Datenrecht.at

Das Europäische Parlament und der Rat der EU haben am 7. Mai 2026 eine politische Einigung über den Digital Omnibus on AI erzielt (siehe zu den Trilogpositionen bereits hier: datenrecht.at: Rat und EP-Ausschüsse zum „AI Digital Omnibus“). Dieser Vorschlag ist Teil der Vereinfachungsagenda der EU und zielt darauf ab, die Umsetzung des KI-Gesetzes für Unternehmen zu erleichtern sowie die europäische Wettbewerbsfähigkeit zu stärken.

Ein wesentlicher Bestandteil der Vereinbarung ist das Verbot von KI-Systemen, die nicht einvernehmliche sexuell explizite Inhalte oder Material über sexuellen Kindesmissbrauch generieren, wie etwa sogenannte Nudification-Apps.

Für Hochrisiko-KI-Systeme sieht die Einigung einen gestaffelten Zeitplan vor: Die Regeln für eigenständige Hochrisiko-Systeme in Bereichen wie Biometrie, Bildung oder Grenzschutz sollen ab dem 2. Dezember 2027 gelten. Für Systeme, die in Produkte wie Maschinen oder Spielzeug integriert sind, greifen die Vorschriften ab dem 2. August 2028. Die Frist für die Einrichtung nationaler KI-Reallabore wurde auf den 2. August 2027 verschoben. Vorverlegt wird hingegen der Beginn der Kennzeichnungs- bzw. Transparenzpflicht (zB Watermarking) für KI-generierte Inhalte auf den 2. Dezember 2026.

Auf Unternehmensebene werden regulatorische Erleichterungen, die ursprünglich für KMU vorgesehen waren, auf kleine Mid-Cap-Unternehmen ausgeweitet. Die Interaktion zwischen dem KI-Gesetz und sektoralen Sicherheitsvorschriften, insbesondere der Maschinenverordnung, wurde präzisiert, um bürokratische Doppelstrukturen zu vermeiden. Die Befugnisse des KI-Amtes bei der Überwachung von Modellen für allgemeine Zwecke und Systemen auf sehr großen Online-Plattformen werden gestärkt.

Eine Einigung erfolgte auch betreffend der Aufnahme einer Regelung, die die Möglichkeit zur Verarbeitung personenbezogener Daten vorsieht, sofern dies zur Erkennung und Korrektur von Verzerrungen (Biases) zwingend erforderlich ist, unter Einhaltung angemessener Schutzvorkehrungen sowohl für Hochrisiko- als auch für Nicht-Hochrisiko-KI-Systeme.

Das Europäische Parlament und der Rat müssen die politische Einigung nun noch formal verabschieden. Die Änderungen treten drei Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Links zu den Pressemeldungen:
European Parliament: AI Act deal on simplification measures, ban on nudifier apps
European Commission - Press Release (IP/26/1024)
Artificial Intelligence: Council and Parliament agree to simplify and streamline rules

Mit dem im November 2025 von der Europäischen Kommission vorgelegten Vorschlag einer „Digital-Omnibus-Verordnung zur KI“ sollen spezifische Umsetzungsprobleme der KI-VO (AI Act) adressiert, der regulatorische Aufwand reduziert und der Zeitplan für die Anwendung bestimmter Vorschriften angepasst werden - aber auch dieser Vorschlag muss durch das europäische Gesetzgebungsverfahren. Hier gibt es nun wichtige Entwicklungen:

Sowohl der Rat der Europäischen Union als auch die federführenden Ausschüsse des Europäischen Parlaments haben nun ihre Verhandlungspositionen formuliert. Der Europäische Rat hat am 13. März 2026 seine allgemeine Ausrichtung (Verhandlungsmandat) festgelegt. Der Rat unterstützt die grundsätzliche Stoßrichtung des Kommissionsvorschlags zur Entbürokratisierung, nimmt jedoch wesentliche juristische Präzisierungen und Ergänzungen vor:

• Verbindliche Anwendungsfristen: Statt einer an die Verfügbarkeit von Normen geknüpften Frist fordert der Rat fixe Stichtage für die verzögerte Anwendbarkeit der Vorschriften für Hochrisiko-KI-Systeme. Diese sollen ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme und ab dem 2. August 2028 für in Produkte eingebettete Hochrisiko-KI-Systeme gelten.
• Ausweitung der Verbotsnormen: Das Mandat des Rates sieht ein neues Verbot für KI-Praktiken vor, die nicht einvernehmliche sexuelle und intime Inhalte (sogenannte Deepfakes) oder Darstellungen von sexuellem Kindesmissbrauch generieren.
• Datenschutz und Bias-Korrektur: Bei der Verarbeitung besonderer Kategorien personenbezogener Daten zum Zweck der Erkennung und Korrektur von Verzerrungen (Bias) hat der Rat den strikten Maßstab der unbedingten Notwendigkeit wieder in den Text aufgenommen.
• Registrierungspflichten: Die Pflicht zur Registrierung in der EU-Datenbank wurde für Anbieter von Nicht-Hochrisiko-KI-Systemen durch den Rat wiederhergestellt..

Am 18. März 2026 nahmen die Ausschüsse für Binnenmarkt (IMCO) und bürgerliche Freiheiten (LIBE) ihren gemeinsamen Bericht zum Vorschlag an. Die Position der Parlamentarier deckt sich in wesentlichen Punkten mit der des Rates, setzt jedoch eigene wirtschafts- und verbraucherschutzrechtliche Akzente:

• Konvergenz bei Fristen und Verboten: Die Ausschüsse schließen sich den vom Rat geforderten festen Fristen (Dezember 2027 und August 2028) für Hochrisiko-Systeme an. Ebenso befürworten sie das spezifische Verbot von sogenannten „Nudifier“-Systemen, die ohne Einwilligung der betroffenen echten Personen explizite sexuelle Bilder erstellen oder manipulieren.
• Markierungspflichten: Im Hinblick auf die Übergangsfristen zur Einhaltung der Vorschriften für Wasserzeichen (Kennzeichnung von KI-generierten Inhalten) schlagen die Abgeordneten eine verkürzte Frist bis zum 2. November 2026 vor, statt der von der Kommission angedachten Verlängerung bis Februar 2027.
• Ausnahmen für KMU und SMCs: Um europäische Unternehmen beim Wachstum zu unterstützen, billigten die Ausschüsse die Ausweitung vereinfachter Dokumentationspflichten auf kleine Unternehmen mit mittlerer Marktkapitalisierung (Small Mid-Cap Enterprises, SMCs).
• Kohärenz mit sektorspezifischem Recht: Ein zentrales Anliegen der Ausschüsse ist die Vermeidung regulatorischer Doppelbelastungen. Verpflichtungen aus dem KI-Gesetz sollen für Produkte, die bereits sektoralen EU-Rechtsvorschriften (wie z. B. für Medizinprodukte oder Maschinensicherheit) unterliegen, weniger streng ausfallen.

Ausblick und nächste Verfahrensschritte
Bevor die finalen Kompromisse zum Gesetzestext ausgehandelt werden können, bedarf es noch der formellen Bestätigung des parlamentarischen Mandats. Die Abstimmung über das Verhandlungsmandat der IMCO- und LIBE-Ausschüsse im Plenum des Europäischen Parlaments ist für den 26. März 2026 vorgesehen.

Trilog-Verhandlungen: Mit der formellen Billigung durch das Parlament können unmittelbar die interinstitutionellen Trilog-Verhandlungen zwischen dem EU-Rat, dem Europäischen Parlament und der EU-Kommission beginnen. Laut Kai Zenner ist das Inkrafttreten für Anfang August 2026 geplant. Wohlgemerkt sind die (separat) vorgeschlagenen Änderungen der DSGVO (und anderer Rechtsakte) davon nicht umfasst, hier könnte es erst Ende 2026/Anfang 2027 zu einer Einigung kommen.

Der volle Titel des Infobriefs vom 7. Juli 2025 lautet “Zu rechtlichen Vorgaben der Verordnung über Künstliche Intelligenz für den Einsatz von KI in Behörden der EU-Mitgliedstaaten” und geht auf rechtliche Aspekte, die für Behörden der EU-Mitgliedstaaten gemäß AI Act (KI-VO) bei der Einführung und Nutzung von KI-Anwendungen relevant sein können, ein. Zum Inhalt (Auszug aus dem Bericht):

Behandelt werden Fragestellungen im Zusammenhang mit der Anbieter- oder Betreibereigenschaft von Behörden (Ziff. 2.), Registrierungspflichten für KI-Systeme (Ziff. 3.) sowie sonstigen Dokumentations- und Transparenzpflichten (Ziff. 4., 5.). Der Infobrief geht auf die Pflichten zur Kompetenzbildung im KI-Bereich (Ziff. 6.) und auf die Frage ein, ob Organisationsstrukturen für ein Compliance-Management geschaffen werden sollten (Ziff. 7). Abschließend werden Maßnahmen dargestellt, die Behörden bei der Einführung eines generativen Allzweck-KI-Systems wie ChatGPT, Claude oder Gemini beachten sollten (Ziff. 8.).

Beim GPAI Code of Practice handelt es sich um ein freiwilliges Instrument, das von unabhängigen Experten in einem Multi-Stakeholder-Prozess erarbeitet und am 10. Juli 2025 veröffentlicht wurde. Sein Hauptzweck ist es, die Branche dabei zu unterstützen, die Vorgaben des KI-Gesetzes bezüglich Sicherheit, Transparenz und Urheberrecht von Allzweck-KI-Modellen zu erfüllen.

In den folgenden Wochen werden die Mitgliedstaaten und die Europäische Kommission seine Angemessenheit bewerten. Ergänzt wird er durch Leitlinien der Kommission zu Schlüsselkonzepten im Zusammenhang mit Allzweck-KI-Modellen, die ebenfalls noch im Juli veröffentlicht werden sollen.

Der Verhaltenskodex gliedert sich in drei separate Kapitel:

Die deutsche bitkom hat einen umfangreichen Leitfaden zur Umsetzung des AI Act veröffentlicht, der durch ein Online-Tool ergänzt wird. Der Umsetzungsleitfaden führt durch die KI-Verordnung (Einleitung, KI-System, persönlicher und räumlicher Anwendungsbereich, Risikoklassifizierung, Compliance-Anforderungen, Konformitätsnachweis/Pflichten) und soll laut bitkom Unternehmen, die KI-Systeme in Verkehr bringen oder betreiben, dabei unterstützen, die rechtlichen Vorgaben der Verordnung (EU) 2024/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) zu implementieren.

Heute, 12.7.2024, wurde der AI Act (KI VO) im Amtsblatt der Europäischen Union kundgemacht:

• deutsche Sprachfassung (Langtitel): Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)Text von Bedeutung für den EWR
• englische Sprachfassung: Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)Text with EEA relevance.

Die Bestimmungen des AI Act treten gemäß Artikel 113 KI VO “gestaffelt” in Geltung, siehe dazu die folgende Grafik (© RTR, CC BY 4.0):