KI-Verordnung: Europäische Union einigt sich auf Omnibus VII – Das ändert sich für Unternehmen
Die EU entwickelt den Rechtsrahmen für Künstliche Intelligenz weiter. Der Europäische Rat und das Europäisches Parlament haben sich im Rahmen des sogenannten Omnibus-VII-Pakets auf zahlreiche Änderungen der KI-Verordnung (EU) 2024/1689 (KI-VO) geeinigt. Das Europäische Parlament hat die Änderungen inzwischen gebilligt; für das Inkrafttreten steht lediglich noch die formelle Annahme durch den europäischen Rat aus.
Ziel des neuen Omnibus VII Pakets ist es, den Verwaltungsaufwand für Unternehmen zu reduzieren, die Anwendung der Vorschriften zu vereinfachen und zugleich ein hohes Schutzniveau für Bürger innerhalb der EU sicherzustellen. Im Mittelpunkt stehen insbesondere die Verschiebung der Vorschriften für Hochrisiko-KI-Systeme, neue Ausnahmen für Unternehmen sowie weitere Anpassungen der Governance-Struktur.
Hintergrund
Im Oktober 2024 forderte der Europäische Rat alle EU-Organe, Mitgliedstaaten und Interessenträger auf, die Weiterentwicklung der Regulierung im Bereich der Künstlichen Intelligenz mit hoher Priorität voranzutreiben. Anlass hierfür waren insbesondere die Berichte von Enrico Letta („Weit mehr als ein Markt“) und Mario Draghi („Die Zukunft der europäischen Wettbewerbsfähigkeit“), die einen erheblichen Reformbedarf zur Stärkung der Wettbewerbsfähigkeit der Europäischen Union aufzeigten.
Mit der Erklärung von Budapest vom 8. November 2024 wurde dieses Ziel weiter konkretisiert. Gefordert wurde ein umfassender Vereinfachungsprozess, der den Rechtsrahmen insbesondere für Unternehmen klarer, einfacher und weniger bürokratisch ausgestalten soll.
Als Reaktion darauf legte die Europäische Kommission seit Februar 2025 insgesamt zehn sogenannte Omnibus-Pakete vor. Diese verfolgen das Ziel, bestehende unionsrechtliche Vorschriften zu vereinfachen und den Verwaltungs-, Regulierungs- und Meldeaufwand zu reduzieren. Die Maßnahmen betreffen unter anderem die Bereiche Nachhaltigkeit, Digitalisierung und Künstliche Intelligenz sowie weitere wirtschaftsrelevante Sektoren wie Landwirtschaft, Verteidigung, Chemie, Umwelt, Automobilindustrie sowie Lebens- und Futtermittelsicherheit.
Verschobene Anwendungsfristen für Hochrisiko-KI-Systeme
Die wichtigste Änderung betrifft die Vorschriften für Hochrisiko-KI-Systeme nach der KI-VO.
Ursprünglich sollten die entsprechenden Anforderungen ab dem 2. August 2026 gelten. Dieser Zeitpunkt wird nun verschoben, da die zur Konkretisierung der technischen Anforderungen erforderlichen harmonisierten europäischen Normen noch nicht vollständig vorliegen.
Künftig gelten folgende Anwendungszeitpunkte:
- ab dem 2. Dezember 2027 für eigenständige Hochrisiko-KI-Systeme nach Art. 6 Abs. 2 i. V. m. Anhang III KI-VO,
- ab dem 2. August 2028 für Hochrisiko-KI-Systeme, die als Sicherheitsbauteil in regulierte Produkte integriert sind (Art. 6 Abs. 1 KI-VO).
Unternehmen erhalten dadurch zusätzliche Zeit, ihre Compliance-Strukturen aufzubauen. Die materiellen Anforderungen der KI-Verordnung bleiben jedoch unverändert bestehen.
Neues Verbot bestimmter KI-Praktiken
Die Einigung erweitert den Katalog verbotener KI-Praktiken.
Künftig soll ausdrücklich untersagt werden, KI-Systeme einzusetzen oder bereitzustellen, die nicht einvernehmliche intime oder sexuelle Darstellungen (sogenannte „Deepfakes“) oder Darstellungen des sexuellen Missbrauchs von Kindern erzeugen.
Damit reagiert der europäische Gesetzgeber auf den zunehmenden Missbrauch generativer KI-Systeme.
Registrierungspflicht für Hochrisiko-KI-Systeme
Eine weitere Änderung betrifft die europäische Datenbank für Hochrisiko-KI-Systeme.
Anbieter müssen ihre Systeme künftig wieder registrieren, auch wenn sie selbst zu dem Ergebnis gelangen, dass ihr System aufgrund der Ausnahmeregelung des Art. 6 KI-VO nicht als Hochrisiko-KI-System einzustufen ist.
Ziel ist es, die Transparenz zu erhöhen und eine wirksamere Marktüberwachung sicherzustellen. Gleichzeitig werden einzelne Dokumentationsanforderungen vereinfacht, sodass zwar die Registrierungspflicht bestehen bleibt, der Verwaltungsaufwand jedoch reduziert wird
Mehr Rechtssicherheit beim Umgang mit sensiblen personenbezogenen Daten
Rat und Parlament haben außerdem den Maßstab der unbedingten Erforderlichkeit für die Verarbeitung besonderer Kategorien personenbezogener Daten wieder aufgenommen.
Die Verarbeitung sensibler personenbezogener Daten bleibt damit ausschließlich zulässig, soweit sie zur Erkennung oder Korrektur von Verzerrungen in KI-Systemen zwingend erforderlich ist.
Weitere Anpassungen der KI-Verordnung
Neben den zentralen Änderungen enthält die Einigung weitere Anpassungen:
- Die Frist zur Einrichtung nationaler KI-Reallabore wird bis zum 2. August 2027 verlängert.
- Anbieter müssen Transparenzmaßnahmen für KI-generierte Inhalte bereits bis zum 2. Dezember 2026 umsetzen.
- Die Aufgaben des europäischen KI-Büros werden präzisiert und teilweise neu verteilt.
- Für industrielle KI-Systeme wird das Zusammenspiel zwischen der KI-Verordnung und sektorspezifischen Produktvorschriften – etwa für Medizinprodukte, Maschinen oder Aufzüge – klarer geregelt.
- Gleichzeitig soll verhindert werden, dass Unternehmen identische Anforderungen mehrfach erfüllen müssen.
Fazit
Mit dem Omnibus-VII-Paket verfolgt die EU das Ziel, die Anwendung der KI-VO praktikabler zu gestalten, ohne das Schutzniveau wesentlich abzusenken.
Auch wenn die EU Unternehmen mit dem Omnibus-VII-Paket mehr Zeit für die Umsetzung einzelner Anforderungen einräumt, bleibt die frühzeitige Vorbereitung auf die KI-Verordnung entscheidend. Insbesondere die Einführung geeigneter Compliance-Strukturen, die Einordnung von KI-Systemen sowie die Umsetzung der Transparenz- und Dokumentationspflichten sollten bereits jetzt in Angriff genommen werden.
Wir unterstützen Sie bei der rechtssicheren Umsetzung der KI-Verordnung und der datenschutzrechtlichen Anforderungen – von der Bewertung und Risikoklassifizierung Ihrer KI-Anwendungen über die Entwicklung einer geeigneten KI-Governance bis hin zur Prüfung datenschutzrechtlicher Fragestellungen, der Erstellung erforderlicher Dokumentationen und der Schulung Ihrer Mitarbeitenden.
Nutzen Sie die zusätzlichen Übergangsfristen, um Ihr Unternehmen frühzeitig auf die kommenden Anforderungen der KI-Verordnung und der DSGVO vorzubereiten. Gerne begleiten wir Sie als kompetenter Ansprechpartner bei der praktischen und rechtssicheren Umsetzung Ihrer KI- und Datenschutz-Compliance.
Jamal Lale, LL.M.
RA Sebastian Schwiering