Aufgeschlagene Ausgabe des EU-Amtsblatts mit Verordnung 2024/1689 und handschriftlichen Notizen auf einem Konferenztisch nach langem Verhandlungstag

AI Act Omnibus 2026: Trilog gescheitert, August-Frist bleibt

Was deutsche Hochrisiko-KI-Anbieter nach dem 28. April wissen müssen

Der zweite politische Trilog zur AI-Act-Omnibus scheiterte nach zwölf Stunden ohne Einigung. Solange das Paket nicht verabschiedet ist, bleibt der 2. August 2026 rechtlich verbindlich. 90 Tage bis zum Stichtag, 35 Mio. EUR Strafen, ein Folge-Trilog am 13. Mai - und Deutschland baut parallel mit dem KI-MIG seine eigene Marktaufsicht.

Zusammenfassung

Der AI-Act-Omnibus-Trilog am 28. April 2026 endete nach rund zwölf Stunden ohne Einigung. Streitpunkt war die Behandlung von KI in regulierten Produkten (Anhang I). Eine bereits konsensfähige Verschiebung der Hochrisiko-Pflichten auf den 2. Dezember 2027 wurde dadurch nicht beschlossen. Solange der Omnibus nicht verabschiedet ist, gilt rechtlich der 2. August 2026 für Anhang-III-Systeme nach Artikel 9-15 der KI-Verordnung. In Deutschland erhält die Bundesnetzagentur mit dem KI-MIG das Koordinierungs- und Kompetenzzentrum KI-Verordnung (KoKIVO); ein 500 Mio. EUR Foerderprogramm soll Mittelständler bei der Umsetzung unterstützen. Strafen reichen bis 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes.

12 h Verhandlungsdauer Trilog
90 Tage bis 2. August 2026
35 Mio. EUR Hoechststrafe verbotene KI
8/27 EU-Staaten ready

Was am 28. April geschah

Der zweite politische Trilog zur AI-Act-Omnibus zwischen Europäischem Parlament, Rat und Kommission scheiterte am 28. April 2026 nach rund zwölf Stunden Verhandlung ohne Einigung. Damit verschiebt sich die Hoffnung auf einen Aufschub für Hochrisiko-KI mindestens bis Mitte Mai - während die ursprungliche Frist am 2. August 2026 unbeirrt naeher rueckt.

Verhandlungsstand: Bereits vor dem Trilog waren mehrere Punkte konsensfähig: die Verschiebung von Anhang III auf den 2. Dezember 2027, von Anhang I auf den 2. August 2028, ein Verbot nicht-einvernehmlicher synthetischer intimer Inhalte, eine vereinfachte Registrierungsdatenbank nach Artikel 49 sowie unveränderte GPAI-Pflichten nach Artikel 50-55. Trotzdem blockierte ein einziger ungelöster Punkt das gesamte Paket.

Beteiligte und Verfahrensstand

  • Verhandlungsführer Parlament: Michael McNamara (Renew Europe, Irland)
  • Berichterstatter EPP-Fraktion: Kokalari (Schweden)
  • Ratspräsidentschaft: Zypern (Mandat bis 30. Juni 2026)
  • Folge-Trilog angesetzt für den 13. Mai 2026
  • Ab 1. Juli 2026 übernimmt Litauen die Ratspräsidentschaft
  • Vor dem Trilog hatten über 40 Organisationen einen offenen Brief gegen die geplante Aufweichung des AI Acts unterzeichnet

Die Auslagerung der KI-Aufsicht in Sektoralgesetze koennte am Ende deregulatorisch statt vereinfachend wirken.

Michael McNamara, Verhandlungsführer Europäisches Parlament

Der Streitpunkt: Anhang I und sektorale Sicherheitsgesetze

Die Verhandlung scheiterte an einer technisch klingenden, aber politisch hochgeladenen Frage: Sollen KI-Systeme, die als Sicherheitskomponente in regulierten Produkten verbaut sind, zusätzlich zur sektoralen Konformitätsbewertung auch unter den AI Act fallen oder nicht. Betroffen sind Medizingeraete, Maschinen, Spielzeug und vernetzte Fahrzeuge.

Position Parlament
Verschiebung von Section A nach Section B
Sektorale Bewertung wird primaer (MDR, IVDR, Maschinenverordnung)
AI-Act-Anforderungen werden integriert, nicht zusätzlich
Argument: Vermeidung doppelter Konformitätsbewertungen
Position Rat und Kommission
Beibehaltung der kombinierten Bewertung
AI Office bleibt eingebunden
Zusätzliche AI-Act-Pflichten bleiben verbindlich
Argument: Schutz der grundrechtlichen Ziele des AI Acts

Welche Branchen sind direkt betroffen

  • Medizinprodukteverordnung (MDR) - KI in Diagnostik, Operationsrobotik, Patientenmonitoring
  • In-vitro-Diagnostika (IVDR) - KI in Laboranalytik und Bildbefundung
  • Maschinenverordnung - KI in Industrie- und Fertigungsautomation
  • Spielzeugrichtlinie - KI in interaktivem Kinderspielzeug
  • Fahrzeugzulassung - KI-Komponenten in vernetzten Fahrzeugen

Was rechtlich gilt: 2. August 2026 ist die echte Frist

Solange das Omnibus-Paket nicht foermlich verabschiedet ist, gilt der ursprueglich beschlossene Anwendungsbeginn für Hochrisiko-KI nach Anhang III weiterhin: der 2. August 2026. Unternehmen sollten den Aufschub auf Dezember 2027 nicht als Tatsache behandeln, sondern als bedingtes Ziel.

Praktische Folge: Wer am 3. August 2026 nicht konform ist, riskiert vollstreckbare Verstöße mit Strafen bis zu 15 Mio. EUR oder 3 Prozent des weltweiten Jahresumsatzes. Der Aufschub bleibt bis zur foermlichen Verabschiedung Spekulation.

Pflichten nach Artikel 9-15

Art. 9 Risikomanagement

Lebenszyklusbasiertes Risikomanagement, dokumentierte Identifikation, Schätzung und Minderung vorhersehbarer Risiken.

Art. 10 Daten-Governance

Trainings-, Validierungs- und Testdatensaetze müssen relevant, repraesentativ und auf Bias geprüft sein.

Art. 11-12 Dokumentation und Logging

Technische Dokumentation nach Anhang IV, automatisches Logging von Ereignissen über den Lebenszyklus.

Art. 13-15 Transparenz, Aufsicht, Robustheit

Aussagekraeftige Dokumentation für Nutzer, menschliche Aufsicht, Genauigkeit, Cybersicherheit.

Strafrahmen nach Artikel 99

Verstoss Maximum absolut Maximum prozentual
Verbotene Praktiken (Art. 5) 35 Mio. EUR 7 % weltweiter Jahresumsatz
Hochrisiko-Verstöße (Art. 9-15) 15 Mio. EUR 3 % weltweiter Jahresumsatz
Falschauskunft an Behörden 7,5 Mio. EUR 1 % weltweiter Jahresumsatz

Anhang-III-Bereiche im Überblick

Der Anhang III der KI-Verordnung definiert acht Bereiche, in denen KI-Systeme als hochrisiko gelten: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, öffentliche Dienstleistungen und Kreditwürdigkeitsprüfung, Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse.

Deutsche Perspektive: KI-MIG und KoKIVO bei der BNetzA

Deutschland baut parallel die nationale Aufsichtsstruktur auf. Das Bundeskabinett beschloss am 11. Februar 2026 das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG). Die erste Bundestagslesung war am 20. März 2026, federführend ist der Digitalausschuss.

Behördenflur in einer deutschen Bundesbehörde mit laminiertem Türschild für das Koordinierungs- und Kompetenzzentrum KI-Verordnung
Das KoKIVO bei der Bundesnetzagentur wird zum Knotenpunkt für die deutsche KI-Marktaufsicht.
KoKIVO ist das Koordinierungs- und Kompetenzzentrum KI-Verordnung bei der Bundesnetzagentur, das die nationale Marktaufsicht über Hochrisiko-KI-Systeme bündelt und die Schnittstelle zu sektoralen Aufsichten und der EU-Kommission bildet.

Aufsichtsarchitektur in Deutschland

  • Bundesnetzagentur (BNetzA): KoKIVO als zentraler Koordinator
  • BaFin: Aufsicht über KI in Finanzdienstleistungen und Versicherungen
  • BfDI: Datenschutzaspekte nach DSGVO und KI-Verordnung
  • BSI: KI in kritischen Infrastrukturen und Cybersicherheit
  • Länder und sektorale Behörden: branchenspezifische Aufsicht

Foerderkulisse für den Mittelstand

Wichtig für KMU

Die Bundesregierung hat ein 500 Mio. EUR Compliance-Foerderprogramm bis 2028 für KMU mit bis zu 500 Mitarbeitenden aufgelegt. Es deckt bis zu 50 Prozent der Compliance-Kosten und maximal 250.000 EUR pro Unternehmen. Antraege laufen über das Bundesministerium für Digitalisierung.

Status der harmonisierten Normen

CEN/CENELEC sollten die technischen Normen für den Konformitätsnachweis ursprunglich Mitte 2025 liefern. Das Ziel ist mittlerweile auf Ende 2026 verschoben - das schafft eine Lücke zwischen Anwendungsbeginn und vollständigem Standardapparat. Ohne fertige Normen fehlt die "Vermutung der Konformität"; Anbieter müssen den Nachweis individuell und aufwendig erbringen.

Reaktionen: Bitkom warnt, AlgorithmWatch kritisiert

Die Branchenreaktion ist gespalten. Der Bitkom warnt vor jährlichen Compliance-Kosten von bis zu 20 Mrd. EUR und einer Innovationsbremse für den deutschen Mittelstand. Die kritische Zivilgesellschaft sieht dagegen bereits zu viele Verwaesserungen.

Bitkom-Daten zur Betroffenheit

Sehen sich als Nutzer betroffen 23 %
Sehen sich als Anbieter betroffen 1 %
Gut auf AI Act vorbereitet (Deloitte) 35,7 %
Aktiv in der Umsetzung 26,2 %
Schlecht vorbereitet 19,4 %

Quellen: Bitkom Studienbericht 2026 (Februar), Deloitte/YouGov-Befragung von 500 deutschen Managern (März-April 2026).

Kritik der Zivilgesellschaft

AlgorithmWatch dokumentierte am 17. April 2026, dass Vorschlaege von Microsoft zur Datacenter-Energietransparenz nahezu woertlich in EU-Politik uebernommen wurden. Die Recherche legt nahe, dass Industrieinteressen den AI-Act-Verfahrensgang systematisch beeinflussen. Mehr Hintergrund dazu im Microsoft-EU-Rechenzentren-Lobby-Artikel .

Die zentralen Compliance-Hindernisse

  • Datensicherheits- und Compliance-Sorgen: 33 Prozent
  • Fachkraeftemangel im Compliance-Bereich: 27 Prozent
  • Hohe Kosten für KI-Software und Audit-Tools: 26 Prozent
  • Im Schnitt 1,5 Hochrisiko-Systeme pro betroffenem Unternehmen

Herausforderungen und Risiken

Der gescheiterte Omnibus-Trilog hinterlässt eine planerische Hochrisikolage für Anbieter und Nutzer. Wer auf den Aufschub setzt, riskiert ab dem 3. August 2026 vollstreckbare Verstöße - und der Aufschub ist nicht beschlossen.

Standardluecke

Ohne fertige harmonisierte Normen fehlt die "Vermutung der Konformität". Konformitätsbewertung muss aufwendig individuell nachgewiesen werden, mit benannten Stellen und detaillierter technischer Dokumentation.

Mitgliedstaaten-Lücke

19 von 27 EU-Staaten haben noch keinen Single Contact Point benannt (Stand März 2026). Grenzüberschreitende Anbieter wissen nicht, an welche Behörde sie sich wenden sollen.

Präsidentschafts-Wechsel

Wenn Litauen am 1. Juli 2026 die Ratspräsidentschaft übernimmt, beginnt die Verhandlung politisch faktisch neu. Vier Wochen vor Anwendungsbeginn ist das eine erhebliche Risikoposition.

Vier Szenarien für den weiteren Verlauf

Szenario Wahrscheinlichkeit Ergebnis
Schnelle Einigung im Mai 50 % Kompromiss zu Anhang I, Aufschub greift
Abschluss unter Litauen Q3 25 % Einigung im Sommer, knapp vor August-Frist
Aufgespaltetes Paket 15 % Anhang III separat verschoben, Anhang I bleibt offen
Stillstand bis 2. August 2026 10 % Originalfristen werden vollstreckbar

Quelle: Modulos AI-Schätzung, April 2026.

Was Unternehmen jetzt tun sollten

Behandle den 2. August 2026 als verbindlich. Wenn der Aufschub kommt, hast Du Zeit gewonnen. Wenn er nicht kommt, bist Du vorbereitet und kannst Compliance-Reife als Wettbewerbsargument einsetzen.

Arbeitsplatz einer Compliance-Verantwortlichen mit AI-Act-Gap-Analyse, Hochrisiko-System-Inventar und farbcodierten Prozessdiagrammen
Compliance-Arbeit nach Artikel 9-15 ist Detailarbeit: Inventar, Gap-Analyse, Dokumentation.

  1. Diese Woche: Inventar und Verantwortung

    Inventarisiere alle KI-Systeme im Einsatz und in Entwicklung. Klassifiziere nach Anhang III. Benenne schriftlich eine verantwortliche Person mit klar zugeordneter Rolle. Mehr als die Haelfte der Unternehmen haben heute kein systematisches KI-Inventar.

  2. Diesen Monat: Gap-Analyse und benannte Stellen

    Fuehre eine Gap-Analyse zu Artikel 9-15 für alle Hochrisiko-Kandidaten durch. Prüfe Deine GPAI-Bereitschaft (Art. 50-55) auch wenn Du nur Nutzer bist. Sprich benannte Stellen für Anhang-I-Produkte an, die Wartelisten fuellen sich.

  3. Dieses Quartal: Pipeline und Governance

    Baue Deine Registrierungs-Pipeline nach Artikel 49 auf. Implementiere Disclosure-Engineering für synthetische Inhalte. Anker Deine Governance an ISO 42001. Nutze die KI-Regulatorik-Matrix als Referenz.

  4. Foerderung prüfen

    Das deutsche 500 Mio. EUR Programm ist offen für KMU bis 500 Mitarbeitende und finanziert bis zu 50 Prozent der Compliance-Kosten, maximal 250.000 EUR pro Unternehmen. Antraege über das Bundesministerium für Digitalisierung.

Strategie-Tipp: Behandle Compliance-Reife nicht als Kostenstelle, sondern als Differenzierungsmerkmal im B2B-Vertrieb. Einkaeufer und Investoren fragen 2026 nach AI-Governance-Evidenz. Wer Artikel-9-15-Konformität vorweisen kann, gewinnt Vertrauen, das Wettbewerber erst noch aufbauen müssen.

Wie geht es weiter

Der Folge-Trilog am 13. Mai 2026 ist die nächste Wegmarke. Danach wird es eng: zwischen Präsidentschafts-Wechsel, Sommerpause und 2. August bleibt sehr wenig Zeit.

13. Mai 2026

Folge-Trilog

Zypriotische Präsidentschaft versucht erneuten Kompromiss zu Anhang I.

30. Juni 2026

Ende zypriotische Präsidentschaft

Letzter regulärer Sitzungsmonat für das aktuelle Verfahren.

1. Juli 2026

Litauen übernimmt

Neue Ratspräsidentschaft, neue politische Dynamik, gleiche Frist.

2. August 2026

Anwendungsbeginn Anhang III

Original-Frist für Hochrisiko-Pflichten Art. 9-15. Strafen werden vollstreckbar.

2. Dezember 2027

Geplanter Aufschub Anhang III

Bedingtes Datum, abhaengig von Omnibus-Verabschiedung.

Weiterführende Informationen

EU AI Act Krise: Was Unternehmen jetzt tun müssen Microsoft EU-Rechenzentren: Wie Lobby EU-Politik formt EU SEAL-Framework 2026: Souveraene Clouds Digitale Souveränität: Frankreich handelt KI-Agenten-Wildwuchs: Governance-Lücke 2026 KI-Regulatorik-Matrix von innobu IAPP: AI Act Omnibus - What just happened and what comes next EU AI Act: Anhang III Hochrisiko-Systeme im Volltext EU-Kommission: Regulatory Framework on AI

Häufig gestellte Fragen

Was ist der AI Act Omnibus? +

Der AI Act Omnibus ist ein geplantes Änderungspaket der EU, das die Anwendungsbeginne der Hochrisiko-Pflichten der KI-Verordnung verschieben soll. Anhang-III-Systeme sollen demnach erst ab dem 2. Dezember 2027 verbindlich werden, Anhang-I-Produkte ab dem 2. August 2028. Solange das Paket nicht beschlossen ist, gilt rechtlich der 2. August 2026.

Was passierte am 28. April 2026? +

Der zweite politische Trilog zwischen Europäischem Parlament, Rat und Kommission scheiterte nach rund zwölf Stunden Verhandlung ohne Einigung. Streitpunkt war die Behandlung von KI in regulierten Produkten unter Anhang I. Ein Folge-Trilog ist für den 13. Mai 2026 angesetzt.

Welche Frist gilt jetzt rechtlich? +

Solange der Omnibus nicht foermlich verabschiedet ist, bleibt der 2. August 2026 die rechtlich verbindliche Frist für Hochrisiko-Pflichten nach Anhang III der KI-Verordnung. Unternehmen sollten den Aufschub nicht als gegeben behandeln und Compliance bis Anfang August 2026 erreichen.

Wie hoch sind die Strafen? +

Bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken nach Artikel 5, bis zu 15 Mio. EUR oder 3 Prozent für Hochrisiko-Verstöße, bis zu 7,5 Mio. EUR oder 1 Prozent für Falschauskunft an Behörden. Die Strafhöhe richtet sich nach Schwere und Dauer des Verstoßes.

Wer überwacht die KI-Verordnung in Deutschland? +

Die Bundesnetzagentur erhält das Koordinierungs- und Kompetenzzentrum KI-Verordnung (KoKIVO). Sektorale Aufsichten wie BaFin (Finanzdienstleistungen), BfDI (Datenschutz) und BSI (kritische Infrastrukturen) bleiben für ihre Bereiche zuständig. Das Bundeskabinett beschloss das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) am 11. Februar 2026.

Welche Foerderung gibt es für den Mittelstand? +

Die Bundesregierung hat ein 500 Mio. EUR Compliance-Foerderprogramm bis 2028 für KMU mit bis zu 500 Mitarbeitenden aufgelegt. Es deckt bis zu 50 Prozent der Compliance-Kosten ab, maximal 250.000 EUR pro Unternehmen. Voraussetzung ist der Einsatz mindestens eines Hochrisiko-Systems.

Welche Bereiche fallen unter Anhang III? +

Anhang III definiert acht Hochrisiko-Bereiche: Biometrie, kritische Infrastruktur, Bildung und berufliche Ausbildung, Beschäftigung und Personalmanagement, öffentliche Dienstleistungen und Kreditwürdigkeitsprüfung, Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse.