Am 19. November 2025 hat die EU-Kommission den Digital Omnibus on AI vorgelegt. Der Vorschlag würde die Hochrisiko-Pflichten des EU AI Act um 16 bis 24 Monate nach hinten schieben, also auf Ende 2027 oder Anfang 2028. Stand April 2026 liegt der Entwurf im Trilog zwischen Kommission, Parlament und Rat. Beschlossen ist nichts.

Auf einen Blick: Stand April 2026 schlägt der Digital Omnibus on AI vor, die Hochrisiko-Pflichten des EU AI Act 16-24 Monate zu verschieben (auf 2027/2028). Der Vorschlag liegt im Trilog, ist NICHT beschlossen. Bis zur Einigung gilt weiterhin der 2. August 2026 als Stichtag. Wer jetzt nicht startet, hat im Worst Case acht Wochen für ein Sechs-Monats-Projekt.

Für Unternehmen, die KI-Hochrisiko-Anwendungen einsetzen oder anbieten, ist die Lage zwiespältig. Auf der einen Seite winkt mehr Zeit. Auf der anderen Seite ist es politisch noch ein offenes Spiel. Wer sich auf die Verschiebung verlässt, ist verlassen, wenn der Trilog scheitert oder sich verzögert.

Was der Digital Omnibus konkret vorschlägt

Der Vorschlag der Kommission umfasst mehrere Komponenten. Die wichtigste für Unternehmen: Verschiebung der Hochrisiko-Pflichten nach Annex III. Diese Pflichten sollten ab 2. August 2026 greifen, betreffen also KI in Bereichen wie Recruiting, Bildungsbewertung, Kreditscoring, Strafverfolgung, Justiz, Gesundheit, kritische Infrastruktur und Migrationskontrolle.

Die neuen Termine im Vorschlag liegen zwischen Ende 2027 und Mitte 2028, je nach System-Kategorie. Für Hochrisiko-KI in regulierten Produkten nach Annex I (Medizingeräte, Maschinen mit CE-Pflicht) ist eine Verschiebung von 2027 auf 2028 in der Diskussion.

Auch die Bußgeldregelungen werden angepasst. Der Vorschlag sieht vor, dass die volle Sanktionsfähigkeit erst ab dem neuen Geltungsdatum greift. Bis dahin würden mildere Instrumente vorgesehen.

Begründet hat die Kommission den Vorschlag mit zwei Argumenten. Erstens: Die harmonisierten europäischen Standards, an denen sich Unternehmen bei der Konformitätsbewertung orientieren sollten, sind weitgehend noch nicht fertig. Ohne diese Standards muss jedes Unternehmen das Rad selbst erfinden. Zweitens: Der globale Wettbewerb. Die USA und China haben weniger restriktive Regulierung, EU-Unternehmen sollen nicht ohne Not Wettbewerbsnachteile erleiden.

Wer im Trilog wofür kämpft

Der Trilog zwischen Kommission, Parlament und Rat hat im Frühjahr 2026 begonnen. Die Positionen sind unterschiedlich.

Die Kommission selbst will die Verschiebung. Sie hat den Vorschlag eingebracht und steht hinter den 16-24 Monaten.

Im Rat (Mitgliedstaaten) gibt es mehrere Lager. Deutschland, Frankreich, Niederlande und Österreich tendieren laut Berichten aus Brüssel zur Verschiebung. Begründung: Industrie und Mittelstand sind nicht ausreichend vorbereitet, Standards fehlen. Spanien, Belgien und einige nordische Staaten sind skeptischer und sehen die Verschiebung als Geschenk an die Industrie ohne ausreichende Bürgerrechtsabsicherung.

Im Europäischen Parlament läuft die Debatte entlang der Fraktionen. EVP und Renew zeigen sich offen für die Verschiebung, Sozialdemokraten und Grüne kritisieren sie als Aushöhlung des AI Act. Die Linke spricht von "Lobby-Erfolg".

Datenschutz- und Bürgerrechtsorganisationen lehnen den Vorschlag ab. Sie argumentieren, dass die Hochrisiko-Pflichten genau die Bereiche treffen, in denen Bürger den stärksten Schutz brauchen. Eine Verschiebung würde bedeuten, dass diskriminierende Recruiting-KI, intransparente Kreditscoring-Systeme oder fehlerhafte Strafverfolgungs-KI weitere zwei Jahre ohne Rahmen laufen.

Was Unternehmen jetzt nicht tun sollten

Die Versuchung ist groß. Wer als Mittelständler im Recruiting-Bereich aktiv ist und gerade ein KI-Tool ausgewählt hat, hört "Verschiebung" und legt das Compliance-Projekt zur Seite. Das ist gefährlich aus drei Gründen.

Der erste Grund ist politisch. Trilog-Verhandlungen sind keine Selbstläufer. Die DSGVO-Reform 2016 hat zwischen Kommissionsvorschlag und Inkrafttreten vier Jahre gebraucht. Auch hier kann der Prozess scheitern, sich erheblich verzögern oder mit Modifikationen enden, die niemand vorhergesehen hat. Wer jetzt aussteigt und im Sommer 2026 wieder einsteigen muss, hat Zeitdruck.

Der zweite Grund ist organisatorisch. Wer in einem Unternehmen für KI-Compliance verantwortlich ist, weiß, wie schwer es ist, das Thema einmal auf der Agenda zu halten. Wenn das Projekt jetzt pausiert, wird es im Herbst nicht reaktiviert, sondern muss neu gestartet werden. Die ersten zwei Wochen gehen dafür drauf, sich in den Stand der Dinge wieder einzuarbeiten.

Der dritte Grund ist wirtschaftlich. Viele Hochrisiko-Pflichten sind nicht nur Compliance, sondern führen zu besseren KI-Systemen. Risikomanagement, Datenqualitäts-Governance, technische Dokumentation und menschliche Aufsicht sind keine Schikane. Sie verhindern Fehler, die später teuer werden, etwa Diskriminierungsklagen oder Fehlentscheidungen, die ans Licht kommen.

Was sinnvoll ist, auch ohne Stichtagsdruck

Wir sehen in der Beratungspraxis, dass Unternehmen, die ein laufendes AI-Compliance-Projekt haben, deutlich entspannter durch die politische Unsicherheit kommen als jene, die alles auf den letzten Drücker schieben. Das hat einen praktischen Grund.

Compliance-Projekte sind nicht primär Papierkram. Sie sind Sortierarbeit. Welche KI-Systeme sind im Einsatz, wer ist verantwortlich, welche Daten gehen rein, wer entscheidet am Ende. Diese Sortierarbeit ist ohnehin notwendig, unabhängig vom EU AI Act. DSGVO-Folgenabschätzungen, IT-Governance, Vendor-Management, alles braucht dieselben Informationen.

Wer also jetzt mit der Inventarisierung anfängt, kann das Projekt als Risikomanagement-Aufgabe rahmen, nicht als Compliance-Pflicht. Das verändert die Dynamik im Unternehmen. Geschäftsführung, IT und HR ziehen eher mit, wenn der Nutzen über den reinen Bürokratie-Aspekt hinausgeht.

Konkret heißt das: Inventarliste erstellen, Use Cases beschreiben, Annex-III-Check pro Tool, Verantwortlichkeiten klären, Risiko-Bewertung. Diese Schritte sind unabhängig vom Stichtag. Sie zahlen sich aus, egal ob die Verschiebung kommt oder nicht.

Was sich politisch noch verschieben kann

Stand April 2026 lassen sich drei Szenarien skizzieren.

Szenario eins: Trilog einigt sich bis Sommer 2026. Verschiebung wird beschlossen, neue Stichtage 2027/2028. Unternehmen haben mehr Zeit. Wer jetzt schon angefangen hat, kann konsolidieren statt hetzen.

Szenario zwei: Trilog scheitert oder verzögert sich. Stichtag 2. August 2026 bleibt. Unternehmen, die nichts gemacht haben, sind im Worst Case acht Wochen vor einem Sechs-Monats-Projekt. Bußgeldrisiko wird real ab Herbst 2026.

Szenario drei: Trilog kommt zu Kompromiss. Teilverschiebung, aber nicht für alle Bereiche. Etwa: Recruiting bleibt bei August 2026, Kreditscoring wird auf 2027 verschoben. Wer im falschen Bereich gewartet hat, hat ein Problem.

In allen drei Szenarien gilt: Wer jetzt arbeitet, ist im Vorteil. Wer wartet, übernimmt Risiko, das er nicht steuern kann.

Was die Diskussion über die Substanz hinaus bewegt

Der Digital Omnibus ist nicht nur ein Verschiebungsvorschlag. Er ist auch ein Lackmustest für die regulatorische Glaubwürdigkeit der EU. Wenn der AI Act, das Vorzeigeprojekt der europäischen Tech-Regulierung, schon vor Inkrafttreten der wichtigsten Stufen aufgeweicht wird, sendet das ein Signal. An Unternehmen, an Bürger, an internationale Beobachter.

Datenschutzaktivisten warnen genau davor. Ihr Argument: Wenn die EU bei AI-Hochrisiko-Pflichten einknickt, weil die Standards "noch nicht fertig" sind, ist das ein Muster, das sich wiederholen wird. Beim Digital Services Act, beim Data Act, bei zukünftigen Vorhaben. Industrieverbände sehen das anders. Sie argumentieren, dass die EU sich nicht in eine Innovationsblockade manövrieren darf.

Aus unserer Beratungssicht ist das eine politische Debatte, die Unternehmen nur am Rand interessieren sollte. Was zählt, ist die operative Frage: Werde ich am Stichtag X Y zu liefern haben? Diese Frage steht und fällt mit dem Trilog-Ergebnis. Bis dahin hat das ursprüngliche Datum Vorrang.

Was wir Unternehmen empfehlen

Der pragmatische Weg ist, das Projekt zweispurig zu fahren. Den Compliance-Pfad gehen, als ob der 2. August 2026 hält. Parallel die politische Entwicklung beobachten und intern transparent kommunizieren, dass die Stichtage sich ändern können.

Diese Doppelstrategie kostet wenig zusätzlich, weil die Compliance-Arbeit ohnehin als Risikomanagement-Übung Wert schafft. Sie schützt aber gegen den Fall, dass der Trilog kippt oder sich verzögert.

Im DigiMan-Programm bei SkillSprinters arbeiten wir mit Teilnehmern, die genau diese Sortierarbeit in ihren Unternehmen übernehmen. KI-Inventar, Annex-Klassifikation, Risikoanalyse, Dokumentationsstruktur. Das Programm ist über den Bildungsgutschein der Agentur für Arbeit förderfähig. Wer das Thema operativ aufsetzen will, ohne externe Beratungsbudgets zu sprengen, findet auf der Pillar-Seite zum Digitalisierungsmanager den Überblick.

Wo der Trilog am Ende landet

Schwer vorhersehbar. Die Erfahrung mit anderen großen EU-Dossiers (DSGVO, DMA, DSA) zeigt, dass Trilog-Verhandlungen oft drei Phasen durchlaufen: Schwarze-Peter-Spiel zwischen den Institutionen, dann technische Klärung, dann politischer Kompromiss kurz vor Sommerpause oder Wahlpause.

Realistisch ist eine Einigung im Sommer 2026, möglicherweise erst nach dem ursprünglichen Stichtag am 2. August. Sollte das passieren, wäre der ungünstigste Fall denkbar: einige Wochen voller Rechtsunsicherheit, in denen formal die Pflichten gelten, aber niemand weiß, wie scharf nachgehalten wird.

Aus unserer Sicht spricht das nochmal dafür, jetzt den Compliance-Pfad zu gehen. Wer am 2. August 2026 dokumentiert vorzeigen kann, dass die Hochrisiko-KI im Unternehmen sauber aufgesetzt ist, kann gelassen abwarten, was der Trilog bringt.

Häufige Fragen

Wenn die Verschiebung kommt, ist meine Vorarbeit umsonst?

Nein. Die Pflichten verschieben sich, sie verschwinden nicht. Was an Inventarisierung, Risikomanagement und Dokumentation jetzt entsteht, gilt auch nach der Verschiebung. Außerdem ist die Sortierarbeit unabhängig vom AI Act sinnvoll: DSGVO, IT-Governance und Vendor-Management ziehen denselben Nutzen. Wer jetzt aufhört zu arbeiten, weil eine Verschiebung kommen könnte, verschiebt nicht das Projekt, sondern verliert die Halbzeit.

Wann wird der Trilog entschieden?

Stand April 2026 ist keine offizielle Deadline kommuniziert. Erfahrungswerte aus DSGVO und DSA legen einen Zeitraum von April bis Juli 2026 nahe. Eine Einigung vor der Sommerpause des EU-Parlaments wäre üblich, eine Verzögerung in den Herbst 2026 ist möglich. Eine Entscheidung nach dem 2. August 2026 wäre rechtlich heikel, weil die Pflichten formal bereits gelten würden.

Was passiert mit Bußgeldern in der Übergangszeit?

Stand April 2026 sieht der Vorschlag vor, dass die volle Sanktionsfähigkeit erst mit dem neuen Geltungsdatum greift. Solange der Trilog läuft, gelten aber die Originalregeln. Das heißt: Falls die Verschiebung erst nach dem 2. August beschlossen wird, könnte für eine kurze Phase ein Schwebezustand entstehen. Nationale Aufsichtsbehörden würden in dieser Phase voraussichtlich zurückhaltend prüfen, aber rechtssicher ist das nicht.

Wer treibt die Verschiebung politisch?

Die EU-Kommission hat den Vorschlag eingebracht. Im Rat sind Deutschland, Frankreich, Niederlande und Österreich treibende Kräfte. Im Parlament unterstützen EVP und Renew, Sozialdemokraten und Grüne sind kritisch. Industrieverbände und Wirtschaftslobby sind dafür, Bürgerrechts- und Datenschutzorganisationen sind dagegen. Das ist eine klassische EU-Konstellation: Wirtschaftspolitik gegen Bürgerrechte, ohne klaren Sieger.

Quellen

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp