Zurück zur Übersicht
11.05.2026 Fachbeitrag

KI-Compliance 2026: Was der Digital Omnibus für Unternehmen wirklich ändert

Update Datenschutz Nr. 250

Mit der politischen Einigung im Trilog vom 7. Mai 2026 zum sogenannten KI-Omnibus reagiert die Europäische Union auf zunehmende Kritik an der praktischen Umsetzbarkeit der europäischen KI-Verordnung (KI-VO). Ziel der vorgesehenen Anpassungen ist es insbesondere, regulatorische Anforderungen zu vereinfachen, Überschneidungen mit sektorspezifischem Recht zu reduzieren und Unternehmen mehr Zeit für die Umsetzung zentraler Vorgaben einzuräumen. Gleichzeitig sieht die Einigung auch neue Schutzmechanismen und zusätzliche Verbotstatbestände vor, insbesondere im Zusammenhang mit missbräuchlichen KI-generierten Inhalten. Die geplanten Änderungen betreffen damit nicht nur Fragen der praktischen Anwendung der KI-VO, sondern setzen zugleich wichtige Akzente für das zukünftige Verhältnis zwischen Innovationsförderung, Wettbewerbsfähigkeit und Grundrechtsschutz im europäischen Digitalrecht. Nachfolgend geben wir einen Überblick über die wesentlichen Inhalte der Trilogeinigung und die hieraus resultierenden praktischen Auswirkungen für Unternehmen.

I. Hintergrund und Zielrichtung des KI-Omnibus

Die Europäische Kommission hat den sogenannten KI-Omnibus im November 2025 als Teil ihrer europäischen „Simplification Agenda“ vorgestellt. Hintergrund waren insbesondere frühzeitig geäußerte Bedenken aus Wirtschaft, Mitgliedstaaten und Praxis hinsichtlich der praktischen Umsetzbarkeit der KI-VO. Kritisiert wurden vor allem der hohe administrative Aufwand, kurze Umsetzungsfristen für Hochrisiko-KI-Systeme sowie Überschneidungen mit bestehenden sektorspezifischen Regelwerken, etwa im Bereich des Produktsicherheitsrechts. Darüber hinaus wurde beanstandet, dass einzelne Anforderungen der KI-VO insbesondere für kleine und mittlere Unternehmen mit erheblichen Rechtsunsicherheiten und zusätzlichen Compliance-Kosten verbunden seien.

Vor diesem Hintergrund zielte der Kommissionsvorschlag insbesondere darauf ab, die Anwendung der KI-VO stärker an bestehende sektorale Regulierungsstrukturen anzupassen und Doppelregulierungen zu vermeiden. Vorgesehen waren unter anderem längere Übergangsfristen für Hochrisiko-KI-Systeme, punktuelle Erleichterungen bei Dokumentations- und Konformitätspflichten sowie eine stärkere Verzahnung mit sektorspezifischem Harmonisierungsrecht. Zugleich sollte die Zuständigkeitsverteilung zwischen nationalen Behörden und dem europäischen AI Office präzisiert und die regulatorische Fragmentierung innerhalb der EU reduziert werden.

Die Vorschläge lösten jedoch bereits im Gesetzgebungsverfahren kontroverse Diskussionen aus. Während Teile der Industrie und einzelne Mitgliedstaaten die geplanten Erleichterungen als notwendigen Schritt zur Sicherung der europäischen Wettbewerbsfähigkeit begrüßten, warnten andere Akteure vor einer möglichen Aufweichung des risikobasierten Ansatzes der KI-VO und zunehmender Rechtszersplitterung.

II. Die wichtigsten Einigungspunkte

Die politische Einigung vom 7. Mai 2026 hält im Wesentlichen an der Zielrichtung des ursprünglichen Kommissionsvorschlags fest, enthält jedoch an mehreren Stellen wichtige Nachschärfungen und Kompromisslösungen.

1. Neue Fristen

Einen zentralen Bestandteil der Trilogeinigung bilden die Anpassungen der Anwendungsfristen für Hochrisiko-KI-Systeme. Hintergrund ist insbesondere die Einschätzung, dass die für die praktische Umsetzung erforderlichen harmonisierten Standards und technischen Instrumente voraussichtlich nicht rechtzeitig zur Verfügung stehen werden. Rat und Parlament haben sich daher auf eine gestaffelte Verschiebung der maßgeblichen Anwendungszeitpunkte verständigt.

Für sogenannte stand-alone Hochrisiko-KI-Systeme sollen die entsprechenden Vorgaben der KI-VO nun erst ab dem 2. Dezember 2027 gelten. Für Hochrisiko-KI-Systeme, die Bestandteil regulierter Produkte sind, etwa im Bereich Maschinen, Aufzüge oder Spielzeug, ist ein späterer Anwendungsbeginn zum 2. August 2028 vorgesehen.

Demgegenüber wurden die Fristen für Transparenzpflichten im Zusammenhang mit KI-generierten Inhalten verkürzt. Anbieter sollen die erforderlichen technischen Lösungen zur Kennzeichnung künstlich erzeugter Inhalte wie Wasserzeichen oder maschinenlesbare Markierungen bereits bis zum 2. Dezember 2026 umsetzen. Damit soll insbesondere der Missbrauch generativer KI-Systeme schneller eingedämmt werden.

2. Neue Verbotstatbestände

Die Trilogeinigung sieht zudem eine Erweiterung der bislang in der KI-VO vorgesehenen Verbote bestimmter KI-Praktiken vor. Neu aufgenommen wurde insbesondere ein ausdrückliches Verbot von KI-Systemen zur Erstellung nicht-einvernehmlicher sexueller oder intimer Inhalte sowie von Darstellungen sexualisierter Gewalt gegen Kinder (CSAM).

Die Ergänzung verdeutlicht, dass die europäischen Gesetzgeber trotz der angestrebten Vereinfachungen am grundrechtlich geprägten Schutzansatz der KI-VO festhalten. Zugleich reagiert die Einigung damit auf die zunehmende Verbreitung missbräuchlicher Deepfake-Anwendungen und den wachsenden politischen Druck im Bereich des Kinder- und Persönlichkeitsschutzes.

3. Sektorspezifische Lösungen

Ein weiterer Schwerpunkt der Einigung betrifft das Verhältnis der KI-VO zu bestehenden sektorspezifischen Regelwerken. Insbesondere für regulierte Produktbereiche wie Medizinprodukte, Maschinen, Spielzeug, Wasserfahrzeuge oder Aufzüge bestand die Sorge, dass parallele Anforderungen aus der KI-VO und sektoralen Harmonisierungsrechtsakten zu Doppelregulierungen und zusätzlichen Konformitätsverfahren führen könnten.

Vor diesem Hintergrund wurde ein Mechanismus vereinbart, der es ermöglichen soll, Überschneidungen zwischen der KI-VO und sektoralen Vorschriften durch spätere Durchführungsrechtsakte gezielt aufzulösen. Zudem soll die Maschinenverordnung teilweise von der unmittelbaren Anwendung bestimmter KI-VO-Anforderungen ausgenommen werden. Gleichzeitig erhält die Kommission die Möglichkeit, ergänzende gesundheits- und sicherheitsbezogene Anforderungen speziell für KI-Systeme im Anwendungsbereich der Maschinenverordnung zu erlassen.

III. Handlungsempfehlungen

Die Trilogeinigung verschafft Unternehmen zwar in zentralen Bereichen zusätzliche Zeit und mehr regulatorische Flexibilität. Gleichwohl besteht kein Anlass, laufende KI-Compliance-Projekte auszusetzen. Vielmehr sollten Unternehmen die gewonnenen Übergangsfristen gezielt nutzen, um bestehende Governance- und Risikostrukturen belastbar weiterzuentwickeln und die absehbaren Anpassungen frühzeitig in ihre Compliance-Strategie zu integrieren.

1. Bestehende KI-Compliance-Projekte nicht pausieren

Trotz der verlängerten Übergangsfristen bleiben die grundlegenden Anforderungen der KI-VO bestehen. Unternehmen sollten daher laufende Implementierungsprojekte insbesondere im Bereich Risikoklassifizierung, Dokumentation, Governance und interner Zuständigkeiten fortführen. Die zusätzlichen Fristen schaffen vor allem mehr Planungssicherheit, ändern jedoch nichts daran, dass die regulatorischen Anforderungen mittelfristig vollständig umgesetzt werden müssen.

2. Transparenzpflichten für generative KI priorisieren

Besonderer Handlungsbedarf besteht bereits kurzfristig bei KI-generierten Inhalten. Unternehmen, die generative KI-Systeme einsetzen oder entsprechende Inhalte veröffentlichen, sollten frühzeitig technische Lösungen für Kennzeichnungspflichten wie Wasserzeichen oder maschinenlesbare Markierungen implementieren. Da die Übergangsfrist insoweit deutlich kürzer ausfällt, dürfte dieser Bereich zeitlich vor vielen klassischen Hochrisiko-Anforderungen relevant werden.

3. Verhältnis zu sektorspezifischem Recht frühzeitig prüfen

Für Unternehmen in regulierten Industriebereichen – etwa Medizinprodukte, Maschinenbau, Mobility oder Consumer Products – gewinnt die Schnittstelle zwischen KI-VO und sektorspezifischem Produktrecht zunehmend an Bedeutung. Betroffene Unternehmen sollten daher frühzeitig analysieren, welche regulatorischen Anforderungen künftig parallel gelten und in welchen Bereichen mögliche Ausnahmen oder Sonderregelungen greifen könnten. Gerade aufgrund der angekündigten weiteren Durchführungsrechtsakte ist hier auch künftig mit zusätzlichem Anpassungsbedarf zu rechnen.

4. Verbotene KI-Praktiken und Deepfake-Risiken in bestehende Governance integrieren

Die neuen Verbotstatbestände verdeutlichen, dass die regulatorische Aufmerksamkeit zunehmend auf missbräuchliche Anwendungen generativer KI gerichtet wird. Unternehmen sollten daher bestehende KI-Governance-Strukturen um klare interne Richtlinien zum Umgang mit synthetischen Medien, Deepfakes und sensiblen Inhalten ergänzen. Dies betrifft nicht nur eigene KI-Entwicklungen, sondern auch den Einsatz externer KI-Tools durch Mitarbeitende, Dienstleister oder Marketingabteilungen.

IV. Fazit und Ausblick

Die Trilogeinigung zum KI-Omnibus verdeutlicht, dass die Europäische Union die praktische Umsetzbarkeit der KI-VO stärker in den Fokus rückt und zugleich auf zunehmenden wirtschaftlichen und regulatorischen Anpassungsdruck reagiert. Insbesondere die verlängerten Übergangsfristen und die stärkere Berücksichtigung sektorspezifischer Besonderheiten dürften vielen Unternehmen zusätzliche Planungssicherheit verschaffen. Gleichzeitig zeigt die Einigung jedoch auch, dass die EU am grundsätzlichen risikobasierten Regulierungsansatz der KI-VO festhält und diesen in einzelnen Bereichen sogar weiter ausbaut.

Die politische Einigung muss nun noch formell durch Rat und Europäisches Parlament bestätigt sowie einer finalen juristisch-linguistischen Prüfung unterzogen werden. Mit einer endgültigen Verabschiedung des KI-Omnibus wird in den kommenden Wochen gerechnet. Unternehmen sollten die weitere Entwicklung daher eng beobachten und die zusätzlichen Übergangsfristen nutzen, um bestehende KI-Compliance-Strukturen frühzeitig an die absehbaren Änderungen anzupassen.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

05.05.2026
E‑Evidence-Act greift ab August: Was Unternehmen jetzt konkret vorbereiten müssen
30.04.2026
Rechtssicherer Einsatz von KI-Transkriptionstools in Unternehmen
29.04.2026
Konsequenzen der Umsetzung der EmpCo-Richtlinie für Marken und Unternehmenskennzeichen
22.04.2026
Die Werbung mit Umwelt- bzw. Klimafreundlichkeit durch Maßnahmen zur Treibhausgaskompensation unter der EmpCo-Richtlinie
22.04.2026
Einsatz künstlicher Intelligenz im Arbeitsverhältnis: Rechtliche Grenzen, Risiken und Pflichten
20.04.2026
EuGH zur Tragweite des Pastiches – Sampling zwischen Schutz und Freiheit
17.04.2026
Digitale Souveränität in der Praxis: Neue Bewertungsmaßstäbe für Unternehmen
16.04.2026
BGH begrenzt den Einsatz von Art. 15 DSGVO im Forderungskauf: Kein Übergang als Nebenrecht, keine Prozessstandschaft im eigenen Namen
16.04.2026
Aussagen über künftige Umweltleistungen unter der EmpCo-Richtlinie
13.04.2026
Bundestag beschließt Data Act-Durchführungsgesetz
09.04.2026
Die Verwendung von sog. Nachhaltigkeitssiegeln unter der EmpCo-Richtlinie
09.04.2026
Cyber Resilience Act: Wer ist betroffen und was Unternehmen jetzt wissen müssen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.