EU einigt sich auf Digital-Omnibus-Deal: Welche Lockerungen und neuen Fristen den AI Act jetzt neu sortieren

Technologie

EU einigt sich auf Digital-Omnibus-Deal: Welche Lockerungen und neuen Fristen den AI Act jetzt neu sortieren

Wie viel Regulierung verträgt der europäische KI-Markt, ohne seine Innovationskraft zu verlieren – und welche Unternehmen profitieren von einem langsameren, dafür klareren Hochlauf beim AI Act? Mit dem politischen Deal zum Digital-Omnibus auf KI (häufig kurz AI Omnibus genannt) haben sich EU-Parlament und Rat auf einen Mix aus Aufschub, Entlastung und punktuellen Verschärfungen geeinigt, der die nächsten Jahre der KI-Industrie in Europa maßgeblich prägen wird.[2][3] Für börsennotierte Cloud- und KI-Anbieter – von US-Hyperscalern bis zu europäischen Softwarehäusern – sind die Signale klar: Wer komplexe, „high-risk“ KI-Lösungen baut, bekommt mehr Zeit; wer auf generative KI, GPAI-Modelle und Plattformen setzt, muss mit stärkerer Aufsicht durch das neue KI-Büro in Brüssel leben.[1][2] Insgesamt dürften vor allem große Tech-Konzerne, regulierte Branchen-Player (z. B. MedTech, FinTech) und spezialisierte Compliance-Dienstleister zu den Gewinnern zählen, während kleinere, rein europäischen KI-Pure-Play-Start-ups weiterhin mit Unsicherheit und hohen Fixkosten für Governance kämpfen.

Was ist der Digital-Omnibus-Deal – und warum greift er vor dem Start des AI Act?

Der Digital Omnibus auf KI ist ein Paket gezielter Änderungen am bereits beschlossenen EU AI Act (Regulation (EU) 2024/1689), das noch vor dem eigentlichen Geltungsbeginn der meisten AI-Act-Regeln wirksam werden soll.[1][2] Politisch geht es darum, die härtesten und unklarsten Teile des Regimes nachzuschärfen, ohne das gesamte Gesetz wieder aufzuschnüren – eine Art „Feintuning vor dem Start“.

Juristisch gesprochen handelt es sich um eine Verordnung, die bestimmte Artikel und Anhänge des AI Act modifiziert oder ergänzt, insbesondere:

  • Fristen für hochriskante KI-Systeme (High-Risk-Perimeter nach Artikel 6 und Anhängen I/III).[1][2][4]
  • Abgrenzung zu bestehenden Produktregimen (z. B. Maschinenverordnung).[1][4]
  • Ausnahmen und Entlastungen für KMU und neu definierte „small mid-caps“.[1][2]
  • Neue Verbote für bestimmte Deepfake- und Missbrauchs-Szenarien, insbesondere „nudifier“-Apps und CSAM.[1][2][4]
  • Erweiterte Rolle des EU-KI-Büros („AI Office“) bei Aufsicht über GPAI-Modelle und sehr große Online-Plattformen (VLOPs/VLOSEs) nach DSA.[1][4]

Die Einigung wurde in den frühen Morgenstunden des 7. Mai erzielt – bemerkenswerterweise zu einem Zeitpunkt, an dem viele Unternehmen noch mitten in ihrer ersten AI-Act-Gap-Analyse steckten.[2][3] Damit zeigt sich ein Muster, das wir auch bei anderen KI-Großprojekten sehen: Regulierung wird zunehmend inkrementell, iterativ und eng an technische Entwicklungstakte angelehnt – eine Dynamik, die auch in Beiträgen wie OpenAI GPT‑5.4: Wie 1M‑Context, Computer‑Use und Tool Search den neuen Flagship‑Standard setzen sichtbar wird.

Warum war ein Omnibus überhaupt nötig?

Mehrere Faktoren haben den politischen Druck erzeugt, den AI Act vor Start nochmal anzufassen:

  • Überlappung mit bestehenden Produktregimen (u. a. Medizinprodukte, Funkanlagen, Aufzüge, Maschinen).[1][4] Hersteller warnten vor Doppelprüfungen, widersprüchlichen Anforderungen und unkalkulierbaren Zertifizierungskosten.
  • Nicht realistische Fristen für High-Risk-Systeme, insbesondere bei komplexen Legacy-Landschaften in kritischer Infrastruktur, Finanzsektor und Gesundheitswesen.[2][5]
  • Sorge um Innovationsklima: Zu starre, zu schnelle Regeln drohten, europäische Anbieter gegenüber globalen Wettbewerbern strukturell zu benachteiligen.[1][7]
  • Gesellschaftlicher Druck, Missbrauch von generativer KI – insbesondere Deepfake-Pornografie und CSAM – härter anzugehen.[1][3][4]

Die Kommission nutzte das Omnibus-Format, um genau diese Konfliktlinien zu adressieren, ohne die Grundarchitektur des risikobasierten AI Act in Frage zu stellen.

Die neuen Fristen: Wer bekommt wie viel Zeit?

Der sichtbarste Hebel des Digital Omnibus betrifft die Verschiebung zentraler Fristen – vor allem für High-Risk-KI. Während zentrale Transparenzpflichten rund um generative KI an den bestehenden Zeitplan gekoppelt bleiben, werden viele komplexe Pflichten deutlich nach hinten verschoben.[1][2][3][4]

High-Risk-Systeme: Verschiebung bis 2027/2028

Für High-Risk-KI nach Artikel 6 und Anhang III (z. B. in Bildung, Beschäftigung, Kreditvergabe, kritischer Infrastruktur) sowie nach Anhang I (AI als Sicherheitskomponente regulierter Produkte) gilt künftig:

  • 2. Dezember 2027: Anwendung der meisten Regeln für standalone High‑Risk-Systeme, also Systeme in sensiblen Einsatzfeldern wie HR, Bildung, kritische Infrastruktur oder Zugang zu essentiellen Diensten.[1][2][4]
  • 2. August 2028: Anwendung für High‑Risk-KI als Sicherheitskomponente von Produkten, die bereits einem EU-Harmonisierungsregime unterliegen (z. B. Medizinprodukte, Aufzüge, bestimmte Maschinen).[1][2][4]

Ursprünglich sollten zentrale High-Risk-Pflichten bereits zum 2. August 2026 greifen; der Omnibus schiebt den Hochlauf also um bis zu zwei Jahre.[1][5]

Neuer Wissenspunkt 1: Diese Verschiebung ist kein reiner Aufschub ohne Gegenleistung. In der Praxis nutzen viele Konzerne das zusätzliche Zeitfenster, um ihre KI-Compliance gleich mit globalen Modell- und Infrastrukturstrategien zu verheiraten – etwa durch zentrale Policy-Engines und standardisierte „Responsible AI“-Layer, die sowohl AI Act, DSA als auch US- und UK-Regeln bedienen. Das reduziert langfristig Compliance-Redundanz, erhöht aber kurzfristig den Druck auf interne Governance-Teams.

Transparenz- und Watermarking-Pflichten: Verlängerte Schonfrist, aber kein Freifahrtschein

Der AI Act enthält eigene Transparenzpflichten für KI-Systeme, die synthetische Inhalte erzeugen, etwa Wasserzeichen oder Hinweise für Nutzer.[1][3][4]

  • Die allgemeinen Transparenzanforderungen nach Artikel 50 bleiben an den ursprünglichen Stichtag gekoppelt und greifen grundsätzlich ab dem Sommer 2026.[1][3]
  • Für Anbieter von Systemen, die synthetische Medien generieren, wird eine Schonfrist bis 2. Dezember 2026 eingeräumt, um Kennzeichnungspflichten (z. B. Wasserzeichen) zu implementieren.[1][4]

Interessant ist hier der Unterschied zwischen neuen und bestehenden Systemen: Systeme, die bereits vor dem Stichtag auf dem Markt sind, erhalten zum Teil zusätzliche Übergangsfristen, während neue Produkte schneller vollständig AI-Act-konform sein müssen.[3]

Neuer Wissenspunkt 2: Für Anbieter von generativen Bild- und Videomodellen – etwa im Bereich Marketing, Design oder Medien – verschiebt sich damit der ökonomische Sweet Spot: Kurzfristig bleibt der Wildwuchs generativer Inhalte möglich, langfristig wird aber die Fähigkeit, robuste, fälschungssichere Herkunftskennzeichnungen zu bieten, zu einem echten Wettbewerbsfaktor. Das gilt besonders vor dem Hintergrund von Entwicklungen wie OpenAI GPT Image 2 („NB2“): Was das neue Bildmodell in ChatGPT für Markt, Wirtschaft und Wettbewerb bedeutet.

Rekalibrierung des High-Risk-Perimeters: Weniger Doppelregulierung, klarere Abgrenzung

Mit dem Deal wurden wesentliche Klarstellungen zur Frage getroffen, welche Systeme überhaupt in die High‑Risk-Kategorie fallen – und wie sich AI Act und bestehende Sektorgesetze zueinander verhalten.[1][4]

Maschinenverordnung: Teilweiser Ausstieg aus dem AI Act

Einer der umstrittensten Punkte war die Überlappung mit der neuen EU-Maschinenverordnung (EU 2023/1230). Hier sieht der Omnibus nun einen sektoralen Kompromiss vor:[1][4]

  • Die Maschinenverordnung wird weitgehend aus dem Anwendungsbereich des AI Act herausgenommen – ein bemerkenswerter Schritt, der die Gefahr doppelter Zertifizierungsprozesse erheblich reduziert.[4]
  • Für andere Produktregime (z. B. Medizinprodukte) soll die Konkretisierung von KI-Anforderungen über delegierte Rechtsakte erfolgen, um Überschneidungen zu minimieren.[4]

Damit wird klar: Der AI Act soll kein universales „Über-Gesetz“ über alle Produktregime sein, sondern eher eine Klammer, die dort eingreift, wo sektorspezifische Normen KI-Risiken bisher nicht ausreichend erfassen.

„Safety Component“ enger definiert

Eng verknüpft mit der sektoralen Abgrenzung ist die Frage, wann ein KI-System als Sicherheitskomponente gilt.[1][4]

  • Der Omnibus verengt die Definition: KI, die lediglich die Performance optimiert oder Nutzern assistiert, ohne dass ihr Ausfall konkrete Gesundheits‑ oder Sicherheitsrisiken erzeugt, soll nicht mehr automatisch als High‑Risk gelten.[4]
  • Sicherheitssensitive KI-Komponenten (z. B. in medizinisch relevanten Systemen, Sicherheitsfunktionen in Maschinen) bleiben aber klar im Fokus.[1][4]

Das reduziert regulatorischen Overreach – und verschiebt einen Teil der Verantwortung zurück an Hersteller und Aufsichtsbehörden, im Einzelfall zu beurteilen, wann „funktionale Sicherheit“ tatsächlich von KI abhängt.

Neue Verbote: Schärferes Vorgehen gegen Deepfake-Missbrauch und CSAM

Neben Lockerungen und Fristen enthält der Omnibus auch substantielle Verschärfungen: Zwei neue Verbote zielen direkt auf besonders gravierende Formen des Missbrauchs generativer KI.[1][2][3][4]

Verbot von NCII-/„Nudifier“-Systemen und CSAM-Generatoren

Explizit adressiert werden KI-Systeme, die realistisch wirkende, nicht-einvernehmliche intime Inhalte (NCII/NCIM) erzeugen oder manipulieren, z. B. sogenannte „Nudifier“-Apps, sowie Systeme, die kindesmissbräuchliches Material (CSAM) generieren.[1][2][4]

  • Verboten werden KI-Systeme, die für diesen Zweck entwickelt wurden oder bei denen solche Ausgaben „vernünftigerweise vorhersehbar und reproduzierbar“ sind, wenn keine angemessenen Schutzmaßnahmen implementiert sind.[1][2]
  • Ausgenommen bleiben legitime Tools zur Erkennung, Moderation und Ermittlung von CSAM und anderen illegalen Inhalten, ebenso wie die reine Entwicklung zugrunde liegender generativer Fähigkeiten, sofern deren Nutzung ausreichend kontrolliert wird.[1][4]
  • Die Verbote sollen ab Dezember 2026 gelten.[1][4]

Damit reagiert der Gesetzgeber auf eine Dynamik, die sich mit der rasanten Verbreitung von Bild- und Video-KI deutlich beschleunigt hat. Plattformen und Modellanbieter werden nicht nur technisch, sondern auch rechtlich dazu gezwungen, starke Safety-Filter und Missbrauchsdetektion zu implementieren – ein Trend, der etwa im Kontext von defensiv ausgerichteten Modellen wie in OpenAI GPT‑5.5‑Cyber: Wie das neue Defensivmodell die Spielregeln in der Cybersicherheit verschiebt besonders sichtbar wird.

Neue Erlaubnis für Bias-Erkennung: Spezialkategorien-Daten unter strengen Bedingungen

Eine weniger im Rampenlicht stehende, aber praktisch hoch relevante Änderung betrifft den Umgang mit sensiblen personenbezogenen Daten (z. B. ethnische Herkunft, Gesundheitsdaten) zur Erkennung und Korrektur von Bias in KI-Systemen.[1][4]

Der AI Act enthielt bereits in Artikel 10(5) eine Regelung, wonach Anbieter von High-Risk-Systemen in engen Grenzen Spezialkategorien-Daten verarbeiten dürfen, um Diskriminierung zu testen.[4] Der Omnibus weitet diese Möglichkeit aus:

  • Die Rechtsgrundlage für Bias-Erkennung mit sensiblen Daten wird auf weitere KI-Systeme ausgeweitet, nicht nur auf High-Risk.[1][4]
  • Die Verarbeitung unterliegt einem strengen „strict necessity“-Standard sowie Sicherungen wie Pseudonymisierung, Zweckbindung, Zugriffsbegrenzung, Verzicht auf Weitergabe und zeitnahe Löschung.[1][4]
  • Es entsteht keine Pflicht, Bias-Erkennung durchzuführen; die Regelung schafft nur Rechtssicherheit, wenn sie erfolgt.[1][4]

Neuer Wissenspunkt 3: Für Unternehmen bedeutet diese Änderung, dass Responsible-AI-Teams rechtlich besser abgesichert experimentieren können, etwa indem sie synthetische und reale sensible Daten kombinieren, um Diskriminierungsrisiken zu messen. Praktisch wird dies aber nur dort nutzbar sein, wo Organisationskultur und Governance (Ethikboards, Datenschutzbeauftragte, Works Councils) einen solchen Einsatz mittragen.

Entlastung für KMU und „small mid-caps“: Wer wirklich von den Lockerungen profitiert

Ein Kernziel des Omnibus besteht darin, die teilweise massiven AI-Act-Aufwände für kleinere Unternehmen zu reduzieren, ohne den Schutzstandard abzusenken.[1][2][7]

„Small mid-caps“ als neue Zielgruppe für Erleichterungen

Neben klassischen KMU führt der Omnibus die Kategorie der „small mid‑cap“-Unternehmen ein.[1]

  • Gemeint sind Unternehmen, die keine KMU sind, aber weniger als 750 Beschäftigte haben und entweder einen Jahresumsatz von höchstens 150 Mio. Euro oder eine Bilanzsumme von höchstens 129 Mio. Euro aufweisen.[1]
  • Für diese Unternehmen werden bestehende „KMU-Erleichterungen“ des AI Act erweitert, u. a. durch vereinfachte Dokumentationsvorlagen, verhältnismäßige Anforderungen an das Qualitätsmanagement, prioritären Zugang zu Regulatorischen Sandboxes und angepasste Bußgeldobergrenzen.[1]

Damit anerkennt die EU erstmals explizit, dass gerade technologiegetriebene Scale-ups und mittelgroße Softwareunternehmen zwar deutlich größer als klassische Start-ups sind, aber nicht die Compliance-Feuerkraft von Big Tech besitzen.

Sandboxes: Mehr Zeit, mehr Ebenen

Ein weiterer Baustein der Entlastung ist der Ausbau von Regulatory Sandboxes:[1][4]

  • Mitgliedstaaten erhalten mehr Zeit: Die Pflicht, mindestens eine nationale KI-Sandbox zu betreiben, wird von 2. August 2026 auf 2. August 2027 verschoben.[1][4]
  • Zusätzlich entsteht eine EU-weite Sandbox beim AI Office mit prioritärem Zugang für KMU, Start-ups und small mid-caps.[1][4]

Für innovative Anbieter hochriskanter Anwendungen – etwa im Healthcare- oder FinTech-Sektor – werden diese Sandboxes zu einem entscheidenden Instrument, um regulatorische Machbarkeit früh zu testen und parallel zu iterieren, bevor teure Produktzertifizierungen anstehen.

Stärkere Rolle des KI-Büros: Zentralaufsicht für GPAI und Plattformintegration

Der Omnibus stärkt deutlich die Rolle der AI Office genannten EU-Einheit, die bereits mit dem AI Act geschaffen wurde.[1][4]

Kompetenzen des AI Office

Künftig erhält das KI-Büro u. a. folgende Aufsichtsaufgaben:[1][4]

  • Überwachung von AI-Systemen, die auf GPAI-Modellen desselben Anbieters basieren oder innerhalb desselben Konzerns entwickelt werden.[1]
  • Aufsicht über AI-Systeme, die in sehr großen Online-Plattformen oder Suchmaschinen (VLOPs/VLOSEs) nach dem DSA integriert sind.[1][4]
  • Engere Koordination mit nationalen Aufsichtsbehörden, die weiterhin für bestimmte Sektoren (z. B. Strafverfolgung, Grenzschutz, Justiz, Finanzinstitutionen) primär zuständig bleiben.[1][4]

Damit nähert sich die Governance-Struktur dem Modell an, das man aus anderen europäischen Digitalregimen kennt (DSA, DMA): Ein starker zentraler Regulator für systemische Akteure, flankiert von nationalen Behörden für spezialisierte Domänen.

Neuer Wissenspunkt 4: Für große Cloud-Plattformen und Model-Anbieter (GPAI-Hersteller) entsteht faktisch ein zweistufiges Aufsichtsregime: Einerseits direkter Kontakt zum AI Office als „Lead Regulator“, andererseits weiterhin spezifische Anforderungen aus Vertikalbereichen wie Finanz- oder Gesundheitsaufsicht. Strategisch wird es für diese Unternehmen entscheidend, Governance, Audits und Incident-Reporting so zu konsolidieren, dass sie gegenüber mehreren Behörden konsistent bleiben.

Diskussionen und Kritik: Vereinfachung oder neue Komplexität?

In der Fachpresse und unter Juristen wird der Digital Omnibus durchaus kontrovers diskutiert. Drei Spannungsfelder zeichnen sich ab:

1. Entlastung vs. Rechtsunsicherheit

Viele Unternehmen begrüßen die verlängerten Fristen und die Entzerrung der High-Risk-Abgrenzung, sehen aber neue Unklarheiten:[1][2][7]

  • Die sektorale Herauslösung der Maschinenverordnung aus dem AI Act reduziert zwar Doppelregulierung, schafft aber Grauzonen: Wo endet Performance-Optimierung, wo beginnt Sicherheitsrelevanz?
  • Delegierte Rechtsakte im Medizinbereich und anderen Produktsicherheitsregimen könnten zu „Regulierung in Wellen“ führen, die Planungssicherheit erschwert.
  • Unternehmen fragen sich, ob der Aufschub bis 2027/2028 die Bereitschaft zu früher Compliance tatsächlich erhöht – oder ob er kurzfristig „Wait-and-see“-Strategien begünstigt.[5][7]

2. Innovationsschutz vs. Risiko-Export

Ein weiterer Diskussionspunkt: Verschiebt die EU mit den Fristen und Ausnahmen tatsächlich die Balance zugunsten von Innovation, oder exportiert sie Risiken in die Übergangszeit?

  • Befürworter betonen, dass High-Risk-KI ohnehin in stark regulierten Bereichen eingesetzt wird, wo bereits heute Governance-Strukturen existieren.[1][7]
  • Kritiker warnen, dass gerade sensible Anwendungsfelder (z. B. KI im HR, in der Strafjustiz oder im Kreditscoring) nun länger ohne explizite AI-Act-Schutzmechanismen arbeiten und damit gesellschaftliche Kosten entstehen können.[3][4]

3. Fokus auf Big Tech vs. Chancen für europäische Player

Die Stärkung des AI Office und spezielle Vorrangregeln für GPAI-basierte Systeme und VLOPs legen eine starke Fokussierung auf systemische Akteure nahe.[1][4][7]

  • Das hilft, die Macht besonders großer Plattformen und Modellanbieter zu kontrollieren.
  • Gleichzeitig besteht das Risiko, dass kleinere Anbieter durch fragmentierte und sich ändernde Detailregeln überfordert werden und gegenüber globalen Tech-Giganten zurückfallen, die sich komplexe Compliance-Teams leisten können.[7]

Dennoch entsteht hier auch eine Chance für spezialisierte europäische Anbieter: Wer früh robuste, AI-Act-konforme Tooling- und Governance-Lösungen anbietet (Audit-Tools, Monitoring, Documentation-as-a-Service), kann zu einem zentralen Enabler für die gesamte Region werden.

Ökonomische Folgen: Wer gewinnt, wer verliert?

Aus der Perspektive der Gesamtwirtschaft lassen sich die Effekte des Digital-Omnibus-Deals grob entlang der Wertschöpfungskette der KI-Industrie durchdeklinieren.

Gewinner: Plattformen, Infrastruktur, Compliance-Ökosystem

1. Hyperscaler und große Modellanbieter

Cloud- und KI-Plattformen, die General-Purpose-Modelle (GPAI) bereitstellen, können den verlängerten Zeithorizont nutzen, um Compliance-by-Design in ihre Services zu integrieren – etwa standardisierte Logging-, Trust- & Safety- und Wasserzeichen-Funktionen, die Kunden „out of the box“ nutzen können.[1][2][7]

  • Das stärkt Plattformlock-in: Wer once einen AI-Stack mit AI-Act-konformen Komponenten auf einer bestimmten Plattform baut, wechselt später weniger leicht.
  • Börslich betrachtet profitieren damit vor allem große US-Tech-Konzerne sowie einzelne europäische Cloud-Anbieter, die KI-Plattformservices mit integrierter Compliance anbieten.

2. Europäische Softwarehäuser und Systemintegratoren

Unternehmen, die KI in bestehende Branchenlösungen (ERP, HR, CRM, Healthcare-IT) integrieren, erhalten mit den Fristen bis 2027/2028 zusätzliche Planungssicherheit und Spielraum für schrittweise Upgrades.[1][5]

  • Sie können KI-Funktionalität früh ausrollen, während parallel AI-Act-Komponenten nachgezogen werden – ohne dass Projekte komplett gestoppt werden müssen.
  • Aus Investorensicht profitieren etablierte B2B-Softwareanbieter, die KI-Features als „Add-on“ statt als eigenständiges Hochrisiko-Produkt positionieren.

3. Compliance- und Security-Dienstleister

Mit der erweiterten Rolle des AI Office, neuen Verbotstatbeständen und spezialisierten Datenverarbeitungsregeln entsteht ein breites Feld für Beratungs- und Tooling-Anbieter im Bereich KI-Governance, Datenschutz, Security und Monitoring.[1][4][7]

  • Das umfasst alles von Audit-Lösungen über Log-Analyse bis hin zu Policy-Engines, die AI-Act-Anforderungen in technische Kontrollpunkte übersetzen.
  • Auch Anbieter von defensiven KI-Modellen und Sicherheits-Stacks dürften überproportional profitieren, da robuste Abuse-Detection und Content-Filter zunehmend zur regulatorischen Pflicht werden.

Verlierer: Reine High-Risk-Pure-Plays und spät reagierende Legacy-Player

1. Start-ups mit Fokus auf hochregulierte High-Risk-Anwendungen

Gründerteams, die sich früh auf High-Risk-Domänen wie MedTech-Diagnostik, Justiz- oder Strafverfolgungssysteme spezialisiert haben, sehen sich mit einem ambivalenten Umfeld konfrontiert:

  • Einerseits erleichtern Sandboxes und Fristverlängerungen experimentelle Piloten.
  • Andererseits können große incumbents (Krankenhaus-IT, große Medizintechnikhersteller, etablierte HR-Tech-Konzerne) den zusätzlichen Zeitpuffer nutzen, um aufzuholen und ihre bestehende Kundenbasis mit AI-Act-kompatiblen Lösungen zu versorgen.

Das verschiebt die Wettbewerbsvorteile Richtung kapitalstarke Player, die Skaleneffekte in Compliance, Vertrieb und Integration nutzen.

2. Unternehmen, die auf „Regulatory Arbitrage“ gehofft hatten

Wer darauf gesetzt hat, dass der AI Act faktisch verwässert oder durch massive Ausnahmen obsolet würde, steht nun vor einem klareren Bild: Die Grundarchitektur bleibt bestehen, zentrale Verbote wurden eher verschärft als gelockert, und die Rolle des AI Office wurde ausgebaut.[1][2][4]

  • Für solche Akteure ist der Omnibus ein Warnsignal: Das Zeitfenster, in dem man KI quasi „unter dem Radar“ entwickeln konnte, schließt sich.
  • Mittelfristig müssen Geschäftsmodelle, die auf aggressive Datennutzung, fehlende Transparenz oder bewusst schwache Safety-Mechanismen setzen, umgebaut oder aufgegeben werden.

Wie wird sich das weiterentwickeln? Szenarien für die nächsten Jahre

Die Omnibus-Einigung ist kein Endpunkt, sondern eher der Startschuss für eine mehrjährige Phase ko-evolutionärer Entwicklung zwischen Technologie, Wirtschaft und Regulierung.

Kurzfristig (bis ca. 2027): Konsolidierung und Tooling-Schub

In den nächsten zwei bis drei Jahren ist mit folgenden Tendenzen zu rechnen:

  • Toolifizierung von Compliance: AI-Act-Anforderungen werden zunehmend in Form wiederverwendbarer Tools, Libraries und Plattformdienste bereitgestellt, statt als individuelle Papierprojekte.[1][7]
  • Standardisierung von Governance-Patterns: Muster wie „Policy-as-Code“, zentrale KI-Registry, Incident-Playbooks oder einheitliche Modellkarten etablieren sich quer über Branchen.
  • Verstärkte Verzahnung mit anderen Digitalregimen (DSA, DMA, Datenschutz, Cybersecurity), insbesondere dort, wo GPAI-Modelle und VLOPs/F sehr große Datenmengen und Nutzerinteraktionen bündeln.[1][7]

Technologisch dürfte dies Hand in Hand gehen mit weiterer Verbreitung von multimodalen und on-device-fähigen Modellen, wie sie etwa im Beitrag Google FunctionGemma: Wie ein 270‑Millionen‑Parameter-Modell die On‑Device‑KI neu sortiert beschrieben wird.

Mittelfristig (ab 2028): Reifephase und internationale Anschlussfähigkeit

Mit dem Hochlauf der verschobenen Pflichten ab Dezember 2027 und August 2028 dürfte die EU in eine Reifephase der KI-Regulierung eintreten:

  • High-Risk-KI als Qualitätssiegel: Erfolgreich zertifizierte Systeme könnten zu einem Marktvorteil werden – insbesondere in B2B- und Public-Sector-Märkten, wo Vertrauen und Haftung eine große Rolle spielen.
  • Internationale Konvergenz: Andere Rechtsordnungen (UK, USA, Singapur, Kanada) beobachten die europäische Entwicklung genau; in einzelnen Bereichen (GPAI, Transparenz, Sicherheitsstandards) könnte sich der AI Act de facto zum globalen Referenzrahmen entwickeln.[8]
  • Regulatorische Iterationen: Erfahrungsgemäß werden erste Anpassungen und Klarstellungen nach Vollanwendung erfolgen – in Form von Leitlinien, Soft Law oder ergänzenden Omnibus-Paketen.

Für Unternehmen bedeutet das: KI-Strategien sollten von vornherein multijurisdiktional gedacht werden, mit dem AI Act als einem, aber eben nicht dem einzigen Leitregime.

Langfristig: KI-Regulierung als Infrastruktur

Langfristig ist zu erwarten, dass KI-Regulierung weniger als Sonderrecht und mehr als Querschnittsinfrastruktur wahrgenommen wird – ähnlich wie Datenschutz oder Produktsicherheit heute.

  • Technische und organisatorische KI-Governance wird zu einem Standardbestandteil unternehmerischer Infrastruktur.
  • Branchen, die KI intensiv nutzen, werden eigene Codes of Conduct und branchenspezifische Standards entwickeln, aufbauend auf dem AI Act.
  • Für die Kapitalmärkte wird die Frage, wie reif die KI-Governance eines Unternehmens ist, zu einem zentralen Faktor bei Bewertung, M&A und Risikoanalyse.

Im Ergebnis verschiebt der Digital-Omnibus-Deal die Gewichte im europäischen KI-Ökosystem: Er nimmt kurzfristig Druck aus der High-Risk-Pipeline, stärkt die Position großer Plattform- und Modellanbieter und schafft gezielt Luft für KMU und „small mid-caps“, ohne die grundsätzliche Ambition des AI Act aufzugeben. Für die Gesamtwirtschaft überwiegen mittel- bis langfristig die Vorteile – weniger durch direkte Deregulierung, sondern durch mehr Klarheit, gestufte Fristen und die Chance, Compliance als Markt- und Qualitätsmerkmal auszuspielen. Unternehmen, die KI strategisch einsetzen, sollten die Übergangszeit aktiv nutzen: Governance-Architekturen aufbauen, technische Kontrollpunkte standardisieren und ihre Produkt- und Datenstrategien so ausrichten, dass sie ab 2027/2028 nicht nur regulatorisch bestehen, sondern KI-Act-Konformität als Vertrauens- und Wettbewerbsvorteil in einem zunehmend global regulierten Markt nutzen.

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst