Digital Omnibus: Stop-the-Clock verschiebt KI-Compliance bis 2028

Die Europäische Kommission räumt mit dem Digital Omnibus ein, was die Industrie längst wusste: Die ursprünglichen Fristen des KI-Gesetzes waren unrealistisch. Neue Analysen führender Kanzleien bestätigen jetzt, was dieser radikale Kurswechsel für Unternehmen bedeutet.

Am vergangenen Montag und Dienstag haben Sidley Austin und Slaughter and May ihre Einschätzungen zum Digital Omnibus-Vorschlag vom 19. November veröffentlicht – und die Kernbotschaft ist eindeutig: Der gefürchtete Compliance-Kollaps im August 2026 wird nicht stattfinden. Stattdessen führt Brüssel einen “Stop-the-Clock”-Mechanismus ein, der Fristen an die Verfügbarkeit harmonisierter Standards koppelt. Praktisch bedeutet das: Hochrisiko-KI-Systeme müssen frühestens Ende 2027, möglicherweise erst Mitte 2028 compliant sein.

Doch was auf den ersten Blick wie eine Atempause aussieht, entpuppt sich bei genauerer Betrachtung als komplexes regulatorisches Manöver. Denn das KI-Gesetz gilt seit August 2024 – nur fehlen bis heute die technischen Standards, die Unternehmen zur Umsetzung bräuchten.

Passend zum Thema Digital Omnibus und EU‑KI-Verordnung: Seit August 2024 gelten neue Pflichten für Anbieter von KI‑Systemen – viele Unternehmen unterschätzen den Umsetzungsaufwand. Unser kostenloser Umsetzungsleitfaden erklärt Risikoklassifizierung, Kennzeichnungs- und Dokumentationspflichten sowie die wichtigsten Übergangsfristen, damit Sie Ihre Gap‑Analyse richtig priorisieren und teure Nachbesserungen vermeiden. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Fristen auf Eis: Wie der neue Mechanismus funktioniert

Das Herzstück der Reform ist eine bedingte Fristgestaltung, die Rechtssicherheit schaffen soll, ohne die Regeln zu verwässern.

Bislang sollten Pflichten für Annex-III-Systeme – etwa KI-Anwendungen in der Personalabteilung, im Bildungsbereich oder bei kritischer Infrastruktur – ab dem 2. August 2026 greifen. Der Digital Omnibus dreht den Spieß nun um: Die Frist beginnt erst sechs Monate nachdem die Kommission bestätigt, dass harmonisierte Standards oder gemeinsame Spezifikationen vorliegen.

Damit der Prozess nicht ins Unendliche abdriftet, sind Spätesttermine vorgesehen:
* 2. Dezember 2027: Finale Deadline für Annex-III-Hochrisikosysteme
* 2. August 2028: Finale Deadline für Annex-I-Systeme (Sicherheitskomponenten in regulierten Produkten wie Medizingeräten), verlängert vom ursprünglichen August 2027

“Dieser Mechanismus erkennt faktisch an, dass die technische Umsetzung der Compliance nicht vor den Standards erfolgen kann, die sie definieren”, analysiert Sidley Austin in ihrem gestrigen Briefing. Die Kanzlei betont allerdings: Die Stop-the-Clock-Regelung steht unter Vorbehalt – der Omnibus muss vor August 2026 durch Parlament und Rat.

Zusätzlich sieht der Vorschlag eine Übergangsfrist für Transparenzpflichten bei General Purpose AI (GPAI) vor. Anbieter von GPAI-Systemen, die vor August 2026 auf den Markt kamen, hätten bis zum 2. Februar 2027 Zeit, maschinenlesbare Kennzeichnungen nach Artikel 50 umzusetzen – sechs Monate Schonfrist für Legacy-Modelle.

KI-Kompetenz: Aus der Pflicht in die Freiwilligkeit

Eine Änderung sorgt diese Woche besonders für Gesprächsstoff in der Branche: die geplante Abschaffung der AI-Literacy-Pflicht aus Artikel 4.

Seit dem 2. Februar 2025 sind Anbieter und Betreiber rechtlich verpflichtet, ihren Mitarbeitern ausreichende KI-Kenntnisse zu vermitteln. Diese “Awareness”-Vorschrift sollte sicherstellen, dass Personen, die KI-Systeme bedienen, deren Ergebnisse und Grenzen verstehen. Jetzt schlägt die Kommission vor, diese direkte Verpflichtung für Unternehmen komplett zu streichen.

Stattdessen sollen Mitgliedstaaten und die Kommission selbst für KI-Kompetenz sorgen – durch freiwillige Schulungsprogramme und Informationsangebote, statt harter Compliance-Anforderungen für jeden einzelnen Betreiber.

Morrison Foerster (MoFo) sieht darin einen Versuch, administrative Lasten von KMUs und Nicht-Tech-Unternehmen zu nehmen. Bis zur formellen Verabschiedung des Omnibus bleibt Artikel 4 jedoch technisch in Kraft – ein regulatorisches Niemandsland, in dem Unternehmen selbst entscheiden müssen, ob sie ihre Literacy-Programme weiterführen oder auf die Deregulierung spekulieren.

Standards bestimmen das Tempo – und die fehlen noch

Die Verzögerung der Fristen ist letztlich das Eingeständnis eines Scheiterns: CEN/CENELEC, die europäischen Normierungsorganisationen, haben die harmonisierten Standards nicht rechtzeitig fertiggestellt. Ohne diese Standards können Unternehmen nicht nachweisen, dass ihre Systeme compliant sind – selbst wenn sie es wollten.

Parallel zum KI-Gesetz hat die Kommission einen umfassenderen “Digital Fitness Check” gestartet. Bis zum 11. März 2026 können Stakeholder Belege einreichen. Diese Initiative, die der Think Tank Bruegel am 8. Dezember analysierte, untersucht die kumulative Wirkung des digitalen EU-Regelwerks – von der DSGVO über das Datengesetz bis zum KI-Gesetz.

Praktische Erleichterungen bringt der Omnibus sofort:
* Registrierungspflicht entfällt: Anbieter von Annex-III-Systemen, die sich nach der Artikel-6(3)-Ausnahmeregelung selbst als “nicht hochriskant” einstufen, müssen sich nicht mehr in der EU-Datenbank registrieren
* KMU-Entlastung: Vereinfachte technische Dokumentation gilt künftig auch für “Small Mid-Caps” mit bis zu 750 Mitarbeitern und 150 Millionen Euro Umsatz

Vorsichtiger Optimismus in der Industrie

Die Reaktionen fallen verhalten positiv aus. Bruegel konstatierte am Montag, der Stop-the-Clock-Mechanismus sei zwar notwendig, spiegle aber eine “regulatorische Unsicherheit” wider, die die digitale EU-Strategie belaste. Die Verzögerung räumt ein, dass die Compliance-Infrastruktur – insbesondere Notified Bodies und technische Standards – für den 2026-Zeitplan nicht bereitsteht.

“Unternehmen sollten die Arbeit nicht einstellen”, rät die Kanzlei Cooley in einem aktuellen Update. “Die Spätesttermine sind Absicherungen, keine Zielvorgaben. Wenn Standards früher veröffentlicht werden, beginnt der Sechs-Monats-Countdown sofort.”

Der Vorschlag adressiert auch die gefürchtete Doppelregulierung: Incident-Reporting soll künftig über einen Single-Entry-Point für KI-Gesetz, DSGVO und Cyber Resilience Act laufen – eine Forderung, die Industrieverbände seit langem erheben.

Was jetzt ansteht

Der Digital Omnibus ist derzeit nur ein Vorschlag. Europäisches Parlament und Rat müssen zustimmen, damit er Gesetz wird. Der Zeitdruck ist enorm: Die ursprünglichen Hochrisiko-Regeln greifen im August 2026 – theoretisch zumindest.

Entscheidende Termine:
* Q1 2026: Erwartete Ausschussabstimmungen im EU-Parlament
* 11. März 2026: Fristende für den Digital Fitness Check
* 2. August 2026: Die ursprüngliche Compliance-Klippe, die der Omnibus entschärfen soll

Falls verabschiedet, träte der Omnibus drei Tage nach Veröffentlichung in Kraft – und würde die Compliance-Roadmap möglicherweise nur Monate vor den ursprünglichen Deadlines umkrempeln. Bis dahin raten Experten: Gap-Analysen fortsetzen, aber flexibel bleiben bei den finalen Umsetzungsterminen.

PS: Die neuen Fristen und der Stop‑the‑Clock‑Mechanismus ändern zwar Zeitpläne – aber Pflichten bleiben bestehen. Dieser praxisorientierte Leitfaden fasst zusammen, welche Maßnahmen jetzt Vorrang haben, welche Nachweise Prüfer erwarten und wie Sie Dokumentation und Kennzeichnung schlank umsetzen. Ideal für Compliance‑Verantwortliche und Entwickler, die Fristen und Standards im Blick behalten müssen. Kostenlosen KI-Umsetzungsleitfaden sichern