Fristenübersicht
Änderungen durch Digital-Omnibus und KI-Omnibus
1. Übersicht
Die EU-Kommission hat am 19. November 2025 den Digital-Omnibus vorgelegt. Dieses Gesetzespaket schlägt Änderungen an mehreren EU-Rechtsakten vor, darunter die KI-Verordnung (AI Act), die DSGVO, den Data Act und die ePrivacy-Richtlinie. Die nachfolgenden Tabellen zeigen die wichtigsten Fristen und deren geplante Änderungen.
Es sollten weiterhin die bisherigen Anforderungen im Blick beibehalten werden, auch wenn eine Verschiebung wahrscheinlich erscheint, da die finale Entscheidung noch aussteht.
Wichtiger Hinweis: Die vorläufige Trilog-Einigung vom 7. Mai 2026 hat diese Fristen bestätigt. Sie sind jetzt provisorisch vereinbart (nicht mehr nur „Verhandlungsmandate"), aber noch nicht formell angenommen. Ohne formelle Annahme vor dem 2. August 2026 gilt weiterhin der ursprüngliche Stichtag.-> s. Fristenkaskade
Hinweis:
Der Digital-Omnibus ist derzeit ein Gesetzesvorschlag. Die Änderungen treten erst in Kraft, wenn Europäisches Parlament und Rat zustimmen. Die formelle Annahme durch Parlament und Rat soll vor dem 2. August 2026 erfolgen. Der KI-Omnibus hat eine vorläufige Einigung; der Datenomnibus ist noch im laufenden Verfahren.
2. Fristenkaskade
KI-Verordnung (AI Act):
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| 02.02.2025 | Verbotene KI-Praktiken (Art. 5) | Unverändert | Keine Änderung |
| 02.02.2025 | KI-Kompetenz / Schulungspflicht (Art. 4) | Neu | NEU: Die Trilog-Einigung hat dies nicht vollständig umgesetzt. Rat und Parlament haben eine abgeschwächte, aber weiterhin verbindliche Pflicht beibehalten – keine vollständige Umwandlung in eine bloße Empfehlung. Formulierung anpassen auf z.B.: „Abschwächung der Pflicht; genaue Ausgestaltung im finalen Text". |
| 02.08.2025 | GPAI-Pflichten (Transparenz, Dokumentation) | Unverändert | Keine Änderung |
| 02.08.2025 | Governance & Sanktionen | Unverändert | Keine Änderung |
| -->02.11.2026 | Kennzeichnung / Wasserzeichen | hier ergänzt | NEU: Präzisiert durch Omnibus. Die Trilog-Einigung sieht die Kennzeichnungspflicht nach Art. 50 Abs. 2 ab 2. Dezember 2026 vor (nicht November). Datum korrigieren von 02.11.2026 auf 02.12.2026. Außerdem: Der Gesetzgeber hat hier die Frist gegenüber dem ursprünglichen Kommissionsvorschlag (Februar 2027) vorgezogen, nicht gelockert. Dies sollte in der Zelle „Änderung Omnibus" deutlich werden. |
| 02.02.2027 (überholt) neue Frist: 02.12.2026 | Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2) für vor 02.08.2026 in Verkehr gebrachte Systeme | Neu | NEU: Diese Zeile ist in Konflikt mit der obigen. Die Trilog-Einigung setzt 02.12.2026 als Stichtag, nicht 02.02.2027. |
| 02.12.2026 | Neues Verbot: KI-Systeme zur Erzeugung von CSAM und nicht-einvernehmlichen intimen Darstellungen (Art. 5) | NEU: Verboten ab 2. Dezember 2026 | |
| 02.08.2026 → 02.12.2027 | Hochrisiko-KI Anhang III (Bildung, Personal, kritische Infrastruktur) | 02.08.2026 | Verschiebung um 16 Monate |
| 02.08.2027 | Übergangsfrist GPAI-Modelle (vor 02.08.2025 in Betrieb) | Unverändert | Keine Änderung |
| 02.08.2027 → 02.08.2028 | Hochrisiko-KI Anhang I (in regulierte Produkte eingebettet: Medizinprodukte, Maschinen, Kfz) | 02.08.2027 | Verschiebung um 12 Monate |
| -->02.08.2028 | Hochrisiko-KI (Annex I) | AKTUALISIERT: Präzisierung der Konformitätsbewertung für Produkte. AKTUALISIERT: Präzisierung der Konformitätsbewertung für Produkte" muss um den Maschinensektor-Sonderweg ergänzt werden: Für den Maschinensektor (einer von 12 Anhang-I-Sektoren) gilt eine Herausnahme aus dem AI Act unter der Bedingung gleichwertiger Schutzniveaus in der Maschinenverordnung. | |
| -->01.012029 | Berichtspflichten | NEU: Erste umfassende Überprüfung der Wirksamkeit durch das KI-Amt. |
Datenschutz-Grundverordnung (DSGVO):
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Definition personenbezogener Daten (Art. 4) | - | Präzisierung: empfängerbezogener Personenbezug |
| Bei Inkrafttreten | Meldepflicht Datenpannen (Art. 33) | 72 Stunden | 96 Stunden; nur bei hohem Risiko |
| Bei Inkrafttreten | Single-Entry-Point für Meldungen | - | Neu: zentrale Meldestelle (ENISA) |
| Bei Inkrafttreten | Rechtsgrundlage KI-Training (neuer Art. 88c) | - | Neu: berechtigtes Interesse für KI-Training |
| Bei Inkrafttreten | Verarbeitung sensibler Daten für KI (Art. 9) | - | Neue Ausnahme unter strengen Auflagen |
| -->31.12.2026 | Wegfall DSB-Bestellungspflicht | - | NEU: Geplante Anhebung der Schwellenwerte für Datenschutzbeauftragte im nicht-öffentlichen Bereich (Anpassung § 38 BDSG an Art. 37 DSGVO). - diese Änderung ist noch nicht im Trilog vereinbart und politisch umstritten |
| -->02.08.2026 | Aufsichtsstruktur (KI-MIG) | - | NEU: Das KI-Marktüberwachungsgesetz regelt die Zuständigkeit der Datenschutzbehörden für KI-Aufsicht (insb. bei Hochrisiko-Systemen). |
| -->01.01.2027 | Erleichterte KI-Verarbeitung | - | GEÄNDERT: Einführung neuer Rechtsgrundlagen für die Nutzung sensibler Daten (Art. 9 DSGVO) zur Korrektur von Bias (Verzerrungen) in KI-Modellen. |
| -->Ende 2027 | Zentralisierung der Aufsicht | - | NEU: Abschluss der Reform zur Zusammenführung der Datenschutzaufsicht bei grenzüberschreitenden KI-Verfahren. |
| --Laufend (2026+) | Pseudonymisierung vs. KI | PRÄZISIERT: Neue Leitlinien zur Anonymisierung von Trainingsdaten; bloße Pseudonymisierung reicht nicht mehr für die DSGVO-Freiheit aus. |
ePrivacy / Cookie-Regelungen:
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Cookie-Einwilligung (Art. 88a DSGVO neu) | - | Ein-Klick-Einwilligung; zentrale Browser-/OS-Einstellungen |
| Bei Inkrafttreten | Erneute Cookie-Abfrage | - | Erst nach 6 Monaten erlaubt |
| -->01.01.2025 | Consent-Banner-Standard | - | AKTUELL: Verpflichtende Nutzung standardisierter Schnittstellen für "Reject All"-Buttons gemäß neuer EU-Vorgaben. |
| -->Mai 2025 | Gatekeeper-Pflichten | - | NEU: Verschärfte Cookie-Einwilligungsregeln für große Plattformen (DMA-Kopplung) treten voll in Kraft. |
| -->02.08.2025 | ePrivacy und KI-VO | - | NEU: Verknüpfung der Cookie-Einwilligung mit dem Training von KI-Modellen (Opt-out für Crawler). |
| -->2026 (Prognose) | ePrivacy-Verordnung | - | AKTUELL: Voraussichtliche Verabschiedung der Verordnung; Beginn der 24-monatigen Übergangsfrist. |
| -->01.07.2026 | PIMS-Dienste | - | NEU: Offizieller Start zertifizierter Einwilligungsverwaltungssysteme (PIMS) zur Reduzierung von Banner-Müdigkeit. |
| -->Laufend | Privacy Sandbox | AKTUELL: Vollständiges Ende der Third-Party-Cookies in allen gängigen Browsern (vollzogen). |
Cybersicherheit (NIS-2, DORA, CER):
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Meldepflichten Sicherheitsvorfälle | Mehrfachmeldung | Single-Entry-Point: "einmal melden, mehrfach teilen" |
| -->NIS-2 (Cyber-Sicherheit) | Umsetzung | 18.10.2024 | AKTUELL: Seit 2025 laufen die ersten Vor-Ort-Kontrollen durch das BSI bei "Wichtigen Einrichtungen". |
| -->DORA (Finanzsektor) | Anwendbarkeit | 17.01.2025 | AKTUELL: Abschluss der ersten großen Resilienztests (TLPT) für systemrelevante Finanzinstitute. |
| -->CER (Resilienz kritischer Einheiten) | Umsetzung | 18.10.2024 | NEU: Seit Anfang 2026 müssen nationale Resilienzstrategien für physischen Schutz aktiv umgesetzt sein. |
| -->Cyber Resilience Act (CRA) | Umsetzung | 2024 - 2027 | NEU: Seit Ende 2025 gelten die ersten Meldepflichten für aktiv ausgenutzte Schwachstellen in Software/Hardware. |
| -->CRA - Volle Geltung | Umsetzung | 02.08.2027 | GEÄNDERT: Verbindliche CE-Kennzeichnung für fast alle vernetzten Produkte (Sicherheit durch Design). |
| -->NIS-2 Revision | Frühjahr 2026 | - | NEU: Beginn der ersten Evaluierungsphase durch die EU-Kommission zur Wirksamkeit der NIS-2. |
Data Act / Datenrecht:
| Datum | Regelung / Pflicht | Bisherige Frist | Änderung Omnibus |
|---|---|---|---|
| Bei Inkrafttreten | Konsolidierung Datenrechtsakte | Separate Gesetze | Integration in Data Act: Open Data RL, DGA, FFoD-VO |
| 12.09.2025 (Stichtag) | Cloud-Switching & Interoperabilität (ältere Verträge) | Volle Anwendung | Bestandsschutz für Verträge vor diesem Datum. --> AKTUELL: Die meisten Pflichten zur Datenbereitstellung sind bereits in Kraft. |
| Bei Inkrafttreten | Datenvermittlungsdienste | Pflicht | Freiwilliges Regime |
| Bei Inkrafttreten | B2G-Datenzugang | Breiter Zugang | Beschränkung auf echte Notlagen |
| -->02.08.2026 | Interoperabilität | NEU: Harmonisierte Normen für den Datenaustausch zwischen Sektoren treten in Kraft. | |
| -->12.09.2026 | "Access by Design" | NEU: Neue Produkte müssen so konstruiert sein, dass Daten standardmäßig direkt zugänglich sind. | |
| -->12.09.2026 | Vertragsklauseln | NEU: Unfairness-Test für Datenzugangsverträge gilt nun auch für Bestandsverträge (KMU-Schutz). | |
| -->12.09.2027 | Cloud-Wechsel | GEÄNDERT: Vollständiges Verbot von Wechselgebühren (Switching Charges) für Cloud-Dienste. |
"Bei Inkrafttreten": Gilt ab Verabschiedung des Omnibus (voraussichtlich erstes Halbjahr 2026)
3. Hinweise
- Die Fristverschiebungen für Hochrisiko-KI sind an die Verfügbarkeit harmonisierter Standards geknüpft. Bei früherer Verfügbarkeit können die Fristen vorgezogen werden.
- Die ursprüngliche Frist 02.08.2026 für Hochrisiko-KI bleibt bestehen, falls der Omnibus nicht rechtzeitig verabschiedet wird.
- Bereits geltende Verbote (verbotene KI-Praktiken seit 02.02.2025) und GPAI-Pflichten (seit 02.08.2025) bleiben unverändert. Durch die Trilog-Einigung wurde Art. 5 (verbotene Praktiken) um ein neues Verbot (Nudifier-Tools / CSAM-generierende Systeme) erweitert. Die bestehenden Verbote bleiben unverändert, aber der Katalog wurde ausgeweitet.
- Die vorläufige Trilog-Einigung vom 7. Mai 2026 (KI-Omnibus) ist noch nicht formell angenommen. Für den Daten-Omnibus (COM 837) steht ein Trilog noch aus; die dortigen DSGVO-Änderungen sind weiterhin unsicher.
- Die DSGVO-Änderungen sind politisch umstritten. Endgültige Fassung kann vom Vorschlag abweichen.