Inhaltsverzeichnis
- 1.Was der Digital Omnibus konkret vorschlägt
- 2.Warum ein Vorschlag noch kein geltendes Recht ist
- 3.Die Szenario-Logik: Zwei mögliche Welten
- 4.No-Regret-Maßnahmen: Was sich in jedem Fall lohnt
- 5.Timing-abhängige Maßnahmen: Was man bewusst takten darf
- 6.Organisatorische Konsequenzen für die Compliance-Planung
- 7.Verbindung zum AI Readiness Assessment
Was der Digital Omnibus konkret vorschlägt
Der EU AI Act Compliance Guide von Alev-B beschreibt den ursprünglichen Stufenplan: Die Kernpflichten für High-Risk-KI nach Annex III sollten am 2. August 2026 greifen. Dieser Beitrag ist die notwendige Aktualisierung dazu — denn am 19. November 2025 hat die Europäische Kommission ein Maßnahmenpaket vorgelegt, das diesen Termin in Frage stellt: das sogenannte Digital Omnibus.
Der Digital Omnibus ist kein neues Gesetz, sondern ein Vereinfachungs- und Bereinigungspaket. Er bündelt mehrere digitalpolitische Anpassungen in einem Verfahren. Für die KI-Regulierung enthält er einen Vorschlag mit erheblicher Tragweite: Die Anwendung der High-Risk-Pflichten soll an die Verfügbarkeit harmonisierter Standards und unterstützender Instrumente gekoppelt werden. Konkret bedeutet das eine vorgeschlagene Verschiebung des entscheidenden Stichtags vom 2. August 2026 auf den 2. Dezember 2027.
Die fachjuristische Aufbereitung durch Kanzleien wie Orrick und DLA Piper macht deutlich, worum es sich handelt: nicht um eine inhaltliche Entschärfung der Pflichten, sondern um eine zeitliche Streckung. Die materiellen Anforderungen an High-Risk-Systeme — Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht, Robustheit — bleiben dem Vorschlag nach unverändert. Verschoben würde lediglich der Zeitpunkt, ab dem ihre Nichteinhaltung sanktionierbar ist.
Die Referenzdarstellung auf artificialintelligenceact.eu führt den Implementierungszeitplan in beiden Lesarten — den ursprünglichen und den potenziell verschobenen. Diese Doppelführung ist kein Redaktionsfehler, sondern eine korrekte Abbildung der Rechtslage: Solange der Vorschlag nicht angenommen ist, existiert nur ein verbindlicher Zeitplan, und das ist der ursprüngliche.
Der Digital Omnibus ist ein Vorschlag, kein geltendes Recht. Er entschärft keine einzige inhaltliche Pflicht — er verschiebt potenziell nur den Stichtag von August 2026 auf Dezember 2027, und das auch nur bei formaler Annahme durch Rat und Parlament.
Warum ein Vorschlag noch kein geltendes Recht ist
Der häufigste Fehler in der aktuellen Diskussion ist die Gleichsetzung von Kommissionsvorschlag und Rechtslage. Ein Vorschlag der Kommission durchläuft das ordentliche Gesetzgebungsverfahren der EU. Er muss vom Rat der Europäischen Union und vom Europäischen Parlament verhandelt, abgestimmt und in identischer Fassung angenommen werden, bevor er Rechtswirkung entfaltet. Bis zu diesem Moment ändert sich an den geltenden Fristen des AI Act nichts.
Das bedeutet in der Praxis: Wer heute seine Compliance-Planung am potenziellen Dezember-2027-Termin ausrichtet, plant gegen ein Dokument, das jederzeit scheitern, verändert oder verzögert werden kann. Der Gesetzgebungsprozess kennt keine Garantie. Trilog-Verhandlungen können sich über Monate ziehen, einzelne Bestimmungen können herausgelöst werden, und politische Mehrheiten können kippen.
Hinzu kommt eine inhaltliche Einschränkung, die selbst im Erfolgsfall des Omnibus gilt: Die Verschiebung bezieht sich auf die High-Risk-Pflichten nach Annex III. Die bereits seit Februar 2025 wirksamen Verbote unzulässiger Praktiken und die seit August 2025 geltenden Regeln für KI-Modelle mit allgemeinem Verwendungszweck wären von einer Omnibus-Annahme nicht betroffen. Sie gelten unabhängig vom Ausgang weiter.
Die seriöse juristische Kommentierung — exemplarisch die Analysen von Orrick und DLA Piper — kommt deshalb zu einer einheitlichen Empfehlung: Organisationen sollten die Verschiebung als mögliches Szenario behandeln, nicht als Planungsgrundlage. Wer die Verschiebung als gesetzt annimmt und der ursprüngliche Zeitplan tritt ein, steht im August 2026 ohne Compliance-Substanz da.
Die Szenario-Logik: Zwei mögliche Welten
Statt eines einzigen Termins steht die Organisation vor einer Verzweigung. Es gibt genau zwei relevante Endzustände, und eine belastbare Planung muss beide gleichzeitig adressieren — denn welcher eintritt, entscheidet sich außerhalb des Einflussbereichs der Organisation und voraussichtlich erst spät.
Szenario A — Omnibus wird nicht (rechtzeitig) angenommen: Der ursprüngliche Zeitplan bleibt verbindlich. Die High-Risk-Pflichten nach Annex III greifen am 2. August 2026. Organisationen, die erst auf die Verschiebung gewartet haben, geraten in akuten Zeitdruck — Gap-Analyse, Governance-Aufbau, Dokumentation und Konformitätsnachweise lassen sich nicht in wenigen Wochen nachholen.
Szenario B — Omnibus wird angenommen: Der Stichtag für die High-Risk-Pflichten verschiebt sich auf den 2. Dezember 2027. Organisationen gewinnen rund 16 Monate zusätzliche Vorbereitungszeit. Die Verbote und die Regeln für Modelle mit allgemeinem Verwendungszweck bleiben jedoch unverändert in Kraft. Die zusätzliche Zeit ist Vorbereitungszeit, kein Freibrief — die Anforderungen selbst sind in beiden Szenarien identisch.
Die entscheidende Erkenntnis: In beiden Szenarien sind die inhaltlichen Anforderungen dieselben. Es ändert sich nur das verfügbare Zeitfenster. Daraus folgt eine robuste Planungslogik — Maßnahmen, die in beiden Welten Wert stiften, werden sofort umgesetzt; Maßnahmen, deren Nutzen rein vom Zeitpunkt abhängt, werden bewusst getaktet.
| Pflicht | Szenario A: Omnibus nicht angenommen | Szenario B: Omnibus angenommen | No-Regret? |
|---|---|---|---|
| Verbote unzulässiger Praktiken | Gilt seit 2.2.2025 | Gilt seit 2.2.2025 (unverändert) | Ja — sofort handeln |
| Regeln für Modelle mit allgemeinem Verwendungszweck | Gilt seit 2.8.2025 | Gilt seit 2.8.2025 (unverändert) | Ja — sofort handeln |
| High-Risk-Pflichten Annex III | Stichtag 2.8.2026 | Stichtag verschoben auf 2.12.2027 | Vorbereitung ja, Timing flexibel |
| Transparenzpflichten (Chatbots, synthetische Inhalte) | Stichtag 2.8.2026 | An Omnibus-Paket gekoppelt, potenziell verschoben | Vorbereitung ja, Timing flexibel |
| High-Risk in regulierten Produkten (Annex I) | Stichtag 2.8.2027 | Stichtag 2.8.2027 (vom Omnibus unberührt) | Ja — langer Vorlauf nutzen |
No-Regret-Maßnahmen: Was sich in jedem Fall lohnt
Eine No-Regret-Maßnahme ist eine Maßnahme, deren Nutzen unabhängig davon eintritt, welches Szenario sich realisiert. Sie ist nicht „verlorene Arbeit", falls die Verschiebung kommt — im Gegenteil: Sie reduziert in beiden Welten Risiko, schafft Transparenz und ist Voraussetzung für jede weitergehende Compliance-Arbeit. Die folgenden Maßnahmen erfüllen dieses Kriterium und sollten unabhängig vom Schicksal des Omnibus sofort begonnen werden.
- 1KI-Inventar aufbauen: Erfassen Sie systematisch alle KI-Systeme, die Sie entwickeln, einkaufen oder einsetzen — inklusive eingebetteter KI-Funktionen in Standardsoftware. Ohne vollständiges Inventar ist jede Risikoklassifizierung Spekulation, und das Inventar wird in beiden Szenarien gebraucht.
- 2Risikoklassifizierung durchführen: Ordnen Sie jedes System einer Risikostufe zu. Die Klassifizierungslogik ändert sich durch den Omnibus nicht — nur der Termin, ab dem Verstöße sanktionierbar sind. Eine frühe Klassifizierung deckt die wenigen tatsächlich High-Risk-relevanten Systeme auf und entlastet von unnötigem Aufwand bei den übrigen.
- 3Verbotene Praktiken sofort eliminieren: Die Verbote unzulässiger KI-Praktiken sind seit Februar 2025 wirksam und vom Omnibus nicht betroffen. Prüfen Sie aktiv, ob im Einsatz oder in der Pipeline Praktiken existieren, die unter die Verbotskategorien fallen — hier gibt es keinen Aufschub und kein Szenario, in dem Warten zulässig wäre.
- 4KI-Kompetenz im Personal sicherstellen: Die Pflicht zu ausreichender KI-Kompetenz bei Personal, das mit KI-Systemen arbeitet, gilt unabhängig vom Hauptzeitplan und wird vom Omnibus nicht verschoben. Rollenspezifische Schulungen mit dokumentierten Curricula sind in jedem Szenario erforderlich.
- 5Governance-Strukturen etablieren: Verantwortlichkeiten, Freigabeprozesse und ein nachvollziehbares Entscheidungs-Audit für KI-Systeme schaffen Wert in beiden Welten. Eine Verschiebung verlängert nur das Zeitfenster für den Aufbau — sie macht den Aufbau nicht überflüssig.
- 6Lieferanten- und Vertragsklauseln vorbereiten: Klären Sie mit KI-Anbietern und Integratoren vertraglich, wer welche Rolle in der Wertschöpfungskette trägt und wer welche Nachweise liefert. Diese Verhandlungen sind langwierig und in beiden Szenarien notwendig — ein früher Start verschafft Verhandlungsspielraum.
- 7Compliance-Evidenz revisionssicher dokumentieren: Bauen Sie die Dokumentation so auf, dass sie unter beiden Zeitplänen prüffest ist. Nachweise, die erst kurz vor dem Stichtag zusammengetragen werden, sind erfahrungsgemäß lückenhaft — eine kontinuierlich gepflegte Evidenz ist in jedem Szenario die belastbarere Grundlage.
Timing-abhängige Maßnahmen: Was man bewusst takten darf
Nicht jede Maßnahme ist No-Regret. Es gibt Aktivitäten, deren Nutzen primär vom Stichtag abhängt und deren vorgezogene Durchführung im Szenario der Verschiebung tatsächlich zu Mehraufwand führen kann — etwa weil sich technische Standards oder Konformitätsverfahren bis Dezember 2027 noch konkretisieren. Diese Maßnahmen darf man bewusst takten, sofern die No-Regret-Basis steht.
Dazu zählen typischerweise die finale Konformitätsbewertung, die abschließende technische Dokumentation gegen dann harmonisierte Standards, die formale Registrierung in der EU-Datenbank sowie die endgültige Ausgestaltung von Kennzeichnungs- und Offenlegungsmechanismen. Wer diese Schritte heute final abschließt und der Omnibus verschiebt, riskiert, dass spätere Standardpräzisierungen eine Überarbeitung erzwingen.
Der entscheidende Punkt ist die Reihenfolge, nicht das Abwarten. Timing darf nur takten, was auf einer vollständigen No-Regret-Basis aufsetzt. Eine Organisation, die ihr KI-Inventar, ihre Klassifizierung und ihre Governance erst aufbaut, wenn der finale Termin feststeht, hat den Steuerungsspielraum bereits verloren — unabhängig davon, welches Szenario eintritt.
Praktisch heißt das: Die No-Regret-Maßnahmen laufen ab sofort. Die timing-abhängigen Maßnahmen werden vorbereitet, aber ihr finaler Abschluss wird an die Klärung des Omnibus-Status gekoppelt — mit einem definierten Entscheidungspunkt, an dem die Organisation auf den dann gültigen Zeitplan umschaltet.
Die Trennlinie verläuft nicht zwischen „jetzt" und „später", sondern zwischen No-Regret und timing-abhängig. Erst die No-Regret-Basis schafft überhaupt die Freiheit, alles Übrige bewusst zu takten.
Organisatorische Konsequenzen für die Compliance-Planung
Die Szenario-Unsicherheit hat eine konkrete Konsequenz für die Governance: Die Compliance-Planung darf nicht auf einen einzelnen Termin festgeschrieben werden. Sie braucht eine Verzweigungslogik mit einem expliziten Entscheidungspunkt — dem Moment, an dem der Omnibus-Status hinreichend geklärt ist, um auf den dann gültigen Zeitplan umzuschalten.
Empfehlenswert ist, die Verantwortung für die Beobachtung des Gesetzgebungsverfahrens klar zuzuweisen. Trilog-Fortschritt, Ratsposition und Parlamentsabstimmungen sind die Signale, an denen sich das Szenario entscheidet. Diese Beobachtung gehört in die regelmäßige Governance-Berichterstattung, nicht in ein einmaliges Memo.
Für die interne Kommunikation ist die Unterscheidung zwischen Vorschlag und geltendem Recht zentral. Eine verbreitete Fehlannahme in Fachabteilungen lautet, der AI Act sei „verschoben". Das ist rechtlich unzutreffend, solange der Omnibus nicht angenommen ist. Wer diese Botschaft unscharf kommuniziert, riskiert, dass No-Regret-Maßnahmen verschleppt werden, weil die Dringlichkeit subjektiv entfällt.
Schließlich sollte die Planung dokumentieren, warum welche Maßnahme als No-Regret oder als timing-abhängig eingestuft wurde. Diese Begründung ist selbst ein Governance-Nachweis: Sie zeigt im Prüfungsfall, dass die Organisation die Rechtslage korrekt gewürdigt und ihre Priorisierung bewusst und nachvollziehbar getroffen hat.
Verbindung zum AI Readiness Assessment
Die hier beschriebene No-Regret-Logik deckt sich strukturell mit der Vorgehensweise eines AI Readiness Assessments. Beide beginnen mit derselben Grundfrage: Welche KI-Systeme existieren tatsächlich, in welcher Reife befinden sie sich, und welche Lücken bestehen gegenüber den Anforderungen, die unabhängig vom regulatorischen Timing gelten?
Der AI Readiness Assessment Guide von Alev-B behandelt genau diese Bestandsaufnahme — Inventar, Reifegrad, Governance-Lücken — als Fundament jeder weiterführenden KI-Arbeit. Im Kontext des Digital Omnibus erhält dieses Fundament eine zusätzliche Funktion: Es ist exakt die Schnittmenge der Maßnahmen, die in beiden Szenarien Wert stiften. Wer ein belastbares Readiness-Bild hat, kann die Verzweigung souverän bedienen, statt im Sommer 2026 von ihr überrascht zu werden.
Der praktische Übergang ist damit klar: Eine Readiness-Bestandsaufnahme liefert das KI-Inventar und die Reifegrad-Sicht, die jede der No-Regret-Maßnahmen voraussetzt. Die regulatorische Verzweigung des Omnibus entscheidet anschließend nur noch über die Taktung der timing-abhängigen Schritte — nicht über das Ob der Vorbereitung.
Damit schließt sich der Kreis zum ursprünglichen EU AI Act Compliance Guide: Dessen Stufenplan bleibt die inhaltliche Referenz. Der Digital Omnibus ändert nichts an den Pflichten — er verändert nur den Zeitrahmen, in dem die in der Readiness-Arbeit identifizierten Lücken geschlossen sein müssen.
Die wichtigsten Erkenntnisse
- Der Digital Omnibus vom 19. November 2025 ist ein Kommissionsvorschlag, kein geltendes Recht. Solange Rat und Parlament ihn nicht annehmen, bleibt der ursprüngliche Zeitplan des EU AI Act rechtlich verbindlich.
- Der Vorschlag verschiebt potenziell nur den Stichtag der High-Risk-Pflichten von 2. August 2026 auf 2. Dezember 2027 — er entschärft keine einzige inhaltliche Anforderung.
- Verbote unzulässiger Praktiken (seit Februar 2025) und die Regeln für Modelle mit allgemeinem Verwendungszweck (seit August 2025) sind von einer Omnibus-Annahme nicht betroffen und gelten in jedem Szenario weiter.
- Plausibel sind genau zwei Szenarien: Omnibus nicht angenommen → August 2026 gilt; Omnibus angenommen → Dezember 2027 gilt. Die inhaltlichen Anforderungen sind in beiden identisch.
- No-Regret-Maßnahmen — Inventar, Klassifizierung, Verbots-Check, KI-Kompetenz, Governance, Verträge, Evidenz — stiften in beiden Szenarien Wert und sollten sofort beginnen.
- Timing-abhängige Maßnahmen wie die finale Konformitätsbewertung dürfen bewusst getaktet werden — aber nur auf einer vollständigen No-Regret-Basis und mit einem definierten Entscheidungspunkt.
Passende Assessment-Templates
Häufig gestellte Fragen
Nein. Der Digital Omnibus vom 19. November 2025 ist ein Vorschlag der Europäischen Kommission. Eine Verschiebung tritt erst ein, wenn Rat und Parlament den Vorschlag im ordentlichen Gesetzgebungsverfahren annehmen. Bis dahin bleibt der ursprüngliche Zeitplan mit dem Stichtag 2. August 2026 für die High-Risk-Pflichten rechtlich verbindlich.
Der Stichtag für die High-Risk-Pflichten nach Annex III würde sich vom 2. August 2026 auf den 2. Dezember 2027 verschieben. Die inhaltlichen Anforderungen — Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht, Robustheit — blieben unverändert. Verschoben würde nur der Zeitpunkt, ab dem ihre Nichteinhaltung sanktionierbar ist.
Die Verbote unzulässiger KI-Praktiken (wirksam seit 2. Februar 2025), die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (seit 2. August 2025) und die Pflicht zu ausreichender KI-Kompetenz beim Personal sind von einer Omnibus-Annahme nicht betroffen. Sie gelten in jedem Szenario weiter.
Beginnen Sie sofort mit den No-Regret-Maßnahmen — KI-Inventar, Risikoklassifizierung, Eliminierung verbotener Praktiken, KI-Kompetenz, Governance-Aufbau, Lieferantenklauseln und revisionssichere Evidenz. Diese stiften in beiden Szenarien Wert. Nur die timing-abhängigen Schritte wie die finale Konformitätsbewertung dürfen Sie bewusst takten, sobald der Omnibus-Status geklärt ist.
Eine Maßnahme, deren Nutzen unabhängig davon eintritt, ob der Omnibus angenommen wird. Sie reduziert in beiden Szenarien Risiko und ist Voraussetzung für jede weitergehende Compliance-Arbeit. Beispiel: Ein vollständiges KI-Inventar wird gebraucht, gleich ob der Stichtag im August 2026 oder im Dezember 2027 liegt.
Eine seriöse Wahrscheinlichkeitsaussage ist nicht möglich. Der Vorschlag durchläuft das ordentliche Gesetzgebungsverfahren mit Verhandlungen zwischen Rat und Parlament. Trilog-Verläufe können sich über Monate ziehen, Bestimmungen können herausgelöst werden und politische Mehrheiten können kippen. Juristische Kommentierungen wie die von Orrick und DLA Piper empfehlen einheitlich, die Verschiebung als mögliches Szenario zu behandeln, nicht als Planungsgrundlage.
Der EU AI Act Compliance Guide von Alev-B beschreibt den vollständigen Stufenplan und die inhaltlichen Pflichten. Dieser Beitrag ist das Companion-Update dazu: Er aktualisiert ausschließlich die Zeitplan-Frage angesichts des Digital Omnibus. Die inhaltliche Referenz bleibt der ursprüngliche Guide — der Omnibus ändert nichts an den Pflichten, nur am Zeitrahmen.
Die Referenzdarstellung auf artificialintelligenceact.eu führt den Implementierungszeitplan in beiden Lesarten und wird mit dem Verfahrensstand fortgeschrieben. Kanzleianalysen wie die von Orrick und DLA Piper ordnen die rechtliche Tragweite ein. Wichtig ist, die Beobachtung von Trilog-Fortschritt, Ratsposition und Parlamentsabstimmungen fest in die Governance-Berichterstattung aufzunehmen, statt sich auf Einzelmeldungen zu verlassen.