Fristenkalender - Bund/RLP

Fristenkalender

Digital-Omnibus & Umwelt-Omnibus

Chronologische Übersicht relevanter Fristen und Änderungen aus Digital-Omnibus (COM(2025) 837), Umwelt-Omnibus (COM(2025) 984–986) und der KI-Verordnung für Bund und Rheinland-Pfalz. Themen, Informationen zur EU-Strategie und Fristen siehe unter

Fristenkalender – Digital-Omnibus & Umwelt-Omnibus | Bund & RLP

KI-Reallabor Rheinland-Pfalz · Stand: 28. April 2026

Fristenkalender
Digital-Omnibus & Umwelt-Omnibus

Chronologische Übersicht aller relevanten Fristen und Änderungen aus Digital-Omnibus (COM(2025) 837), Umwelt-Omnibus (COM(2025) 984–986) und der KI-Verordnung für Bund und Rheinland-Pfalz.

Quellen: ki-reallabor.eu/fristenuebersicht · EUR-Lex · EDPB Joint Opinion 2/2026

⚠ Wichtiger Hinweis: Der Digital-Omnibus ist ein Gesetzesvorschlag – Änderungen treten erst nach Zustimmung von EP und Rat in Kraft (voraussichtlich 1. Halbjahr 2026). Die Fristverschiebungen für Hochrisiko-KI (Dez. 2027 / Aug. 2028) sind Trilog-Verhandlungsmandate und noch nicht rechtskräftig. Ohne Einigung gilt weiterhin der 2. August 2026.

Digital-Omnibus

Umwelt-Omnibus

Beide

Unmittelbar / bereits gültig

Bald fällig (≤ 12 Monate)

Mittelfristig (> 12 Monate)

2025

02.02.2025 bereits in Kraft

Verbotene KI-Praktiken (Art. 5 AI Act)

Verbot bestimmter KI-Anwendungen tritt in Kraft – keine Änderung durch Omnibus. Gilt unmittelbar für alle öffentlichen Stellen in Bund und RLP: Keine biometrische Echtzeit-Überwachung, kein Social Scoring, kein Einsatz manipulativer Techniken.

AI Act Bund RLP In Kraft

02.02.2025 bereits in Kraft – geändert

KI-Kompetenzpflicht entfällt (Art. 4 AI Act → Omnibus)

Die ursprüngliche Pflicht zur Sicherstellung von KI-Kompetenzen bei Mitarbeitenden (Art. 4) wird durch den Digital-Omnibus von einer verbindlichen Pflicht zu einer Empfehlung herabgestuft. Für Behörden in RLP entfällt damit eine unmittelbare rechtliche Verpflichtung, bleibt aber als Best Practice empfohlen.

AI Act Digital-Omnibus Bund RLP Ausstehend (Trilog)

02.08.2025 bereits in Kraft

GPAI-Pflichten in Kraft (KI-VO)

Transparenz- und Dokumentationspflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sind in Kraft. Governance-Struktur und Sanktionsrahmen der KI-Verordnung gelten ab diesem Datum. Für RLP und Bund relevant bei Beschaffung oder Eigenentwicklung von GPAI-basierten Systemen.

AI Act / GPAI Bund RLP In Kraft

01.01.2025 bereits in Kraft

Cookie-Consent-Banner-Standard (DSGVO / ePrivacy)

Verpflichtende Nutzung standardisierter Schnittstellen für „Reject All"-Buttons gemäß neuer EU-Vorgaben. Betrifft alle öffentlichen Webangebote des Bundes und der Länder, einschließlich RLP-Landesportale.

DSGVO / ePrivacy Digital-Omnibus Bund RLP In Kraft

Mai 2025 bereits in Kraft

Gatekeeper-Pflichten Cookie-Einwilligung (DMA-Kopplung)

Verschärfte Cookie-Einwilligungsregeln für große Plattformen (DMA-Kopplung) treten voll in Kraft. Für Bund und RLP relevant bei Nutzung von Diensten großer Plattformanbieter für Bürgerportale.

ePrivacy / DMA Digital-Omnibus Bund In Kraft

02.08.2025 bereits in Kraft

ePrivacy & KI-Verordnung: Opt-out für Crawler

Verknüpfung der Cookie-Einwilligung mit dem Training von KI-Modellen. Webseitenbetreiber können einen Opt-out für Webcrawler einrichten. Für Bund und RLP relevant bei eigenen Portalen und bei Beschaffung von KI-Trainingsdiensten.

ePrivacy AI Act Digital-Omnibus Bund In Kraft

12.09.2025 Stichtag Bestandsschutz

Cloud-Switching Bestandsschutz (Data Act)

Verträge vor diesem Stichtag erhalten Bestandsschutz bei Cloud-Switching-Pflichten. Für Bund und RLP relevant bei bestehenden Cloud-Verträgen (z. B. Dataport, govdigital, Microsoft-Rahmenverträge). Die meisten Pflichten zur Datenbereitstellung gelten bereits.

Data Act Digital-Omnibus Bund RLP In Kraft

11.12.2025 bereits in Kraft

CRA: Administrative Vorbereitungen in Kraft (Cyber Resilience Act)

Mit dem 11. Dezember 2025 treten die ersten administrativen Pflichten des Cyber Resilience Act in Kraft – darunter delegierte Rechtsakte zur technischen Dokumentation und Vorbereitungsmaßnahmen für Hersteller. Die eigentlichen Meldepflichten für aktiv ausgenutzte Schwachstellen gelten erst ab dem 11. September 2026. Für Bund und RLP: Beschaffungsrichtlinien sollten bereits jetzt CRA-konforme Herstellerdokumentation als Anforderung aufnehmen.

CRA – Vorbereitung Bund RLP In Kraft

10.12.2025 Vorschlag veröffentlicht

Umwelt-Omnibus veröffentlicht (6 Legislativvorschläge)

Die Europäische Kommission veröffentlicht den Umwelt-Omnibus mit COM(2025) 981–986, darunter INSPIRE-Vereinfachung, UVP-Beschleunigung, Industrieemissionen, EPR-Anpassungen und GreenData4All. Für Bund (UBA, BfG) und RLP (LUWG, SGD) beginnt die Anpassungsplanung.

Umwelt-Omnibus COM(2025) 981–986 INSPIRE Bund RLP Gesetzgebungsverfahren

2026

Anfang 2026 bereits in Kraft

CER-Resilienzstrategien müssen aktiv umgesetzt sein

Nationale Resilienzstrategien für den physischen Schutz kritischer Einheiten (CER-Richtlinie) müssen seit Anfang 2026 aktiv umgesetzt sein. Für RLP relevant bei Wasserversorgung (KRITIS) und Behördeninfrastrukturen.

CER Bund RLP In Kraft

1. Hj. 2026 Inkrafttreten erwartet

Digital-Omnibus: Inkrafttreten erwartet

Mit Verabschiedung des Digital-Omnibus durch EP und Rat treten folgende Änderungen unmittelbar in Kraft: Präzisierung des Personenbezugs (Art. 4 DSGVO), neue Meldefrist 96h für Datenpannen, Single-Entry-Point ENISA, Rechtsgrundlage für KI-Training (Art. 88c DSGVO), Ein-Klick-Cookie-Einwilligung. Für Bund und RLP sind Anpassungen bei Datenschutzkonzepten und IT-Verfahren erforderlich.

Digital-Omnibus DSGVO Data Act Bund RLP Ausstehend

01.07.2026 nach Omnibus-Inkrafttreten

Start PIMS-Dienste (Personal Information Management)

Offizieller Start zertifizierter Einwilligungsverwaltungssysteme (PIMS) zur Reduzierung von Cookie-Banner-Müdigkeit. Für Bund und RLP relevant bei Gestaltung von Bürgerportalen und OZG-Leistungen, um DSGVO-konforme Nutzerverwaltung zu vereinfachen.

PIMS / ePrivacy Digital-Omnibus Bund RLP Ausstehend

02.08.2026 Ursprungsfrist AI Act

⚠ Hochrisiko-KI: Frist ohne Omnibus-Einigung (Anhang III)

Ohne Verabschiedung des Digital-Omnibus bis zu diesem Datum gelten die Hochrisiko-KI-Pflichten für Anhang-III-Systeme (Bildung, Personal, Kritische Infrastruktur) unverändert ab 2. August 2026. Für RLP und Bund bedeutet das: Konformitätsbewertungen für KI im Einsatz in Schulen, Behörden und KRITIS-Bereichen müssen abgeschlossen sein.

AI Act – Hochrisiko Bund RLP Kritische Frist

02.08.2026 KI-MIG / Aufsicht

KI-Marktüberwachungsgesetz (KI-MIG): Aufsichtsstruktur

Das KI-MIG regelt die Zuständigkeit der Datenschutzbehörden für KI-Aufsicht, insbesondere bei Hochrisiko-KI-Systemen. Für RLP: Der Landesbeauftragte für Datenschutz und IFG (LfDI) erhält ggf. erweiterte Aufsichtszuständigkeiten für KI-Systeme in Landesbehörden.

KI-MIG Aufsicht Bund RLP Ausstehend

02.08.2026 nach Omnibus-Inkrafttreten

Harmonisierte Datenaustausch-Normen (Data Act / Interoperabilität)

Harmonisierte Normen für den sektorübergreifenden Datenaustausch treten in Kraft. Für Bund und RLP: Auswirkungen auf Datenschnittstellen von FITKO, GovData und länderspezifischen Datenportalen (z. B. daten.rlp.de). Abstimmung mit DCAT-AP.de-Standard erforderlich.

Data Act Digital-Omnibus Bund RLP Ausstehend

Frühjahr 2026 laufend

NIS-2 Evaluierungsphase beginnt

Erste Evaluierungsphase der EU-Kommission zur Wirksamkeit der NIS-2-Richtlinie. Für Bund (BSI) relevant: Erkenntnisse aus laufenden Vor-Ort-Kontrollen bei „Wichtigen Einrichtungen" fließen in Revision ein. Ergebnisse können Anforderungen an Länder-KRITIS-Stellen anpassen.

NIS-2 Bund Laufend

Nach Inkrafttreten
+6 Monate Umwelt-Omnibus COM(2025) 984

UVP-Beschleunigung: Elektronische Einreichung möglich

6 Monate nach Inkrafttreten der UVP-Beschleunigungsverordnung können Projektträger Informationen elektronisch einreichen; Online-Zugang zu Informationen über zentrale Anlaufstellen und Verfahrensfortschritte muss gewährt werden. Für RLP relevant bei Genehmigungsverfahren für Pilotinfrastrukturen (Drohnentestfelder, Edge-Computing-Anlagen).

UVP-Beschleunigung COM(2025) 984 Bund RLP Ausstehend

31.12.2026 nach Omnibus-Inkrafttreten

Wegfall DSB-Bestellungspflicht im nicht-öffentlichen Bereich (§ 38 BDSG)

Geplante Anhebung der Schwellenwerte für Datenschutzbeauftragte im nicht-öffentlichen Bereich (Anpassung § 38 BDSG an Art. 37 DSGVO). Für den öffentlichen Sektor (Bund, RLP) bleibt die DSB-Pflicht unverändert bestehen – relevant für Abgrenzung bei PPP-Projekten.

BDSG / DSGVO Digital-Omnibus Bund Ausstehend

11.06.2026 CRA – Konformitätsbewertung

CRA: Notifizierende Behörden und Konformitätsbewertungsstellen

Ab dem 11. Juni 2026 müssen die Mitgliedstaaten notifizierende Behörden für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen eingerichtet und deren Verfahren veröffentlicht haben (Art. 35 CRA, Kapitel IV). Bis 11. Dezember 2026 sollen in der EU ausreichend notifizierte Stellen verfügbar sein, um Engpässe bei der Konformitätsbewertung zu vermeiden. Für Bund und RLP: Beschaffungsplanung für kritische Produkte (Klasse I/II) muss die Verfügbarkeit notifizierter Stellen einkalkulieren.

CRA – Kapitel IV Bund RLP Ausstehend

11.09.2026 CRA – Meldepflichten

CRA: Meldepflichten für aktiv ausgenutzte Schwachstellen greifen

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen in Software und Hardware innerhalb von 24 Stunden an ENISA melden (Early Warning), gefolgt von einem vollständigen Bericht innerhalb von 72 Stunden. Diese Pflicht betrifft alle Produkte mit digitalen Elementen auf dem EU-Markt. Für Bund und RLP relevant bei IT-Beschaffung: Verträge sollten Meldepflichten der Hersteller und entsprechende Informationsweitergabe an die beschaffende Stelle sicherstellen.

CRA – Meldepflichten Bund RLP Ausstehend

12.09.2026 nach Omnibus-Inkrafttreten

„Access by Design" & Unfairness-Test Datenverträge (Data Act)

Neue Produkte müssen so konstruiert sein, dass Daten standardmäßig direkt zugänglich sind (Access by Design). Der Unfairness-Test für Datenzugangsverträge gilt nun auch für Bestandsverträge (KMU-Schutz). Für Bund und RLP relevant bei Beschaffung IoT-fähiger Systeme (z. B. Wassersensoren, Smart Meter) und Datenlieferverträgen.

Data Act Digital-Omnibus Bund RLP Ausstehend

Nov 2026 – Feb 2027 Trilog offen – Art. 50 AI Act

KI-Kennzeichnung / Wasserzeichen (Art. 50 AI Act) – Trilog-Datum noch offen

Die Pflicht zur Kennzeichnung KI-generierter Audio-, Bild-, Video- und Textinhalte (Art. 50 Abs. 2 AI Act) wird durch den Omnibus zeitlich neu geregelt – das genaue Datum ist jedoch noch Gegenstand des Trilogs: Das Europäische Parlament fordert den 2. November 2026 (6 Monate Übergangsfrist), die Kommission hatte ursprünglich den 2. Februar 2027 (9 Monate) vorgeschlagen. Ein Kompromiss zwischen diesen Positionen ist wahrscheinlich. Für Behörden in Bund und RLP relevant bei KI-gestützten Kommunikationssystemen, Chatbots und automatisch generierten Bescheiden: Planungshorizont Nov 2026–Feb 2027 einkalkulieren.

AI Act – Art. 50 Digital-Omnibus Bund RLP Trilog offen: Nov 2026–Feb 2027

2026 (Prognose) ePrivacy-Verordnung

ePrivacy-Verordnung: Verabschiedung & Übergangsfrist beginnt

Voraussichtliche Verabschiedung der ePrivacy-Verordnung; Beginn der 24-monatigen Übergangsfrist. Ersetzt die ePrivacy-Richtlinie vollständig. Für Bund und RLP bedeutet dies eine neue Rechtsgrundlage für elektronische Kommunikation und Metadatenverarbeitung in Behörden.

ePrivacy-VO Digital-Omnibus Bund RLP Ausstehend

2027

02.02.2027 Grace Period (Omnibus)

Grace Period: KI-Kennzeichnung für Altsysteme (Art. 50 Abs. 2)

Für vor dem 2. August 2026 in Verkehr gebrachte KI-Systeme wird durch den Digital-Omnibus eine Grace Period eingeführt. Betroffene Systeme müssen erst ab diesem Datum die Kennzeichnungspflichten für KI-generierte Inhalte erfüllen. Für Bund und RLP: Bestandssysteme genießen zeitlich begrenzten Schutz.

AI Act – Art. 50 Digital-Omnibus Bund RLP Ausstehend

01.01.2027 nach Omnibus-Inkrafttreten

Neue Rechtsgrundlagen KI-Training sensibler Daten (Art. 9 DSGVO)

Einführung neuer Rechtsgrundlagen für die Nutzung sensibler Daten zur Korrektur von Bias (Verzerrungen) in KI-Modellen. Für Bund und RLP relevant bei KI-Entwicklung mit Gesundheits-, Sozialdaten oder demographischen Daten aus Verwaltungsregistern (z. B. WRRL-Monitoring, Sozialdatensysteme).

DSGVO – Art. 9 KI-Training Digital-Omnibus Bund RLP Ausstehend

Nach Inkrafttreten
+12 Monate COM(2025) 984

UVP: Zentrale digitale Zugänglichkeit Umweltberichte

12 Monate nach Inkrafttreten: Berichte und Daten aus Umweltprüfungen müssen über ein zentrales Portal digital zugänglich sein. Für RLP (SGD Nord/Süd, LUWG): Anpassung der Verfahrensdokumentation und digitaler Archivierung für Genehmigungsverfahren.

UVP-Beschleunigung COM(2025) 984 Bund RLP Ausstehend

02.12.2027 verschoben durch Omnibus (war 02.08.2026)

Hochrisiko-KI Anhang III: Verschobene Frist (Omnibus-Szenario)

Bei Verabschiedung des Digital-Omnibus verschiebt sich die Frist für Hochrisiko-KI-Systeme nach Anhang III (Bildung, Personal, Kritische Infrastruktur, öffentliche Verwaltung) um 16 Monate auf den 2. Dezember 2027. Für Bund und RLP: Zeitfenster für Konformitätsbewertungen und Registrierung in der EU-Datenbank verlängert sich.

AI Act – Anhang III Digital-Omnibus Bund RLP Ausstehend (Trilog)

12.09.2027 nach Omnibus-Inkrafttreten

Vollständiges Verbot Cloud-Switching-Gebühren (Data Act)

Wechselgebühren (Switching Charges) für Cloud-Dienste werden vollständig verboten. Für Bund und RLP strategisch relevant: Öffentliche IT-Beschaffung kann ohne Wechselkosten zwischen Cloud-Anbietern migrieren. Stärkt digitale Souveränität und ermöglicht Wechsel zu europäischen Cloud-Diensten (Gaia-X, DIPP).

Data Act – Cloud Digital-Omnibus Bund RLP Ausstehend

Ende 2027 nach Omnibus-Inkrafttreten

Zentralisierung Datenschutzaufsicht grenzüberschreitende KI

Abschluss der Reform zur Zusammenführung der Datenschutzaufsicht bei grenzüberschreitenden KI-Verfahren. Für RLP: Aufgaben des LfDI bei grenzüberschreitenden KI-Systemen werden teilweise an zentrale EU-Strukturen abgegeben; nationale Aufsicht bei rein nationalen Verfahren bleibt erhalten.

DSGVO – Aufsicht Digital-Omnibus Bund RLP Ausstehend

11.12.2027 CRA – Vollgeltung

CRA: Vollständige Geltung aller Cybersicherheitsanforderungen

Ab dem 11. Dezember 2027 müssen alle Produkte mit digitalen Elementen, die neu auf den EU-Markt gebracht werden, sämtliche CRA-Anforderungen erfüllen: Cybersicherheits-Risikobewertung, essenzielle Sicherheitsanforderungen (Annex I), CE-Kennzeichnung, technische Dokumentation und Schwachstellenmanagement über den gesamten Produktlebenszyklus. Für Bund und RLP: Alle Neubeschaffungen von vernetzter IT (Sensoren, IoT, Netzwerkgeräte, Software) müssen ab diesem Datum CRA-konform und CE-gekennzeichnet sein. Bestandsprodukte vor diesem Datum unterliegen weiterhin den seit 11.09.2026 geltenden Meldepflichten, jedoch nicht den vollständigen Konformitätspflichten – sofern keine wesentliche Änderung vorgenommen wird.

CRA – Vollgeltung Bund RLP Ausstehend

02.08.2027 AI Act – unverändert

Übergangsfrist GPAI-Modelle (vor 02.08.2025 in Betrieb)

Ende der Übergangsfrist für GPAI-Modelle, die vor dem 2. August 2025 in Betrieb genommen wurden. Diese müssen nun vollständig den GPAI-Anforderungen der KI-Verordnung entsprechen. Keine Änderung durch Omnibus. Für Bund und RLP: Überprüfung aller beschafften oder eingesetzten KI-Dienste auf GPAI-Konformität erforderlich.

AI Act – GPAI Bund RLP Keine Änderung

Nach Inkrafttreten
+24 Monate COM(2025) 984

UVP: Vollständige Digitalisierung der Verfahren

24 Monate nach Inkrafttreten der UVP-Beschleunigungsverordnung müssen alle Verfahren für Umweltprüfungen vollständig digitalisiert sein, inklusive GIS-Integration und Once-Only-Prinzip. Für RLP: Vollständige Digitalisierung aller SGD-Genehmigungsverfahren; interoperable Anbindung an EU-Portale und INSPIRE-Geodateninfrastruktur erforderlich.

UVP – Volldigitalisierung COM(2025) 984 GIS / INSPIRE Bund RLP Ausstehend

2028

02.08.2028 verschoben durch Omnibus (war 02.08.2027)

Hochrisiko-KI Anhang I: Verschobene Frist (Omnibus-Szenario)

Bei Verabschiedung des Digital-Omnibus verschiebt sich die Frist für Hochrisiko-KI-Systeme nach Anhang I (in regulierte Produkte eingebettete KI: Medizinprodukte, Maschinen, Kfz) um 12 Monate auf den 2. August 2028. Präzisierung der Konformitätsbewertung für Produktkategorien. Für RLP relevant bei medizintechnischen Beschaffungen und Fahrzeugflotten.

AI Act – Anhang I Digital-Omnibus Bund RLP Ausstehend (Trilog)

2029

01.01.2029 nach Omnibus-Inkrafttreten

Erste umfassende Überprüfung KI-Verordnung (KI-Amt)

Erste umfassende Überprüfung der Wirksamkeit der KI-Verordnung durch das EU-KI-Amt (AI Office). Berichtspflichten für Mitgliedstaaten und Marktüberwachungsbehörden. Für Bund und RLP: Beiträge zu nationalen Erfahrungsberichten über den praktischen Einsatz von KI im öffentlichen Sektor – auch aus Reallabor-Erkenntnissen.

AI Act – Evaluierung Digital-Omnibus Bund RLP Ausstehend