daher wohl frühestens im Frühjahr 2026 zu rechnen. Konkrete Maßnahmen beschränken sich daher für den Moment auf ein Minimum. Weder ist es empfehlenswert, jetzt die Implementierung von Hochrisikopflichten auf Eis zu legen, weil man mit längerer Verschiebung rechnet, noch sollten Initiativen im Hinblick auf KI-Kompetenz komplett fallen gelassen werden. Wie bei allen Compliance-Themen gilt: Mehr ist mehr, und Dranbleiben ist Pflicht. Wer die Umsetzung der Transparenzpflichten bisher nicht so ganz ernst genommen hat, weiß spätestens jetzt, dass es kommenden August für die allermeisten dieser Pflichten jedenfalls ernst wird. Politisch ist der Ausgang offen. Parlament und Rat müssen zustimmen; eine unveränderte Annahme gilt als unwahrscheinlich. Möglich sind langwierige Verhandlungen mit weiteren Änderungen oder eine Fokussierung auf wenige Schlüsselaspekte, um Tempo zu machen.
06:50 Uhr