Digital Omnibus zur KI – Änderungen bei der Anwendung des KI-gesetzes

Digital Omnibus zur KI – Änderungen bei der Anwendung des KI-gesetzes

1. Juli 2026
4 Minuten

SCHLÜSSELFAKTEN

2. Dezember 2026: Inkrafttreten des Verbots von KI, die CSAM und nicht einvernehmliche sexuelle Deepfakes erzeugt; Frist für die Anpassung der Systeme an die Wasserzeichenpflicht

2. Dezember 2027: Vollständige Anwendung der Anforderungen des AI Act auf eigenständige Systeme mit hohem Risiko (Anhang III)

2. August 2027: Frist für die Einrichtung nationaler regulatorischer KI-Sandkästen

2. August 2028: Vollständige Anwendung der Anforderungen des AI Act auf in Produkte integrierte Systeme (Anhang I)

Neue Verbote: KI, die CSAM und nicht einvernehmliche sexuelle Deepfakes erzeugt – Verbot ab dem 2. Dezember 2026

Neue Möglichkeiten: Die Verarbeitung sensibler Daten zur Erkennung von Verzerrungen wurde über Hochrisikosysteme hinaus ausgeweitet; die Erleichterungen für KMU wurden auf kleine Mid-Cap-Unternehmen ausgeweitet

Am 29. Juni 2026 verabschiedete der Rat der EU die Verordnung „Digital Omnibus on AI“, die gezielte Änderungen am AI Act einführt. Das Paket umfasst die Verschiebung wichtiger Fristen für die Einhaltung der Vorschriften, neue Verbote sowie die Präzisierung einer Reihe von Definitionen. Im Folgenden stellen wir die Änderungen vor, die aus Sicht von Unternehmen, die KI-Systeme entwickeln, implementieren oder in Auftrag geben, von Bedeutung sind.

Neue Fristen für die Anwendung der Anforderungen an Hochrisikosysteme

Die ursprüngliche Frist für das Inkrafttreten der Anforderungen an Hochrisikosysteme am 2. August 2026 wird durch zwei neue Termine ersetzt, je nachdem, wie das System eingestuft wird:

  • 2. Dezember 2027 – eigenständige (Stand-alone-)Systeme gemäß Anhang III des KI-Gesetzes, darunter Systeme, die in den Bereichen Biometrie, Personalbeschaffung, Bildung, Kreditvergabe, Strafverfolgung und Justiz eingesetzt werden.
  • 2. August 2028 – in Produkte integrierte Systeme, die unter das Harmonisierungsrecht der Union fallen (Anhang I), z. B. Medizinprodukte, Maschinen und Spielzeug.

Die Verschiebung der Fristen ist hauptsächlich auf Verzögerungen bei den Normungsarbeiten und die unzureichende Bereitschaft der nationalen Aufsichtsbehörden zurückzuführen.

Neue Verbote für KI, die illegale sexuelle Inhalte erzeugt

Ab dem 2. Dezember 2026 ist die Bereitstellung und Nutzung von KI-Systemen verboten, die:

  • Material erzeugen, das den sexuellen Missbrauch von Kindern (CSAM) darstellt;
  • ohne Zustimmung der betroffenen Person Bilder, Tonaufnahmen oder Videos erstellen oder manipulieren, die intime Körperteile dieser Person oder ihre eindeutig sexuellen Handlungen zeigen (sogenannte nicht einvernehmliche sexuelle Deepfakes).

Das Verbot gilt sowohl für Anbieter von KI-Systemen, die diese nicht ohne entsprechende technische Schutzmaßnahmen in Verkehr bringen dürfen, als auch für Akteure, die diese Systeme für verbotene Zwecke nutzen. Die Vorschriften gelten ab dem 2. Dezember 2026.

Verpflichtung zur maschinenlesbaren Kennzeichnung synthetischer Inhalte

Anbieter von KI-Systemen, die synthetische Inhalte (Audio, Video, Bild oder Text) generieren und deren Systeme vor dem 2. August 2026 in Verkehr gebracht wurden, haben bis zum 2. Dezember 2026 Zeit, sich an die Verpflichtung zur maschinenlesbaren Kennzeichnung dieser Inhalte (Watermarking) anzupassen. Dies gilt auch für GPAI-Modelle. Die Übergangsfrist wurde von 6 auf 3 Monate verkürzt.

Präzisierung der Definition des Begriffs „Sicherheitskomponente“

Der AI Act gilt für KI-Systeme, die eine „Sicherheitsfunktion“ erfüllen, d. h. deren Zweck darin besteht, Risiken für die Gesundheit oder Sicherheit von Personen oder Eigentum zu verhindern. Die Änderung stellt klar, dass Systeme, die ausschließlich der Unterstützung des Nutzers, der Leistungsoptimierung oder der Prozessautomatisierung dienen, nicht als Sicherheitskomponenten eingestuft werden, sofern ihr Ausfall keine gesundheitliche oder physische Gefahr darstellt. In der Praxis schränkt diese Änderung den Umfang der als Sicherheitskomponenten eingestuften KI-Systeme ein, was sich unmittelbar auf die Risikobewertung von Systemen auswirkt, die in Industrie- und Konsumgütern integriert sind.

Verarbeitung besonderer Datenkategorien zur Erkennung und Korrektur von Verzerrungen

Bislang war die Verarbeitung sensibler personenbezogener Daten (z. B. Daten zur ethnischen Herkunft oder zur Gesundheit) zum Zwecke der Erkennung und Korrektur algorithmischer Verzerrungen ausschließlich für Anbieter von Hochrisikosystemen zulässig. Der Digital Omnibus erweitert diese Möglichkeit nun auch auf Anbieter und Implementierer von KI-Systemen außerhalb der Hochrisikokategorie, sofern die Verarbeitung unbedingt erforderlich ist und durch angemessene Sicherheitsvorkehrungen abgesichert ist (Art. 10 Abs. 5 AI Act).

Ausweitung der KMU-Erleichterungen auf kleine Mid-Cap-Unternehmen und weitere systemische Änderungen

Die bevorzugten Anwendungsregeln des AI Act, die bislang KMU vorbehalten waren, werden auf sogenannte kleine Mid-Cap-Unternehmen (SMC) ausgeweitet – Unternehmen, die die KMU-Schwellenwerte überschritten haben, aber weiterhin in einem mit kleineren Unternehmen vergleichbaren Umfang tätig sind. Gleichzeitig werden die Mechanismen zur Durchsetzung der Vorschriften für ausgewählte GPAI-Modelle durch das Europäische KI-Büro (AI Office) gestärkt, und für Sektoren wie den Maschinenbau wird es möglich sein, doppelte Compliance-Anforderungen zu vermeiden, sofern das sektorale Recht ein gleichwertiges Schutzniveau gewährleistet.

Nationale KI-Regulierungs-Sandkästen

Die Mitgliedstaaten haben bis zum 2. August 2027 Zeit, nationale KI-Regulierungs-Sandkästen (AI regulatory sandboxes) einzurichten. Dabei handelt es sich um kontrollierte Umgebungen, in denen Unternehmen innovative KI-Systeme unter Aufsicht der zuständigen Behörde testen können, wobei vorübergehende Ausnahmen von ausgewählten Anforderungen möglich sind.

Wenn Sie KI-Systeme einführen, in Auftrag geben oder entwickeln und beurteilen möchten, welche Verpflichtungen sich aus dem KI-Gesetz für Ihr Unternehmen ergeben, stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns: Aneta Kiser, Marcin Kroll, Rafał Wieczerzak.

We don’t just
advise – we commit.

We think like stakeholders.
We’re by your side to drive results.