Mittwoch, 17. Juni 2026

AI Digital Omnibus vom EP beschlossen

Das Europäische Parlament hat am 16. Juni 2026 seine Position zur Änderung der KI-Verordnung (EU) 2024/1689 in erster Lesung angenommen (423 Ja-Stimmen, 57 Nein, 174 Enthaltungen). Der Rechtsakt – bezeichnet als „Digital Omnibus on AI” (COM(2025)0836) – ändert die KI-VO in mehreren Punkten. Die förmliche Annahme durch den Rat steht noch aus.

Hintergrund

Die KI-VO ist seit 1. August 2024 in Kraft, ihre Bestimmungen gelten jedoch gestaffelt. Die pünktliche Anwendung stand unter Druck: Nationale Aufsichtsbehörden wurden vielerorts noch nicht benannt, harmonisierte Normen und Konformitätsbewertungsrahmen lagen nicht rechtzeitig vor. Die Europäische Kommission hatte den Vorschlag am 19. November 2025 als Teil eines breiteren „Digitalen Omnibuspakets” eingebracht, das neben den KI-Regeln auch Datenschutz- und Cybersicherheitsvorschriften sowie einen Vorschlag zum Europäischen Unternehmenswallet umfasst. Der
erklärte Zweck: Reduktion von Verwaltungsaufwand bei Beibehaltung des risikobasierten Ansatzes.

1. Neue Anwendungsfristen für Hochrisiko-KI-Systeme

Die Verpflichtungen für Hochrisiko-KI-Systeme nach Art. 6 KI-VO werden zeitlich gestreckt. Für eigenständige Hochrisiko-KI-Systeme (Anhang III) gilt als späteste Frist der 2. Dezember 2027; für KI-Systeme, die als Sicherheitskomponente in Produkte eingebettet sind und unter sektorale EU-Harmonisierungsvorschriften fallen (Anhang I), der 2. August 2028. Für diese Kategorie gelten ab sofort im Wesentlichen nur noch Art. 6 Abs. 1, Art. 60a und Art. 102–112 KI-VO (Art. 2 Abs. 2 neu). Anbieter generativer KI-Systeme, die bereits vor dem 2. August 2026 auf dem Markt waren, erhalten eine Übergangsfrist bis zum 2. Dezember 2026, um die Pflicht zur maschinenlesbaren Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2 KI-VO) zu erfüllen.

2. Verbot von „Nudifier-Apps” und KI-generierten Missbrauchsdarstellungen

Die rechtspolitisch bedeutsamste Änderung betrifft Art. 5 KI-VO. Neu eingefügt werden zwei Verbotstatbestände:

Art. 5 Abs. 1 lit. ba (neu) verbietet das Inverkehrbringen, die Inbetriebnahme oder Verwendung eines KI-Systems, das ohne die ausdrücklich erteilte, spezifische, informierte, eindeutige und explizite Einwilligung der betroffenen Person realistische Bilder, Videos, Audio oder ähnliches Material der intimen Körperbereiche einer identifizierbaren natürlichen Person oder einer identifizierbaren natürlichen Person bei sexuell eindeutigen Handlungen generiert oder manipuliert.

Art. 5 Abs. 1 lit. bb (neu) verbietet KI-Systeme, die Material im Sinne von Art. 2 lit. c und e der Richtlinie 2011/93/EU über die Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern generieren oder manipulieren, sofern kein nationaler Rechtfertigungsgrund greift.

Für Anbieter gilt das Verbot nur, wenn das Erzeugen derartigen Materials entweder der bestimmungsgemäße Zweck des Systems ist oder wenn dieses Ergebnis ohne wesentliche technische Veränderung vorhersehbar und reproduzierbar ist und das System keine angemessenen technischen Sicherheitsvorkehrungen aufweist (Art. 5 Abs. 1a lit. a neu). Für Betreiber ist die zweckgerichtete Verwendung des Systems zu diesem Zweck verboten (Art. 5 Abs. 1a lit. b neu). Bloße Nachbearbeitung ohne Erhöhung des Grads der Nacktheit oder Änderung der
sexuellen Handlung ist vom Tatbestand ausgenommen (Art. 5 Abs. 1b neu). Die Anpassungsfrist für Anbieter läuft bis zum 2. Dezember 2026.

Der Erwägungsgrund 11 des Rechtsakts hält fest, dass nicht-einvernehmliches Intimmaterial sexuelle Gewalt darstellt und die Verbreitung sogenannter „Nudification”-Anwendungen eine ausdrückliche Verbotsregelung erforderlich macht. Zu beachten ist, dass die verbotenen Verhaltensweisen auch nach nationalem Strafrecht sanktioniert werden können; die KI-rechtlichen Verbote schliDiesereßen eine strafrechtliche Verfolgung nicht aus (Erwägungsgrund 15).

3. Neudefinition „Sicherheitskomponente”

Art. 3 Z 14 KI-VO wird neu gefasst: Eine Sicherheitskomponente liegt nur vor, wenn der bestimmungsgemäße Zweck eines Bestandteils darin besteht, Risiken für Gesundheit und Sicherheit von Personen oder Eigentum zu verhindern oder zu mindern. Art. 6 Abs. 1a (neu) stellt klar, dass
KI-Systeme, die ausschließlich Nutzerunterstützung, Leistungsoptimierung, Effizienz, Automatisierung, Komfort oder nicht sicherheitsrelevante Qualitätskontrolle erfüllen, nicht als Sicherheitskomponente gelten. Maschinenbauprodukte mit KI-Anteil werden darüber hinaus aus dem direkten Hochrisiko-Regime der KI-VO herausgelöst; für sie gelten ausschließlich die Anforderungen der Maschinenverordnung. Die Kommission ist verpflichtet, deren Anhang III durch delegierten Rechtsakt um gesundheits- und sicherheitsbezogene Anforderungen an hochriskante KI-Systeme zu ergänzen.

4. Verarbeitung besonderer Datenkategorien zur Erkennung von Verzerrungen (neuer Art. 4a KI-VO)

Ein neuer Art. 4a KI-VO schafft eine eigenständige Rechtsgrundlage für die ausnahmsweise Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) zur Erkennung und Korrektur von Verzerrungen – und zwar sowohl für Anbieter von Hochrisiko-KI-Systemen als auch für Betreiber und Anbieter sonstiger KI-Systeme und -Modelle. Voraussetzung ist strikte Erforderlichkeit; die Verzerrung darf nicht durch andere Daten behebbar sein. Hinzu kommen umfangreiche Schutzpflichten (Pseudonymisierung, Zugangsbeschränkung, Löschpflicht nach erfolgter Korrektur).

5. Ausweitung auf kleine Midcap-Unternehmen; KI-Kompetenz

Die bisher nur für KMU geltenden Erleichterungen (vereinfachte technische Dokumentation, verhältnismäßige Qualitätsmanagementsysteme) werden auf kleine Midcap-Unternehmen im Sinne der Empfehlung (EU) 2025/1099 ausgeweitet. Die bisher als zwingende Pflicht ausgestaltete KI-Kompetenz (Art. 4 KI-VO) wird umgestaltet: Anbieter und Betreiber sollen Maßnahmen zur Förderung der KI-Kompetenz ihres Personals treffen; Kommission und Mitgliedstaaten sind gehalten, entsprechende Initiativen zu unterstützen und zu fördern.

Einordnung

Die Änderungen berühren den risikobasierten Ansatz der KI-VO strukturell nicht. Die neuen Verbotstatbestände in Art. 5 stellen jedoch eine Verschärfung dar, keine Vereinfachung; die neuen Fristen senken den Anpassungsdruck kurzfristig, beseitigen die Grundpflichten jedoch nicht.

Quellen:
Pressemitteilung des Europäischen Parlaments (DE) |
Angenommener Text P10_TA(2026)0198 (PDF, dzt. nur in der EN-Sprachfassung verfügbar) |
EPRS-Briefing PE 782.651, Juni 2026 (PDF, EN)

Tag(s): AI Omnibus

Freitag, 8. Mai 2026

AI Omnibus: politische Einigung erzielt

Das Europäische Parlament und der Rat der EU haben am 7. Mai 2026 eine politische Einigung über den Digital Omnibus on AI erzielt (siehe zu den Trilogpositionen bereits hier: datenrecht.at: Rat und EP-Ausschüsse zum „AI Digital Omnibus“). Dieser Vorschlag ist Teil der Vereinfachungsagenda der EU und zielt darauf ab, die Umsetzung des KI-Gesetzes für Unternehmen zu erleichtern sowie die europäische Wettbewerbsfähigkeit zu stärken.

Ein wesentlicher Bestandteil der Vereinbarung ist das Verbot von KI-Systemen, die nicht einvernehmliche sexuell explizite Inhalte oder Material über sexuellen Kindesmissbrauch generieren, wie etwa sogenannte Nudification-Apps.

Für Hochrisiko-KI-Systeme sieht die Einigung einen gestaffelten Zeitplan vor: Die Regeln für eigenständige Hochrisiko-Systeme in Bereichen wie Biometrie, Bildung oder Grenzschutz sollen ab dem 2. Dezember 2027 gelten. Für Systeme, die in Produkte wie Maschinen oder Spielzeug integriert sind, greifen die Vorschriften ab dem 2. August 2028. Die Frist für die Einrichtung nationaler KI-Reallabore wurde auf den 2. August 2027 verschoben. Vorverlegt wird hingegen der Beginn der Kennzeichnungs- bzw. Transparenzpflicht (zB Watermarking) für KI-generierte Inhalte auf den 2. Dezember 2026.

Auf Unternehmensebene werden regulatorische Erleichterungen, die ursprünglich für KMU vorgesehen waren, auf kleine Mid-Cap-Unternehmen ausgeweitet. Die Interaktion zwischen dem KI-Gesetz und sektoralen Sicherheitsvorschriften, insbesondere der Maschinenverordnung, wurde präzisiert, um bürokratische Doppelstrukturen zu vermeiden. Die Befugnisse des KI-Amtes bei der Überwachung von Modellen für allgemeine Zwecke und Systemen auf sehr großen Online-Plattformen werden gestärkt.

Eine Einigung erfolgte auch betreffend der Aufnahme einer Regelung, die die Möglichkeit zur Verarbeitung personenbezogener Daten vorsieht, sofern dies zur Erkennung und Korrektur von Verzerrungen (Biases) zwingend erforderlich ist, unter Einhaltung angemessener Schutzvorkehrungen sowohl für Hochrisiko- als auch für Nicht-Hochrisiko-KI-Systeme.

Das Europäische Parlament und der Rat müssen die politische Einigung nun noch formal verabschieden. Die Änderungen treten drei Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Links zu den Pressemeldungen:
European Parliament: AI Act deal on simplification measures, ban on nudifier apps
European Commission - Press Release (IP/26/1024)
Artificial Intelligence: Council and Parliament agree to simplify and streamline rules

Tag(s): AI Omnibus

Montag, 23. März 2026

Rat und EP-Ausschüsse zum „AI Digital Omnibus“

Mit dem im November 2025 von der Europäischen Kommission vorgelegten Vorschlag einer „Digital-Omnibus-Verordnung zur KI“ sollen spezifische Umsetzungsprobleme der KI-VO (AI Act) adressiert, der regulatorische Aufwand reduziert und der Zeitplan für die Anwendung bestimmter Vorschriften angepasst werden - aber auch dieser Vorschlag muss durch das europäische Gesetzgebungsverfahren. Hier gibt es nun wichtige Entwicklungen:

Sowohl der Rat der Europäischen Union als auch die federführenden Ausschüsse des Europäischen Parlaments haben nun ihre Verhandlungspositionen formuliert. Der Europäische Rat hat am 13. März 2026 seine allgemeine Ausrichtung (Verhandlungsmandat) festgelegt. Der Rat unterstützt die grundsätzliche Stoßrichtung des Kommissionsvorschlags zur Entbürokratisierung, nimmt jedoch wesentliche juristische Präzisierungen und Ergänzungen vor:

  • Verbindliche Anwendungsfristen: Statt einer an die Verfügbarkeit von Normen geknüpften Frist fordert der Rat fixe Stichtage für die verzögerte Anwendbarkeit der Vorschriften für Hochrisiko-KI-Systeme. Diese sollen ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und ab dem 2. August 2028 für in Produkte eingebettete Hochrisiko-KI-Systeme gelten.
  • Ausweitung der Verbotsnormen: Das Mandat des Rates sieht ein neues Verbot für KI-Praktiken vor, die nicht einvernehmliche sexuelle und intime Inhalte (sogenannte Deepfakes) oder Darstellungen von sexuellem Kindesmissbrauch generieren.
  • Datenschutz und Bias-Korrektur: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten zum Zweck der Erkennung und Korrektur von Verzerrungen (Bias) hat der Rat den strikten Maßstab der unbedingten Notwendigkeit wieder in den Text aufgenommen.
  • Registrierungspflichten: Die Pflicht zur Registrierung in der EU-Datenbank wurde für Anbieter von Nicht-Hochrisiko-KI-Systemen durch den Rat wiederhergestellt..

Am 18. März 2026 nahmen die Ausschüsse für Binnenmarkt (IMCO) und bürgerliche Freiheiten (LIBE) ihren gemeinsamen Bericht zum Vorschlag an. Die Position der Parlamentarier deckt sich in wesentlichen Punkten mit der des Rates, setzt jedoch eigene wirtschafts- und verbraucherschutzrechtliche Akzente:

  • Konvergenz bei Fristen und Verboten: Die Ausschüsse schließen sich den vom Rat geforderten festen Fristen (Dezember 2027 und August 2028) für Hochrisiko-Systeme an. Ebenso befürworten sie das spezifische Verbot von sogenannten „Nudifier“-Systemen, die ohne Einwilligung der betroffenen echten Personen explizite sexuelle Bilder erstellen oder manipulieren.
  • Markierungspflichten: Im Hinblick auf die Übergangsfristen zur Einhaltung der Vorschriften für Wasserzeichen (Kennzeichnung von KI-generierten Inhalten) schlagen die Abgeordneten eine verkürzte Frist bis zum 2. November 2026 vor, statt der von der Kommission angedachten Verlängerung bis Februar 2027.
  • Ausnahmen für KMU und SMCs: Um europäische Unternehmen beim Wachstum zu unterstützen, billigten die Ausschüsse die Ausweitung vereinfachter Dokumentationspflichten auf kleine Unternehmen mit mittlerer Marktkapitalisierung (Small Mid-Cap Enterprises, SMCs).
  • Kohärenz mit sektorspezifischem Recht: Ein zentrales Anliegen der Ausschüsse ist die Vermeidung regulatorischer Doppelbelastungen. Verpflichtungen aus dem KI-Gesetz sollen für Produkte, die bereits sektoralen EU-Rechtsvorschriften (wie z. B. für Medizinprodukte oder Maschinensicherheit) unterliegen, weniger streng ausfallen.


Ausblick und nächste Verfahrensschritte

Bevor die finalen Kompromisse zum Gesetzestext ausgehandelt werden können, bedarf es noch der formellen Bestätigung des parlamentarischen Mandats. Die Abstimmung über das Verhandlungsmandat der IMCO- und LIBE-Ausschüsse im Plenum des Europäischen Parlaments ist für den 26. März 2026 vorgesehen.

Trilog-Verhandlungen: Mit der formellen Billigung durch das Parlament können unmittelbar die interinstitutionellen Trilog-Verhandlungen zwischen dem EU-Rat, dem Europäischen Parlament und der EU-Kommission beginnen. Laut Kai Zenner ist das Inkrafttreten für Anfang August 2026 geplant. Wohlgemerkt sind die (separat) vorgeschlagenen Änderungen der DSGVO (und anderer Rechtsakte) davon nicht umfasst, hier könnte es erst Ende 2026/Anfang 2027 zu einer Einigung kommen.

Montag, 24. November 2025

Digital Omnibus: KOM schlägt regulatorische “Erleichterungen” vor

Die Hauptelemente des am 19.11.2025 veröffentlichten Pakets umfassen einen digitalen Omnibus, der Änderungen von Vorschriften für personenbezogene und nicht-personenbezogene Daten sowie für die Cybersicherheit und bestimmte Elemente des KI-Gesetzes (AI Act) vorschlägt. Es beinhaltet außerdem eine Mitteilung zur Datenunionsstrategie, Mustervertragsklauseln (Model Contractual Terms) für den Datenzugang und die Datennutzung sowie Standardvertragsklauseln für Cloud-Computing-Verträge, ebenso wie eine Verordnung für europäische Unternehmens-Wallets. Zusätzlich enthält das Paket eine öffentliche Konsultation zum digitalen Fitness-Check:

Donnerstag, 10. Juli 2025

Dt. Bundestag: 58-seitiger Infobrief zum Einsatz von KI in Behörden der EU-Mitgliedstaaten

Der volle Titel des Infobriefs vom 7. Juli 2025 lautet “Zu rechtlichen Vorgaben der Verordnung über Künstliche Intelligenz für den Einsatz von KI in Behörden der EU-Mitgliedstaaten” und geht auf rechtliche Aspekte, die für Behörden der EU-Mitgliedstaaten gemäß AI Act (KI-VO) bei der Einführung und Nutzung von KI-Anwendungen relevant sein können, ein. Zum Inhalt (Auszug aus dem Bericht):

Behandelt werden Fragestellungen im Zusammenhang mit der Anbieter- oder Betreibereigenschaft von Behörden (Ziff. 2.), Registrierungspflichten für KI-Systeme (Ziff. 3.) sowie sonstigen Dokumentations- und Transparenzpflichten (Ziff. 4., 5.). Der Infobrief geht auf die Pflichten zur Kompetenzbildung im KI-Bereich (Ziff. 6.) und auf die Frage ein, ob Organisationsstrukturen für ein Compliance-Management geschaffen werden sollten (Ziff. 7). Abschließend werden Maßnahmen dargestellt, die Behörden bei der Einführung eines generativen Allzweck-KI-Systems wie ChatGPT, Claude oder Gemini beachten sollten (Ziff. 8.).

GPAI Code of Practice veröffentlicht

Beim GPAI Code of Practice handelt es sich um ein freiwilliges Instrument, das von unabhängigen Experten in einem Multi-Stakeholder-Prozess erarbeitet und am 10. Juli 2025 veröffentlicht wurde. Sein Hauptzweck ist es, die Branche dabei zu unterstützen, die Vorgaben des KI-Gesetzes bezüglich Sicherheit, Transparenz und Urheberrecht von Allzweck-KI-Modellen zu erfüllen.

In den folgenden Wochen werden die Mitgliedstaaten und die Europäische Kommission seine Angemessenheit bewerten. Ergänzt wird er durch Leitlinien der Kommission zu Schlüsselkonzepten im Zusammenhang mit Allzweck-KI-Modellen, die ebenfalls noch im Juli veröffentlicht werden sollen.

Der Verhaltenskodex gliedert sich in drei separate Kapitel:

1. Transparenz: Dieses Kapitel bietet ein nutzerfreundliches Modelldokumentationsformular. Anbieter können damit die notwendigen Informationen leicht dokumentieren, um ihrer Verpflichtung zur Gewährleistung ausreichender Transparenz gemäß Artikel 53 des KI-Gesetzes nachzukommen.
2. Urheberrecht: Hier finden Anbieter praktische Lösungen, um die Verpflichtung des KI-Gesetzes zur Einführung einer Richtlinie zur Einhaltung des EU-Urheberrechts zu erfüllen. Dieses Kapitel ist, wie das Transparenzkapitel, für alle Anbieter von Allzweck-KI-Modellen relevant, um ihre Verpflichtungen gemäß Artikel 53 des KI-Gesetzes zu demonstrieren.
3. Safety and Security: Dieses Kapitel skizziert konkrete, dem Stand der Technik entsprechende Praktiken für das Management systemischer Risiken, d.h. Risiken, die von den fortschrittlichsten Modellen ausgehen. Es ist nur für die wenigen Anbieter der fortschrittlichsten Modelle relevant, die den Verpflichtungen des KI-Gesetzes für Anbieter von Allzweck-KI-Modellen mit systemischem Risiko gemäß Artikel 55 des KI-Gesetzes unterliegen.

Mittwoch, 6. November 2024

bitkom: Umsetzungsleitfaden zur KI-Verordnung (AI Act)

Die deutsche bitkom hat einen umfangreichen Leitfaden zur Umsetzung des AI Act veröffentlicht, der durch ein Online-Tool ergänzt wird. Der Umsetzungsleitfaden führt durch die KI-Verordnung (Einleitung, KI-System, persönlicher und räumlicher Anwendungsbereich, Risikoklassifizierung, Compliance-Anforderungen, Konformitätsnachweis/Pflichten) und soll laut bitkom Unternehmen, die KI-Systeme in Verkehr bringen oder betreiben, dabei unterstützen, die rechtlichen Vorgaben der Verordnung (EU) 2024/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) zu implementieren.

Tag(s): AI Act

Freitag, 12. Juli 2024

AI Act im Amtsblatt veröffentlicht

Heute, 12.7.2024, wurde der AI Act (KI VO) im Amtsblatt der Europäischen Union kundgemacht:

Die Bestimmungen des AI Act treten gemäß Artikel 113 KI VO “gestaffelt” in Geltung, siehe dazu die folgende Grafik (© RTR, CC BY 4.0):

AI Act: Zeitlicher Geltungsbereich