InfoDie Europäische Kommission erarbeitet Leitlinien als Notfallmaßnahme, um möglichen Verzögerungen bei den technischen Standards des KI-Gesetzes entgegenzuwirken The EU AI Act Newsletter artificialintelligenceact@substack.com 

Änderung der Verordnungen (EU) 2024/1689 und (EU) 2018/1139 bezüglich der Vereinfachung der Umsetzung harmonisierter Vorschriften über künstliche Intelligenz - Digitaler Omnibus für KI 

https://digital-strategy.ec.europa.eu/de/library/digital-omnibus-ai-regulation-proposal

hier: ARBEITSDOKUMENT DER KOMMISSIONSDIENSTSTELLEN

Die geplanten Anpassungen betreffen die KI-Verordnung.

s. u. Digital-Omnibus

RISIKOANALYSE

KI-Omnibus

Der Omnibus-Vorschlag verfolgt einen pragmatischen Ansatz, da er Vorschriften an die Verfügbarkeit von Standards koppelt und so "Papier-Compliance" verhindert.

Analyse: EU-Verordnungen zur KI (COM(2025) 836)

Die Novelle der Verordnungen 2024/1689 und 2018/1139 soll die Umsetzung der KI-Regulierung vereinfachen.

  • Stärken: Der Entwurf ist pragmatisch und koppelt Pflichten an verfügbare Standards. Zudem wird die Aufsichtsbürokratie für Big Tech reduziert und die Lösung von Konflikten zwischen der DSGVO und dem AI Act bei der Bias-Erkennung verbessert.
  • Schwächen und Inkohärenzen: Kritisiert wird die kumulative Belastung, etwa durch mangelnde Harmonisierung mit der DSGVO und der NIS-2. Zudem gibt es Inkohärenzen bei Meldepflichten und Begriffs- sowie Zeitinkohärenz.
  • Vorschläge zur Integration: Es werden modulare Methoden zur Dokumentation und zum "Single Digital Incident Reporting Hub" vorgeschlagen. Zudem sollen die 53 Stellen des AI Office um eine "Lead Supervisory Authority" ergänzt werden.
  • Institutionelle Hürden: Es mangelt an einem Äquivalenzmechanismus für Modelle aus Drittstaaten.

Zusammenfassung KI-Omnibus-Vorschlag

Der KI-Omnibus-Vorschlag stellt eine bedeutende Initiative zur Harmonisierung der EU-Digitalgesetzgebung dar. Er zeichnet sich durch einen pragmatischen Ansatz aus, der die Compliance an die Verfügbarkeit technischer Standards knüpft, gezielte Erleichterungen für KMU bietet und die Aufsicht über Big-Tech-Unternehmen im neuen AI Office zentralisiert.

Trotz dieser Stärken identifizieren die Quellen erhebliche Lücken und Unstimmigkeiten, die die praktische Umsetzung gefährden könnten:

  1. Regulatorische Inkohärenz und Belastung
  • Meldepflichten: Unternehmen stehen vor einer massiven kumulativen Belastung durch parallele Meldepflichten in verschiedenen Rechtsakten wie dem AI Act, NIS-2, DORA und der DSGVO. Es wird die Einführung eines „Single Digital Incident Reporting Hub“ auf EU-Ebene vorgeschlagen, um Meldungen automatisiert an alle relevanten Behörden zu verteilen.
  • Begriffs-Dschungel: Es fehlt eine Harmonisierung zwischen Begriffen wie „Hochrisiko“ (AI Act), „wesentlich/wichtig“ (NIS-2) und „kritisch“ (DORA/CRA). Eine neue „EU Digital Risk Assessment Matrix“ soll hier Klarheit schaffen.
  • Zeitliche Diskrepanz: Die unterschiedlichen Anwendungszeitpunkte (z. B. DORA bereits 2025, AI Act teils erst 2028) führen zu regulatorischen Lücken, insbesondere im Finanzsektor.
  1. Vorschläge zur administrativen Straffung

Um Ineffizienzen zu vermeiden, werden integrierte Ansätze empfohlen:

  • Integrierte Risikobewertung: Statt separater Prüfungen für Datenschutz, KI-Risiken und Cybersicherheit sollte eine modulare Methodik („Integrated Digital Risk Assessment“) etabliert werden.
  • Modulare Dokumentation: Ein einheitliches „Digital Systems Documentation Template“ würde es ermöglichen, Systembeschreibungen einmal zu erstellen und für verschiedene Gesetze (AI Act, DSGVO, NIS-2) zu nutzen.
  • Digitale Produktpässe: Diese könnten alle Compliance-Informationen maschinenlesbar bündeln und Behörden den Zugriff erleichtern.
  1. Governance und Verantwortlichkeit
  • Aufsichtsbehörden: Die Kompetenzabgrenzung zwischen dem AI Office und nationalen Behörden bei grenzüberschreitenden Fällen bleibt unklar. Vorgeschlagen wird ein „Lead Supervisory Authority“-Prinzip analog zum One-Stop-Shop der DSGVO.
  • KI-Lieferketten: Die Verantwortlichkeit zwischen Anbietern, Betreibern und Importeuren ist oft diffus. Ein neues „Digital Supply Chain Responsibility Framework“ soll die Haftung und Pflichten in komplexen Wertschöpfungsketten klären.
  • AI Office Kapazitäten: Die geplanten 53 Vollzeitstellen (FTE) werden als unzureichend kritisiert, um hochkomplexe Modelle wie GPT-4 oder Gemini effektiv zu beaufsichtigen – im Vergleich dazu verfügt etwa die irische Datenschutzbehörde über mehr als 200 Mitarbeiter:innen für Big-Tech-Enforcement.
  1. Grundrechte und gesellschaftliche Aspekte
  • Abschwächung der AI Literacy: Kritisch gesehen wird die Umwandlung der KI-Kompetenz-Pflicht von einer Anbieterverpflichtung in eine bloße Förderaufgabe. Dies könnte den Grundrechtsschutz gefährden, da informierte Betroffene und kompetente Anwender für die Wahrung von Datenschutz und Rechtsbehelfen essenziell sind.
  • Bias Detection: Der Omnibus sieht wichtige Ausnahmen zur Diskriminierungserkennung vor. Es mangelt jedoch an technischen Standards und Leitlinien, wie Bias in unstrukturierten oder multimodalen Daten rechtssicher gemessen werden kann.
  1. Internationale Dimension

Da der AI Act oft als globaler Standard („Brüssel-Effekt“) fungiert, warnt die Analyse, dass Abschwächungen im Omnibus diesen Status untergraben könnten. Es wird empfohlen, Angemessenheitsbeschlüsse für Drittstaaten einzuführen, um die Zusammenarbeit mit Ländern mit gleichwertiger KI-Governance zu erleichtern.

Zusammenfassend ist der Omnibus ein notwendiger Schritt zur Entbürokratisierung, bedarf aber einer stärkeren Verzahnung der Einzelgesetze durch zentrale Meldesysteme, integrierte Dokumentationsstandards und eine personell deutlich stärkere Aufsichtsstruktur.

Bereits geltende Fristen (unverändert)

Seit Februar 2025 gelten die Verbote von KI-Systemen mit inakzeptablem Risiko sowie die Anforderungen zur KI-Kompetenz (AI Literacy) für alle Organisationen. Seit August 2025 müssen Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) darlegen, welche Inhalte sie für das Training verwenden und wie sie das Urheberrecht einhalten.

Vorgeschlagene Verschiebung

Das Digital Omnibus-Paket sieht eine Verzögerung der strengeren Regulierung von Hochrisiko-KI-Anwendungen bis Ende 2027 vor. Die ursprüngliche Frist war der 2. August 2026. Während einige Industrieverbände und Unternehmen sogar eine Verschiebung um zwei Jahre bis August 2028 fordern, argumentieren Zivilgesellschaftsorganisationen stark gegen jede Verzögerung.

Hintergründe der Diskussion

Als Begründung für die Verschiebung wird angeführt, dass wichtige technische Standards noch nicht fertiggestellt sind, die Unternehmen helfen sollen, den Gesetzestext praktisch umzusetzen.

Was jetzt noch unklar ist

Die Vorschläge benötigen noch die Zustimmung einer Mehrheit der EU-Mitgliedstaaten und des Europäischen Parlaments, bevor sie in Kraft treten können. Die endgültige Entscheidung steht also noch aus, auch wenn der Kurs der Kommission nun deutlicher geworden ist.

Praktische Empfehlung:

Organisationen sollten weiterhin die Compliance-Anforderungen für August 2026 im Blick behalten, auch wenn eine Verschiebung wahrscheinlich erscheint, da die finale Entscheidung noch aussteht. Unter der Prämisse, dass der Entwurf planmäßig noch 2025 beschlossen wird, ist mit einem schrittweisen Inkrafttreten ab 2026 zu rechnen. Die kommenden Monate werden zeigen, in welchem Umfang Rat und Parlament den Vorschlägen der Kommission folgen. Der vorliegende Digital-Omnibus leitet den Übergang von einem Sammelsurium europäischer Rechtsvorschriften hin zu einem integrierten europäischen Digitalrechtsrahmen ein und macht damit den Umsetzungsaufwand planbarer, wenn auch nicht verringert.

 

Entscheidend ist:

  • Nicht nachgeben bei Grundrechtskernbestand (AI Literacy, Bias-Schutz, Transparenz)
  • Pragmatisch sein bei Verfahren und Fristen (Sandboxes, KMU-Erleichterungen)
  • Kohärenz schaffen zwischen den vielen digitalen Gesetzen (Single Reporting Hub, integrierte Risikobewertung)
  • Global denken (internationale Kooperation, Angemessenheitsbeschlüsse)

 

Die EU hat mit dem AI Act die Chance, globaler Standard-Setzer für vertrauenswürdige KI zu werden - wie sie es mit der GDPR für Datenschutz wurde. Aber nur, wenn der Rechtsrahmen insgesamt kohärent, praktikabel und prinzipientreu bleibt.