06. Juli 2026 von Tabea Kugler
Geschätzte Lesezeit: 3 Minuten.
Der EU AI Act (Verordnung (EU) 2024/1689) ist der erste weltweite Rechtsrahmen für den Einsatz von KI-Systemen. Die KI-Verordnung verfolgt einen strikt risikobasierten Regulierungsansatz: Die Intensität der rechtlichen Anforderungen steigt proportional zum Gefährdungspotenzial eines Systems für Sicherheit, Gesundheit und Grundrechte. Ziel ist es, die Entwicklung und Nutzung vertrauenswürdiger KI zu gewährleisten, ohne Innovationen zu behindern.
Die Verordnung ist am 1. August 2024 in Kraft getreten, entfaltet ihre Rechtswirkungen jedoch gestaffelt über mehrere Jahre. Für die Praxis ergeben sich damit mehrere zentrale Stichtage:
Hier kommt der digitale Omnibus ins Spiel. Ursprünglich sollten die umfangreichen Pflichten für Hochrisiko-KI-Systeme bereits zum 2. August 2026 greifen. Die Europäische Kommission legte jedoch im November 2025 Änderungsvorschläge vor, die mehrere Rechtsakte betreffen, darunter den Data Act, die KI-Verordnung und die DSGVO.
Ziel dieser legislativen Anpassung ist es:
Nach intensiven Verhandlungen erzielten Kommission, Parlament und Rat im Mai 2026 eine politische Einigung. Für die rechtliche Bewertung ist jedoch entscheidend, dass ein finaler Gesetzestext noch aussteht. Die konkrete Ausgestaltung der Übergangsfristen und materiellen Anpassungen bleibt daher bis zur Veröffentlichung des endgültigen Omnibus-Paktes offen.
Für Unternehmen bedeutet dies: Die Transparenzpflichten nach Art. 50 KI-VO bleiben der zentrale, rechtssichere Stichtag im Jahr 2026. Diese Pflichten ruhen auf vier Säulen:
Kennzeichnung der Interaktion: Nutzer müssen erkennen können, dass sie mit einem KI-System und nicht mit einer natürlichen Person interagieren. Dies betrifft insbesondere Chatbots und dialogorientierte KI-Anwendungen.
Markierung synthetischer Inhalte: Anbieter generativer KI sind verpflichtet, sämtliche von der KI erzeugten Inhalte (Text, Bild, Audio, Video) in maschinenlesbarer Form zu kennzeichnen. Die Pflicht dient der Nachvollziehbarkeit und soll die Integrität digitaler Informationsräume schützen.
Information bei Emotionserkennung: Betreiber von Systemen zur Emotionserkennung oder biometrischen Kategorisierung müssen die betroffene Person über den Einsatz solcher Technologien informieren.
Kennzeichnung von Deepfakes: : KI-generierte Inhalte, die den Anschein erwecken, echt zu sein, insbesondere solche mit Bezug zu Themen von öffentlichem Interesse, sind als künstlich erzeugt zu kennzeichnen.
August 2026 ist der zentrale, rechtssichere Stichtag. Die Transparenzpflichten nach Art. 50 KI-VO sind durch den digitalen Omnibus nicht berührt, sie gelten unverändert ab August 2026.
Für Hochrisiko-KI-Systeme gelten besondere rechtliche und organisatorische Anforderungen. Diese umfassen insbesondere:
Der digitale Omnibus 2026 führt nach aktuellem Stand zu einer zeitlichen Verschiebung dieser Pflichten. Die materiellen Anforderungen bleiben jedoch unverändert bestehen. Die Verschiebung ist daher rein temporaler Natur und stellt keine materielle Reduktion des Regulierungsniveaus dar.
In der Praxis bestehen zahlreiche Schnittstellen zwischen DSGVO und KI-VO. Verarbeitet ein KI-System personenbezogenen Daten, greifen beide Regelwerke kumulativ. Die ab August 2026 geltenden Transparenzpflichten nach Art. 50 KI-VO konkretisieren die bestehenden Informationspflichten der DSGVO für KI-gestützte Verarbeitungskontexte.
Die Pflicht zur Erkennbarkeit von KI-Interaktionen, die maschinenlesbare Kennzeichnung synthetischer Inhalte sowie die Informationspflichten bei Emotionserkennungs‑ und biometrischen Kategorisierungssystemen schaffen eine technologiebezogene Transparenzschicht, die unmittelbar an Art. 13 und 14 DSGVO anknüpft. Dies gilt in besonderem Maße für Deepfakes, deren Kennzeichnungspflicht dem Schutz vor irreführender oder unzulässiger Verarbeitung personenbezogener Daten dient und damit auch die Persönlichkeitsrechte der betroffenen Personen stärkt.
Für Hochrisiko‑KI‑Systeme bleibt die DSGVO der maßgebliche rechtliche Referenzrahmen. Die Anforderungen an Datenqualität, technische Robustheit, Dokumentation und menschliche Aufsicht setzen eine rechtmäßige Verarbeitung personenbezogener Daten voraus. Insbesondere das Risikomanagement nach Art. 9 ff. KI‑VO ist ohne Integration der datenschutzrechtlichen Risikoanalyse, einschließlich der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, nicht erfüllbar. Die KI‑VO präzisiert damit bestehende Datenschutzpflichten und operationalisiert sie für KI‑spezifische Anwendungsszenarien.
Der digitale Omnibus zielt darauf ab, die Schnittstellen zwischen KI‑VO und DSGVO zu harmonisieren. Er adressiert Doppelregulierungen, insbesondere im Bereich der Risikobewertung und der Informationspflichten, und schafft Klarheit darüber, wie KI‑Systeme personenbezogene Daten verarbeiten dürfen. Die geplanten Anpassungen verschieben zwar die zeitliche Anwendung einzelner Hochrisiko‑Pflichten, ändern jedoch nichts an der fortbestehenden Geltung der DSGVO als übergreifendem Schutzregime.
Unternehmen müssen daher sowohl die KI-VO als auch die DSGVO als komplementäre Rechtsrahmen verstehen, die gemeinsam die rechtmäßige Entwicklung und Nutzung von KI-Systemen gewährleisten.
Was Art. 4 KI-VO von Unternehmen verlangt und wie Sie KI-Kompetenz im Betrieb nachweisbar sicherstellen.
Wie Sie KI-Systeme DSGVO-konform einsetzen, von der Rechtsgrundlage bis zur technischen Umsetzung.
Wann eine DSFA nach Art. 35 DSGVO Pflicht ist und wie wir Sie dabei unterstützen.