Die Hängepartie ist vorbei. Nach einem gescheiterten ersten Anlauf haben sich Europäisches Parlament und Rat in den frühen Morgenstunden des 7. Mai 2026 auf den Digital Omnibus on AI geeinigt. Am 13. Mai bestätigten die Mitgliedstaaten im Rat (COREPER) die Einigung. Damit steht fest, was monatelang in der Schwebe war: Die zentralen Hochrisiko-Pflichten des EU AI Act werden verschoben.
Für Tausende Unternehmen, die seit Monaten unter dem Damoklesschwert des 2. August 2026 geplant haben, ist das eine bedeutende Nachricht. Aber die Verschiebung ist nicht das Ende der Vorbereitung, sondern eine Verlängerung des Zeitfensters. Und sie kommt mit einer Reihe neuer Pflichten, die in der Debatte um die Fristen oft untergegangen sind.
Dieser Beitrag erklärt, was genau beschlossen wurde, welche neuen Fristen jetzt gelten, welche zusätzlichen Regelungen das Paket enthält und was Unternehmen aus der Einigung konkret mitnehmen sollten.
Der Weg zur Einigung
Die Einigung war nicht selbstverständlich. Der erste politische Trilog am 28. April 2026 scheiterte nach rund zwölf Stunden Verhandlung. Bemerkenswert: Der Streitpunkt war nicht die prominente Fristverschiebung, sondern die Architektur der Konformitätsbewertung für KI-Systeme, die in regulierte Produkte eingebettet sind (Anhang I).
19. November 2025
Kommission legt den Vorschlag für den Digital Omnibus on AI vor, zunächst mit einem flexiblen Mechanismus statt fester Daten.
13. und 18. März 2026
Rat verabschiedet allgemeine Ausrichtung, Parlamentsausschüsse adoptieren ihren gemeinsamen Bericht. Beide wollen feste Daten.
26. März 2026
Plenarvotum im Parlament (569 zu 45), Start der Trilog-Verhandlungen.
28. April 2026: Erster Trilog scheitert
Nach zwölf Stunden ohne Einigung, blockiert an der Konformitätsbewertung für Anhang-I-Produkte.
7. Mai 2026: Einigung erzielt
Parlament und Rat erzielen in den frühen Morgenstunden eine provisorische politische Einigung. Der Anhang-I-Streit ist gelöst.
13. Mai 2026: Bestätigung durch COREPER
Die Mitgliedstaaten im Rat bestätigen die Einigung. Formelle Verabschiedung und Veröffentlichung im Amtsblatt vor dem 2. August 2026 erwartet.
Die neuen Fristen im Überblick
Das Herzstück der Einigung ist die Verschiebung der Hochrisiko-Pflichten auf feste Daten. Der ursprünglich von der Kommission vorgeschlagene flexible Mechanismus, bei dem die Anwendung von einer Entscheidung über die Standardreife abhängig gewesen wäre, wurde fallen gelassen.
Der wichtigste Vorbehalt: Die neuen Daten gelten erst, wenn der Omnibus formal verabschiedet und im Amtsblatt veröffentlicht ist. Bis dahin bleibt der 2. August 2026 rechtlich verbindlich. Die formelle Verabschiedung wird zwar vor diesem Datum erwartet, ist aber noch nicht abgeschlossen. Unternehmen sollten sich erst dann auf die neuen Fristen verlassen, wenn die Veröffentlichung erfolgt ist.
Was außer der Fristverschiebung noch beschlossen wurde
Die Verschiebung der Fristen war die Schlagzeile, aber das Paket enthält mehrere weitere substanzielle Änderungen.
Neues Verbot: CSAM und nicht-einvernehmliche intime Inhalte
Ein neues Verbot in Artikel 5 untersagt KI-Systeme, die Darstellungen sexuellen Kindesmissbrauchs (CSAM) oder nicht-einvernehmliche intime Bilder, Videos oder Audios erzeugen. Das Verbot greift in drei Konstellationen: das Inverkehrbringen solcher Systeme mit diesem Zweck, das Inverkehrbringen ohne angemessene Schutzmaßnahmen gegen eine solche Nutzung, und die Nutzung durch Betreiber zu diesem Zweck. Betroffene Bestandssysteme müssen bis zum 2. Dezember 2026 vom Markt genommen oder angepasst werden.
KI-Kompetenzpflicht (Art. 4) abgeschwächt
Die seit Februar 2025 geltende KI-Kompetenzpflicht wird sprachlich entschärft. Anbieter und Betreiber müssen die Entwicklung der KI-Kompetenz ihrer Mitarbeiter künftig „unterstützen", statt ein bestimmtes Kompetenzniveau zu garantieren. Kommission und Mitgliedstaaten sollen diese Bemühungen flankieren, etwa durch praktische Beispiele auf der Informationsplattform zum AI Act. Wichtig: Die Pflicht entfällt nicht, sie wird umformuliert.
Registrierungspflicht für ausgenommene Systeme bleibt
Der Vorschlag, die Registrierungspflicht für Systeme zu streichen, die nach Artikel 6(3) als nicht hochriskant eingestuft werden, wurde nicht übernommen. Diese Systeme müssen also weiterhin in der EU-Datenbank registriert werden. Das war eine zentrale Forderung von Verbraucherschützern, die ohne Registrierung eine Intransparenz befürchtet hatten.
Watermarking-Übergangsfrist (Art. 50(2))
Für die Kennzeichnungspflicht KI-generierter Inhalte (synthetische Bilder, Videos, Audios, Texte) gibt es eine Übergangsregelung für Systeme, die bereits vor dem 2. August 2026 auf dem Markt waren. Diese müssen bis zum 2. Dezember 2026 konform sein.
EU-Sandbox und Erleichterungen für KMU
Zusätzlich zu den nationalen Sandboxes entsteht eine EU-weite Sandbox, betrieben vom AI Office, mit prioritärem Zugang für KMU, Startups und Small Mid-Caps. Dazu kommen vereinfachte Dokumentationsprozesse und angepasste Bußgeldregeln für kleinere Unternehmen.
Weniger Doppelregulierung bei Produkten
Der Streitpunkt, der den ersten Trilog hatte scheitern lassen, wurde gelöst: KI, die in Produkte eingebettet ist, die bereits sektoralen Sicherheitsregeln unterliegen, soll von Doppelregulierung entlastet werden. Anbieter von KI-gestützten Maschinen werden ausdrücklich von bestimmten Pflichten ausgenommen.
Was sich NICHT geändert hat
Genauso wichtig wie die Änderungen ist, was unverändert bleibt. Diese Pflichten gelten weiterhin nach dem ursprünglichen Zeitplan:
Verbotene Praktiken (Art. 5): Gelten seit dem 2. Februar 2025 und bleiben unverändert in Kraft. Das neue CSAM/NCII-Verbot kommt hinzu, ersetzt aber nichts.
KI-Kompetenzpflicht (Art. 4): Bleibt bestehen, wenn auch sprachlich abgeschwächt. Die Pflicht zur Mitarbeiterschulung entfällt nicht.
GPAI-Regeln: Gelten seit dem 2. August 2025 und sind vom Omnibus nicht betroffen.
Transparenzpflichten (Art. 50): Für Chatbots, Deepfakes und KI-generierte Inhalte gelten die Transparenzpflichten weiterhin. Nur für die Kennzeichnung (Watermarking) gibt es die genannte Übergangsfrist.
Die Reaktionen: Erleichterung und Kritik
Die Einigung wird unterschiedlich bewertet. Industrieverbände begrüßen vor allem die Planungssicherheit durch feste Daten und die Entlastung bei der Doppelregulierung. Viele hatten die ursprüngliche Frist für praktisch nicht einhaltbar gehalten, weil die notwendigen harmonisierten Standards nicht rechtzeitig fertig wurden.
Zivilgesellschaftliche Organisationen sehen die Verschiebung kritischer. Sie warnen davor, dass jede Verzögerung den Grundrechtsschutz aufschiebt, den der AI Act gerade in den Hochrisiko-Bereichen (Beschäftigung, Strafverfolgung, Migration) gewährleisten soll. Gleichzeitig wird das neue CSAM- und NCII-Verbot breit als positives Signal gewertet, dass die EU KI-Regulierung auch zum Schutz von Personen einsetzt, insbesondere von Frauen und Kindern, die von solchen Inhalten überproportional betroffen sind.
Was Unternehmen jetzt konkret tun sollten
Die wichtigste Botschaft aller großen Beratungshäuser ist einheitlich: Die zusätzliche Zeit ist kein Grund, die Vorbereitung zu pausieren. Im Gegenteil.
Die zusätzliche Zeit erhöht die Erwartungen. Mit der Verschiebung auf Dezember 2027 wird die Messlatte dafür, was Behörden als angemessene Vorbereitung ansehen, eher höher als niedriger. Wer 2027 noch ohne KI-Inventar und Risikoklassifizierung dasteht, wird sich schwerer rechtfertigen können als jemand, der die ursprüngliche Frist knapp verpasst hätte.
1. Transparenzpflichten haben Vorrang. Viele Unternehmen fallen schon jetzt unter Artikel 50, weil sie Chatbots betreiben, KI-Inhalte in großem Umfang erzeugen oder KI-gestützte Materialien veröffentlichen. Diese Pflichten gelten unabhängig von der Hochrisiko-Verschiebung.
2. Die Vorbereitungsarbeit bleibt dieselbe. KI-Inventar, Risikoklassifizierungslogik, Lieferanten-Due-Diligence und Nachweispakete müssen ohnehin aufgebaut werden. Die Verschiebung gibt mehr Zeit, sie nimmt die Arbeit nicht ab.
3. KI-Kompetenz an konkrete Systeme koppeln. Auch in der abgeschwächten Form bleibt die Schulungspflicht. Unternehmen sollten ihre Schulungsmaßnahmen dokumentieren und an die KI-Systeme koppeln, die ihre Mitarbeiter tatsächlich nutzen.
4. Das neue CSAM/NCII-Verbot prüfen. Unternehmen, die generative KI-Systeme anbieten oder einsetzen, sollten prüfen, ob ihre Systeme unter das neue Verbot fallen könnten und welche Schutzmaßnahmen erforderlich sind. Die Frist 2. Dezember 2026 ist näher als die Hochrisiko-Fristen.
Zusammenfassung
Mit der Einigung vom 7. Mai 2026 ist die monatelange Unsicherheit über die Hochrisiko-Fristen beendet. Die zentralen Pflichten verschieben sich auf den 2. Dezember 2027 (Anhang III) und den 2. August 2028 (Anhang I). Das Paket enthält darüber hinaus ein neues Verbot für CSAM und nicht-einvernehmliche intime Inhalte, eine sprachlich abgeschwächte KI-Kompetenzpflicht, eine erhaltene Registrierungspflicht und Erleichterungen für KMU.
Für Unternehmen ändert sich der Zeitplan, nicht die Substanz. Die verbotenen Praktiken, die KI-Kompetenzpflicht und die Transparenzpflichten gelten weiter. Und die zusätzliche Zeit sollte genutzt werden, um die Vorbereitung sauber aufzubauen, statt sie aufzuschieben. Denn wenn Dezember 2027 kommt, wird die Erwartung an die Vorbereitung höher sein, nicht niedriger.
Die zusätzliche Zeit sinnvoll nutzen
SimpleAct hilft Ihnen, die Vorbereitung jetzt strukturiert aufzubauen, statt sie aufzuschieben. KI-Inventar, Risikoklassifizierung, Transparenzpflichten, Audit-Trail. Alles an einem Ort.
Jetzt kostenlos starten →Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die politische Einigung vom 7. Mai 2026 ist noch nicht formal verabschiedet. Bis zur Veröffentlichung im Amtsblatt bleiben die ursprünglichen Fristen rechtlich verbindlich. Stand: Juni 2026.
Über SimpleAct: SimpleAct ist eine deutsche Compliance-Plattform, die Unternehmen bei der strukturierten Dokumentation ihrer KI-Systeme nach EU AI Act unterstützt. Von der Erfassung über die Risikobewertung bis zum exportfähigen Audit-Nachweis. Alles an einem Ort.
Tags
Yannick | SimpleAct Team
Autor · SimpleAct Team
