Digital Omnibus: EU verschiebt KI-Regulierung bis 2027

Brüssel gewährt der Wirtschaft Aufschub – doch wie sinnvoll ist das wirklich?

Die Europäische Kommission hat diese Woche ihr “Digital Omnibus”-Paket vorgestellt und damit eine zentrale Weichenstellung für die europäische Technologielandschaft vorgenommen. Die am Mittwoch, 19. November, angekündigte Gesetzesinitiative verschiebt die Durchsetzung strenger Compliance-Regeln für Hochrisiko-KI-Systeme von August 2026 auf Dezember 2027. Unternehmen erhalten damit 16 Monate zusätzliche Vorbereitungszeit – eine Entscheidung, die zwischen Erleichterung bei der Industrie und Alarmstimmung bei Verbraucherschützern pendelt.

Die Ankündigung sendet deutliche Signale durch den globalen Technologiesektor. Europäische Entscheidungsträger versuchen offenbar, Sicherheitsanforderungen mit der dringenden Notwendigkeit zu vereinbaren, Innovation nicht abzuwürgen. Während die Kernverbote der KI-Verordnung bestehen bleiben, markiert der neue Zeitplan für komplexe Konformitätsbewertungen eine pragmatische – wenn auch umstrittene – Kurskorrektur.

Seit August 2024 gelten in der EU neue Regeln für KI — viele Unternehmen sind unsicher, welche Pflichten jetzt genau auf sie zukommen. Unser kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt Risikoklassen, Kennzeichnungspflichten, notwendige Dokumentationen und die relevanten Übergangsfristen (z. B. Wasserzeichen, Hochrisiko‑Compliance). Ideal für Unternehmen, Entwickler und Anbieter, die jetzt konkrete Schritte planen müssen, um Bußgelder und Betriebsstörungen zu vermeiden. Jetzt kostenlosen Umsetzungsleitfaden zur EU-KI-Verordnung herunterladen

Das Herzstück der Kommissions-Initiative ist die Verschiebung der aufwendigsten Anforderungen der KI-Verordnung. Ursprünglich sollten Unternehmen, die “Hochrisiko”-KI-Systeme einsetzen – etwa in der Personalrekrutierung, Kreditvergabe oder kritischen Infrastruktur – bis 2. August 2026 vollständig regelkonform sein. Nach dem neuen Digital-Omnibus-Vorschlag würde diese Frist bis Dezember 2027 verlängert.

Laut offizieller Kommissionserklärung vom Mittwoch ist die Verzögerung notwendig, um sicherzustellen, dass “die erforderlichen Unterstützungsinstrumente und Standards vorhanden sind”, bevor Unternehmen für Nichteinhaltung sanktioniert werden. Die Kommission verwies auf Verzögerungen beim Aufbau nationaler Aufsichtsbehörden und bei der Fertigstellung harmonisierter technischer Standards als Hauptgründe für die Fristverlängerung.

“Eine effiziente Umsetzung der KI-Verordnung kommt Gesellschaft, Sicherheit und Grundrechten zugute. Sie erfordert jedoch klare Leitlinien und Unterstützung”, heißt es in der Stellungnahme. Der Vorschlag sieht vor, dass Unternehmen bis zu 16 Monate Zeit zur Umsetzung haben, nachdem die Kommission bestätigt hat, dass Compliance-Unterstützungsmaßnahmen vollständig verfügbar sind.

Rechtsexperten der Kanzlei Bird & Bird betonten am Donnerstag in einer Kundenmitteilung, dass diese Verlängerung faktisch die Uhr für Tausende EU-Unternehmen anhält, die mit der Interpretation komplexer Annex-III-Anforderungen kämpfen. “Der Vorschlag verlängert diese Frist basierend darauf, wann die Kommission feststellt, dass notwendige Compliance-Hilfen verfügbar sind”, so die Kanzlei. Unabhängig von dieser Feststellung würden die Regeln spätestens im Dezember 2027 greifen.

Datennutzung für KI-Training wird erleichtert

Neben der Fristverschiebung führt das Digital Omnibus entscheidende Änderungen ein, wie die KI-Verordnung mit der Datenschutz-Grundverordnung (DSGVO) interagiert – insbesondere bei der umstrittenen Frage der Datennutzung für Modelltraining.

Monatelang argumentierten KI-Entwickler, dass DSGVO-Beschränkungen ihre Fähigkeit behindern, wettbewerbsfähige Modelle mit europäischen Daten zu trainieren. Das neue Paket schlägt “gezielte Änderungen” der DSGVO vor, um zu klären, dass personenbezogene Daten unter spezifischen, vereinfachten Bedingungen für KI-Training genutzt werden können – sofern sie anonymisiert oder pseudonymisiert sind, wo immer möglich.

Dieser Schritt adressiert die Grauzone der “unerlaubten Nutzung”, die Entwickler seit Langem beschäftigt. Durch die Schaffung einer klareren Rechtsgrundlage für die Verarbeitung von Daten in KI-Trainingssets will die Kommission das Risiko von Rechtsstreitigkeiten für Unternehmen reduzieren, die bisher befürchteten, ihre Trainingsaktivitäten könnten rückwirkend für illegal erklärt werden.

Silicon Republic berichtete am Donnerstag, dass diese Änderungen Teil einer breiteren Initiative seien, Unternehmen bis 2029 administrative Kosten in Höhe von bis zu 4,5 Milliarden Euro zu ersparen. “Die EU will Regelungen rund um KI, Cybersicherheit und Daten straffen, um besser gegen die US-Technologieindustrie konkurrieren zu können”, hieß es in dem Bericht.

Übergangsfristen für generative KI und Wasserzeichen

Das Digital Omnibus verfeinert zudem die Compliance-Anforderungen für General Purpose AI (GPAI)-Modelle. Während Transparenzpflichten für GPAI-Anbieter technisch seit Mitte 2025 gelten, bietet der neuen Vorschlag eine spezifische Übergangsfrist für die Kennzeichnung synthetischer Inhalte.

Laut dem von CMS LawNow analysierten Entwurf haben Anbieter generativer KI-Systeme, die vor August 2026 auf den Markt gebracht wurden, bis Februar 2027 Zeit, technisch robuste Wasserzeichen-Tools zu implementieren (Artikel 50). Diese Anpassung erkennt die technischen Herausforderungen an, die mit der “Markierung” KI-generierter Texte, Audios und Videos verbunden sind – auf eine Weise, die für Menschen unsichtbar, aber maschinenlesbar ist.

Darüber hinaus will der Vorschlag Registrierungspflichten für bestimmte Hochrisiko-Systeme aufheben, die ausschließlich für “begrenzte oder verfahrenstechnische Aufgaben” eingesetzt werden. Dies würde die Verwaltungslast für KMU erheblich reduzieren, die kleinere KI-Komponenten in größere Arbeitsabläufe integrieren.

Industrie jubelt, Verbraucherschützer schlagen Alarm

Die Reaktionen auf die Ankündigung fallen scharf geteilt aus. Tech-Industrie-Vertreter und große Handelsverbände haben die Verzögerung begrüßt und sehen darin eine notwendige Atempause. Die Computer & Communications Industry Association (CCIA), die Giganten wie Amazon und Google vertritt, bezeichnete das Omnibus als positiven Schritt, forderte jedoch “mutigere” Maßnahmen zur Anhebung der Schwelle für die Klassifizierung als “systemisches Risiko”.

Verbraucherschutzorganisationen äußerten dagegen sofortige Bedenken. Finance Watch, eine zivilgesellschaftliche NGO, warnte am Mittwoch, die Verzögerung laufe auf eine “Deregulierung zur Beschleunigung”-Strategie hinaus, die Verbraucher schutzlos lasse. “Unter diesen Vorschlägen könnte einer Person aufgrund eines voreingenommenen KI-Modells ein Kredit verweigert werden… alles ohne ihr Wissen oder ihre Zustimmung” – für ein weiteres Jahr, sagte Peter Norwood, leitender Forschungsbeauftragter der Organisation.

Politischer Druck hat bei diesem Kurswechsel eine sichtbare Rolle gespielt. In den Tagen vor der Ankündigung drängten der französische Präsident Emmanuel Macron und Bundeskanzler Friedrich Merz (CDU) Berichten zufolge bei einem bilateralen Gipfel in Berlin auf eine Lockerung digitaler Vorschriften. Ihr Argument: Übermäßige Regulierung würge die europäische Wettbewerbsfähigkeit gegenüber US- und chinesischen Konkurrenten ab.

Wie geht es weiter?

Das “Digital Omnibus” ist derzeit ein Gesetzesvorschlag und muss vom Europäischen Parlament und dem Rat der EU genehmigt werden. Angesichts des aktuellen politischen Klimas und der Betonung auf Wirtschaftswachstum erwarten Analysten, dass die Verzögerung verabschiedet wird – obwohl die spezifischen DSGVO-Änderungen auf heftigen Widerstand datenschutzorientierter Abgeordneter stoßen könnten.

Für Unternehmen ist die Botschaft zwiespältig: Während der unmittelbare Druck der August-2026-Frist abgenommen hat, ist die Komplexität der Anforderungen nicht geschrumpft.

“Unternehmen müssen verstehen, dass die Verzögerung kein Grund ist, aufzuschieben – sondern ein Grund, sich rechtzeitig vor der Dezember-2027-Frist vorzubereiten”, sagte Nikolas Kairinos, CEO von RAIDS AI, heute in einem Interview mit Capacity Media. “Das grundlegende Problem hat sich nicht geändert; Organisationen müssen KI-Governance-Fähigkeiten aufbauen.”

Seit heute, 21. November 2025, bleiben die verbotenen KI-Praktiken (wie Social Scoring und biometrische Kategorisierung im öffentlichen Raum) untersagt – sie traten bereits Anfang des Jahres in Kraft. Die neue Flexibilität betrifft ausschließlich das Hochrisiko-Compliance-Regime und Datenberichtspflichten. Unternehmen wird geraten, ihre Gap-Analysen fortzusetzen und die endgültige Verabschiedung des Omnibus-Textes in den kommenden Monaten genau zu beobachten.

PS: Die Verzögerung bis Dezember 2027 bedeutet keine Entwarnung — Unternehmen sollten jetzt ihre Governance stärken. Das Gratis‑E‑Book “KI‑Verordnung kompakt” zeigt praxisnah, welche technischen und organisatorischen Maßnahmen sofort umgesetzt werden sollten, wie Sie Ihr System korrekt klassifizieren und welche Dokumentation Prüfer erwarten. Holen Sie sich die Checkliste für Gap‑Analysen und Übergangsfristen. Jetzt gratis E‑Book zur KI‑Verordnung anfordern