Die Regierungen der EU-Mitgliedstaaten und das Europäische Parlament haben am 7. Mai 2026 eine vorläufige Einigung über das digitale Omnibus-Gesetz erzielt. Dabei wurden zwei Umsetzungsfristen für Hochrisikosysteme verschoben, Maschinen aus dem Anwendungsbereich des KI-Gesetzes ausgeschlossen und zwei neue Verbote mit Wirkung zum 2. Dezember 2026 hinzugefügt. Hier erfahren Sie, was sich geändert hat, was unverändert blieb und welche fünf Schritte Sie diese Woche einleiten sollten.
•
•
9 Minuten Lesezeit
Themen
Die EU-Regierungen und das Europäische Parlament haben in den frühen Morgenstunden des 7. Mai 2026 nach neunstündigen Verhandlungen über Nacht eine vorläufige Einigung über den Digital Omnibus erzielt. Drei wesentliche Punkte haben sich geändert: (i) Zwei risikoreiche Umsetzungsfristen wurden nach hinten verschoben; (ii) in Maschinen eingebettete KI fällt nicht unter das KI-Gesetz (AI Act); und (iii) zwei neue Verbote wurden hinzugefügt. Die Vereinbarung macht Boden gut, der verloren ging, als die Triloge am 28. April wegen des Geltungsbereichs für Maschinen scheiterten. Sie bleibt bis zur formellen Billigung vorläufig.
Organisationen, die KI entwickeln, einführen oder nutzen, sollten diese neuen Termine als Planungsgrundlage heranziehen. Diese Vereinbarung wurde unter anhaltendem Druck der Ratspräsidentschaft vermittelt, wobei ein wettbewerbsorientierter Rahmen im Stile von Draghi als Argumentationshilfe diente. Sie wird in der nächsten Legislaturperiode nicht erneut verhandelt werden.
Die wesentlichen Änderungen
Diese Verhandlungen brachten drei wesentliche Änderungen am EU-KI-Gesetz mit sich, die im Folgenden näher erläutert werden.
Zeitplan für die Umsetzung
Zwei Fristen wurden verschoben. Beide sind nun fest vorgegeben und ersetzen die frühere bedingte Übergangsfrist der Kommission, die an die Verfügbarkeit harmonisierter Standards gekoppelt war.
Anwendungsbereich | Zuvor | Jetzt |
|---|---|---|
Eigenständige Hochrisikosysteme (Anhang III) | 2. August 2026 | 2. Dezember 2027 |
KI in regulierten Produkten (Anhang I) | 2. August 2027 | 2. August 2028 |
Zur Einordnung: Anhang III orientierte sich am allgemeinen Geltungsbeginn des Gesetzes, und Anhang I hatte eine eigene dreijährige Frist gemäß Artikel 113 Buchstabe c. Anhang III betrifft biometrische Identifizierung, kritische Infrastrukturen, Beschäftigung, Bildung, Strafverfolgung, Migration und Rechtspflege. Anhang I betrifft KI in Produkten, die bereits dem sektoralen Sicherheitsrecht der EU unterliegen (Medizinprodukte, In-vitro-Diagnostika, Kraftfahrzeuge, Zivilluftfahrt, Eisenbahn). Der verlängerte Zeitrahmen für den Vollzug wurde bereits zu einem früheren Zeitpunkt der Verhandlungen vereinbart, während es beim jüngsten Ringen darum ging, wie das KI-Gesetz Maschinen erfasst.
Maschinen
Die Industrie argumentierte, dass in Industrieanlagen eingebettete KI bereits der Maschinenverordnung (EU) 2023/1230 unterliegt und eine parallele Regulierung durch das KI-Gesetz eine Doppelung der Konformitätsbewertung ohne angemessenen Nutzen bedeuten würde. Die Einigung vom Mai akzeptiert dieses Argument: KI, die in Maschinen im Anwendungsbereich der Verordnung 2023/1230 eingebettet ist, wird vom KI-Gesetz ausgenommen.
Diese Ausnahme ist jedoch eng gefasst. Sie gilt nicht für KI zur Steuerung von Arbeitskräften in Fabrikhallen, biometrische Komponenten oder agentische Systeme, die zum Betrieb von Maschinen eingesetzt werden; diese fallen je nach Sachverhalt weiterhin unter Anhang III.
Nehmen wir als Beispiel eine KI zur industriellen Sichtprüfung in einer CE-gekennzeichneten Maschine. Sie fällt nun unter die Maschinenverordnung und nicht mehr unter das KI-Gesetz, aber die Pflichten verlagern sich mit ihr. Die Maschinenverordnung enthält eigene grundlegende Sicherheits- und Gesundheitsschutzanforderungen, Konformitätsbewertungsverfahren und Pflichten zur Erstellung der technischen Dokumentation. Die Erkennung von Abweichungen (Drift-Detection) und Vorgaben zur menschlichen Aufsicht finden weiterhin Anwendung, da Anhang III die Sicherheitsleistung während des gesamten Lebenszyklus von selbstlernenden Maschinen und die Möglichkeit der Übersteuerung automatisierter Funktionen durch den Bediener verlangt. KI in Medizinprodukten nach der MDR ist ähnlich, aber nicht identisch – sie verbleibt im Anhang I, wobei sich das KI-Gesetz über die MDR legt, anstatt ihr den Vortritt zu lassen.
Zwei neue Verbote, beide wirksam ab dem 2. Dezember 2026
Das Parlament benötigte konkrete Ergänzungen, um nachzuweisen, dass das Gesetz nicht ausgehöhlt wurde, und erhielt zwei.
Nicht einvernehmlich generierte, durch KI erzeugte sexuelle Darstellungen sind verboten. Diese Bestimmung reagiert auf dieselben politischen Bedenken wie die jüngsten Kontroversen um Deepfakes (einschließlich Inhalten des Grok-Chatbots von xAI) und auf die Bestimmungen zum Missbrauch intimer Bilder im britischen Online Safety Act. Die genaue Platzierung wird voraussichtlich im konsolidierten Text bestätigt.
Die Kennzeichnung von KI-generierten Inhalten mittels Wasserzeichen wird für Anbieter obligatorisch. Bilder, Audio- und Videodaten fallen darunter; bei synthetischen Texten ist dies noch eine offene Frage für die Durchführungsakte (siehe Bird & Bird und AOShearman). Der C2PA-Standard für Inhaltsnachweise ist der wahrscheinlichste Bezugspunkt, wurde aber noch nicht bestätigt. Dies geht über die Kennzeichnungspflicht nach Artikel 50 Absatz 2 hinaus, indem der technische Mechanismus vorgeschrieben wird, statt dies den Anbietern zu überlassen.
Die zweite Ergänzung hat die weitreichendsten Auswirkungen und ist etwas, das die meisten Anbieter und Betreiber noch nicht in ihre Entwicklungsprozesse integriert haben.
Was sich nicht mit den Fristen verschoben hat
Der Omnibus-Entwurf hat die regulatorische Untergrenze an einer Stelle um sechzehn Monate und an einer anderen um zwölf Monate verschoben. Oberhalb dieser Untergrenze wurde jedoch nichts verschoben, und die Messlatte hat sich von selbst weiter erhöht. Versicherungsprüfung, die Aufsicht durch den Vorstand, ISO/IEC 42001 und Erklärungen zur Kundenbeschaffung verschärfen sich nach ihrem eigenen Zeitplan; Fragebögen von Versicherern fordern mittlerweile routinemäßig Nachweise über die Führung eines Inventars und die Risikoklassifizierung. Bojana Bellamys Formulierung in Episode 15 des AI Governance Podcasts bringt es auf den Punkt: Compliance ist das Minimum, Rechenschaftspflicht (Accountability) ist alles darüber.
Wenn Sie die Einigung lediglich als Verschiebung von Fristen betrachten, werden Sie die falschen Arbeitsschritte depriorisieren. Die Verpflichtungen, die während des Aufschubs am ehesten die Aufmerksamkeit der Aufsichtsbehörden auf sich ziehen werden, sind bereits in Kraft. Die KI-Kompetenz nach Artikel 4 steht ganz oben auf der Liste und ist in diesem Quartal ein aktiver Budgetposten. Die Verbote nach Artikel 5 und die Transparenzpflichten nach Artikel 50 gelten weiterhin, ebenso wie die GPAI-Verpflichtungen im Rahmen des Verhaltenskodex (Code of Practice). Das KI-Büro (AI Office) baut seine zentralen Kapazitäten weiter auf, die Benennungen nach Artikel 70 festigen sich, und die strukturelle Durchsetzungslücke, die Sophie in 't Veld im Februar in unserem Podcast dargelegt hat, ist nicht geschlossen. Die Anforderungen des sektoralen Sicherheitsrechts im Finanzdienstleistungsbereich, bei Medizinprodukten und der funktionalen Sicherheit im Automobilbereich bleiben unberührt.
Wie Bellamy es ausdrückte: Der Fokus in zukunftsorientierten Organisationen verschiebt sich von der Sorge vor einer Geldstrafe in Höhe von vier Prozent hin zur Sorge über entgangene Chancen, wenn KI nicht optimal eingesetzt wird und keine Produkte entwickelt werden, denen die Kunden vertrauen.
Fünf Maßnahmen für diese Woche
Nachfolgend führen wir fünf Maßnahmen auf, die Sie noch heute zur Vorbereitung ergreifen können, geordnet nach Dringlichkeit. Die ersten beiden sichern Prozesse, die in Ihrer Organisation bereits laufen sollten, und die letzten drei richten die Planung neu aus, bevor die neuen Termine endgültig feststehen.
Stoppen Sie nicht den Aufbau Ihres KI-Inventars.
Die Verpflichtungen aus Anhang III gelten ab Dezember 2027 statt ab August 2026, aber der Aufwand für den Aufbau und die Pflege Ihres Inventars ist beträchtlich. Nutzen Sie die zusätzlichen sechzehn Monate, um Vollständigkeit über alle Geschäftsbereiche, agentischen Systeme und Schatten-KI-Anwendungen hinweg zu erreichen. Die Signale von Beschaffungsstellen, Vorständen und Versicherern, die das Inventar im Jahr 2025 gefordert haben, haben nicht an Bedeutung verloren.
Konzipieren Sie vor September einen Proof-of-Concept für Wasserzeichen auf Basis von C2PA.
Der Rahmen ist ab dem 2. Dezember 2026 verbindlich (sieben Monate); die technische Spezifikation folgt über Durchführungsakte. Bei strukturierter Herangehensweise sollte die Entwicklungsabteilung für die Implementierung zuständig sein, das Governance-Team die Abgrenzung der Ausgabeklassen (Bild, Audio, Video, eventuell Text) prüfen und die Rechtsabteilung die Konsultationen verfolgen.
Erstellen Sie eine Checkliste für den Nachweistransfer zwischen den Konformitätswegen des KI-Gesetzes und der Maschinenverordnung.
Identifizieren Sie für jedes System im Anwendungsbereich der Verordnung 2023/1230, was zu übertragen ist (Risikomanagement-Dokumente, Überwachung nach dem Inverkehrbringen, Teile der technischen Dokumentation), was überarbeitet werden muss (Referenzsatz harmonisierter Standards, grundlegende Sicherheits- und Gesundheitsschutzanforderungen) und an welche zuständige Behörde Sie berichten. Machen Sie dies zu einem gemeinsamen Arbeitsbereich mit der Produktsicherheit, da Lücken meist bei der Übergabe der Dokumentation entstehen.
Führen Sie die Klassifizierungen nach Anhang III für alle Systeme, die den Maschinenbereich berühren, erneut durch.
Die allgemeine Klassifizierungslogik in Artikel 6 bleibt unverändert, jedoch wird sich der Anwendungsbereich nun erweitern. Dokumentieren Sie die Begründung und die Muster, die sich am ehesten ändern werden: KI-Funktionen in CE-gekennzeichneten Maschinen (nun Maschinenverordnung), KI zur Steuerung von Arbeitskräften an Industriestandorten (weiterhin Anhang III), biometrische Komponenten in ansonsten ausgenommenen Geräten (weiterhin Anhang III).
Bereiten Sie die Argumentation für die Führungsebene vor.
Um die Chefetage zu informieren, sind hier die vier Punkte, die Sie in einem Executive Briefing ansprechen sollten:
Die Umsetzungsfristen wurden verschoben. Die Erwartungen von Vorständen, Kunden und Versicherern jedoch nicht.
Die Pflicht zur KI-Kompetenz nach Artikel 4 ist in Kraft und das wahrscheinlichste Ziel von Durchsetzungsmaßnahmen während des Aufschubs.
Die Kennzeichnung mit Wasserzeichen ist nun sowohl eine Compliance-Verpflichtung als auch eine technische Entwicklungsaufgabe. Der neue Rahmen ist ab Dezember 2026 verbindlich, und die technische Spezifikation wird anschließend folgen. Planen Sie die Umsetzung jetzt und verfolgen Sie parallel die Konsultationen.
ISO 42001, das sektorale Sicherheitsrecht und Beschaffungserklärungen folgen ihrem eigenen Zeitplan, und Ihre Arbeit am Inventar bildet die Grundlage für all diese Bereiche.
Was wir als Nächstes beobachten
Bis die Position im Digital Omnibus endgültig feststeht, sind noch einige Schritte erforderlich. Auch wenn dies Ihre Planung nicht verzögern sollte, da die eigentliche Arbeit auf regulatorischer Seite nun getan ist, gibt es einige Termine und Aktualisierungen, die man im Auge behalten sollte:
Formelle Billigungsvoten von Rat und Parlament, die vor dem 30. Juni erwartet werden.
Durchführungsakte für Wasserzeichen, insbesondere die Frage des Geltungsbereichs für synthetische Texte; das erste Signal wird voraussichtlich eine öffentliche Konsultation sein.
Sektorale Leitlinien zur KI in Maschinen von der GD GROW und den Produktbehörden der Mitgliedstaaten.
Leitlinien des KI-Büros im Vorfeld der Umsetzung sowie Entscheidungen der Mitgliedstaaten in Frankreich, Deutschland und den Niederlanden, wo nationale Leitlinien historisch gesehen zuerst erschienen sind.
Wo Enzai ansetzt
Die Kontinuität des Inventars ist der rote Faden dieser Einigung. Die Fristen wurden verschoben, die Verpflichtung zur Führung eines Inventars jedoch nicht. Fast alles, was über die Mindestanforderungen hinausgeht (Vorstandsaufsicht, Nachweise für Versicherer, ISO 42001, Beschaffungserklärungen), baut darauf auf. Das KI-Inventar von Enzai hält das Register auf dem neuesten Stand, während sich Systeme zwischen dem KI-Gesetz, der Maschinenverordnung und dem sektoralen Sicherheitsrecht bewegen, und liefert die Indikatoren für die Bereitschaft zur Wasserzeichenkennzeichnung, von der Maßnahme 2 abhängt.
Referenzen
Hauptgesetzgebung und offizielle Quellen
Verordnung (EU) 2024/1689, das KI-Gesetz: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
Verordnung (EU) 2023/1230, die Maschinenverordnung: https://eur-lex.europa.eu/eli/reg/2023/1230/oj
Europäische Kommission, KI-Büro: https://digital-strategy.ec.europa.eu/en/policies/ai-office
GPAI-Verhaltenskodex (Code of Practice): https://digital-strategy.ec.europa.eu/en/policies/ai-code-practice
KI-Gesetz Artikel 4 (KI-Kompetenz): https://artificialintelligenceact.eu/article/4/
KI-Gesetz Artikel 5 (verbotene Praktiken): https://artificialintelligenceact.eu/article/5/
KI-Gesetz Artikel 6 (Klassifizierung als Hochrisikosystem): https://artificialintelligenceact.eu/article/6/
KI-Gesetz Artikel 50 (Transparenz): https://artificialintelligenceact.eu/article/50/
KI-Gesetz Anhang I (regulierte Produkte): https://artificialintelligenceact.eu/annex/1/
KI-Gesetz Anhang III (Hochrisiko-Kategorien): https://artificialintelligenceact.eu/annex/3/
Standards
ISO/IEC 42001:2023, KI-Managementsysteme: https://www.iso.org/standard/42001
C2PA Content Credentials: https://c2pa.org/
News und Analysen
Reuters / Free Malaysia Today, "EU countries, lawmakers clinch provisional deal on watered-down AI rules", 7. Mai 2026: https://www.freemalaysiatoday.com/category/world/2026/05/07/eu-countries-lawmakers-clinch-provisional-deal-on-watered-down-ai-rules
IAPP, "AI Act Omnibus: What just happened and what comes next?": https://iapp.org/news/a/ai-act-omnibus-what-just-happened-and-what-comes-next
Cyprus Mail, "EU lawmakers back softer AI Act after pressure from industry", 7. Mai 2026: https://cyprus-mail.com/2026/05/07/eu-lawmakers-back-softer-ai-act-after-pressure-from-industry
Bird & Bird, "Digital Omnibus on AI Trilogue Stalls Ahead of the AI Act Deadline": https://www.twobirds.com/en/insights/2026/germany/digital-omnibus-on-ai-trilogue-stalls-ahead-of-the-ai-act-deadline
AOShearman, "Digital Omnibus on AI: what is really on the table as trilogues begin": https://www.aoshearman.com/en/insights/digital-omnibus-on-ai-what-is-really-on-the-table-as-trilogues-begin
Hintergrund
Mario Draghi, The future of European competitiveness, September 2024: https://commission.europa.eu/topics/eu-competitiveness/draghi-report_en
UK Online Safety Act: https://www.gov.uk/government/collections/online-safety-act
AI Governance Podcast EP15, Compliance vs. Accountability mit Bojana Bellamy: https://www.enz.ai/ai-governance-podcast-compliance-vs-accountability-with-bojana-bellamy
AI Governance Podcast EP14, Sophie in 't Veld: https://www.enz.ai/ai-governance-podcast-fundamental-rights-and-digital-law-with-sophie-in-t-veld
Ermöglichen Sie Ihrer Organisation die Einführung, Steuerung und Überwachung von KI mit unternehmensgerechtem Vertrauen. Entwickelt für regulierte Organisationen, die im großen Maßstab operieren.