KI Governance

Digital Omnibus on AI: Was die vorläufige Einigung vom 7. Mai 2026 für Unternehmen bedeutet

Der Digital Omnibus on AI ist ein Paket der EU-Kommission zur Vereinfachung und teilweisen Verschiebung von Verpflichtungen aus der Verordnung (EU) 2024/1689 (EU AI Act). Am 7. Mai 2026 erzielten Rat und Parlament im dritten Trilog eine vorläufige Einigung.

May 18, 2026

min Lesezeit

Was der Digital Omnibus on AI ist

Der Digital Omnibus on AI ist ein Paket der EU-Kommission zur Vereinfachung und teilweisen Verschiebung von Verpflichtungen aus der Verordnung (EU) 2024/1689 (EU AI Act). Am 7. Mai 2026 erzielten Rat und Parlament in Strasburg im dritten Trilog eine vorläufige politische Einigung, nachdem der zweite Trilog am 28. April 2026 gescheitert war.

Die Einigung ist provisorisch. Die formale Annahme durch Europäisches Parlament und Rat ist für die kommenden Wochen anvisiert, in jedem Fall vor dem 2. August 2026, da andernfalls die ursprünglich vorgesehenen Fristen automatisch greifen.

Was die Trilog-Einigung für Unternehmen bedeutet

Der Digital Omnibus beantwortet drei Fragen, die seit Anfang 2026 Compliance-Teams blockierten: Wann genau gelten die Hochrisiko-Pflichten der Annex III? Was passiert mit eingebetteten KI-Komponenten in regulierten Produkten (Annex I)? Bleibt die Kennzeichnungspflicht für synthetische Inhalte (Artikel 50) am 2. August 2026?

Für SAP-Anwender, die KI-gestützte Personalentscheidungen treffen, Kreditscoring betreiben oder generative Inhalte über Joule erzeugen, ist die Antwort budgetrelevant. Wer im Frühjahr 2026 Konformitätsbewertungen, Risikomanagementsysteme und FRIA-Verfahren für August 2026 plante, muss neu kalibrieren. Wer die ursprünglichen Fristen ignoriert hatte, gewinnt Zeit, nicht Entwarnung.

Was sich verschiebt, und was nicht

Die wesentlichen Punkte der Einigung vom 7. Mai 2026:

Pflichtenkomplex	Ursprünglich	Neu (Stand 7. Mai 2026)
Annex III Hochrisiko-Systeme (eigenständig)	2. August 2026	2. Dezember 2027 (fixes Datum)
Annex I Hochrisiko-Systeme (in regulierte Produkte eingebettet)	2. August 2027	2. August 2028 (fixes Datum)
Kennzeichnung synthetischer Inhalte (Art. 50 Abs. 2)	2. August 2026	2. August 2026 unverändert, mit Übergangsperiode von 3 Monaten bis 2. Dezember 2026
Neue Art. 5 Verbote (KI-CSAM, Nudifier-Systeme)	nicht im Originaltext	2. Dezember 2026
KI-Regulierungssandboxes	2. August 2026	2. August 2027
Artikel 26 Deployer-Pflichten	2. August 2026	unverändert, keine Verschiebung
Artikel 4 KI-Kompetenz	bereits 2. Februar 2025	unverändert
Artikel 5 bestehende Verbote	2. Februar 2025	unverändert
Art. 53 GPAI-Modellpflichten	2. August 2025	unverändert

Die Streitfrage zur Annex I Konformitätsbewertung, an der der zweite Trilog gescheitert war, wurde über eine Äquivalenzklausel gelöst: KI-Maschinenprodukte müssen nur den sektoralen Sicherheitsregeln genügen, nicht zusätzlich dem AI Act, sofern ein gleichwertiges Schutzniveau für Gesundheit und Sicherheit gewährleistet ist. Laut Tech Policy Press (Laura Caroli, 7. Mai 2026) wurde nur der Maschinensektor herausgelöst, die elf anderen Sektoren bleiben über überbrückende Standards an den AI Act gebunden.

Warum die Verschiebung kein Freibrief ist

Kein Freibrief auf der Deployer-Seite. Die zentrale Falle: Artikel 26 wurde nicht verschoben. Unternehmen, die KI-Systeme einsetzen, ohne sie selbst zu entwickeln, tragen ab 2. August 2026 die volle Last der Deployer-Pflichten, unabhängig vom Omnibus.

Restrisiko der formalen Annahme. Die Einigung ist politisch, nicht rechtskräftig. Scheitert die finale Abstimmung im Parlament oder Rat vor 2. August 2026, greifen die ursprünglichen Fristen automatisch. IAPP (30. April 2026) und Modulos AI (7. Mai 2026) verweisen auf das knappe Zeitfenster zwischen Einigung und Veröffentlichung im Amtsblatt.

Politisches Signal aus Deutschland. Tech Policy Press dokumentiert, dass Druck aus dem Bundeskanzleramt unter CDU-Kanzler Merz den Rat in Richtung Industriepositionen verschob. Wer aus dieser Verschiebung dauerhafte regulatorische Entspannung ableitet, unterschätzt die Möglichkeit, dass nachgelagerte Leitlinien (Klassifizierungsguidance, Konformitätsanforderungen) die wegfallende Frist faktisch ersetzen.

Veralteter Schutz durch nationale Aufsicht. Während Brüssel verschiebt, eskaliert in Deutschland die NIS2-Durchsetzung durch das BSI. Eine Compliance-Strategie, die ausschließlich auf den AI Act schaut, blendet die operative Realität aus, in der autonome Systeme schneller lernen, als ihre Governance-Rahmen wachsen.

Watermarking-Lücke schließt sich schneller, nicht langsamer. Die Übergangsperiode für bereits vermarktete generative KI-Systeme wurde gegenüber dem Kommissionsvorschlag von sechs auf drei Monate verkürzt (Parlamentsposition setzte sich durch). Für SAP Joule und vergleichbare Systeme bedeutet das: Konformität für Art. 50 bis 2. Dezember 2026, drei Monate früher als ursprünglich.

Compliance-Roadmap bis Q4 2026

Eine pragmatische Compliance-Roadmap unter dem neuen Stand:

Sofort: Inventar aller eingesetzten KI-Systeme nach Risikoklasse (Annex I, Annex III, Limited Risk, Minimal Risk) und Rolle (Provider, Deployer) aktualisieren.
Bis 2. August 2026: Artikel 26 Deployer-Pflichten operativ umsetzen. Menschliche Aufsicht zuweisen, Logging über mindestens 6 Monate sicherstellen, Vorfallmeldewege etablieren. Diese Frist verschiebt sich nicht.
Bis 2. Dezember 2026: Kennzeichnung synthetischer Inhalte für bereits vermarktete generative Systeme nachrüsten.
Bis Q4 2026: FRIA-Verfahren und Risikomanagementsystem für Hochrisiko-Systeme aufbauen, auch wenn der Anwendungsbeginn auf 2. Dezember 2027 verschoben wurde. Aufbauzeit unterschätzen ist das häufigste Implementierungsrisiko.
Kontinuierlich: Sekundärrechtsakte und Leitlinien verfolgen, insbesondere die am 8. Mai 2026 eröffnete Kommissionskonsultation zu Artikel 50 Transparenzleitlinien (Schluss 3. Juni 2026).

Quellen

Council of the EU, Pressemitteilung 7. Mai 2026: Artificial Intelligence: Council and Parliament agree to simplify and streamline rules (consilium.europa.eu)
Verordnung (EU) 2024/1689 (EUR-Lex)
White & Case, 7. Mai 2026: EU agrees Digital Omnibus deal to simplify AI rules (whitecase.com)
Bird & Bird, 7. Mai 2026: Digital Omnibus on AI Provisional Agreement (twobirds.com)
Timelex, 7. Mai 2026: The AI Omnibus deal: what survived the trilogue? (timelex.eu)
CMS Norway, 8. Mai 2026: Key Political Agreement on the Digital Omnibus on AI (cms.law)
Taylor Wessing, 11. Mai 2026: The EU Digital Omnibus on AI: What the political deal means (taylorwessing.com)
Tech Policy Press, 7. Mai 2026, Laura Caroli: What the EU AI Omnibus Deal Changes for the AI Act and What Lies Ahead (techpolicy.press)
IAPP, 30. April 2026: AI Act Omnibus: What Just Happened and What Comes Next (iapp.org)
Modulos AI, 7. Mai 2026: EU AI Act Delayed: The Omnibus Deal Closed on 7 May 2026 (modulos.ai)
Dastra, 7. Mai 2026: New Omnibus Agreement: How the EU AI Act changes (dastra.eu)
NicFab Blog, 7. Mai 2026: Digital Omnibus on AI: the Provisional Agreement of 7 May 2026 (nicfab.eu)
European Parliament Legislative Train Schedule

Tool Landscape

Die vorläufige Einigung vom 7. Mai 2026 verschiebt die schwersten technischen Pflichten der Annex III um 16 Monate, lässt aber drei Pflichtenkomplexe unangetastet: Artikel 26 Deployer-Pflichten, Artikel 4 KI-Kompetenz und die bestehenden Verbote nach Artikel 5. Wer mit dem 2. Dezember 2027 plant und die operativen Pflichten zum 2. August 2026 vernachlässigt, hat die Logik des Omnibus falsch gelesen. Die Verschiebung betrifft die Produkthersteller stärker als die Anwender. Im SAP-Kontext bleibt der Druck auf Audit Trail, Logging und menschliche Aufsicht bestehen. Ergänzend gilt: Die formale Annahme des Pakets steht aus, und die nationale Durchsetzung durch BSI, BaFin und ESMA folgt eigenen Zeitlinien.

Autor:

Christian Steiger

Sarah Connor