Änderung der KI-Verordnung durch den „Digital Omnibus“

Am 19. November 2025 präsentierte die Europäische Kommission ein Legislativpaket, das die digitale Regulierung der EU durch die KI-Verordnung vereinfachen soll.

Das Paket umfasst unter anderem einen "Digital Omnibus on AI" mit gezielten Änderungen an der KI-Verordnung. Der "Digital Omnibus on AI" ist Teil eines vierteiligen Gesetzespakets der Europäischen Kommission. Daneben umfasst die Initiative auch einen Omnibusvorschlag zu Daten und Datenschutz, die "Data Union Strategie", sowie einen Legislativvorschlag zu Europäischen "Business Wallets". Ziel des AI-bezogenen Teils ist es, eine praktikable Umsetzung der KI-Verordnung zu gewährleisten.

Welche Änderungen sind geplant?

Die Vorschläge im Digital Omnibus on AI lassen sich in fünf zentrale Bereiche gliedern:

1. Anpassung der Zeitpläne und Übergangsregelungen

Die vollständige Anwendung der Vorgaben für Hochrisiko-KI-Systeme soll an die Verabschiedung harmonisierter Standards, gemeinsamer Spezifikationen oder Leitlinien geknüpft werden. Für KI-Systeme nach Anhang III, d.h. für bestimmte KI-Anwendungsfälle, sollen die Vorschriften sechs Monate nach einer entsprechenden Kommissionsentscheidung zu Standards gelten, spätestens jedoch bis zum 2. Dezember 2027. Für KI-Systeme nach Anhang I – also solche, die in regulierte Produkte eingebettet sind – beträgt die vorgeschlagene Frist zwölf Monate nach der Entscheidung oder bis spätestens 2. August 2028. Bislang waren der 2. August 2026 bzw. der 2. August 2027 als Datum der Anwendbarkeit der Vorschriften vorgesehen.

2. Vereinfachte Compliance-Anforderungen

Der Gesetzesvorschlag sieht ebenso erhebliche Erleichterungen für kleinere Unternehmen vor: Vereinfachte Anforderungen an die technische Dokumentation für Hochrisiko-KI-Systeme, die ursprünglich nur für KMU galten, sollen auf sogenannte "Small Mid-Caps" (SMCs) ausgedehnt werden. SMCs bezeichnet eine neue EU-Kategorie von Unternehmen, die über die traditionelle KMU-Definition hinausgewachsen, aber noch keine Großunternehmen sind (250-749 Mitarbeiter, Jahresumsatz bis EUR 150 Mio. oder Bilanzsumme bis EUR 129 Mio.). Auch die Pflichten zum Qualitätsmanagementsystem sollen für KMU und SMCs flexibler gestaltet werden.

3. Zentralisierte Aufsicht auf EU-Ebene

Die Aufgaben des AI Office auf EU-Ebene soll erheblich erweitert werden. Künftig soll es nicht nur KI-Modelle mit allgemeinem Verwendungszweck beaufsichtigen, sondern auch KI-Systeme, die in sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs) nach dem Digital Services Act eingebettet sind. Zudem soll das AI Office für bestimmte KI-Systeme Konformitäts-bewertungen vor der Markteinführung durchführen können. Die Kommission schlägt darüber hinaus eine verstärkte Nutzung regulatorischer Sandboxes vor.

4. Verpflichtung zur KI-Kompetenz

Besonders bemerkenswert ist, dass die bisherige Verpflichtung zur "KI-Kompetenz" (AI Literacy), die seit 2. Februar 2025 gilt, für Anbieter und Betreiber gestrichen werden soll. Stattdessen sollen Kommission und Mitgliedstaaten ermutigt werden, KI-Kompetenz allgemein zu fördern. Aus Selbstschutz empfiehlt es sich dennoch weiterhin, Mitarbeitende im Umgang mit KI angemessen zu schulen, da Rechtsverstöße durch die Belegschaft in den allermeisten Fällen dem Unternehmen zugerechnet werden.

5. Rechtmäßige Verarbeitung zur Bias-Erkennung

Ein weiterer wichtiger Vorschlag betrifft die Verarbeitung besonderer Kategorien personenbezogener Daten, etwa Gesundheitsdaten. Künftig sollen Anbieter und Betreiber aller KI-Systeme – nicht nur von Hochrisiko-Systemen – solche Daten zur Erkennung und Korrektur von Verzerrungen (Bias) verarbeiten dürfen, sofern "angemessene Schutzmaßnahmen" (technischer und organisatorischer Art) ergriffen sowie die Grundsätze der Datenminimierung und Verhältnismäßigkeit eingehalten werden. Parallel dazu wird im Omnibus zu Daten und Datenschutz auch auf DSGVO-Ebene klargestellt, dass "berechtigte Interessen" als Rechtsgrundlage für die Entwicklung und den Betrieb von KI-Systemen herangezogen werden können.

Was bedeutet das für Unternehmen?

Es ist wichtig zu betonen, dass es sich bei diesen Texten um Kommissionsvorschläge handelt. Obwohl das Paket eine klare Richtung vorgibt, bedeutet es derzeit noch keine Änderung der Rechtslage. Bis der Digital Omnibus und der Digital Omnibus on AI verhandelt, verabschiedet und anwendbar sind, sollten Unternehmen weiterhin die bestehenden EU-Digitalgesetze und ihre aktuell geltenden Fristen einhalten.

Fazit

Der Digital Omnibus on AI könnte die Umsetzung der KI-Verordnung für Unternehmen praktikabler gestalten. Die vorgeschlagenen Fristverlängerungen, die vereinfachten Compliance-Anforderungen für kleinere Akteure und die Streichung der AI-Literacy-Pflicht signalisieren den Willen der Kommission, Innovationsfreundlichkeit und Rechtssicherheit zu verbinden. Unternehmen sollten die weitere Entwicklung des Gesetzgebungsverfahrens genau beobachten, gleichzeitig aber nicht in Passivität verfallen: Die bestehenden Pflichten der KI-Verordnung gelten weiterhin und die Sanktionsmechanismen sind bereits scharfgestellt.

Autorin: Daniela Birnbauer, LL.M.

Seminartipp! KI rechtssicher nutzen

Änderung der KI-Verordnung durch den „Digital Omnibus“: Was Unternehmen jetzt wissen müssen