Was ist der Digital Omnibus und was bedeutet er für Unternehmen?

Der Digital Omnibus ist ein EU-Kommissions-Vorschlag vom November 2025, der Hochrisiko-KI-Fristen vereinfachen und verschieben soll: Annex III bis Dez. 2027, Annex I bis Aug. 2028. Er ist noch kein Gesetz. Unternehmen sollten auf Basis des geltenden Rechts (August 2026) planen.

EU KI-Gesetz Compliance: Dein Wegweiser zur KI-Regulierung

Q: Welche KI-Systeme sind vom EU KI-Gesetz betroffen?

Alle KI-Systeme in vier Risikokategorien: Unakzeptables Risiko (verboten), Hohes Risiko (streng reguliert), Begrenztes Risiko (Transparenzpflichten) und Minimales Risiko (freiwillige Standards). Hochrisiko umfasst kritische Infrastruktur, Medizin, Strafverfolgung und Personalentscheidungen.

Q: Wie hoch sind die Strafen bei Verstößen gegen das KI-Gesetz?

Strafen reichen von 7,5 Mio. € bis 35 Mio. € oder 1,5% bis 7% des weltweiten Jahresumsatzes. GPAI-Verstöße: bis 15 Mio. € oder 3%. Für KMU können niedrigere Obergrenzen gelten. Es gilt immer der höhere Betrag.

Q: Hat die EU-Kommission die Februar-2026-Frist für Hochrisiko-Leitlinien eingehalten?

Nein. Die EU-Kommission hat die gesetzliche Frist (2. Februar 2026) für Leitlinien zur Klassifizierung von Hochrisiko-KI (Artikel 6) verpasst. Eine weitere Verzögerung wurde am 25. Februar 2026 bestätigt. Die Leitlinien werden für März/April 2026 erwartet.

Meistere die weltweit erste umfassende KI-Verordnung mit Sicherheit

Das EU KI-Gesetz verändert grundlegend den Umgang mit künstlicher Intelligenz. Hier erfährst du alles über Risikokategorien, Compliance-Anforderungen und die deutsche Umsetzung. Von Verboten bis hin zu Best Practices – damit du deine KI-Strategie rechtskonform und zukunftssicher gestaltest.

Die vier Risikokategorien des KI-Gesetzes

Das EU KI-Gesetz klassifiziert KI-Systeme in vier Risikokategorien, die jeweils unterschiedliche Anforderungen und Verbote mit sich bringen. Diese Einteilung bestimmt, welche Compliance-Maßnahmen du für deine KI-Anwendungen ergreifen musst.

Unakzeptables Risiko

Status: Verboten seit 2. Februar 2025

Beispiele:

Social Scoring Systeme

Echtzeit-Biometrie im öffentlichen Raum

Emotionserkennung am Arbeitsplatz/Schulen

Manipulation menschlichen Verhaltens

Strafe: Bis zu 35 Mio. € oder 7% des weltweiten Umsatzes

Hohes Risiko

Status: Reguliert ab 2. August 2026

Beispiele:

Medizinische Diagnosesoftware

CV-Screening Systeme

KI in kritischer Infrastruktur

Bildungsbewertungstools

Anforderungen: Risikobewertung, Qualitätsmanagement, menschliche Aufsicht

Begrenztes Risiko

Status: Reguliert ab 2. August 2026

Beispiele:

Chatbots

Deepfakes

KI-generierte Inhalte

Emotionserkennungssysteme

Anforderungen: Transparenzpflichten, Nutzeraufklärung

Minimales Risiko

Status: Keine zusätzlichen Verpflichtungen

Beispiele:

Spamfilter

KI-gestützte Videospiele

Einfache Empfehlungssysteme

Anforderungen: Freiwillige Verhaltenskodizes empfohlen

Risikokategorien

35M€

Max. Strafe

EU-Mitgliedstaaten betroffen

Allgemeine KI-Modelle (GPAI)

Grundmodelle wie ChatGPT, GPT-4 oder Claude fallen unter eine besondere Kategorie des KI-Gesetzes. Diese General Purpose AI (GPAI) Systeme haben spezielle Compliance-Anforderungen, die du kennen solltest.

Wichtige GPAI-Anforderungen für dich

Transparenzpflichten: Du musst offenlegen, wenn Inhalte KI-generiert sind
Urheberrechts-Compliance: Zusammenfassungen der Trainingsdaten sind erforderlich
Systemische Risiken: Zusätzliche Verpflichtungen für Modelle mit >10²⁵ FLOPS
Zwischenfallmeldung: Meldepflicht bei schwerwiegenden Vorfällen

GPAI-Verpflichtungen sind seit dem 2. August 2025 aktiv. Wenn du Grundmodelle nutzt oder entwickelst, musst du diese Anforderungen bereits vollständig umgesetzt haben. Das EU AI Office überwacht die Einhaltung auf europäischer Ebene.

Dein KI-Gesetz Umsetzungszeitplan

Das EU KI-Gesetz wird schrittweise umgesetzt. Hier siehst du alle wichtigen Meilensteine, damit du rechtzeitig vorbereitet bist und keine Fristen verpasst.

Datum	Meilenstein	Status	Was du beachten solltest
1. August 2024	KI-Gesetz tritt in Kraft	Aktiv	Erste Orientierung und Bestandsaufnahme deiner KI-Systeme
2. Februar 2025	Verbote werden wirksam	Aktiv	Prüfe sofort: Nutzt du verbotene KI-Systeme?
2. August 2025	GPAI-Verpflichtungen aktiv	Aktiv	Grundmodell-Compliance muss jetzt umgesetzt sein
2. Februar 2026	Kommissions-Leitlinien (Art. 6)	Verzögert	EU-Kommission hat Frist verfehlt. Leitlinien zu Hochrisiko-KI erwartet März/April 2026. Erzeugt Rechtsunsicherheit für Unternehmen.
2. August 2026	Vollständige Anwendbarkeit	Dringend	Nur noch ~5 Monate! Alle KI-Systeme müssen konform sein – sofern der Digital Omnibus keine Verzögerung bringt.
Nov. 2025 – 2026	Digital Omnibus (Vorschlag)	Im Prozess	EC schlägt Verzögerung vor: Hochrisiko-KI (Annex III) bis spätestens Dez. 2027, Annex I bis Aug. 2028. Noch kein Gesetz – Ergebnis abwarten!
2. August 2027	Altsystem-Compliance	Zukunft	Auch ältere GPAI-Modelle müssen konform sein (ggf. verlängert durch Digital Omnibus)

Phase 1: Abgeschlossen ✓ (seit Feb. 2025)

Verbote greifen. Wer Social Scoring, manipulative KI oder Echtzeit-Biometrie betreibt, muss diese Systeme abgeschaltet haben. Bestandsaufnahme aller KI-Systeme ist Pflicht.

Phase 2: Aktiv ✓ (seit August 2025)

GPAI-Compliance läuft. Technische Dokumentation, Training-Daten-Zusammenfassungen und Urheberrechts-Compliance für Grundmodelle sind jetzt verbindlich.

⚠ Phase 3: Jetzt handeln! (bis August 2026 – noch ~5 Monate)

Alle Hochrisiko-KI-Systeme müssen konform sein. Risikomanagement, Qualitätssicherung, technische Dokumentation und menschliche Aufsicht umsetzen. Hinweis: Der Digital Omnibus könnte Hochrisiko-Fristen verlängern – aber noch ist nichts entschieden. Plane auf Basis des geltenden Rechts!

Deine Pflichten nach Rolle

Je nachdem, ob du KI-Systeme entwickelst, betreibst oder beaufsichtigst, hast du unterschiedliche Verpflichtungen. Hier findest du eine Übersicht deiner spezifischen Compliance-Anforderungen.

Als Anbieter (Entwickler)

Deine Kernpflichten: Konformitätsbewertung, Risikobewertung, technische Dokumentation, Datenqualitätssicherung. Bei Hochrisiko-Systemen zusätzlich Qualitätsmanagementsystem und Post-Market-Überwachung.

Als Betreiber (Nutzer)

Deine Kernpflichten: Menschliche Aufsicht, Systemüberwachung, Protokollführung, Personal-KI-Kompetenz. Du musst Dateninputs überwachen und Outputs korrekt interpretieren. Öffentliche Stellen müssen zusätzlich eine Grundrechte-Folgenabschätzung (FRIA) vor dem Einsatz von Hochrisiko-KI durchführen.

Als Behörde

Deine Kernpflichten: Marktüberwachung, Compliance-Monitoring, Durchsetzungsmaßnahmen, Leitlinien-Bereitstellung. Besondere Verantwortung bei grenzüberschreitender Kooperation.

Als GPAI-Akteur

Deine Kernpflichten: Trainingsdaten-Zusammenfassungen, Urheberrechts-Compliance, Inhalts-Kennzeichnung, Systemrisiko-Bewertung. Missbrauchsprävention und Nutzerrichtlinien sind essentiell.

Strafstruktur bei Verstößen

Verbotene KI-Systeme (Art. 5): Bis zu 35 Mio. € oder 7% des weltweiten Umsatzes
Anbieter-/Betreiberpflichten: Bis zu 15 Mio. € oder 3% des weltweiten Umsatzes
GPAI-Modell-Verstöße: Bis zu 15 Mio. € oder 3% des weltweiten Umsatzes (z.B. fehlende Transparenz, keine Trainingsdaten-Dokumentation)
Falsche Angaben: Bis zu 7,5 Mio. € oder 1,5% des weltweiten Umsatzes
Grundsatz: Es gilt immer der höhere Betrag. KMU und Startups: niedrigere Obergrenzen möglich.

KI im Fokus: Energieversorger als kritische Infrastruktur

Als Betreiber kritischer Infrastrukturen (KRITIS) unterliegen Energieversorger den strengsten Regeln des AI Acts. KI-Systeme, die zur Steuerung, zum Betrieb und zur Sicherheit von Energienetzen eingesetzt werden, sind explizit als Hochrisiko-Anwendungen klassifiziert. Hinzu kommen Überschneidungen mit der NIS2-Richtlinie, die zusätzliche Cybersicherheitsanforderungen für kritische Infrastrukturen vorschreibt.

Netzsteuerung & -stabilität

KI-Systeme, die den Stromfluss in Echtzeit steuern, Lasten verteilen oder auf Schwankungen durch erneuerbare Energien reagieren, sind Hochrisiko-Anwendungen. Sie erfordern höchste Ausfallsicherheit und Transparenz in ihren Entscheidungsprozessen (N-1-Sicherheit).

Nachfrageprognosen (Forecasting)

Systeme, die den Energiebedarf vorhersagen, sind entscheidend für die Netzstabilität und Preisgestaltung. Fehlerhafte Prognosen können gravierende Folgen haben, weshalb hohe Anforderungen an Datenqualität und Modellvalidierung gelten.

Prädiktive Wartung (Predictive Maintenance)

KI zur Vorhersage von Ausfällen bei kritischen Komponenten (z.B. Transformatoren, Turbinen) ist als Hochrisiko einzustufen. Zuverlässigkeit muss durch robuste Tests und kontinuierliche Überwachung nachgewiesen werden.

DERMS & Smart Grid Management

Algorithmen, die virtuelle Kraftwerke (VPPs), Microgrids und Smart Grids steuern, müssen Sicherheit, Fairness und Datenschutz gewährleisten. Pipeline-Integrität-Monitoring fällt ebenfalls unter diese Kategorie.

Konkrete Pflichten für Betreiber

Der Einsatz dieser Systeme erfordert die Einhaltung eines strengen Pflichtenkatalogs:

Umfassendes Risikomanagement: Einrichtung und Pflege eines kontinuierlichen Risikomanagement-Prozesses über den gesamten Lebenszyklus der KI.
Hohe Datenqualität & Governance: Verwendung hochwertiger Trainings-, Validierungs- und Testdatensätze, um Verzerrungen (Bias) zu minimieren.
Lückenlose Dokumentation & Protokollierung: Detaillierte technische Dokumentation mit vollständiger Nachverfolgbarkeit (Traceability) aller KI-Entscheidungen.
Menschliche Aufsicht: Qualifiziertes Personal muss KI-Entscheidungen jederzeit überwachen, hinterfragen und korrigieren können.
Konformitätsbewertung: Vor Inbetriebnahme muss eine Konformitätsbewertung erfolgreich abgeschlossen sein.
NIS2-Integration: Cybersicherheitsanforderungen der NIS2-Richtlinie sind parallel zu erfüllen – integrierte Compliance-Strategie empfohlen.

Compliance Roadmap für Energieversorger

Klassifizierung & Risikoanalyse

Governance & Dokumentation

Implementierung & Konformität

Monitoring & Aufsicht

Größte Herausforderungen

Regulatorische Komplexität: Das Zusammenspiel von AI Act, DSGVO, NIS2-Richtlinie und sektorspezifischen Normen erfordert integrierte Compliance-Strategien.
Rechtsunsicherheit: Offene Begriffe wie "Robustheit" oder "akzeptables Risiko" müssen durch Branchenstandards und Rechtsprechung konkretisiert werden.
Datenverfügbarkeit vs. Datenschutz: Der Bedarf an großen, hochwertigen Datensätzen steht im Konflikt mit strengen Datenschutzvorgaben der DSGVO.

Sektorspezifische Auswirkungen

Das KI-Gesetz betrifft verschiedene Wirtschaftszweige unterschiedlich stark. Hier erfährst du, welche besonderen Herausforderungen und Chancen sich für deinen Sektor ergeben.

Gesundheitswesen

Risiko: Hohes Risiko. Herausforderungen: Überschneidung mit Medizinprodukte-Verordnung, Doppelverpflichtungen, Patientensicherheit. Besonders betroffen: Diagnose-KI, robotergestützte Chirurgie.

Finanzdienstleistungen

Risiko: Hohes Risiko. Herausforderungen: Kreditscoring-Bias, algorithmische Transparenz, BaFin-Aufsicht. Integration in MaRisk-Compliance und Diskriminierungsprävention erforderlich.

Transport

Risiko: Hohes Risiko. Herausforderungen: Ethik autonomes Fahren, sicherheitskritische Entscheidungen, Haftungsfragen. Deutsche Ethik-Leitlinien: Schutz menschlichen Lebens prioritär.

Strafverfolgung

Risiko: Hohes Risiko/Verboten. Herausforderungen: Balance Grundrechte, begrenzte Transparenz. Echtzeit-Biometrie meist verboten, richterliche Genehmigungen erforderlich.

Energieversorgung

Risiko: Hohes Risiko. Herausforderungen: Als Teil der kritischen Infrastruktur (KRITIS) gelten höchste Anforderungen an Ausfallsicherheit und Cybersicherheit. KI-Systeme zur Netzsteuerung müssen robust und transparent sein.

"Das KI-Gesetz ist nicht nur Regulierung, sondern auch eine Chance für Qualitätsführerschaft im internationalen Wettbewerb."

Deutsche Umsetzung des EU KI-Gesetzes

Deutschland nimmt bei der KI-Regulierung eine Vorreiterrolle ein und verfolgt dabei eine Doppelstrategie: die Umsetzung der EU-Vorgaben bei gleichzeitiger Stärkung des Innovationsstandorts. Hier erfährst du, wie die Bundesregierung das EU KI-Gesetz umsetzt und welche zusätzlichen Initiativen für dich relevant sind.

Die deutsche Doppelstrategie: Regulierung & Förderung

Balance zwischen Chancen & Risiken: Die Bundesregierung betont, dass neben der Risikominimierung auch die Innovationsförderung ein zentrales Ziel ist.
Nationale KI-Strategie: Mit der fortgeschriebenen KI-Strategie soll Deutschland zu einem führenden Standort für die Entwicklung und Anwendung von KI-Technologien ausgebaut werden.
Förderung von Wirtschaft & Wissenschaft: Es werden gezielt Vorhaben unterstützt, z.B. durch neu eingerichtete KI-Servicezentren, die insbesondere kleinen und mittleren Unternehmen (KMU) den Zugang zu KI erleichtern.

Für Unternehmen in Deutschland bedeutet das: Neben der reinen Compliance mit dem EU KI-Gesetz gibt es auch zahlreiche Fördermöglichkeiten und Unterstützungsangebote, um KI-Innovationen voranzutreiben.

2,5 Mrd. €

KI-Investitionen seit 2019

32 Mio. €

Budget Mission KI

Länder-Koordination nötig

Regulatorische Besonderheiten in Deutschland

Deutsche Compliance-Anforderungen

DSGVO-Integration: Datenschutz und KI-Regulierung müssen du zusammen denken
Föderale Struktur: Risiko von 16 verschiedenen Länderansätzen vermeiden
BaFin-Aufsicht: Zusätzliche Finanzmarkt-Regulierung für KI im Banking
BSI-Standards: Cybersicherheitsanforderungen für KI-Systeme beachten

Deutsche Marktchancen für dich

Mission KI

32 Mio. € Budget für KI-Qualitätsstandards und KMU-Innovation. Wenn du ein KMU bist, kannst du von Beratung und Förderung profitieren.

Regulatory Sandboxes

Deutschland muss bis August 2026 Sandboxes bereitstellen. Du kannst innovative KI in kontrollierten Umgebungen testen - für KMU sogar kostenlos.

Civic Coding

"KI für das Gemeinwohl" - wenn deine KI soziale Probleme löst, kannst du von Expertenberatung und Förderungen profitieren.

Made in Germany Qualität

Deutsche KI-Qualitätsstandards können dir internationalen Wettbewerbsvorteil verschaffen - "Trusted AI Made in Germany".

"Deutschland will bei verantwortlicher KI-Innovation Weltmarktführer werden - nutze diese Chance für dein Unternehmen."

Deutsche Herausforderungen, die du beachten solltest

Die föderale Struktur Deutschlands kann zu unterschiedlichen Auslegungen in den 16 Bundesländern führen. Die Bundesregierung arbeitet daran, einheitliche Standards zu schaffen.

Erfolgsfaktoren für Deutschland

Bestehende Strukturen nutzen: Baue auf vorhandener Marktüberwachung auf
Schlanke Aufsicht: Nutzerorientiertes, unbürokratisches Aufsichtsmodell anstreben
KMU-Fokus: Kostenlose Sandboxes und vereinfachte Verfahren für kleine Unternehmen
Rechtsharmonisierung: Integrierte Compliance-Rahmenwerke für DSGVO und KI-Gesetz

Deutschland hat bereits regulatorische Sandboxes in verschiedenen Sektoren etabliert. Das gibt dir als Unternehmen die Möglichkeit, innovative KI-Lösungen in einem sicheren rechtlichen Rahmen zu erproben, bevor die volle Regulierung greift.

Regulatorische Sandboxes

Anforderung: Jeder EU-Mitgliedstaat muss bis 2. August 2026 mindestens eine KI-Regulierungs-Sandbox haben

Vorteile für Unternehmen:

Innovative KI in kontrollierter Umgebung testen
Reduzierte sofortige Compliance-Last
Regulatorische Lernmöglichkeiten
Prioritätszugang für KMU (kostenlos)
Sicherer Raum für Experimente

Deutschland hat bereits regulatorische Sandboxes in verschiedenen Sektoren institutionalisiert

Strategische Bedeutung der KI-Compliance

KI-Compliance ist nicht nur rechtliche Pflicht, sondern strategischer Wettbewerbsvorteil. Unternehmen, die frühzeitig compliant werden, positionieren sich als vertrauenswürdige KI-Anbieter im globalen Markt.

Wettbewerbsvorteil

Als compliant-first Unternehmen gewinnst du Vertrauen bei Kunden und Partnern. "EU AI Act konform" wird zum Qualitätssiegel für deine KI-Produkte.

Globaler Marktführer

EU-Standards werden oft weltweiter Benchmark. Frühe Compliance bereitet dich auf internationale Expansion vor und öffnet neue Märkte.

Innovationsturbo

Regulatory Sandboxes ermöglichen dir risikofreie Innovation. Du kannst bahnbrechende KI-Lösungen entwickeln, ohne Compliance-Risiken einzugehen.

Risikominimierung

Proaktive Compliance schützt vor existenzbedrohenden Strafen bis 35 Mio. € und bewahrt deine Reputation vor Schäden durch Verstöße.

"Wer jetzt in KI-Compliance investiert, baut die Grundlage für nachhaltigen Geschäftserfolg im KI-Zeitalter."

Häufige Fragen zum EU KI-Gesetz

Was ist das EU KI-Gesetz und was gilt aktuell (März 2026)? +

Das EU KI-Gesetz ist die weltweit erste umfassende KI-Regulierung, in Kraft seit 1. August 2024. Aktuell (März 2026) sind verboten: Social Scoring, Echtzeit-Biometrie und weitere Praktiken (seit Feb. 2025). GPAI-Pflichten gelten seit Aug. 2025. Die vollständige Hochrisiko-Compliance ist für August 2026 geplant – allerdings könnte der Digital Omnibus diese Fristen noch verschieben.

Welche KI-Systeme sind vom EU KI-Gesetz betroffen? +

Alle KI-Systeme werden in vier Risikokategorien eingeteilt: Unakzeptables Risiko (verboten), Hohes Risiko (streng reguliert), Begrenztes Risiko (Transparenzpflichten) und Minimales Risiko (freiwillige Standards). Die Kategorie bestimmt deine Compliance-Anforderungen. Hochrisiko-KI umfasst u.a. Systeme in kritischer Infrastruktur, Medizin, Strafverfolgung und Personalentscheidungen.

Wie hoch sind die Strafen bei Verstößen gegen das KI-Gesetz? +

Die Strafen sind existenzbedrohend: Von 7,5 Mio. € bis 35 Mio. € oder 1,5% bis 7% deines weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Verbotene KI-Systeme und GPAI-Verstöße werden mit bis zu 35 Mio. € bzw. 15 Mio. € belegt. Für KMU und Startups können niedrigere Obergrenzen gelten.

Was ist der „Digital Omnibus" und was bedeutet er für mich? +

Der Digital Omnibus ist ein Gesetzgebungsvorschlag der EU-Kommission vom 19. November 2025. Er schlägt vor, die Hochrisiko-Pflichten des AI Acts zu vereinfachen und zu verzögern: Annex III (eigenständige Hochrisiko-KI) würde bis spätestens Dezember 2027 verschoben, Annex I (KI in regulierten Produkten) bis August 2028. Wichtig: Das ist noch kein Gesetz! Plane auf Basis des geltenden Rechts (August 2026) und behalte den Legislativprozess im Blick.

Hat die EU-Kommission die Februar-2026-Frist für Hochrisiko-Leitlinien eingehalten? +

Nein. Die EU-Kommission hatte gesetzlich bis zum 2. Februar 2026 Zeit, Leitlinien zur Klassifizierung von Hochrisiko-KI-Systemen (Artikel 6) zu veröffentlichen. Diese Frist wurde verpasst. Eine zweite Verzögerung wurde am 25. Februar 2026 bestätigt. Die Leitlinien werden nun für März/April 2026 erwartet. Das erzeugt Rechtsunsicherheit – kein Grund zum Abwarten, aber ein Grund, die Entwicklungen aufmerksam zu verfolgen.

Wie kann ich mich auf das KI-Gesetz vorbereiten? +

Starte mit einer Bestandsaufnahme deiner KI-Systeme und ihrer Risikoeinstufung. Prüfe sofort, ob du verbotene Anwendungen nutzt. Führe Risikobewertungen durch, erstelle technische Dokumentation und baue interne Compliance-Expertise auf. Nutze regulatorische Sandboxes für sichere Innovation. Verfolge den Digital Omnibus – aber plane auf Basis des geltenden Rechts mit dem August-2026-Zieldatum.

Weiterführende Ressourcen

EU AI Act Volltext (EUR-Lex) EU-Kommission: KI-Regulierungsrahmen Digital Omnibus: Vereinfachungsvorschlag (EC) EU AI Act: Aktuelle Entwicklungen & Umsetzungsstand EU AI Office: Aufsichtsbehörde für GPAI Deutsche KI-Strategie (BMI) Civic Coding Initiative BSI: KI-Sicherheitsempfehlungen CEN/CENELEC: KI-Normierungsstatus