Guide · Digital Omnibus 2026

Was verschoben wurde — und was eben nicht.

Die vorläufige Einigung zum Digital Omnibus (Mai 2026) verschiebt die Hochrisiko-Frist nach Anhang III auf Dezember 2027. Verbote, GPAI-Pflichten und Transparenz­pflichten ab August 2026 bleiben unverändert. Wer den Aufschub als „dann später“ liest, verfehlt den Punkt.

Kurz vorweg

Drei Sätze, die Sie nach diesem Guide kennen.

1. Sie gewinnen Zeit — aber die Vorbereitung wird dadurch nicht kleiner, nur planbarer.

2. Verbote, KI-Kompetenz, GPAI und Transparenzpflichten gelten unverändert weiter.

3. Die formale Annahme der neuen Fristen steht aus — verlassen Sie sich nicht auf ein Datum, sondern auf einen Plan.

Zeitstrahl

Was wann gilt — auf einen Blick.

Der EU AI Act tritt gestaffelt in Kraft. Der Digital Omnibus verschiebt nur einen — wenn auch den prominentesten — Block.

  1. 02.02.2025In Kraft

    Verbote (Art. 5) & KI-Kompetenz (Art. 4)

    Bereits in Kraft. Keine Verschiebung. Schulungsregister verpflichtend.

  2. 02.08.2025In Kraft

    GPAI — Pflichten für KI-Basismodelle

    Anbieter generativer Modelle (OpenAI, Anthropic, Mistral, …) liefern Transparenz­dokumentation und Urheberrechts-Policy.

  3. 02.08.2026Bleibt

    Transparenzpflichten (Art. 50)

    Kennzeichnung KI-generierter Inhalte, Deepfake-Hinweise, Chatbot-Offenlegung. Bleibt unverändert.

  4. 12.2027Verschoben

    Hochrisiko — Anhang III

    Recruiting-KI, Performance-Bewertung, Kreditscoring, Bildung. Verschoben vom 02.08.2026 — vorbehaltlich formaler Annahme.

  5. 02.08.2027Bleibt

    Hochrisiko — Anhang I

    In regulierte Produkte eingebettete Sicherheits-KI (Maschinen, Medizin, Spielzeug). Bleibt unverändert.

Gegenüberstellung

Was bleibt — und was wirklich rutscht.

Bleibt unverändert

Diese Pflichten ignoriert der Omnibus.

  • Verbotene Praktiken

    Art. 5

    Social Scoring, Emotionserkennung am Arbeitsplatz, ungezielte Gesichts­bilddaten-Sammlung — gelten weiter ohne Wenn und Aber.

  • KI-Kompetenzpflicht

    Art. 4

    Jeder Arbeitgeber mit KI-Einsatz schuldet rollen­angemessene Schulung und Nachweis. Seit Februar 2025.

  • Transparenzpflichten

    Art. 50

    Ab August 2026: Kennzeichnung KI-Inhalte, Chatbot-Hinweis, Deepfake-Markierung — auch ohne Hochrisiko-Status.

  • GPAI-Pflichten

    Art. 53 ff.

    Anbieter von Basismodellen liefern Transparenz, Urheberrechts-Policy, ggf. systemische Risikoanalyse. Spillover via AGB an Betreiber.

  • Sanktionsrahmen

    Art. 99

    Bis 35 Mio. € oder 7 % weltweiter Jahresumsatz für Verbote, 15 Mio. € / 3 % für sonstige Verstöße — Härte unverändert.

Verschoben auf Dez 2027

Diese Pflichten rutschen — vorbehaltlich Annahme.

  • Hochrisiko nach Anhang III

    Anhang III

    Recruiting, HR-Performance, Kreditscoring, Bildung, Strafverfolgung. Geltungsbeginn wandert vom 02.08.2026 auf Dezember 2027 — vorbehaltlich.

  • Betreiberpflichten Hochrisiko

    Art. 8–17, 26 f.

    Risikomanagement (Art. 9), Logging (Art. 12), menschliche Aufsicht (Art. 14), Folgenabschätzung (Art. 27) — verschoben mit Anhang III.

  • Konformitäts­bewertung

    Art. 43, 49, 71

    Notifizierte Stellen, CE-Kennzeichnung, EU-Datenbank-Registrierung für Hochrisiko-Systeme nach Anhang III — entsprechend später.

Stand 06/2026: vorläufige Einigung. Formale Annahme durch Rat und Parlament ausstehend — rechtlich gilt bis Veröffentlichung im Amtsblatt weiter der 02.08.2026.

Einordnung

Warum „später“ nicht „weniger“ heißt.

Der Aufschub adressiert die Komplexität der Hochrisiko-Pflichten — nicht ihre Notwendigkeit. Drei Mechanismen ziehen die Anforderungen in 2026 trotzdem in Ihr Haus.

Lieferkette

Großkunden, Konzerne und öffentliche Auftraggeber fragen Compliance-Nachweise in Ausschreibungen schon 2026 ab — unabhängig vom Geltungsbeginn.

GPAI-Spillover

Anbieter wie OpenAI oder Anthropic geben Compliance-Anforderungen via AGB an Betreiber weiter — Logging, Transparenz, Nutzungs-Policies kommen über die Tool-Nutzung ins Haus.

Versicherung & Audit

Cyber- und D&O-Versicherer, Wirtschafts­prüfer und Datenschutz­aufsicht fragen schon heute nach KI-Inventar, Risikoklassifizierung und Schulungs­nachweisen.

Fahrplan

Drei Phasen bis Dezember 2027.

Vom KI-Inventar bis zur audit­bereiten Nachweis-Mappe — in der Reihenfolge, in der die Aufsicht sie sehen will.

bis Q4 2026

Inventur & Schatten-IT

Vollständiges KI-Inventar inkl. SaaS-Add-ons, Browser-Plugins, freier Tools. Pro System: Anbieter, Zweck, Datenkategorien, Nutzergruppe.

Q1–Q2 2027

Klassifizierung & Lückenanalyse

Einordnung in Art. 5 / Anhang III / Art. 50 / minimal. Soll-Ist-Abgleich gegen Hochrisiko-Pflichten — sauber dokumentiert.

Q3–Q4 2027

Nachweis-Mappe

Richtlinie, Schulungsregister, Risikoanalysen, Folgenabschätzungen, Logging-Konzept, menschliche Aufsicht — auditbereit bündeln.

FAQ

Häufige Fragen zum Digital Omnibus

Ist die Verschiebung der Hochrisiko-Frist auf Dezember 2027 schon beschlossen?

Nein. Stand Juni 2026 liegt eine vorläufige Einigung im Rahmen des „Digital Omnibus“ vor. Die formale Annahme durch Rat und Parlament steht aus. Bis zur Veröffentlichung im Amtsblatt gilt rechtlich weiter der 2. August 2026. Wer den Fahrplan jetzt komplett auf „später“ umstellt, riskiert ein Zeitfenster ohne Vorbereitung, falls die Verschiebung kippt oder Bedingungen erhält.

Was bleibt im August 2026 trotzdem verpflichtend?

Die Transparenzpflichten nach Art. 50 (Kennzeichnung KI-generierter Inhalte, Deepfake-Hinweise, Chatbot-Offenlegung) sowie die GPAI-Pflichten für Anbieter von KI-Basismodellen. Beides ist nicht Gegenstand der Omnibus-Verschiebung. Verbote nach Art. 5 und die KI-Kompetenzpflicht nach Art. 4 gelten ohnehin seit Februar 2025 unverändert.

Was genau wird verschoben?

Verschoben werden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III — also u. a. KI im Beschäftigtenkontext (Recruiting, Performance-Bewertung), in Bildung, bei Kreditscoring oder Strafverfolgung. Der bisherige Stichtag 2. August 2026 soll auf Dezember 2027 wandern. Hochrisiko-KI nach Anhang I (in regulierte Produkte eingebettete Sicherheits-KI) bleibt beim 2. August 2027.

Warum sollten wir trotzdem 2026 mit der Vorbereitung beginnen?

Aus drei Gründen: Erstens fordern Mandanten, Großkunden und Versicherer schon heute belastbare Nachweise. Zweitens setzen GPAI-Anbieter Compliance-Anforderungen via AGB an ihre Betreiber durch. Drittens braucht jede ernstzunehmende Nachweis-Mappe Inventur, Klassifizierung und Schulungsregister — das dauert Monate, nicht Wochen.

Ändert die Verschiebung etwas an Bußgeldern?

Nein. Der Sanktionsrahmen nach Art. 99 (bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Mio. € oder 3 % für sonstige Verstöße) bleibt unverändert. Verschoben ist nur der Geltungsbeginn bestimmter Pflichten — nicht deren Härte.

Was sollten wir bis Ende 2026 mindestens erledigt haben?

Ein vollständiges KI-Inventar inklusive Schatten-IT, eine erste Risikoklassifizierung pro System, eine schriftliche KI-Richtlinie, ein Schulungsregister nach Art. 4 sowie eine Lückenanalyse zwischen Ist-Zustand und den Hochrisiko-Anforderungen. Das ist die Grundlage, auf der 2027 die eigentliche Nachweis-Mappe gebaut wird.

Quellen & Stand

Worauf dieser Guide aufbaut.

Verordnung (EU) 2024/1689 — EU AI ActEU-Kommission · Digital Omnibus, vorl. Einigung 05/2026BNetzA — Marktüberwachung KI (DE)Art. 4, 5, 50, 99 AI ActAnhang I & III AI Act

Stand: 29.06.2026. Inhalte dienen der allgemeinen Information und ersetzen keine Rechtsberatung. Bei Änderungen am Omnibus-Paket aktualisieren wir den Guide.

Planbar vorbereiten — statt auf ein Datum hoffen.

Wir liefern Inventar-Vorlage, Risikoklassifizierung und Nachweis-Mappe — für Unternehmen, die KI einsetzen.