Artificial intelligence (AI), conceptual image. A virtual laptop being accessed using AI.

Einigung über den KI-Omnibus


Der KI-Omnibus soll die KI-Verordnung vereinfachen und zugleich die Wettbewerbsfähigkeit stärken. Verschobene Fristen, angepasste Anforderungen für Hochrisiko-KI-Systeme und neue Regeln zur KI-Kompetenz und Transparenz prägen die Änderungen. Dennoch bleibt offen, ob die Reform die erhoffte Entlastung für Unternehmen tatsächlich bringt.

Das digitale Omnibus-Paket zur regulatorischen Lockerung der EU-Digitalgesetze

Am 19.11.2025 hat die EU das Digital-Omnibus-Paket vorgestellt. Damit sollen die EU-Digitalgesetze regulatorisch gelockert werden, um im globalen Wettbewerb standzuhalten, wie das unter anderem vom Draghi-Report gefordert wurde. Zum einen sollen mit dem sog. Digital‑Omnibus Data Act, DSGVO sowie NIS2 und DORA zur Cybersicherheit angepasst werden. Zum anderen sollen durch den sog. KI‑Omnibus Umsetzungsfristen der KI‑Verordnung (auch AI Act – [EU] 2024/1689; nachfolgend KI‑VO) verlängert und diese entschärft werden. Zu diesem KI‑Omnibus haben EU-Kommission, Rat der EU und EU-Parlament im sog. Trilog auf EU-Ebene eine Einigung erzielt; spätestens zum 02.08.2026 wird er auch beschlossen und formell wirksam werden. Eine Einigung zum Digital‑Omnibus ist dagegen noch nicht absehbar und frühestens für Ende 2026 zu erwarten.

Die wichtigsten Änderungen durch den geplanten KI-Omnibus

Fristverlängerung für Hochrisiko‑KI‑Systeme

Die in der Praxis komplexen Anforderungen der KI‑VO gelten für Hochrisiko-KI-Systeme (Art. 8 ff. KI‑VO: Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Robustheit, Qualitätsmanagement etc.).

Diesbezüglich sollen nun Anwendungsfristen verschoben werden. Bisher wären für Anbieter und Betreiber von Hochrisiko-KI-Systemen nach Anhang III der KI‑VO (HR-Management, kritische Infrastruktur etc.) die Vorschriften der KI-VO zum 02.08.2026 und für Produkte von Anhang I (Medizinprodukte, Kfz etc.) zum 02.08.2027 anwendbar geworden. Durch die Neuerung wird die Anwendung der KI-VO an die Bereitstellung von Standards durch Normungsgremien (Art. 40, 41 KI‑VO) geknüpft werden. (Erst kürzlich haben die europäischen Komitees für Normung CEN und CENELEC einen Entwurf für einen KI-Risikomanagementstandard vorgelegt.) Spätestens müssen die in der KI-VO normierten Pflichten aber am 02.12.2027 (Anhang III) bzw. am 02.08.2028 (Anhang I) umgesetzt werden. Durch die beschlossene Verschiebung bleibt Unternehmen mehr Zeit, um beispielsweise ein (standardkonformes) Risikomanagementsystem nach Art. 9 KI‑VO zu implementieren.

Maschinen teilweise von der KI‑VO ausgenommen

Eine der wohl wichtigsten Änderungen betrifft die „Verschiebung“ der Maschinenverordnung (EU) 2023/1230 innerhalb des Anhangs I der KI‑VO von Abschnitt A in Abschnitt B. Damit kommen die EU-Verantwortlichen der Kritik seitens der Industrie entgegen. So beanstandete der CEO eines führenden deutschen Unternehmens die Regulierung von industrieller KI durch die KI‑VO, obwohl deren Sicherheit schon von den vertikalen Vorschriften der Maschinenverordnung hinreichend erfasst sei.

Nunmehr werden Sicherheitsbauteile von Maschinen und KI-Systemen, die selbst eine Maschine nach der Maschinenverordnung sind, wie bisher schon als Hochrisiko-KI-Systeme (Art. 6 Abs. 1, Anhang I KI‑VO) gelten. Jedoch findet die KI‑VO dann auf die Systeme nach Abschnitt B gemäß Art. 2 Abs. 2 KI-VO nur marginal Anwendung. Vielmehr sollen durch Delegierte Rechtsakte bzw. Durchführungsrechtsakte der EU-Kommission im Rahmen der Maschinenverordnung die Risiken künstlicher Intelligenz erfasst werden (Art. 2 Abs. 2 KI‑VO). Dabei sollen die Hochrisiko-Anforderungen nach Art. 8 ff. KI‑VO auch in diesen Rechtsakten Berücksichtigung finden (vgl. bereits jetzt für Kfz Art. 104 KI‑VO).

Der KI-Omnibus setzt insoweit ein weiteres Signal für eine systematische Koordinierung des KI‑Rechts mit bestehenden sektoralen Regelwerken.

Im Gesetzgebungsverfahren weiter greifende Vorschläge der Industrie, etwa auch Medizinprodukte analog durch eine Verschiebung in Anhang I Abschnitt B zu „privilegieren“, wurden jedoch nicht aufgenommen. Auch Anhang III mit den Hochrisiko-KI-Systemen im Bereich HR, kritische Infrastruktur und Justiz bleibt unverändert.

KI‑Kompetenz (AI Literacy)

Viel diskutiert und letztlich geändert wurde die bisherige Pflicht von Anbietern und Betreibern von KI-Systemen, ein ausreichendes Maß (sufficient level) an KI-Kompetenz bei den Mitarbeitenden sicherzustellen (vgl. Art. 4 KI‑VO). Nach dem ursprünglichen Entwurf des KI‑Omnibus sollte die Pflicht zur KI‑Kompetenz auf die Mitgliedstaaten verlagert werden. So weit geht der nunmehr gefundene Trilog-Kompromiss aber nicht. Stattdessen müssen Anbieter und Betreiber von KI-Systemen zwar Maßnahmen ergreifen, um ihrem Personal KI-Kompetenz zu vermitteln, jedoch sollen dann jedwede Maßnahmen ausreichen und es wird kein konkretes Mindestniveau erwartet. In der Praxis dürfte die Erleichterung im Ergebnis überschaubar sein, wenn Unternehmen grundsätzlich das Thema KI-Training angehen müssen (vgl. hierzu auch Transformation und KI-Kompetenz meistern durch Investition in Mitarbeitende).

Transparenzpflichten

Die KI-VO enthält auch Pflichten für solche KI-Systeme, von denen nur begrenzte Risiken ausgehen. Beispielsweise müssen Anbieter von KI-Systemen nach Art. 50 Abs. 2 KI‑VO sicherstellen, dass mit KI erzeugte Inhalte als solche gekennzeichnet sind. Zwar bleiben diese Transparenzpflichten zum großen Teil unverändert bestehen; es soll aber durch Änderungen von Art. 50 KI‑VO die Rolle sogenannter Codes of Practice gestärkt werden. Die EU-Kommission verfolgt hiermit einen zweistufigen Ansatz, indem Unternehmen zuerst durch Selbstregulierung die Kennzeichnung von KI‑generierten Inhalten als solche gewährleisten sollen, sie dann aber weiterhin die Möglichkeit behält, durch einen späteren Durchführungsakt Regulierungen vorzunehmen.

Verbot von „Nudification“

Der KI‑Omnibus führt zudem ein ausdrückliches Verbot einer sogenannten KI‑Nudification ein, womit das Erzeugen von generierten intimen Darstellungen natürlicher Personen ohne deren Zustimmung gemeint ist (Art. 5 Abs. 1. Lit. ba KI‑VO Trilog‑Version). Ziel ist der Schutz natürlicher Personen vor schwerwiegenden Eingriffen in Persönlichkeitsrechte. Diese Neuerung steht im Einklang mit der Transparenzpflicht zur Kennzeichnung von Deepfakes generativer KI.

    Fazit und Ausblick

    Der KI‑Omnibus ist zwar ein Schritt in Richtung Erleichterung der Rechtsanwendung, die ursprüngliche Kritik an der KI‑VO bleibt aber bestehen. Die komplexen und weitreichenden Anforderungen der KI‑VO sind gerade für kleine und mittlere Unternehmen schwer umzusetzen. Der KI‑Omnibus sollte hier eigentlich entlasten, bringt aber nur begrenzte Erleichterung – nachdem die Pflichten für Hochrisiko-KI-Systeme weitgehend bestehen bleiben.

    Etwa im Vereinigten Königreich begnügt man sich für KI mit der existenten sektorspezifischen Regulierung. Und in den USA war Donald Trump ein erklärter Feind jeglicher KI-Regulierung; am 02.06.2026 entschloss er sich dann doch, per Executive Order die Innovation und Sicherheit von „Advanced Artificial Intelligence“ zu regeln, wenn auch auf freiwilliger Basis für KI-Entwickler. Ob damit der bestehende, strukturelle Wettbewerbsnachteil zulasten der EU nachlässt, bleibt abzuwarten. Nachdem der KI‑Omnibus keine signifikante Vereinfachung bringt, besteht die Gefahr, dass gerade für Deutschland als Wirtschaftsstandort Investitionen gebremst und Innovationen weiterhin eher außerhalb der EU entwickelt werden.