KI-Omnibus

EU-KI-Verordnung

Stand: 22. Juni 2026. Diese Seite behandelt die EU-Verordnung über künstliche Intelligenz (EU) 2024/1689 sowie den sie aktuell ändernden Digital Omnibus on AI. Die Trilog-Einigung zum Digital Omnibus liegt seit dem 7. Mai 2026 vor und wurde am 16. Juni 2026 vom EU-Parlament im Plenum bestätigt . Offen sind noch die förmliche Annahme durch den Rat und die Veröffentlichung im Amtsblatt -erwartet vor dem 2. August 2026. Bis zur Veröffentlichung gilt die KI-VO formal in ihrer ursprünglichen Fassung. Die folgenden Abschnitte weisen jeweils aus, was unverändert gilt und was sich durch den Omnibus ändert.

Rechtsgrundlage

Verordnung über künstliche Intelligenz -VERORDNUNG (EU) 2024/1689 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828.

Ergänzend relevant: VERORDNUNG (EU) 2024/903 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. März 2024 über Maßnahmen für ein hohes Maß an Interoperabilität des öffentlichen Sektors in der Union (Verordnung für ein interoperables Europa).

Geltungsbeginn und Fristen

Die Verordnung trat am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft (1. August 2024) und wird stufenweise wirksam:

  • Kapitel I und II (Anwendungsbereich, Begriffsbestimmungen, verbotene Praktiken): seit 2. Februar 2025 -unverändert.
  • Kapitel III Abschnitt 4, Kapitel V (GPAI), Kapitel VII, Kapitel XII, Art. 78 (außer Art. 101): seit 2. August 2025 -unverändert.
  • Art. 6 Abs. 1 und zugehörige Pflichten für Hochrisiko-KI-Systeme: ursprünglich ab 2. August 2027 vorgesehen. Durch den Digital Omnibus on AI verschoben auf 2. Dezember 2027 (eigenständige Systeme nach Anhang III, z. B. Personalauswahl, Bildung, Kreditwürdigkeit) bzw. 2. August 2028 (produktintegrierte Systeme nach Anhang I, z. B. Medizinprodukte, Maschinen) -vorbehaltlich finaler Verabschiedung vor dem 2. August 2026.
  • Transparenzpflichten Art. 50 Abs. 1, 3, 4 (Kennzeichnung von Chatbot-Interaktionen, Emotionserkennung, biometrischer Kategorisierung): weiterhin ab 2. August 2026 -vom Omnibus nicht berührt.
  • Wasserzeichenpflicht Art. 50 Abs. 2 (maschinenlesbare Kennzeichnung KI-generierter Inhalte): für vor dem 2. August 2026 bereits marktverfügbare Systeme Übergangsfrist bis 2. Dezember 2026.
  • KI-Regulatory Sandboxes (Art. 57): Einrichtungspflicht der Mitgliedstaaten ursprünglich 2. August 2026, durch den Omnibus verschoben auf 2. August 2027.

Grundsätze: Risikobasierter Ansatz, strengere Pflichten bei höherem Risiko (z. B. Social Scoring verboten), strengere Anforderungen für Hochrisiko-KI-Systeme (Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht).
Adressaten: Anbieter und Betreiber von KI, Importeure, Händler und betroffene Personen in der EU.
Zentrale Regelungen: KI-Kompetenz des Personals (Art. 4), Katalog verbotener Praktiken (Art. 5), spezifische Anforderungen für Hochrisiko-KI-Systeme, Transparenzvorgaben für KI-Systeme mit interagierenden Personen (z. B. Chatbots), Vorgaben für KI-Modelle mit allgemeinem Verwendungszweck (GPAI, s. u.), insbesondere mit systemischem Risiko.
Datenschutz: Bei der Verarbeitung personenbezogener Daten im Zusammenhang mit KI muss eine Rechtsgrundlage der DS-GVO vorliegen; die Grundsätze der Datenverarbeitung sind einzuhalten, spezielle Pflichten bei automatisierten Einzelentscheidungen zu beachten. Bei besonders risikobehafteten Vorgängen ist eine Datenschutz-Folgenabschätzung erforderlich.

KI-Omnibus

Der Omnibus-Vorschlag verfolgt einen pragmatischen Ansatz, da er Vorschriften an die Verfügbarkeit von Standards koppelt und so "Papier-Compliance" verhindert.

Verbotene KI-Praktiken (Art. 5)

Seit 2. Februar 2025 in Kraft: Social Scoring, manipulative Techniken zur Umgehung des freien Willens, Ausnutzung schutzbedürftiger Personen, biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit Ausnahmen), biometrische Kategorisierung nach geschützten Merkmalen, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.

Neu durch den Digital Omnibus (ab 2. Dezember 2026): Verbot von KI-Systemen, die nicht-einvernehmliche intime bzw. sexualisierte Bildaufnahmen identifizierbarer realer Personen erzeugen oder manipulieren ("Nudifier"), sowie von Systemen zur Erzeugung von Missbrauchsdarstellungen Minderjähriger (CSAM). Eine Safe-Harbour-Ausnahme gilt für Systeme mit wirksamen Schutzmaßnahmen zur rechtmäßigen Erkennung oder Verfolgung solcher Inhalte.

→ Leitlinien zu verbotenen KI-Praktiken

GPAI-Pflichten und Code of Practice (Art. 53, 55)

Seit 2. August 2025 in Kraft, vom Digital Omnibus nicht berührt. Der GPAI Code of Practice ist das zentrale Compliance-Instrument und deckt drei Bereiche ab: Transparenz, Urheberrecht und Sicherheit/Systemrisiko.

Kommission und KI-Gremium haben den Code of Practice am 1. August 2025 per Adequacy-Entscheidung gebilligt. GPAI-Anbieter, die ihn freiwillig unterzeichnen, können damit ihre AI-Act-Konformität nachweisen; Anbieter, die nicht unterzeichnen, müssen der KI-Behörde alternativ darlegen, wie sie ihre Pflichten erfüllen. Am 18. Juli 2025 veröffentlichte die Kommission Leitlinien zum Anwendungsbereich der GPAI-Pflichten, am 24. Juli 2025 ein Template für die öffentliche Zusammenfassung der Trainingsdaten.

  1. Transparenz und Dokumentation(alle GPAI-Anbieter): Model Documentation Form (Architektur, Datenquellen, Energieverbrauch); Informationen für Downstream-Anbieter.
  2. Urheberrecht und IP-Compliance(alle GPAI-Anbieter): interne Copyright Policy; Respektierung maschinenlesbarer Opt-Out-Vorbehalte (z. B. robots.txt); Veröffentlichung der Trainingsdaten-Zusammenfassung.
  3. Sicherheit und systemische Risiken(nur Modelle mit Systemrisiko, >10²³ FLOPs oder entsprechend eingestuft): Adversarial Testing/Red Teaming; Incident Reporting an das EU AI Office (oft 2–5 Tage); Nachweis robuster Cybersicherheitsmaßnahmen.

KI-Regulatory Sandboxes (Art. 57–61, 70)

Art. 57 und 58: KI-Regulatory Sandboxes

Verpflichtende Einrichtung:

  • Mindestens eine KI-Regulatory Sandbox auf nationaler Ebene -Einrichtungsfrist verschoben von 2. August 2026 auf 2. August 2027 (Digital Omnibus on AI; vorbehaltlich finaler Verabschiedung). Article 57: AI Regulatory Sandboxes | EU Artificial Intelligence Act
  • Zusätzlich neu durch den Omnibus: eine vom AI Office betriebene EU-weite Sandbox mit präferenziertem Zugang für KMU und Start-ups.
  • Bereitstellung ausreichender Ressourcen für effektive und rechtzeitige Erfüllung.
  • Koordination mit anderen relevanten Behörden und Einbezug von Akteur:innen im KI-Ökosystem.

Funktionale Anforderungen:

  • Schaffung kontrollierter Umgebungen zur Innovationsförderung.
  • Bereitstellung von Anleitung, Überwachung und Unterstützung.
  • Offener, transparenter und fairer Zugang für alle Anbieter.
  • Kostenloser Zugang für KMU und Start-ups.

Art. 59: Datenverarbeitung in Regulatory Sandboxes

  • Personenbezogene Daten dürfen nur für Entwicklung, Schulung und Prüfung bestimmter KI-Systeme in der Sandbox verarbeitet werden, wenn alle definierten Bedingungen erfüllt sind.
  • Funktional getrennte, isolierte und geschützte Datenverarbeitungsumgebung.
  • Angemessene technische und organisatorische Schutzmaßnahmen; Protokollierung der Datenverarbeitung.

Art. 60: Tests außerhalb von Regulatory Sandboxes

  • Marktüberwachungsbehörden müssen Tests von Hochrisiko-KI-Systemen unter realen Bedingungen genehmigen.
  • Registrierung und Überwachung von Real-World-Tests; Befugnis zu unangemeldeten Inspektionen.

Art. 61: Informierte Einwilligung

  • Für Tests unter realen Bedingungen ist eine frei gegebene, informierte Einwilligung der Testobjekte erforderlich.
  • Bereitstellung präziser, klarer, relevanter und verständlicher Informationen; Dokumentation und Aufbewahrung der Einwilligung.

Art. 70: Nationale Behörden

  • Jeder Mitgliedstaat richtet mindestens eine Benennungsbehörde und eine Marktüberwachungsbehörde ein; unabhängige, unparteiische Ausübung der Befugnisse.
  • Benennung einer einheitlichen Anlaufstelle (seit 2. August 2025).
  • Bereitstellung angemessener technischer, finanzieller und personeller Ressourcen; jährliche Bewertung der Kompetenz- und Ressourcenanforderungen.
  • Berichte an die Kommission alle zwei Jahre über den Status der Ressourcen.

Art. 62–69 regeln zusätzliche Maßnahmen für Anbieter und Einsatzverantwortliche, Unterstützung für KMU und weitere Governance-Strukturen.

Digital Omnibus on AI - Verfahrensstand und Inhalt

Der Kommissionsvorschlag vom 19. November 2025 (Novelle der Verordnungen 2024/1689 und 2018/1139) soll die Umsetzung der KI-Regulierung vereinfachen und an die verzögerte Verfügbarkeit harmonisierter Normen (CEN/CENELEC) anpassen.

Verfahrensstand: Vorläufige Trilog-Einigung am 7. Mai 2026 (nach gescheitertem ersten Trilog am 28. April 2026); Bestätigung durch die Ausschüsse IMCO/LIBE am 2. Juni 2026 (93:4:15 Stimmen); Plenarabstimmung im Europäischen Parlament am 16. Juni 2026 (423:57:174 Stimmen). Offen: förmliche Annahme durch den Rat sowie Veröffentlichung im Amtsblatt -erwartet vor dem 2. August 2026, da sonst die ursprünglichen Fristen der KI-VO greifen.

Zentrale Ergebnisse:

  • Hochrisiko-Pflichten Anhang III (eigenständige Systeme): 2. Aug. 2026 → 2. Dez. 2027.
  • Hochrisiko-Pflichten Anhang I (produktintegrierte Systeme): 2. Aug. 2027 → 2. Aug. 2028.
  • KI-Regulatory Sandboxes (Art. 57): Einrichtungspflicht 2. Aug. 2026 → 2. Aug. 2027; zusätzlich neue EU-weite Sandbox des AI Office mit präferenziertem KMU-Zugang.
  • Neue verbotene Praktik (Art. 5): "Nudifier"-Anwendungen und CSAM, ab 2. Dezember 2026.
  • Wasserzeichenpflicht (Art. 50 Abs. 2): Übergangsfrist bis 2. Dezember 2026 für Bestandssysteme; Art. 50 Abs. 1, 3, 4 bleiben unverändert ab 2. August 2026.
  • Neue Unternehmenskategorie "Small Mid-Cap" (< 750 Beschäftigte, < 150 Mio. € Umsatz): vereinfachte Dokumentationspflichten, 30-tägige Korrekturperiode vor Sanktionen.
  • Gestärktes AI Office: ausschließliche Zuständigkeit für GPAI-basierte Systeme desselben Anbieters und für KI in sehr großen Online-Plattformen/-Suchmaschinen (VLOPs/VLOSEs).

Unverändert bleiben: Verbote nach Art. 5 (seit 2. Februar 2025), KI-Kompetenzpflicht Art. 4, GPAI-Pflichten Kapitel V (seit 2. August 2025).

Kritik: Zivilgesellschaftliche Organisationen (u. a. EDRi, noyb, ICCL) kritisieren Erleichterungen bei der Verarbeitung besonderer Datenkategorien zur Bias-Korrektur als Aufweichung der DSGVO. Industrieverbände (BDI, Bitkom, TÜV-Verband) begrüßen die Fristverschiebung überwiegend, fordern aber eine Ausweitung der Sonderregelung für Maschinen auf weitere Sektoren wie Medizinprodukte.

Quellen: Pressemitteilungen Rat der EU und Europäisches Parlament vom 7. Mai 2026; Abstimmungsergebnisse IMCO/LIBE (2. Juni 2026) und EP-Plenum (16. Juni 2026).

→ Leitlinien Digital Omnibus · Compliance-Mapping

Relevanz für KI-Reallabore

Obwohl der EU AI Act keine abschließende Liste der notwendigen Inhalte oder Bestandteile eines KI-Reallabors definiert, lässt sich der Zweck aus dem Gesamtkontext der Verordnung ableiten:

  • Testen unter realen Bedingungen: Reallabore ermöglichen es, KI-Systeme -insbesondere der Hochrisikoklasse -unter realen Bedingungen zu testen, ohne dass sie sofort als „in Verkehr gebracht" oder „in Betrieb genommen" gelten und damit die sofortige, vollständige Anwendung aller Anforderungen des AI Acts auslösen.
  • Alternative zur Markteinführung: Tests unter realen Bedingungen, die nicht unter die Forschungs- und Entwicklungsausschlussklausel (Art. 2 Abs. 8 AI Act) fallen, sind nur zulässig, wenn das System in einem KI-Reallabor oder gemäß dem Sonderregime für Tests außerhalb der Sandbox getestet wird (Art. 60 und 61 AI Act).
  • Gesetzliche Grundlage: Der AI Act enthält detaillierte, spezifische Verpflichtungen für KI-Regulatory Sandboxes und Tests unter realen Bedingungen (Art. 57–70).

KI-Reallabore dienen dazu, die Kluft zwischen Innovation und strenger Regulierung zu überbrücken, indem sie einen regulierten Rahmen (Sandbox) für die Erprobung von KI-Systemen -z. B. der Hochrisikoklasse -unter realen Bedingungen bieten, um die Einhaltung der Anforderungen (Compliance) zu prüfen und zu verifizieren. Mit der Verschiebung der Sandbox-Einrichtungsfrist auf 2. August 2027 verschafft der Digital Omnibus Reallaboren, die -wie das KI-Reallabor RLP -bereits vor der gesetzlichen Pflichtfrist operativ sind, einen relativen Vorsprung gegenüber erst neu entstehenden nationalen Strukturen.

Quellen

Stand der Angaben zum Digital Omnibus on AI: 22. Juni 2026. Da die förmliche Verabschiedung durch den Rat und die Veröffentlichung im Amtsblatt noch ausstehen, sind die genannten neuen Fristen vorbehaltlich der finalen Rechtsetzung zu verstehen -die ursprünglichen Fristen der KI-VO 2024/1689 bleiben bis dahin formal in Kraft.