Fristenübersicht
Änderungen durch Digital-Omnibus und KI-Omnibus
1. Übersicht
Die EU-Kommission hat am 19. November 2025 den Digital-Omnibus vorgelegt. Dieses Gesetzespaket schlägt Änderungen an mehreren EU-Rechtsakten vor, darunter die KI-Verordnung (AI Act), die DSGVO, den Data Act und die ePrivacy-Richtlinie. Die nachfolgenden Tabellen zeigen die wichtigsten Fristen und deren geplante Änderungen.
Es sollten weiterhin die bisherigen Anforderungen im Blick beibehalten werden, auch wenn eine Verschiebung wahrscheinlich erscheint, da die finale Entscheidung noch aussteht.
Hinweis:
Der Digital-Omnibus ist derzeit ein Gesetzesvorschlag. Die Änderungen treten erst in Kraft, wenn Europäisches Parlament und Rat zustimmen. Mit einer Verabschiedung wird in der ersten Jahreshälfte 2026 gerechnet.
2. Fristenkaskade
KI-Verordnung (AI Act):
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| 02.02.2025 | Verbotene KI-Praktiken (Art. 5) | Unverändert | Keine Änderung |
| 02.02.2025 | KI-Kompetenz / Schulungspflicht (Art. 4) | Unverändert | Pflicht entfällt; wird zu Empfehlung |
| 02.08.2025 | GPAI-Pflichten (Transparenz, Dokumentation) | Unverändert | Keine Änderung |
| 02.08.2025 | Governance & Sanktionen | Unverändert | Keine Änderung |
| 02.02.2027 | Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2) für vor 02.08.2026 in Verkehr gebrachte Systeme | Neu | Grace Period eingeführt |
| 02.08.2026 → 02.12.2027 | Hochrisiko-KI Anhang III (Bildung, Personal, kritische Infrastruktur) | 02.08.2026 | Verschiebung um 16 Monate |
| 02.08.2027 | Übergangsfrist GPAI-Modelle (vor 02.08.2025 in Betrieb) | Unverändert | Keine Änderung |
| 02.08.2027 → 02.08.2028 | Hochrisiko-KI Anhang I (in regulierte Produkte eingebettet: Medizinprodukte, Maschinen, Kfz) | 02.08.2027 | Verschiebung um 12 Monate |
Datenschutz-Grundverordnung (DSGVO):
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Definition personenbezogener Daten (Art. 4) | - | Präzisierung: empfängerbezogener Personenbezug |
| Bei Inkrafttreten | Meldepflicht Datenpannen (Art. 33) | 72 Stunden | 96 Stunden; nur bei hohem Risiko |
| Bei Inkrafttreten | Single-Entry-Point für Meldungen | - | Neu: zentrale Meldestelle (ENISA) |
| Bei Inkrafttreten | Rechtsgrundlage KI-Training (neuer Art. 88c) | - | Neu: berechtigtes Interesse für KI-Training |
| Bei Inkrafttreten | Verarbeitung sensibler Daten für KI (Art. 9) | - | Neue Ausnahme unter strengen Auflagen |
ePrivacy / Cookie-Regelungen:
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Cookie-Einwilligung (Art. 88a DSGVO neu) | - | Ein-Klick-Einwilligung; zentrale Browser-/OS-Einstellungen |
| Bei Inkrafttreten | Erneute Cookie-Abfrage | - | Erst nach 6 Monaten erlaubt |
Cybersicherheit (NIS-2, DORA, CER):
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Meldepflichten Sicherheitsvorfälle | Mehrfachmeldung | Single-Entry-Point: "einmal melden, mehrfach teilen" |
Data Act / Datenrecht:
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Konsolidierung Datenrechtsakte | Separate Gesetze | Integration in Data Act: Open Data RL, DGA, FFoD-VO |
| 12.09.2025 (Stichtag) | Cloud-Switching & Interoperabilität (ältere Verträge) | Volle Anwendung | Bestandsschutz für Verträge vor diesem Datum |
| Bei Inkrafttreten | Datenvermittlungsdienste | Pflicht | Freiwilliges Regime |
| Bei Inkrafttreten | B2G-Datenzugang | Breiter Zugang | Beschränkung auf echte Notlagen |
"Bei Inkrafttreten": Gilt ab Verabschiedung des Omnibus (voraussichtlich erstes Halbjahr 2026)
3. Hinweise
- Die Fristverschiebungen für Hochrisiko-KI sind an die Verfügbarkeit harmonisierter Standards geknüpft. Bei früherer Verfügbarkeit können die Fristen vorgezogen werden.
- Die ursprüngliche Frist 02.08.2026 für Hochrisiko-KI bleibt bestehen, falls der Omnibus nicht rechtzeitig verabschiedet wird.
- Bereits geltende Verbote (verbotene KI-Praktiken seit 02.02.2025) und GPAI-Pflichten (seit 02.08.2025) bleiben unverändert.
- Die DSGVO-Änderungen sind politisch umstritten. Endgültige Fassung kann vom Vorschlag abweichen.