Der 2. August 2026 galt als der Tag, an dem Hochrisiko-KI-Systeme in der EU reguliert werden. Diese Frist ist überholt. Am 19. November 2025 veröffentlichte die Europäische Kommission den Digital Omnibus on AI, der die Durchsetzungstermine für Hochrisikosysteme um 16 bis 24 Monate nach hinten verschiebt. Wer sein Compliance-Programm auf August 2026 ausgerichtet hat, muss die Planung anpassen.

Am 18. März 2026 haben die Ausschüsse IMCO und LIBE im Europäischen Parlament ihre gemeinsame Position verabschiedet: 101 Stimmen dafür, 9 dagegen, 8 Enthaltungen. Die Plenarabstimmung wird für den 26. März erwartet, Trilog-Verhandlungen könnten im April starten. Der zyprische Ratsvorsitz hat den Omnibus zur Priorität erklärt, mit dem Ziel eines finalen Textes bis Mai 2026.

Das ist keine Absichtserklärung mehr. Das ist Gesetzgebung auf der Zielgeraden.

Der neue Zeitplan: Annex III bis Dezember 2027, Annex I bis August 2028

Der ursprüngliche AI Act sah den 2. August 2026 als einheitliche Frist für alle Hochrisiko-Pflichten vor. Der Digital Omnibus teilt das in zwei Schienen mit bedingten Auslösern auf.

Annex-III-Systeme (eigenständige Hochrisiko-KI wie biometrische Identifikation, HR-Screening, Kreditwürdigkeitsprüfung und Strafverfolgungsanwendungen) bekommen eine absolute Obergrenze bis 2. Dezember 2027. Die tatsächliche Durchsetzung kann früher beginnen: Sobald die Kommission bestätigt, dass geeignete Standards, gemeinsame Spezifikationen oder Compliance-Leitlinien vorliegen, haben Anbieter sechs Monate Zeit. Dezember 2027 ist aber die äußerste Grenze.

Annex-I-Systeme (KI eingebettet in regulierte Produkte nach bestehender EU-Produktsicherheitsgesetzgebung, etwa Medizinprodukte, Maschinen, Aufzüge und Fahrzeugkomponenten) erhalten eine noch längere Frist: 2. August 2028. Der Auslösemechanismus funktioniert gleich, aber mit 12 Monaten Umsetzungszeit nach der Bereitschaftsentscheidung der Kommission.

Die Begründung für die Trennung ist nachvollziehbar. Annex-I-Produkte unterliegen bereits eigenen Regulierungsrahmen (die Medizinprodukteverordnung, Maschinenverordnung usw.), und die KI-Anforderungen mit diesen bestehenden Zyklen zu synchronisieren, vermeidet doppelte Bürokratie. Annex-III-Systeme, die oft reine Software ohne physisches Produkt sind, können schneller umgesetzt werden.

Was sich nicht ändert: Die Verbote für KI-Systeme mit unannehmbarem Risiko (Social Scoring, biometrische Massenüberwachung in Echtzeit) gelten seit dem 2. Februar 2025. Die Transparenzpflichten für KI mit begrenztem Risiko (Chatbots, Deepfakes) gelten seit August 2025. Der Omnibus betrifft ausschließlich die Hochrisiko-Bestimmungen.

Weiterlesen: EU AI Act 2026: Was Unternehmen vor dem August tun müssen

Warum die Kommission verschiebt: Standards fehlen, nicht der politische Wille

Die Verzögerung ist kein politisches Signal gegen KI-Regulierung. Es ist ein praktisches Problem: Harmonisierte Standards sind nicht fertig.

Nach dem ursprünglichen Zeitplan müssten Unternehmen bis August 2026 die Konformität mit Hochrisiko-Anforderungen nachweisen. Aber die Konformitätsbewertung hängt von Standards ab, die CEN und CENELEC (die europäischen Normungsorganisationen) noch nicht finalisiert haben. Ohne veröffentlichte Standards stehen Anbieter vor einem Dilemma: Das Gesetz fordert Compliance, aber die Compliance-Maßstäbe existieren noch nicht.

Die Lösung der Kommission ist ein bedingter Auslöser: Die Durchsetzung beginnt erst, nachdem die Kommission offiziell bestätigt, dass Standards oder gemeinsame Spezifikationen verfügbar sind. Das ist pragmatischer als eine pauschale Verschiebung. Wenn Standards früher fertig werden, startet die Durchsetzung früher. Die Backstop-Daten (Dezember 2027 / August 2028) sind nur die Obergrenze.

Für Unternehmen in der DACH-Region bedeutet das: Atempause ja, aber auch Unsicherheit. Man weiß, dass die Frist nicht vor der Kommissionsentscheidung kommt, aber nicht genau, wann diese Entscheidung fällt. Die sicherste Strategie: So planen, als ob die Durchsetzung für Annex-III-Systeme Anfang 2027 starten könnte, und Dezember 2027 als harte Wand betrachten.

Das große Bild: Was der Digital Omnibus noch ändert

Die Zeitplanverschiebung beim AI Act ist die Schlagzeile, aber das Digital-Omnibus-Paket umfasst deutlich mehr. Die Kommission hat zwei separate Verordnungen vorgeschlagen: den Digital Omnibus (mit Änderungen an DSGVO, ePrivacy-Richtlinie, NIS2 und dem Data Act) und den Digital Omnibus on AI (mit Änderungen am AI Act).

Einheitliches Meldeportal

Eine der praktisch nützlichsten Änderungen: ein zentrales EU-Portal für die Meldung von Datenschutzverletzungen und Sicherheitsvorfällen. Aktuell muss ein betroffenes Unternehmen unter Umständen Meldungen nach DSGVO, NIS2, DORA und der Cyber Resilience Act einreichen, jeweils mit unterschiedlichen Formularen, Fristen und Ansprechpartnern. Der Omnibus schlägt ein Modell vor, bei dem eine einzige Meldung an alle zuständigen Behörden weitergeleitet wird. Die Kommission schätzt die Einsparungen auf 6 Milliarden Euro bis 2029.

Für deutsche Unternehmen, die parallel BSI-Meldepflichten, DSGVO-Benachrichtigungen und NIS2-Anforderungen jonglieren, wäre das eine erhebliche Entlastung.

KMU- und Mittelstandsentlastung

Unternehmen mit bis zu 750 Mitarbeitern oder 150 Millionen Euro Umsatz (als „kleine Midcaps" oder SMCs klassifiziert) erhalten verhältnismäßige Compliance-Anforderungen:

  • Vereinfachte technische Dokumentation für den Nachweis der Hochrisiko-KI-Konformität
  • Verhältnismäßige Qualitätsmanagementsysteme, an die Organisationsgröße angepasst
  • Gedeckelte Strafen, damit Bußgelder nicht die Existenz bedrohen

Das ist ein wichtiger Kurswechsel. Nach dem ursprünglichen AI Act hätte ein Münchner Softwareunternehmen mit 200 Mitarbeitern, das ein KI-gestütztes Recruiting-Tool entwickelt, denselben Dokumentationsaufwand wie SAP oder Siemens. Der Omnibus erkennt an, dass unverhältnismäßige Compliance-Kosten kleinere Anbieter de facto vom Hochrisiko-KI-Markt ausschließen.

Weiterlesen: DSGVO und KI-Agenten: Datenschutz wenn Maschinen entscheiden

Übergangsfrist für General-Purpose-KI

Anbieter von General-Purpose-KI-Modellen (Basismodelle wie GPT, Claude, Gemini oder Mistral), die vor August 2026 auf dem Markt waren, haben bis Februar 2027 Zeit, ihre technische Dokumentation und Governance-Prozesse zu aktualisieren. Neue Anbieter nach August 2026 müssen sofort die Anforderungen erfüllen.

Regulatorische Sandboxes

Der Omnibus verpflichtet Mitgliedstaaten, bis zum 2. August 2026 KI-Regulierungs-Sandboxes einzurichten. Die Kommission wird zusätzlich eine EU-weite Sandbox für General-Purpose-KI-Modelle schaffen. In Deutschland läuft die Umsetzung über das KI-MIG, das die nationalen Zuständigkeiten regelt.

Was das für Ihre Compliance-Planung bedeutet

Wenn Sie auf August 2026 hin ein Hochrisiko-KI-System compliant machen wollten, gibt Ihnen der Omnibus Spielraum. Aber „die Frist wurde verschoben" heißt nicht „aufhören zu arbeiten".

Neu priorisieren, nicht pausieren. Die Verlängerung gibt Zeit, Compliance richtig umzusetzen statt eine Checklisten-Übung durchzuhetzen. Nutzen Sie die zusätzlichen Monate für echte Risikomanagementsysteme, nicht nur Papier-Policies. Die Pflichten selbst haben sich nicht geändert; nur das Durchsetzungsdatum.

Bereitschaftsentscheidungen der Kommission verfolgen. Sobald die Kommission bestätigt, dass Standards oder gemeinsame Spezifikationen für Ihre KI-Systemkategorie existieren, läuft die Uhr: sechs Monate für Annex III, zwölf Monate für Annex I. Beobachten Sie die CEN/CENELEC-Arbeitsgruppen und Kommissionsankündigungen.

Die unveränderten Teile nicht ignorieren. KI-Kompetenzpflichten nach Artikel 4 gelten bereits. Transparenzanforderungen für Chatbots und Deepfakes gelten seit August 2025. Und die General-Purpose-KI-Bestimmungen greifen im August 2026 unabhängig vom Omnibus.

Nationale Umsetzung einbeziehen. Deutschlands KI-MIG fügt eine nationale Ebene hinzu. Auch wenn sich die EU-weite Frist verschiebt, können nationale Aufsichtsbehörden eigene Erwartungen an die Bereitschaft formulieren. Die BaFin für Finanz-KI, die BfDI für datenschutzrelevante Systeme, die Bundesnetzagentur als koordinierende Stelle: Alle werden ihre Auslegungen veröffentlichen, möglicherweise mit eigenen Zeitvorgaben.

Weiterlesen: Deutschlands KI-MIG: Was die nationale AI-Act-Umsetzung für deutsche Unternehmen bedeutet

Gesetzgebungsstatus: Wo der Omnibus jetzt steht

Stand März 2026 hat der Digital Omnibus on AI die Ausschussphase passiert. Die IMCO/LIBE-Abstimmung vom 18. März ging mit deutlicher Mehrheit durch (101-9-8) und brachte mehrere Ergänzungen gegenüber dem Kommissionsvorschlag:

  • Eine feste Frist Dezember 2027 (die Kommission hatte ursprünglich einen offeneren bedingten Auslöser vorgeschlagen)
  • Ein Verbot von „Nudifier"-KI-Anwendungen, die ohne Zustimmung sexuell explizite Bilder erzeugen
  • Eine verkürzte Übergangsfrist für Wasserzeichen auf den 2. November 2026

Die Plenarabstimmung wird am 26. März 2026 erwartet. Danach beginnen Trilog-Verhandlungen zwischen Parlament, Rat und Kommission, voraussichtlich im April. Der zyprische Ratsvorsitz hat schnelle Einigung als Priorität, mit Mai 2026 als Ziel für den finalen Text.

Bei einem so breiten Konsens (nur 9 Gegenstimmen im Ausschuss) gilt die Verabschiedung vor dem ursprünglichen August-2026-Hochrisiko-Termin als sehr wahrscheinlich. Bis August 2026 dürfte der Omnibus bereits geltendes Recht sein, was die Verschiebung offiziell macht.

Weiterlesen: KI-Kompetenz nach dem EU AI Act: Was Artikel 4 von jedem Unternehmen verlangt

Häufig gestellte Fragen

Wann ist die neue Frist für Hochrisiko-KI nach dem Digital Omnibus?

Der Digital Omnibus setzt zwei Backstop-Daten: 2. Dezember 2027 für Annex-III-Hochrisiko-KI-Systeme (eigenständige KI wie biometrische Tools, HR-Screening, Kreditwürdigkeitsprüfung) und 2. August 2028 für Annex-I-Systeme (KI in regulierten Produkten wie Medizinprodukten und Maschinen). Die Durchsetzung kann früher beginnen, sobald die Kommission bestätigt, dass geeignete Standards existieren.

Ändert der Digital Omnibus die AI-Act-Anforderungen selbst?

Nein. Die Kernpflichten für Hochrisiko-KI-Systeme bleiben gleich: Risikomanagement, Daten-Governance, technische Dokumentation, Transparenz, menschliche Aufsicht und Genauigkeitsanforderungen. Der Omnibus ändert nur, wann diese Pflichten durchsetzbar werden, und fügt KMU-proportionale Compliance-Optionen hinzu.

Welche Teile des AI Act sind von der Omnibus-Verschiebung nicht betroffen?

Das Verbot von KI-Systemen mit unannehmbarem Risiko (seit Februar 2025), Transparenzpflichten für KI mit begrenztem Risiko (August 2025), KI-Kompetenzanforderungen nach Artikel 4 (bereits in Kraft) und Pflichten für General-Purpose-KI-Modelle (August 2026) sind von den Zeitplanänderungen des Omnibus nicht betroffen.

Wie betrifft der Digital Omnibus KMU und Mittelständler?

Unternehmen mit bis zu 750 Mitarbeitern oder 150 Millionen Euro Umsatz profitieren von vereinfachter technischer Dokumentation, verhältnismäßigen Qualitätsmanagementsystemen und gedeckelten Strafen. Die Kommission schätzt die Gesamteinsparungen auf 6 Milliarden Euro bis 2029.

Wann wird der Digital Omnibus on AI geltendes Recht?

Die IMCO/LIBE-Ausschüsse haben am 18. März 2026 zugestimmt (101-9-8). Die Plenarabstimmung wird am 26. März 2026 erwartet, gefolgt von Trilog-Verhandlungen ab April. Der zyprische Ratsvorsitz strebt Einigung bis Mai 2026 an, deutlich vor der ursprünglichen Hochrisiko-Frist im August 2026.

Source