Am 29. Juni 2026 verabschiedete der Rat der EU die Verordnung „Digital Omnibus on AI“, die gezielte Änderungen am AI Act einführt. Das Paket umfasst die Verschiebung wichtiger Fristen für die Einhaltung der Vorschriften, neue Verbote sowie die Präzisierung einer Reihe von Definitionen. Im Folgenden stellen wir die Änderungen vor, die aus Sicht von Unternehmen, die KI-Systeme entwickeln, implementieren oder in Auftrag geben, von Bedeutung sind.
Neue Fristen für die Anwendung der Anforderungen an Hochrisikosysteme
Die ursprüngliche Frist für das Inkrafttreten der Anforderungen an Hochrisikosysteme am 2. August 2026 wird durch zwei neue Termine ersetzt, je nachdem, wie das System eingestuft wird:
- 2. Dezember 2027 – eigenständige (Stand-alone-)Systeme gemäß Anhang III des KI-Gesetzes, darunter Systeme, die in den Bereichen Biometrie, Personalbeschaffung, Bildung, Kreditvergabe, Strafverfolgung und Justiz eingesetzt werden.
- 2. August 2028 – in Produkte integrierte Systeme, die unter das Harmonisierungsrecht der Union fallen (Anhang I), z. B. Medizinprodukte, Maschinen und Spielzeug.
Die Verschiebung der Fristen ist hauptsächlich auf Verzögerungen bei den Normungsarbeiten und die unzureichende Bereitschaft der nationalen Aufsichtsbehörden zurückzuführen.
Neue Verbote für KI, die illegale sexuelle Inhalte erzeugt
Ab dem 2. Dezember 2026 ist die Bereitstellung und Nutzung von KI-Systemen verboten, die:
- Material erzeugen, das den sexuellen Missbrauch von Kindern (CSAM) darstellt;
- ohne Zustimmung der betroffenen Person Bilder, Tonaufnahmen oder Videos erstellen oder manipulieren, die intime Körperteile dieser Person oder ihre eindeutig sexuellen Handlungen zeigen (sogenannte nicht einvernehmliche sexuelle Deepfakes).
Das Verbot gilt sowohl für Anbieter von KI-Systemen, die diese nicht ohne entsprechende technische Schutzmaßnahmen in Verkehr bringen dürfen, als auch für Akteure, die diese Systeme für verbotene Zwecke nutzen. Die Vorschriften gelten ab dem 2. Dezember 2026.
Verpflichtung zur maschinenlesbaren Kennzeichnung synthetischer Inhalte
Anbieter von KI-Systemen, die synthetische Inhalte (Audio, Video, Bild oder Text) generieren und deren Systeme vor dem 2. August 2026 in Verkehr gebracht wurden, haben bis zum 2. Dezember 2026 Zeit, sich an die Verpflichtung zur maschinenlesbaren Kennzeichnung dieser Inhalte (Watermarking) anzupassen. Dies gilt auch für GPAI-Modelle. Die Übergangsfrist wurde von 6 auf 3 Monate verkürzt.
Präzisierung der Definition des Begriffs „Sicherheitskomponente“
Der AI Act gilt für KI-Systeme, die eine „Sicherheitsfunktion“ erfüllen, d. h. deren Zweck darin besteht, Risiken für die Gesundheit oder Sicherheit von Personen oder Eigentum zu verhindern. Die Änderung stellt klar, dass Systeme, die ausschließlich der Unterstützung des Nutzers, der Leistungsoptimierung oder der Prozessautomatisierung dienen, nicht als Sicherheitskomponenten eingestuft werden, sofern ihr Ausfall keine gesundheitliche oder physische Gefahr darstellt. In der Praxis schränkt diese Änderung den Umfang der als Sicherheitskomponenten eingestuften KI-Systeme ein, was sich unmittelbar auf die Risikobewertung von Systemen auswirkt, die in Industrie- und Konsumgütern integriert sind.
Verarbeitung besonderer Datenkategorien zur Erkennung und Korrektur von Verzerrungen
Bislang war die Verarbeitung sensibler personenbezogener Daten (z. B. Daten zur ethnischen Herkunft oder zur Gesundheit) zum Zwecke der Erkennung und Korrektur algorithmischer Verzerrungen ausschließlich für Anbieter von Hochrisikosystemen zulässig. Der Digital Omnibus erweitert diese Möglichkeit nun auch auf Anbieter und Implementierer von KI-Systemen außerhalb der Hochrisikokategorie, sofern die Verarbeitung unbedingt erforderlich ist und durch angemessene Sicherheitsvorkehrungen abgesichert ist (Art. 10 Abs. 5 AI Act).
Ausweitung der KMU-Erleichterungen auf kleine Mid-Cap-Unternehmen und weitere systemische Änderungen
Die bevorzugten Anwendungsregeln des AI Act, die bislang KMU vorbehalten waren, werden auf sogenannte kleine Mid-Cap-Unternehmen (SMC) ausgeweitet – Unternehmen, die die KMU-Schwellenwerte überschritten haben, aber weiterhin in einem mit kleineren Unternehmen vergleichbaren Umfang tätig sind. Gleichzeitig werden die Mechanismen zur Durchsetzung der Vorschriften für ausgewählte GPAI-Modelle durch das Europäische KI-Büro (AI Office) gestärkt, und für Sektoren wie den Maschinenbau wird es möglich sein, doppelte Compliance-Anforderungen zu vermeiden, sofern das sektorale Recht ein gleichwertiges Schutzniveau gewährleistet.
Nationale KI-Regulierungs-Sandkästen
Die Mitgliedstaaten haben bis zum 2. August 2027 Zeit, nationale KI-Regulierungs-Sandkästen (AI regulatory sandboxes) einzurichten. Dabei handelt es sich um kontrollierte Umgebungen, in denen Unternehmen innovative KI-Systeme unter Aufsicht der zuständigen Behörde testen können, wobei vorübergehende Ausnahmen von ausgewählten Anforderungen möglich sind.
Wenn Sie KI-Systeme einführen, in Auftrag geben oder entwickeln und beurteilen möchten, welche Verpflichtungen sich aus dem KI-Gesetz für Ihr Unternehmen ergeben, stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns: Aneta Kiser, Marcin Kroll, Rafał Wieczerzak.


