Die EU-Kommission hat am 19. November 2025 das „Digital Omnibus”-Paket vorgestellt. Damit soll das digitale Regelwerk der EU vereinfacht und harmonisiert werden. Unter anderem sollen bestehende Vorschriften zur Künstlichen Intelligenz (KI), Cybersicherheit und Datennutzung gestrafft werden, damit Unternehmen weniger Bürokratie und mehr Raum für Innovation erhalten. Wir stellen die wichtigsten Änderungen vor.
Verlängerte Umsetzungsfristen für Hochrisiko-Systeme
Die KI-Verordnung verfolgt einen risikobasierten Ansatz und definiert Hochrisiko-KI-Systeme, die beispielsweise in sicherheitskritischen Bereichen, im Bildungswesen, im Personalwesen oder bei Medizinprodukten zum Einsatz kommen. Der Omnibus-Vorschlag sieht vor, dass die Pflichten für solche Hochrisiko-Anwendungen später greifen als ursprünglich geplant. So soll der Start der Verpflichtungen für KI-Systeme gemäß Anhang III KI-VO (etwa im Bereich kritische Infrastruktur, Bildung oder Personalmanagement) um fast 1,5 Jahre verschoben werden: vom 2. August 2026 auf den 2. Dezember 2027. Für Hochrisiko-KI-Systeme nach Anhang I (KI, die in bereits regulierte Produkte wie Maschinen, Medizinprodukte oder Kfz integriert ist) verschiebt sich die Anwendung um ein Jahr – von 2. August 2027 auf den 2. August 2028.
Diese Verlängerungen sollen den Unternehmen mehr Zeit für die Umsetzung geben. Allerdings sind auch frühere Termine möglich: Sobald geeignete Unterstützungsinstrumente (Standards, Leitlinien) verfügbar sind und die Kommission dies beschließt, treten die Hochrisiko-Vorgaben bereits früher in Kraft (nach einer Übergangsfrist von 6 Monaten für Annex-III-Systeme bzw. 12 Monaten für Annex-I-Systeme). In jedem Fall gelten fixe Enddaten: Spätestens ab Dezember 2027 bzw. August 2028 müssen alle Hochrisiko-Pflichten eingehalten werden.
Praxisrelevanz: Juristen und Compliance-Teams sollten die Implementierungsfahrpläne für KI-Projekte entsprechend anpassen. Die auf Drängen mehrerer Mitgliedstaaten (insbesondere Deutschland und Frankreich) vereinbarten verlängerten Fristen sollen europäischen Anbietern im KI-Wettlauf und der Standardisierung etwas Luft verschaffen.
Gleichzeitig entsteht Planungsunsicherheit, da eine vorgezogene Anwendung möglich ist, sobald technische Standards vorliegen. Unternehmen müssen die Regulierung daher aufmerksam verfolgen und flexibel reagieren, falls die Kommission die Hochrisiko-Regeln früher aktiviert. Insgesamt mildert der Aufschub den kurzfristigen Umsetzungsdruck, ohne das Schutzniveau aufzugeben. Denn bis spätestens 2028 müssen alle Anforderungen erfüllt sein.
Harmonisierung der Risikoeinstufung
Der Omnibus zielt darüber hinaus darauf ab, die Klassifizierung von KI-Risiken besser mit datenschutzrechtlichen Prinzipien zu verzahnen. Insbesondere beim Umgang mit Trainingsdatensätzen, bei den Anforderungen an die Datenqualität, bei den Bias-Kontrollen und bei der Nachvollziehbarkeit von KI-Systemen soll eine kohärente Linie gezogen werden. Die Leitidee dabei ist, dass sich Entwickler und Betreiber von KI an einem konsistenten Normgefüge orientieren können, statt parallel potenziell widersprüchliche Vorgaben aus KI-Recht und Datenschutzrecht erfüllen zu müssen. Praktisch wird auch erwogen, KI-Komponenten in bereits streng regulierten Sektoren von doppelter Regulierung zu entlasten. So könnten KI-Anwendungen, die Teil eines Medizinprodukts oder einer Maschine sind, von bestimmten Hochrisiko-Pflichten ausgenommen oder anders eingestuft werden. Damit würde anerkannt, dass diese Bereiche bereits eigene Aufsichts- und Sicherheitsregime haben.
Praxisrelevanz: Für die Beratung bedeutet dies, dass branchenspezifische Compliance-Vorgaben (z. B. aus dem Medizinprodukterecht oder der Maschinenrichtlinie) künftig die Pflichten aus der KI-Verordnung teilweise überlagern oder erfüllen können. Doppelarbeit würde reduziert. Andererseits wächst die Bedeutung der Datenklassifikation: Unternehmen sollten klar trennen, ob sie mit anonymen, pseudonymisierten oder personenbezogenen Daten arbeiten. Denn davon hängt ab, welche Regeln greifen. Eine saubere Anonymisierung kann Risiken und Pflichten deutlich senken. Tatsächlich wird eine präzisere Abgrenzung von anonymen und personenbezogenen Daten als entscheidend angesehen. Wer Daten robust pseudonymisiert oder anonymisiert, reduziert rechtliche Risiken erheblich. Datenschutzbeauftragte werden folglich noch enger in KI-Projekte eingebunden sein, um sicherzustellen, dass Datenschutzgrundsätze wie Datenminimierung, Zweckbindung und Datenqualität von Anfang an in die Risikobewertung und -einstufung von KI-Systemen einfließen.
Kennzeichnung KI-generierter Inhalte
Eine zentrale Transparenzvorgabe der KI-Verordnung besteht darin, synthetische oder KI-generierte Inhalte als solche zu kennzeichnen. Dies kann beispielsweise durch Warnhinweise oder Wasserzeichen bei durch KI erzeugten Bildern, Videos oder Texten erfolgen. Diese Pflicht (Art. 50 Abs. 2 KI-VO) bleibt grundsätzlich bestehen. Der Omnibus-Vorschlag räumt jedoch eine Übergangsfrist ein. Demnach dürfen Marktüberwachungsbehörden bis zum 2. Februar 2027 keine Sanktionen wegen fehlender Kennzeichnung verhängen. Damit wird faktisch eine Gnadenfrist für Anbieter generativer KI geschaffen. Dies betrifft auch Betreiber von Allgemeinen-Zweck-KI (LLMs), die beispielsweise Texte, Bilder oder Audioinhalte generieren. Unternehmen haben somit mehr Zeit, technische Lösungen zur Kennzeichnung umzusetzen, etwa digitale Wasserzeichen oder Metadaten-Markierungen, die maschinenlesbar anzeigen, dass ein Inhalt künstlich erzeugt oder manipuliert wurde.
Praxisrelevanz: Anbieter und Nutzer generativer KI (z. B. Unternehmen, die KI-Tools zur Inhaltserstellung einsetzen) erhalten durch die Fristverlängerung einen Aufschub, um ihren Transparenzpflichten nachzukommen. Compliance-Verantwortliche sollten diese Zeit nutzen, um geeignete Kennzeichnungsverfahren zu implementieren und zu testen, bevor ab 2027 Bußgelder drohen. Für Juristen verringert der Aufschub kurzfristig das Haftungsrisiko bei KI-Inhalten. Dennoch ist zu raten, bereits jetzt proaktiv auf Transparenz zu setzen, um das Vertrauen von Nutzern und Geschäftspartnern zu gewinnen.
Wegfall der internen Schulungspflicht
Bislang enthält Artikel 4 KI-VO die Vorgabe, dass Anbieter und Anwender von KI-Systemen sicherstellen müssen, dass ihre Beschäftigten über ausreichende KI-Kompetenzen verfügen. Diese Schulungspflicht soll nun vollständig entfallen. Entsprechend würde Art. 4 KI-VO, der seit Veröffentlichung der Verordnung schon in Kraft ist, gestrichen. Anstelle der Pflicht soll es lediglich eine Aufforderung an die Mitgliedstaaten geben, Unternehmen zur freiwilligen Qualifizierung ihrer Mitarbeitenden in Sachen KI zu ermutigen. Mit anderen Worten: Das Gesetz schreibt interne KI-Trainingsprogramme nicht mehr vor, sondern belässt es bei unverbindlichen Empfehlungen.
Praxisrelevanz: Die Streichung dieser Pflicht entlastet Unternehmen unmittelbar. Es besteht dann keine Gefahr mehr, wegen fehlender Schulungen der Mitarbeiter zu KI rechtlich belangt zu werden. Compliance-Abteilungen können den Aufwand für verpflichtende Schulungen reduzieren und Ressourcen auf andere Compliance-Bereiche verlagern. Dennoch ist aus praktischer Sicht Vorsicht geboten. Denn auch ohne gesetzliche Pflicht erwarten Aufsichtsbehörden implizit, dass Schlüsselpersonal die Risiken und Bedienungsanforderungen von KI-Systemen versteht. Unternehmen sollten daher weiterhin in die Weiterbildung ihrer Mitarbeiter investieren. Nicht als strikte Compliance-Vorgabe, sondern als Bestandteil einer guten Governance, um Fehlanwendungen von KI zu vermeiden.
Lese-Tipp: KI-Kompetenz und Unternehmenspflichten nach Art. 4 KI-VO
Erleichterungen bei Dokumentation und Qualitätsmanagement
Die KI-Verordnung schreibt für Anbieter von Hochrisiko-KI umfangreiche technische Dokumentationen, Risikobewertungen und ein Qualitätsmanagementsystem (QM) vor, um die Konformität nachzuweisen. Bereits im ursprünglichen Akt gab es gewisse Erleichterungen für kleine und mittlere Unternehmen (KMU). Der Digitale Omnibus dehnt diese Ausnahmen nun auf sogenannte „Small Mid-Cap Companies“ (SMCs) aus. Das sind Unternehmen mit bis zu 749 Beschäftigten und einem Jahresumsatz von maximal 150 Millionen Euro. Künftig sollen also auch gehobene Mittelständler in den Genuss reduzierter Dokumentations- und Monitoringpflichten kommen. Zudem ist vorgesehen, dass bei Verstößen die Bußgelder für solche Unternehmen geringer bemessen werden können als für Großunternehmen (eine Art gleitende Skalierung der Strafhöhe je nach Unternehmensgröße).
Praxisrelevanz: Diese Erweiterung der KMU-Privilegien bedeutet für viele Unternehmen eine willkommene Reduzierung des Compliance-Aufwands. Insbesondere mittelgroße Tech-Unternehmen, die die KMU-Schwelle überschritten haben, müssen nicht sofort alle umfassenden Dokumentationspflichten in voller Strenge erfüllen. Für Compliance-Teams bedeutet das einen geringeren bürokratischen Aufwand bei der Erstellung technischer Unterlagen und dem Aufbau ISO-ähnlicher Qualitätsprozesse. Unternehmen, die von den Ausnahmen Gebrauch machen, sollten allerdings sorgfältig prüfen und dokumentieren, dass sie die Schwellenwerte (Mitarbeiterzahl, Umsatz/Bilanzsumme) einhalten. Diese Einstufung könnte im Prüfungsfall nachvollzogen werden müssen. Zudem bleibt für privilegierte Unternehmen das Kernziel bestehen, ein sicheres und regelkonformes KI-System bereitzustellen. Die Erleichterungen ändern nichts an der Verantwortung, sämtliche Hochrisiko-Anforderungen substanziell zu erfüllen – wenngleich in vereinfachter Form.
Klarstellungen bei Transparenz und Auskunft (DSGVO)
Parallel zur KI-Verordnung verbessert das Omnibus-Paket einige Transparenzpflichten im Datenschutz, was sich indirekt auf KI-Projekte auswirkt, da viele KI-Anwendungen auf personenbezogenen Daten basieren. So dürfen Verantwortliche nach dem Entwurf offensichtlich unbegründete oder exzessive Anfragen von Betroffenen künftig ablehnen oder eine Gebühr verlangen. Die Beweislast dafür, dass es sich etwa um missbräuchliche Massen-Auskunftsersuchen handelt, liegt zwar beim Verantwortlichen, doch diese Abwehrmöglichkeit reagiert auf die Praxis automatisierter Musterschreiben, die teils als Druckmittel eingesetzt werden.
Außerdem soll eine Ausnahme von den Informationspflichten greifen, wenn personenbezogene Daten in einem klar umrissenen Verhältnis zwischen Person und Verantwortlichem erhoben wurden und davon ausgegangen werden kann, dass die Person die wesentlichen Informationen bereits besitzt (z. B. im Beschäftigungskontext oder bei bereits informierten Bestandskunden).
Praxisrelevanz: Für Datenschutzbeauftragte und Rechtsabteilungen bedeutet dies eine Entlastung bei der Bearbeitung von Betroffenenanfragen. Unternehmen können sich künftig besser gegen „Auskunfts-Trolle” oder wiederholte, sachfremde Anfragen wehren, wodurch wertvolle Ressourcen gespart werden. In KI-Projekten, die oft große Datenmengen verarbeiten, ist dies besonders relevant. Der Fokus kann auf substanzielle Transparenz gelegt werden, anstatt jeder formal möglichen Anfrage bedingungslos nachkommen zu müssen. Wichtig ist jedoch, eine Ablehnung oder die Kostenpflicht sauber zu begründen und zu dokumentieren, um im Zweifel vor Aufsichtsbehörden standzuhalten. Die Ausnahme bei den Informationspflichten verhindert zudem Doppelbelehrungen in Situationen, in denen Betroffene den Zweck der Datenverarbeitung bereits kennen. Das kann etwa bei kleinen, überschaubaren KI-Anwendungen im Beschäftigungsverhältnis relevant sein. Insgesamt fördern diese Anpassungen eine effizientere Transparenz, die den Betroffenen weiterhin sinnvolle Einblicke gibt, ohne die Unternehmen mit Formalitäten zu überfrachten.
Ausblick: Wann sollen die neuen KI-Regeln in Kraft treten?
Der formelle Vorschlag der EU-Kommission wurde am 19. November 2025 vorgestellt. Anschließend durchläuft er das ordentliche EU-Gesetzgebungsverfahren: Europäisches Parlament und Rat der Mitgliedstaaten werden den Entwurf beraten und schließlich verabschieden. Dabei sind durchaus weitere Anpassungen der Vorschläge wahrscheinlich, da bereits jetzt kontroverse Diskussionen laufen und Datenschützer vor einer Aufweichung des Datenschutzes warnen.
Ein konkretes Datum, ab wann die neuen Regeln gelten, lässt sich derzeit nicht sicher benennen. Optimistische Szenarien gehen davon aus, dass die Reform bis Ende 2026 beschlossen sein könnte. In Kraft treten könnte sie dann frühestens 2027, abhängig vom Verlauf der Verhandlungen.
Ailance KI-Governance ist bereit für KI-Compliance
Auch wenn der Digital Omnibus Fristen verschiebt und bestimmte Nachweispflichten entschärft: der Kern der KI-Verordnung bleibt unverändert.
Unternehmen müssen wissen, wo KI läuft, welche Daten verarbeitet werden, welche Risiken bestehen und wie Modelle überwacht werden. Genau diese Transparenz lässt sich nicht in letzter Minute nachholen.
Ailance KI-Governance unterstützt dabei, diese Anforderungen strukturiert und ohne Reibungsverluste umzusetzen: Ein zentrales KI-Inventar, automatisierte Risikobewertungen, integrierte Modellkarten und revisionssichere Freigaben. Und das alles in einem Workflow, der Teams entlastet und Audits planbar macht.
Wir zeigen Ihnen gerne, wie Ailance KI-Governance Unternehmen dabei unterstützt, KI sicher und compliant zu steuern.
German 
English 
Italian 
French