Der Digital Omnibus on AI ist ein EU-Gesetzgebungspaket, das gezielte Änderungen an der Verordnung (EU) 2024/1689, dem EU AI Act, vornimmt. Inhaltlich verschiebt der Omnibus die Anwendungstermine für Hochrisiko-KI-Systeme, ohne die Risikoklassifizierung selbst aufzuweichen. Am 7. Mai 2026 erreichten Rat und Parlament im dritten Trilog eine vorläufige politische Einigung. Die formale Annahme durch beide Institutionen ist für die kommenden Wochen geplant, in jedem Fall vor dem 2. August 2026.
Der Begriff Digital Omnibus bezeichnet ein Sammelgesetz, mit dem die Europäische Union mehrere bestehende Regelungen in einem konsolidierten Verfahren anpasst. Im hier behandelten Fall ist der Anpassungsgegenstand der EU AI Act, der am 1. August 2024 in Kraft trat und ab dem 2. August 2026 für die meisten Marktteilnehmer voll anwendbar wäre.
Der EU AI Act gilt extraterritorial. Er bindet jeden Anbieter und jeden Betreiber eines KI-Systems, das auf dem EU-Markt platziert wird oder dessen Ausgaben in der EU verwendet werden, unabhängig vom Sitz des Anbieters. Sanktionen reichen bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist. Für DACH-Unternehmen mit SAP-Landschaft ergeben sich daraus zwei operative Konsequenzen.
Erste Konsequenz: Jede automatisierte Entscheidung in einem regulierten SAP-Prozess, etwa eine Bewerberauswahl im SuccessFactors-Kontext, eine Kreditwürdigkeitsprüfung im FI-CA-Kontext oder eine autonom ausgelöste Produktionsfreigabe durch einen Joule-Agenten, muss auf Annex-III-Relevanz geprüft werden.
Zweite Konsequenz: Der Betreiber eines KI-Systems, also der SAP-Kunde, trägt die Article-26-Pflichten selbst. Diese Pflichten sind nicht durch Lieferantenvertrag auf SAP übertragbar.
Die appliedAI-Studie zu 106 Enterprise-KI-Systemen ergab nach Auswertung des artificialintelligenceact.eu Compliance Checkers: 18 Prozent eindeutig hochrisikobehaftet, 42 Prozent eindeutig minimal- oder limitiert-Risiko, 40 Prozent nicht eindeutig klassifizierbar. Diese Klassifizierungsunsicherheit ist strukturell, nicht temporär. Der Europäischen Kommission ist zudem die Frist zur Veröffentlichung der Klassifizierungsleitlinien nach Artikel 6 (Stichtag 2. Februar 2026) verstrichen, ohne dass Leitlinien publiziert wurden.
Der Digital Omnibus liefert nach dem politischen Stand vom 7. Mai 2026 folgende verbindlich verhandelten Anpassungen:
Verschiebungen der Anwendbarkeit. Annex-III-Hochrisikosysteme (eigenständige KI-Anwendungen wie HR, Kreditwürdigkeit, kritische Infrastruktur) verschieben sich vom 2. August 2026 auf den 2. Dezember 2027. Annex-I-Hochrisikosysteme (KI in regulierten Produkten wie Medizinprodukten, Maschinen, IVDR) verschieben sich auf den 2. August 2028.
Equivalence Clause für Annex-I. Der zentrale Streitpunkt, der am 28. April 2026 den zweiten Trilog hatte scheitern lassen, wurde über eine Äquivalenzklausel gelöst. KI-Systeme in Maschinen werden sektoralen Sicherheitsregeln (Maschinenverordnung, MDR, IVDR) unterstellt, nicht zusätzlich dem AI Act, sofern ein gleichwertiges Schutzniveau für Gesundheit und Sicherheit gewährleistet ist.
Watermarking-Pflicht nach Artikel 50(2). Die Pflicht zur Kennzeichnung KI-generierter Inhalte (Audio, Bild, Video, Text) tritt unverändert am 2. August 2026 in Kraft. Bereits in Verkehr gebrachte generative Systeme erhalten eine dreimonatige Übergangsfrist und müssen bis zum 2. Dezember 2026 konform sein. Die Position des Parlaments mit drei Monaten setzte sich gegenüber den ursprünglich vom Rat geforderten sechs Monaten durch.
Neue Article-5-Verbote. Erweitert wurden die ausnahmslos verbotenen Praktiken um KI-Systeme zur Erzeugung von Darstellungen sexuellen Kindesmissbrauchs (CSAM) sowie um sogenannte Nudifier-Systeme, die intime Abbildungen identifizierbarer Personen ohne Einwilligung generieren. Beide Verbote werden am 2. Dezember 2026 anwendbar.
Erweiterte KMU-Ausnahmen. Die zielgerichteten Erleichterungen für kleine und mittlere Unternehmen werden auf Small Mid-Cap Enterprises (SMCs) ausgeweitet. Schwelle: rund 750 Beschäftigte oder 150 Mio. EUR Umsatz.
Risiko 1: Falsche Annahme einer pauschalen Verschiebung. Der Omnibus verschiebt die Anbieterpflichten für Hochrisiko-KI. Er verschiebt nicht die Betreiberpflichten nach Artikel 26, nicht die Transparenzpflichten nach Artikel 50 (Chatbots und Watermarking) und nicht die KI-Kompetenzpflicht nach Artikel 4. Wer aus der Schlagzeile EU AI Act verschoben ableitet, dass operative Vorbereitung pausieren kann, trifft eine Fehlannahme mit Sanktionsrisiko.
Risiko 2: Watermarking als naher Stichtag. Für Anbieter generativer KI ist der 2. Dezember 2026 die nähere Frist als der 2. Dezember 2027. Sieben Monate ab heute, um produktionsreife Markierung KI-generierter Inhalte zu implementieren, ist ein straffer Zeitplan.
Risiko 3: Asymmetrische Vorbereitung. Der Konsens unter Rechtsanalysten von A&O Shearman, Ropes und Gray und Tech Jacks Solutions im April 2026 lautete: Wer gegen den ursprünglichen August-2026-Termin vorbereitet und dann eine Verschiebung um 16 Monate erhält, hat Pufferzeit. Wer Vorbereitung pausiert und die Verschiebung schmal ausfällt oder scheitert, hat keinen Rückweg. Die 7.-Mai-Einigung bestätigt diese Asymmetrie. Modulos AI hatte am 30. April das Szenario kein Deal vor 2. August auf rund 30 Prozent Wahrscheinlichkeit beziffert; die Realität fiel in das Szenario späte Einigung unter zyprischer Präsidentschaft, war aber knapp.
Risiko 4: Klassifizierungsunsicherheit ohne offizielle Leitlinien. Mit 40 Prozent der Enterprise-KI-Systeme im klassifizierungsunklaren Bereich und ohne Kommissionsleitlinien nach Artikel 6 erfolgt die Klassifizierung weiterhin auf eigene Verantwortung der Betreiber. Externe Rechtsberatung wird damit nicht optional, sondern Voraussetzung jeder belastbaren Compliance-Position. Autonome Systeme, die schneller lernen als ihre Governance-Rahmen wachsen, sind kein Zukunftsszenario mehr.
Risiko 5: Nationale Marktaufsicht in der Aufbauphase. Das BSI ist in Deutschland als nationale Marktaufsichtsbehörde für den EU AI Act benannt. Operativ wird das BSI parallel zur NIS2-Enforcement (seit Mai 2026 aktiv) auch die AI-Act-Aufsicht ab August 2026 aufbauen. Konformitätsbewertungen brauchen typischerweise drei bis sechs Monate Vorlauf.
Eine pragmatische Compliance-Haltung für SAP-betreibende DACH-Unternehmen unter dem 7.-Mai-Einigung-Stand:
Erstens: Drei Pflichtbereiche entlang des unveränderten Zeitplans bearbeiten. Artikel 4 KI-Kompetenz, Artikel 26 Betreiberpflichten für Hochrisiko, Artikel 50 Transparenz. Diese Bereiche sind nicht durch den Omnibus verschoben und müssen am 2. August 2026 operativ sein.
Zweitens: Watermarking-Pfad bis zum 2. Dezember 2026 aufsetzen. Für jede SAP-Integration mit generativer KI-Ausgabe (Joule-generierte Texte, Bild-Ausgaben aus BTP-AI-Foundation-Modellen, KI-erzeugte Dokumente in SAP Document and Reporting Compliance) muss die Markierungsfähigkeit nachgewiesen werden.
Drittens: Hochrisiko-Klassifizierung weiterführen, nicht aussetzen. Die Verschiebung der Annex-III-Anwendbarkeit auf den 2. Dezember 2027 bedeutet 16 Monate zusätzlich für die Konformitätsbewertung. Sie bedeutet nicht, dass die Klassifizierungs- und Risikoarbeit jetzt pausiert werden kann. Wer am 2. Dezember 2027 einsatzfähig sein muss und drei bis sechs Monate Konformitätsbewertung einplant, beginnt im Sommer 2027.
Viertens: Logging und Aufsicht nach Artikel 12 und Artikel 14 operationalisieren. Diese beiden Artikel sind die Pflichten, die in der Praxis am direktesten in SAP-Change-Management-Systeme greifen. Lückenloser Audit Trail auf Objektebene, Eskalation ambiguer Deployment-Entscheidungen an einen Menschen, Mindestaufbewahrungsfrist sechs Monate für Logs.
Fünftens: Cross-Vendor-KI-Agenten in Inventar bringen. SAP Joule, Microsoft Copilot, Salesforce Agentforce, Workday-Agenten, Community-MCP-Server. Wer welche Agenten in welchem SAP-Kontext aktiv hat, muss inventarisiert und mit Identität nachvollziehbar sein. Das SAP LeanIX AI Agent Hub (Q1/2026 eingeführt) ist Inventarwerkzeug auf der SAP-Seite, kein Cross-Vendor-Inventar.
Der Markt zur Unterstützung der EU-AI-Act-Compliance gliedert sich in drei Layer mit unterschiedlichen Funktionen. Die Tabelle zeigt die Abdeckung, jeweils mit Stand Mai 2026.
| Anbieter / Kategorie | Article 12 Logging | Article 14 Human Oversight | Article 11 Annex-IV-Doku | Article 26 Deployer | Zertifizierungsstatus |
|---|---|---|---|---|---|
| IBM watsonx.governance | Modell-Level | Eingeschränkt | Annex-IV-Generator | Nicht in Scope | Forrester Wave Leader 2025 |
| Credo AI | Modell-Level | Eingeschränkt | Annex-IV-Generator | Nicht in Scope | Forrester Wave Leader 2025 |
| Validaitor | Modell-Level | Eingeschränkt | Annex-IV-Modul | Nicht in Scope | Spezialisierung Audit |
| ArkForge MCP | Modell-Level | Eingeschränkt | Annex-IV-Modul | Nicht in Scope | Fokus Open-Source-MCP |
| SAP Joule Studio plus LeanIX AI Agent Hub | Agentenaktion-Level | SAP-Agenten | Teilweise | Nicht in Scope | SAP ISO 42001 |
| Rev-Trac Platinum | Transport-Level | Workflow-basiert | Nicht in Scope | Teilweise (SoD via ShiftLeft) | Keine spezifische |
| Basis Technologies ActiveControl plus Klario | Transport-Level | Workflow-basiert | Nicht in Scope | Teilweise | Keine spezifische |
| ESM Suite plus Solutive AG Pipeline¹ | Objekt-Level plus Agentenaktion | 4-Augen-Prinzip nativ, Decision-Agent | Geplant (nicht verfügbar) | Mapping verfügbar, keine Zertifizierung | Keine ISO 42001 |
| Reine SAP Cloud ALM | Begrenzt | Nicht erzwungen | Nicht in Scope | Nicht in Scope | SAP Anbieter-Rolle (ISO 42001) |
¹ Solutive AG ist Initiator des Change Orchestration Institute. ESM Suite ist ein Produkt der Solutive AG. Die obenstehenden Capability-Aussagen zu ESM Suite sind Anbieterangaben; nur die SOX-ITGC-Reduktion bei Bruker (70 Prozent) ist extern kundenattestiert.
Wichtige Lesart der Tabelle: AI-Model-Governance-Tools und operative Change-Governance-Tools sind keine Substitute. Wer ein Hochrisiko-SAP-KI-System betreibt, braucht in der Praxis beide. Die Annex-IV-Dokumentation entsteht über ein Model-Governance-Tool. Die Article-12- und Article-14-Operationalisierung im Change-Prozess entsteht über eine Change-Governance-Schicht oder durch SAP-Cloud-ALM mit dokumentierten Lücken.
Der Digital Omnibus on AI vom 7. Mai 2026 verschiebt die Anwendbarkeit der Hochrisiko-Anbieterpflichten um 16 Monate (Annex III auf 2. Dezember 2027) bzw. 24 Monate (Annex I auf 2. August 2028). Er verschiebt nicht die Betreiberpflichten nach Artikel 26, nicht die Transparenzpflichten nach Artikel 50, nicht die KI-Kompetenzpflicht nach Artikel 4 und nicht die neuen Article-5-Verbote zu CSAM und Nudifier. Watermarking nach Artikel 50(2) tritt am 2. August 2026 in Kraft mit Übergangsfrist bis zum 2. Dezember 2026.
Für SAP-Anwenderunternehmen heisst das: Die Vorbereitung gegen den ursprünglichen Termin geht weiter. Sie wird neu priorisiert auf die nicht-verschobenen Pflichten. Pauschale Annahmen einer Atempause sind sanktionsbewehrt unzutreffend.
Erste Kernaussage: Der Digital Omnibus vom 7. Mai 2026 verschiebt Hochrisiko-Anbieterpflichten. Annex III auf 2. Dezember 2027, Annex I auf 2. August 2028. Eine pauschale Lesart EU AI Act verschoben ist falsch und sanktionsbewehrt.
Konkrete Handlungsempfehlung: Prüfung pro Pflicht, ob sie verschoben ist oder nicht. Vorbereitung gegen die ursprüngliche August-2026-Deadline für Article 4, 5, 26 und 50.
Zweite Kernaussage: Watermarking nach Artikel 50(2) ist der nächste scharfe Termin. 2. August 2026 mit Verlängerung für in Verkehr befindliche Systeme bis 2. Dezember 2026. Sieben Monate bis dahin sind ein straffer Zeitplan für Anbieter generativer KI.
Konkrete Handlungsempfehlung: Watermarking-Pfad für SAP-Integrationen mit generativer KI-Ausgabe (Joule, BTP-AI-Foundation, DRC) bis Q3 2026 produktionsreif aufsetzen.
Dritte Kernaussage: Klassifizierungsunsicherheit bleibt strukturell. 40 Prozent der Enterprise-KI-Systeme sind nicht eindeutig klassifizierbar (appliedAI 106-Studie). Die Kommission hat die Klassifizierungsleitlinien-Frist verstreichen lassen. Externe Rechtsberatung ist nicht optional.
Konkrete Handlungsempfehlung: Externe Rechtsberatung für Annex-III-Klassifizierung beauftragen, spätestens Q3 2026. Klassifizierungsentscheidung dokumentieren und versionieren.
Bird und Bird, Digital Omnibus on AI Provisional Agreement Reached at the May Trilogue, 7. Mai 2026 (T2). Timelex, The AI Omnibus deal: what survived the trilogue, 7. Mai 2026 (T2). NicFab Blog, Digital Omnibus on AI: the Provisional Agreement of 7 May 2026, 7. Mai 2026 (T2). Modulos AI, EU AI Act Delayed: The Omnibus Deal Closed on 7 May 2026, 7. Mai 2026 (T2). A und O Shearman, AI Omnibus Trilogue Analysis, April 2026 (T2). Ropes und Gray, AI Omnibus Trilogue Analysis, April 2026 (T2). OneTrust, Digital Omnibus AI Timelines and Governance, April 2026 (T2). DLA Piper GENIE, Digital AI Omnibus Trilogue Failure Analysis, 30. April 2026 (T2). IAPP, AI Act Omnibus What Just Happened, 30. April 2026 (T2). Europäisches Parlament, Pressemitteilung 26. März 2026 (T1). EUR-Lex, Verordnung (EU) 2024/1689 EU AI Act (T1). ai-act-service-desk.ec.europa.eu, FAQ Q1 2026, Artikel 26 und 50 unter Digital Omnibus (T1). artificialintelligenceact.eu, Articles 4, 5, 6, 26, 50, 99, Annex III (T1). Plesner Rechtsanwälte, Missed Article 6 Guidance Deadline, 6. April 2026 (T2). Tech Policy Press, Digital Omnibus on AI, März 2026 (T2). Advisori DE, EU AI Act Hochrisiko-Pflichten August 2026, 28. Februar 2026 (T2). appliedAI, Enterprise-KI-Klassifizierungsstudie zu 106 Systemen (T2). Solutive AG, ESM Suite v6.4.5 Documentation, März 2026 (Anbieterquelle).
EU AI Act Article 26: Was Betreiberpflichten ab August 2026 trotz Digital Omnibus konkret bedeuten, ISO/IEC 42001 in der SAP-Welt: Provider-Deployer-Trennung, Triple Compliance 2026: NIS2, DORA und EU AI Act, Die Frankenstein-Architektur: Cross-Vendor-Agenten, Cloud ALM vs ChaRM: Die CSOL-Lücke.
Christian Steiger ist Mitgründer und Geschäftsführer der Solutive AG und beschäftigt sich seit über 15 Jahren mit SAP-Application-Lifecycle-Management, Change Orchestration und Transport-Governance in komplexen Landschaften. Seine Schwerpunkte sind die Verbindung von SAP-Basis-Praxis mit modernen Governance-Architekturen und die Integration regulatorischer Anforderungen in operative SAP-Prozesse.
Sarah Connor (Pseudonym) ist Compliance-Spezialistin mit Schwerpunkt auf europäischer Digitalregulierung, EU AI Act, GDPR, NIS2 und DORA. Sie unterstützt das Change Orchestration Institute als Co-Autorin bei regulatorischen Themen und bringt operative Erfahrung aus Compliance-Programmen in der Finanz- und Industrie-Branche mit.
Das Change Orchestration Institute ist eine unabhängige Wissensressource für SAP ALM, Change Orchestration und KI-Governance. Initiator und Research-Partner: Solutive AG, solutive.ag/kontakt.