Am 8. Juli 2026 unterzeichneten das Europäische Parlament und der Rat der Europäischen Union den endgültigen Rechtsakt zur Änderung der Verordnung (EU) 2024/1689 (des AI Act) und der Verordnung (EU) 2018/1139 (der EASA Basic Regulation) im Rahmen des Verfahrens 2025/0359(COD), bekannt als Digital Omnibus VII. Der Rat hatte am 29. Juni 2026 endgültig grünes Licht gegeben, und das Verfahren für den Rechtsakt ist nun abgeschlossen und wartet auf die Veröffentlichung im Amtsblatt der Europäischen Union. Sobald er veröffentlicht ist, tritt er am zwanzigsten Tag nach der Veröffentlichung in Kraft.
Die wesentliche Auswirkung ist eine zeitliche Verschiebung der zentralen Pflichten für Hochrisiko-KI des AI Act. Das allgemeine Anwendungsdatum für die meisten Hochrisiko-Pflichten, ursprünglich der 2. August 2026, verschiebt sich auf den 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme, die in Anhang III aufgeführt sind, und auf den 2. August 2028 für Hochrisiko-KI, die in regulierte Produkte eingebettet ist, die unter Anhang I fallen (Machinery Regulation, Medical Devices Regulation, IVDR, Fahrzeuge, Luftfahrt, Schiffsausrüstung). Für jeden Compliance-Verantwortlichen im Bereich KI in der EU ist dies die erste wesentliche Änderung des AI Act seit seiner Verabschiedung im Juni 2024, und sie ändert den Entwicklungs- und Konformitätsplan für jedes System, das auf die Frist August 2026 abzielte.
Die offizielle Quelle für den zeitlichen Ablauf des Verfahrens, die Referenzen der Mitgesetzgeber und den Status des endgültigen Rechtsakts ist die Verfahrensakte des Legislative Observatory des Europäischen Parlaments für 2025/0359(COD). Der Vorschlag der Kommission ist COM(2025) 0836 vom 19. November 2025; der Standpunkt des Parlaments in erster Lesung ist der Text T10-0198/2026 vom 16. Juni 2026; und die Annahme durch den Rat ist am 29. Juni 2026 verzeichnet. Dieser Artikel schlüsselt auf, was sich geändert hat, wer in den Anwendungsbereich fällt und was als Nächstes zu tun ist.
Was ändert das Digital Omnibus VII tatsächlich?
Der Omnibus ist eine gezielte Vereinfachung, keine Neufassung. Er ändert zwei bestehende verbindliche EU-Verordnungen: den AI Act (Verordnung (EU) 2024/1689) und die EASA Basic Regulation (Verordnung (EU) 2018/1139). Der politische Rahmen beider Mitgesetzgeber lautet "Vereinfachung der Umsetzung harmonisierter Vorschriften für künstliche Intelligenz", und die wesentliche rechtliche Auswirkung ist eine Verschiebung der Anwendungsdaten für Hochrisiko-Systeme, gepaart mit begrenzten inhaltlichen Klarstellungen zu den Grenzen des Hochrisiko-Regimes und zur Wechselwirkung mit sektoralen Produktsicherheitsgesetzen.
Die verfahrensrechtliche Verankerung ist für Compliance-Teams von Bedeutung: Der Rechtsakt wurde im ordentlichen Gesetzgebungsverfahren (Mitentscheidung, Rechtsgrundlage Binnenmarkt Artikel 114 AEUV) angenommen, wobei der IMCO-Ausschuss (Berichterstatterin KOKALARI, EVP) und der LIBE-Ausschuss (Berichterstatterin MCNAMARA, Renew) im Europäischen Parlament gemeinsam zuständig waren. Der Trilog endete im Mai 2026, das Parlament stimmte am 16. Juni 2026 über seinen Standpunkt in erster Lesung ab, der Rat nahm ihn am 29. Juni 2026 an, und der endgültige Rechtsakt wurde am 8. Juli 2026 unterzeichnet. Erreichter Verfahrensstand in der Verfahrensakte: "Verfahren abgeschlossen, wartet auf Veröffentlichung im Amtsblatt."
Wer muss die Vorschriften einhalten, und bis wann?
Jeder Anbieter, Betreiber, Importeur, Händler und Bevollmächtigte eines KI-Systems, das auf dem EU-Markt in Verkehr gebracht wird oder dessen Output in der EU verwendet wird, fällt in den Anwendungsbereich des AI Act, unabhängig davon, wo der Anbieter niedergelassen ist. Der Omnibus schränkt diesen Anwendungsbereich nicht ein. Was er tut, ist die Verschiebung der Daten, ab denen die strengen Hochrisiko-Pflichten durchsetzbar werden, während das Regime für verbotene Praktiken, das Transparenzregime für KI mit allgemeinem Verwendungszweck (GPAI) und die institutionelle Architektur (das AI Office, das AI Board, nationale zuständige Behörden) auf ihren ursprünglichen Zeitplänen bleiben.
Konkret sieht die überarbeitete Anwendungsleiter für das Hochrisiko-Regime wie folgt aus:
| Pflichtenbereich | Ursprüngliche Anwendbarkeit | Anwendbarkeit nach Omnibus VII | Bedingung |
|---|---|---|---|
| Artikel 5 verbotene Praktiken (ausgenommen intimes Bildmaterial) | 2. Februar 2025 (bereits anwendbar) | Unverändert, in Kraft | Keine |
| Artikel 5 Verbot von intimem Bildmaterial | 2. Februar 2025 | 2. Dezember 2026 | Bedingt durch Veröffentlichung im Amtsblatt vor dem 2. August 2026 |
| Artikel 50(2) Transparenz / Wasserzeichen für KI-generierte Inhalte | 2. August 2026 | 2. Dezember 2026 | Bedingt durch Veröffentlichung im Amtsblatt vor dem 2. August 2026 |
| GPAI-Transparenz und Benennung des AI Office | 2. August 2025 (bereits anwendbar) | Unverändert, in Kraft | Keine |
| Anhang III eigenständige Hochrisiko-KI-Systeme | 2. August 2026 | 2. Dezember 2027 | Bedingt durch Veröffentlichung im Amtsblatt vor dem 2. August 2026 |
| Anhang I in Produkte eingebettete Hochrisiko-KI (Machinery Regulation, Medical Devices Regulation, IVDR, Fahrzeuge, Luftfahrt, Schiffsausrüstung) | 2. August 2027 | 2. August 2028 | Bedingt durch Veröffentlichung im Amtsblatt vor dem 2. August 2026 |
Der Zusatz "bedingt durch Veröffentlichung im Amtsblatt vor dem 2. August 2026" ist der rechtliche Angelpunkt: Die Verschiebungen greifen nur, wenn der Omnibus vor dem ursprünglichen Anwendungsdatum am 2. August 2026 im Amtsblatt veröffentlicht wird. Da der endgültige Rechtsakt am 8. Juli 2026 unterzeichnet wurde, ist diese Bedingung faktisch erfüllt, aber der formale Auslöser ist die Veröffentlichung im Amtsblatt, nicht die Unterzeichnung. Teams sollten das Datum der Veröffentlichung im Amtsblatt im EUR-Lex CELEX-Eintrag für den endgültigen Rechtsakt verfolgen, der der Unterzeichnung innerhalb weniger Tage folgen wird.
Welche Pflichten des AI Act verschieben sich, und welche bleiben auf dem ursprünglichen Zeitplan?
Die Verschiebung ist selektiv. Drei Kategorien verschieben sich: die in Anhang III genannten Pflichten für eigenständige Hochrisiko-Systeme (auf den 2. Dezember 2027), die in Anhang I genannten Pflichten für in Produkte eingebettete Hochrisiko-Systeme (auf den 2. August 2028) und zwei spezifische Transparenzbestimmungen (Artikel 5 Verbot von intimem Bildmaterial und Artikel 50(2) Wasserzeichen, beide auf den 2. Dezember 2026). Alles andere, einschließlich des Kerns der verbotenen Praktiken nach Artikel 5, der GPAI-Transparenz- und Dokumentationspflichten, des GPAI-Verhaltenskodex für Modelle mit systemischem Risiko und des institutionellen Aufbaus des AI Office und der nationalen zuständigen Behörden, bleibt auf dem ursprünglichen Zeitplan.
Dieses selektive Muster ist operativ von Bedeutung. Anbieter von GPAI-Modellen müssen weiterhin die Dokumentations- und Informationspflichten für die nachgelagerte Lieferkette nach Artikel 53 erfüllen, die seit dem 2. August 2025 anwendbar sind, und Anbieter von GPAI-Modellen mit systemischem Risiko müssen weiterhin die Pflichten nach Artikel 55 erfüllen. Betreiber von Systemen zur Emotionserkennung oder biometrischen Kategorisierung müssen weiterhin die Transparenzpflichten nach Artikel 50 erfüllen, die seit dem 2. August 2026 in Kraft sind, mit Ausnahme der enger gefassten Unterbestimmung zu Wasserzeichen, die sich auf den 2. Dezember 2026 verschiebt. Die Compliance-Arbeit, die ohnehin für 2025 und Anfang 2026 geplant war, bleibt unverändert; der Omnibus verschafft nur Zeit für die Konformitätsbewertung von Hochrisiko-Systemen, das Risikomanagementsystem, die Daten-Governance, die technische Dokumentation und die Pflichten zur Überwachung nach dem Inverkehrbringen, die auf der Hochrisiko-Klassifizierung aufbauen.
Was bedeutet der Omnibus für Anbieter von Hochrisiko-KI-Systemen?
Für einen Anbieter eines in Anhang III genannten Hochrisiko-KI-Systems (zum Beispiel ein Tool zur Überprüfung von Bewerbungen, ein Kreditscoringsystem, eine Komponente kritischer Infrastrukturen oder ein System zur Berechtigung für Bildung oder wesentliche Dienstleistungen) bedeutet die praktische Auswirkung eine Verlängerung des Entwicklungszeitraums um 16 Monate: vom 2. August 2026 auf den 2. Dezember 2027. Das ist Zeit, um die Konformitätsbewertung abzuschließen, das Risikomanagementsystem aufzubauen, die technische Dokumentation zusammenzustellen, die automatische Protokollierung und menschliche Aufsicht einzurichten und gegebenenfalls Verträge mit einer Benannten Stelle abzuschließen. Es ist keine Zeit, um die Arbeit aufzuschieben: Die Konformitätsbewertung unter dem AI Act ist ein dokumentations- und nachweisintensiver Prozess, der für ein nicht-triviales System 6 bis 12 Monate dauert, und die neue Frist ist noch 17 Monate entfernt.
Für Anbieter von in Produkte eingebetteter Hochrisiko-KI nach Anhang I beträgt die Verlängerung vom 2. August 2027 auf den 2. August 2028. Dies ist der Bereich, der sich mit sektoralen Produktsicherheitsgesetzen überschneidet: der Machinery Regulation, der Medical Devices Regulation (MDR), der In Vitro Diagnostics Regulation (IVDR), dem Typgenehmigungsrahmen für Kraftfahrzeuge und der EASA Basic Regulation. Der Omnibus ändert die EASA Basic Regulation genau zu dem Zweck, ihre KI-Bestimmungen mit dem neuen Datum im August 2028 in Einklang zu bringen, weshalb die Basic Regulation im formalen Titel des Rechtsakts erscheint. Anbieter in diesem Bereich sollten ihre Konformitätsbewertung so umplanen, dass sie parallel zum sektoralen CE-Kennzeichnungsprozess abläuft, nicht nacheinander, und sollten erwarten, dass sich die zuständigen sektoralen Behörden (Benannte Stellen für MDR/IVDR, Typgenehmigungsbehörden für Kraftfahrzeuge, EASA für die Luftfahrt) mit dem AI Office auf der Ebene des AI Act abstimmen.
Für Betreiber von Hochrisiko-KI (Arbeitgeber, Banken, Krankenhäuser, Behörden) verzögert die Verlängerung gleichermaßen die Pflichten auf Betreiberseite: die Grundrechte-Folgenabschätzung nach Artikel 27, die Pflichten zur menschlichen Aufsicht, die Registrierung in der öffentlichen EU-Datenbank für bestimmte Betreiber von Hochrisiko-Systemen und die Pflicht zur Überwachung nach dem Inverkehrbringen zur Meldung schwerwiegender Vorfälle. Betreiber, die Prozesse aufbauten, um die Frist im August 2026 einzuhalten, sollten den Aufbau beibehalten und die zusätzliche Zeit für die institutionelle Einführung, Schulungen und die Integration in bestehende Compliance-Management-Systeme nutzen.
Wie sollten KI-Compliance-Verantwortliche die nächsten 18 Monate umplanen?
Vier Maßnahmen sind jetzt zeitkritisch, und die zusätzlichen 16 Monate beseitigen keine davon. Erstens: Setzen Sie die Basislinie des Compliance-Fahrplans anhand der neuen Daten 2. Dezember 2027 und 2. August 2028 neu fest, und bestätigen Sie, dass die Bedingung der Veröffentlichung im Amtsblatt erfüllt ist, bevor Sie die Verschiebung als endgültig betrachten. Zweitens: Inventarisieren Sie jedes in den Anwendungsbereich fallende KI-System und klassifizieren Sie es anhand der Post-Omnibus-Listen von Anhang III und Anhang I, da die Klassifizierung bestimmt, welche Frist gilt. Drittens: Beginnen oder setzen Sie die Vorbereitung der Konformitätsbewertung fort, einschließlich der technischen Dokumentation, des Risikomanagementsystems, der Nachweise zur Daten-Governance und der Einbindung einer Benannten Stelle für Systeme, die eine Konformitätsbewertung durch Dritte erfordern. Viertens: Überwachen Sie die Pipeline der sekundären Rechtsakte: Das AI Office und die Kommission veröffentlichen weiterhin Durchführungsrechtsakte und delegierte Rechtsakte (den GPAI-Verhaltenskodex, die Leitlinien zur Hochrisiko-Einstufung, die detaillierten technischen Standards für Anhang III), die die operativen Details des Hochrisiko-Regimes ausfüllen, und diese werden während des Verschiebungszeitraums eintreffen.
Das Lobbyregister zum Verfahren 2025/0359(COD) ist ein nützliches Signal dafür, wo die nächsten Druckpunkte liegen. Das Transparenzregister des Europäischen Parlaments für 2025/0359(COD) verzeichnet Treffen zwischen den Berichterstattern und Schattenberichterstattern und Mistral AI, Google, der AI Chamber, noyb, European Digital Rights (EDRi), CCIA Europe, Allegro, Wolt, Inter Ikea, dem TIC Council, der International Federation of the Phonographic Industry, den Brüsseler Büros von ARD und ZDF, der European Tech Alliance, ALLAI, der European FinTech Association und der European Federation of Engineering Consultancy Associations. Diese Breite des Engagements, das KI-Entwickler, Plattformen, Rechteinhaber, Zivilgesellschaft und Branchenverbände umfasst, signalisiert ein hohes Interesse der Stakeholder daran, wie das Hochrisiko-Regime und seine Durchführungsrechtsakte während des Verschiebungszeitraums operationalisiert werden. Das Register verzeichnet, dass die Treffen stattgefunden haben; es verzeichnet nicht die eingenommenen Positionen, daher weist dieser Artikel keine zu.
Was blieb unverändert, von dem Teams vielleicht eine Verschiebung erwartet hätten?
Drei Dinge, die der Omnibus nicht geändert hat, sind erwähnenswert, da die Fachpresse sie gelegentlich mit der Verschiebung vermischt hat. Der Kern der verbotenen Praktiken aus Artikel 5 (unterschwellige Beeinflussung, Social Scoring durch Behörden, ungerichtetes Auslesen von Gesichtsbildern, Emotionserkennung an Arbeitsplätzen und in Schulen, biometrische Kategorisierung nach sensiblen Merkmalen und biometrische Fernidentifizierung in Echtzeit durch Behörden) bleibt in Kraft und ist bereits durchsetzbar. Das GPAI-Transparenzregime bleibt in Kraft. Und die institutionelle Architektur, das AI Office innerhalb der Kommission, das European AI Board, das Beratungsforum und das wissenschaftliche Panel, bleibt in Kraft. Der Omnibus ist im engeren Sinne eine Verschiebung für Hochrisiko-Systeme und eine gezielte Anpassung der EASA Basic Regulation, kein vollständiges Pausieren des AI Act.
Genau hier macht sich ein kontinuierliches, rechtsspezifisches Monitoring bezahlt. Ein Signal, das sich innerhalb von zwei Monaten von "Trilog-Einigung" zu "Annahme durch den Rat" zu "endgültiger Rechtsakt unterzeichnet" zu "Veröffentlichung im Amtsblatt" bewegte, hat jeden EU-KI-Compliance-Fahrplan umgestaltet. Obsidian verfolgt diese Signalkette von Anfang bis Ende, mit der regelwerksbezogenen Abstammung, die jeden Verfahrensschritt auf den spezifischen Artikel der zugrunde liegenden Verordnung zurückführt. Die KI ist ein verifizierter regulatorischer Begleiter, niemals ein Ersatz für den menschlichen Experten, der die Konformitätsbewertung abzeichnet, aber sie ist der schnellste Weg, die Änderung an die Oberfläche zu bringen, sobald sich ein Mitgesetzgeber bewegt. Siehe Monitoring und die Seite zum KI-Begleiter dafür, wie das in der Praxis funktioniert, und Preisgestaltung für die Planstruktur.
Verfolgen Sie dieses Thema in Echtzeit mit einem kostenlosen Monitoring-Auftrag
Für die nächsten 18 Monate ist die Checkliste überschaubar. Bestätigen Sie das Datum der Veröffentlichung im Amtsblatt in EUR-Lex in dem Moment, in dem es erscheint, setzen Sie die Basislinie jedes Hochrisiko-KI-Projektplans anhand des 2. Dezember 2027 (Anhang III) oder des 2. August 2028 (Anhang I) neu fest, behalten Sie die GPAI-Transparenz- und Verbots-Arbeit auf dem ursprünglichen Kalender für 2025-2026, informieren Sie die Produkt-, Rechts-, ML-Engineering- und Beschaffungsteams schriftlich über die neuen Daten und verfolgen Sie die Pipeline der Durchführungsrechtsakte des AI Office, die die operativen Details während des Verschiebungszeitraums ausfüllen wird. Obsidian wird weiterhin jeden wesentlichen Schritt zum AI Act und zum Digital Omnibus aufzeigen, sobald er stattfindet.