Am vergangenen Donnerstagmorgen einigten sich die Verhandlungsführer des Europäischen Parlaments und des Rates auf eine vorläufige Einigung zu bestimmten Änderungen der KI-Verordnung, also dem KI-Omnibus. Diese Geschwindigkeit ist in zweierlei Hinsicht bemerkenswert: Sie ist ein positives Signal für die betroffenen Unternehmen – und sie zeigt zugleich, wie hoch der politische Druck war, das Projekt noch vor dem 2. August 2026, dem Tag des Wirksamwerdens der allermeisten Pflichten der KI-Verordnung, zum Abschluss zu bringen. Ob das am Ende gelingen wird, steht noch in den sprichwörtlichen Sternen, denn final verkündet ist nichts, aber die Zeichen stehen gut, dass es zwar knapp, aber machbar ist. Was also bringt der Omnibus, was wurde konkret vereinbart – und was bedeutet das für die Praxis? Die Hochrisikofristen – Aufatmen, aber mit Vorbehalt Das Wichtigste zuerst, weil es für die meisten Unternehmen die drängendste Frage ist: Die Fristverschiebungen für Hochrisiko-KI kommen. Die Anwendung der Hochrisiko-Pflichten für KI-Systeme nach Anhang III – also etwa KI im Bewerbungsprozess oder im Kontext kritischer Infrastrukturen – wird auf den 2. Dezember 2027 verschoben. Für KI-Systeme, die in Verbindung mit regulierten Produkten wie Aufzügen oder Spielzeugen stehen, ist der 2. August 2028 der maßgebliche Stichtag. Bis dahin sollen die notwendigen Unterstützungsmaßnahmen, insbesondere Guidelines, vorliegen, die die Pflichten konkretisieren und praktikabel machen. Das ist ein spürbarer Fortschritt gegenüber dem ursprünglichen Zeitplan – allerdings mit einem wichtigen Vorbehalt, der leicht übersehen wird: Die vorläufige Einigung muss von beiden Organen noch formell angenommen werden, bevor sie in Kraft treten kann. Das Parlament hat angekündigt, dies noch vor dem 2. August 2026 zu tun – also vor dem Datum, ab dem nach dem derzeit geltenden Rechtsrahmen die Hochrisiko-Regeln greifen würden. Das ist ambitioniert. Es ist zu hoffen, dass alle Beteiligten den Prozess jetzt mit hoher Priorität vorantreiben. Gleichwohl gilt: Wer seine Compliance-Planung nun vollständig auf die verschobenen Pflichten ausrichtet, kalkuliert weiterhin mit einem – wenn auch wahrscheinlich überschaubaren – Risiko. Industrie-KI – der Knoten ist gelöst, jetzt beginnt die eigentliche Arbeit Einer der zentralen Streitpunkte der Verhandlungen war die sogenannte Industrie-KI, also hoch riskante KI-Systeme in bereits regulierten Produkten, abschließend aufgelistet in Abschnitt A von Anhang I der KI-Verordnung, zum Beispiel wieder Spielzeug und Aufzüge. Das Problem liegt auf der Hand: Für diese Systeme droht ohne Omnibus eine Doppelregulierung durch das bestehende Produktrecht einerseits und die KI-Verordnung mit ihren zusätzlichen, anspruchsvollen Anforderungen andererseits. Das scheint umso weniger eingängig, weil einige andere Produktkategorien, nämlich die in Abschnitt B desselben Anhangs aufgeführten, zum Beispiel Fahrzeuge, bislang von vornherein nicht unter die KI-Verordnung fallen sollten, sondern nur der sektorspezifischen Regulierung genügen müssen. Am einfachsten wird es für Robotics, Physical AI und andere KI-Funktionen in Maschinen, die der Maschinenrichtlinie oder der Maschinenverordnung unterfallen: Maschinen-KI wird grundsätzlich von der unmittelbaren Anwendbarkeit des KI-Gesetzes ausgenommen. Hier gibt es also jedenfalls ab Inkrafttreten der Omnibus-Regelungen keine Doppelregulierung mehr. Auf der anderen Seite erhält die Kommission die Befugnis, weitere delegierte Rechtsakte zu erlassen, die Gesundheits- und Sicherheitsanforderungen für KI-Systeme festlegen, die nach dem KI-Gesetz als hoch riskant eingestuft werden. Mit anderen Worten: Vergleichbare Vorgaben können über die sektorspezifische Gesetzgebung eingeführt werden, ohne dass die KI-Verordnung direkt gilt, und das gilt auch für die Maschinen. Im Übrigen sieht der nun gefundene Kompromiss einen Mechanismus vor, der Situationen adressiert, in denen sektorspezifisches Recht inhaltlich ähnliche, spezifische Anforderungen wie das KI-Gesetz enthält: In diesen Fällen kann die Anwendung des KI-Gesetzes durch Durchführungsrechtsakte eingeschränkt werden. Auf dem Papier klingt all das praxisnah und anwenderfreundlich. In der Umsetzung stellen sich aber zahlreiche Folgefragen: Wann genau werden Durchführungsrechtsakte kommen? Für welche Sektoren und mit welchen inhaltlichen Schwerpunkten? Wie werden etwaige neue Gesundheits- und Sicherheitsanforderungen konkret aussehen – und werden sie überhaupt in der erwarteten Breite erlassen? Und vor allem: Was kann oder muss ein Unternehmen mit langen Entwicklungs- oder Produktionszyklen jetzt schon vorsehen, wenn es technische Verpflichtungen rechtzeitig berücksichtigen will? Immerhin enthält der Kompromiss eine neue Pflicht für die Kommission, Leitlinien zu veröffentlichen, die Wirtschaftsakteure bei der Einhaltung der Hochrisiko-Anforderungen des KI-Gesetzes unterstützen und dabei die Compliance-Last minimieren sollen. Das ist natürlich zu begrüßen – auch wenn die Erfahrung der vergangenen Jahre zeigt, dass angekündigte Leitlinien nicht immer dann zur Verfügung stehen, wenn Unternehmen sie tatsächlich brauchen. Und was wurde aus dem zweiten Streitpunkt? Parlament und Rat haben sich darauf geeinigt, KI-Systeme zu verbieten, die Material zum sexuellen Kindesmissbrauch erstellen oder die Intimzonen einer identifizierbaren Person oder deren sexuelle Handlungen ohne deren Einwilligung darstellen. Dem vorausgegangen ist eine lange und teilweise hitzige Debatte – nicht über das „Ob“, sondern über die Reichweite des Verbotstatbestands. Das Verbot erfasst zum einen das Inverkehrbringen von KI-Systemen auf dem EU-Markt, deren Zweck die Erstellung solcher Inhalte ist; zum anderen das Inverkehrbringen ohne angemessene Sicherheitsmaßnahmen, die eine solche Erstellung verhindern; und – selbstverständlich – die Nutzung solcher Systeme durch Betreiber zu genau diesem Zweck. Erfasst sind Bilder, Videos und Audiomaterial. Unternehmen haben bis zum 2. Dezember 2026 Zeit, ihre Systeme entsprechend anzupassen oder die betreffende Nutzung zu unterlassen. Die Relevanz dieses Verbots ist nicht theoretischer Natur. Dass KI-Werkzeuge missbraucht werden, um sexualisierte Darstellungen von Personen – einschließlich Minderjähriger – zu erzeugen, ist bereits Realität. Der Gesetzgeber zieht hier nun eine klare Grenze. Ob diese Regelung in der Praxis tragfähig ist, wird maßgeblich davon abhängen, wie die geforderten Sicherheitsmaßnahmen konkret ausgestaltet werden – und wie konsequent ihre Einhaltung durchgesetzt wird. Hinzu kommt eine Ausnahme, die ihrerseits anfällig für Fehlgebrauch sein kann: Das Verbot gilt nicht, wenn die betroffene Person eingewilligt hat – oder wenn der Anbieter nachweisen kann, dass er angemessene Sicherheitsvorkehrungen getroffen hat, um die verbotene Nutzung zu verhindern. Was „angemessen“ in diesem Zusammenhang genau bedeutet, bleibt vorerst offen und wird sich erst in der Aufsichtspraxis und in der Rechtsprechung konkretisieren. Insofern ist das Verbot ein Schritt in die richtige Richtung. Wie belastbar der Rahmen ist, wird – wie so oft – der Praxistest zeigen. Was sich sonst noch getan hat? – Transparenz, Datenschutz und Zuständigkeiten Abseits der großen Konfliktlinien hat die Einigung auch an anderen Stellen Klarheit geschaffen. Die Pflicht zur maschinenlesbaren Kennzeichnung von KI-generierten Inhalten wird auf den 2. Dezember 2026 vorgezogen; im Kommissionsvorschlag war der 2. Februar 2027 vorgesehen. Gleichzeitig wird die Übergangsfrist für Anbieter zur Implementierung von Transparenzlösungen von sechs auf drei Monate verkürzt. Das fügt sich in das bisherige Bild, etwa aus dem Code of Practice: Transparenzpflichten sind und bleiben ein zentrales Anliegen des Gesetzgebers. Auch beim Datenschutz gab es eine Korrektur gegenüber dem Kommissionsentwurf: Die vorläufige Einigung stellt den Standard der „strikten Notwendigkeit“ für die Verarbeitung besonderer Kategorien personenbezogener Daten (etwa Gesundheitsdaten, Religionszugehörigkeit etc.) zur Erkennung und Korrektur von Bias wieder her. Erlaubt bleibt die Verarbeitung solcher Daten nur, wenn sie strikt notwendig ist, um Bias zu erkennen und zu korrigieren – mit angemessenen Schutzmaßnahmen, und zwar sowohl für Hochrisiko- als auch für Nicht-Hochrisiko-KI-Systeme. Der Kommissionsentwurf hatte die Schwelle bewusst auf eine bloße „Notwendigkeit“ abgesenkt; Parlament und Rat haben sie nun wieder angehoben. Das ist keine Detailfrage: Unternehmen, die KI auf Basis sensibler personenbezogener Daten trainieren oder evaluieren wollen, bewegen sich weiterhin in einem engen datenschutzrechtlichen Korridor – mit entsprechenden Dokumentationspflichten und der Notwendigkeit, die strikte Erforderlichkeit der Verarbeitung im Einzelfall überzeugend zu begründen. Tatsächliche Entlastung gibt es wohl für kleinere Marktakteure – und zwar etwas weitergehend als zunächst geplant. Die KMU-Ausnahmen von bestimmten Pflichten werden auf kleine Mid-Cap-Unternehmen ausgedehnt, um deren Wachstum zu unterstützen. Damit adressiert der Gesetzgeber gezielt einen Unternehmenstypus, der in der digitalen Wirtschaft eine Schlüsselrolle spielt, bislang aber häufig zwischen den Stühlen saß: zu groß für klassische KMU-Erleichterungen, zu klein für eigene, voll ausgebaute Compliance-Strukturen. Unverändert bleibt hingegen die Pflicht zur Registrierung von Hochrisiko-KI-Systemen nach Anhang III. Und jetzt? Die vorläufige Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt werden. Sofern keine unerwarteten politischen Verwerfungen eintreten, dürfte dies keine substanzielle Hürde sein, sondern eher ein formaler Schritt. Die eigentliche Unsicherheit liegt an anderer Stelle: in der verbleibenden Zeit. Alles muss abgeschlossen sein, bevor am 2. August 2026 die bestehenden Regelungen für Hochrisiko-Systeme in Kraft treten. Das Zeitfenster ist ausreichend – aber nicht großzügig, und die Mühlen in Brüssel mahlen nicht immer schnell. Das heißt für Unternehmen: Keine Compliance-Pause einlegen. Die Einigung ist ein wichtiges Signal, aber keine rechtliche Garantie. Wer seine Vorbereitungen jetzt aussetzt und auf den formalen Abschluss wartet, geht ein vermeidbares Risiko ein. Bestandsaufnahme aktualisieren. Welche KI-Systeme im Unternehmen fallen unter die neuen Fristenregelungen? Gibt es Systeme, die von Maschinenregulierung betroffen sind und für die deswegen andere oder spätere Regeln als bisher angenommen greifen? Diese Analyse lohnt sich jetzt, nicht erst in einem halben Jahr. Datenschutz ernst nehmen. Die Rückkehr zur „strikten Notwendigkeit“ ist eine datenschutzrechtliche Weichenstellung mit unmittelbaren Folgen für KI-Trainingsprozesse und Bias-Monitoring. Wer bisher auf einen weiter gefassten Rechtsrahmen gesetzt hatte, muss seine Ansätze gegebenenfalls anpassen. Die Leitlinien der Kommission abwarten – sich aber nicht auf sie verlassen. Die angekündigten Leitlinien für Produkt-KI sind ein Fortschritt. Wer jedoch die Erfahrung mit Zeitplänen für EU-Guidance-Dokumente gemacht hat, weiß: Eigene Vorarbeit bleibt durch nichts zu ersetzen. Herangezogen werden können bestehende, vergleichbare Standards aus anderen Branchen und Industrie-Best-Practices.