EU-Kompromiss zu KI-Regeln: Feste Fristen und neue Verbote

Der EU-Ministerrat hat seine Position zum Digitalen Omnibus festgezurrt. Das Paket soll Europas digitales Regelwerk vereinfachen, doch der Spagat zwischen Bürokratieabbau und Grundrechtsschutz bleibt heikel.

Am Freitag, den 13. März 2026, einigte sich der Rat der Europäischen Union auf sein Verhandlungsmandat für das zentrale KI-Gesetzespaket. Dies markiert einen entscheidenden Schritt im Gesetzgebungsverfahren, zeitgleich mit dem Abschluss einer öffentlichen Konsultation der EU-Kommission zur Überprüfung des digitalen Rechtsrahmens. Der sogenannte Digitale Omnibus zielt darauf ab, Überschneidungen zwischen Datenschutz-, Cybersicherheits- und KI-Regeln zu beseitigen und so bis zu fünf Milliarden Euro an Compliance-Kosten innerhalb von drei Jahren einzusparen.

Angesichts der neuen EU-KI-Verordnung und drohender Bußgelder müssen Unternehmen ihre Compliance-Strategien jetzt grundlegend anpassen. Dieser kostenlose Leitfaden erklärt Ihnen kompakt die wichtigsten Anforderungen, Risikoklassen und Fristen für eine rechtssichere Umsetzung. EU-KI-Verordnung: Jetzt kostenloses E-Book sichern

Rat setzt auf feste Fristen und verbietet Intim-Deepfakes

Der Rat legte sich auf starre Umsetzungsfristen für Hochrisiko-KI-Systeme fest – ein klares Signal an die Industrie. Statt dynamischer Termine, die von der Verfügbarkeit technischer Standards abhängen, gilt nun: Eigenständige Hochrisiko-KI-Systeme müssen bis zum 2. Dezember 2027 konform sein. Für eingebettete Systeme in regulierten Produkten, wie Medizingeräten, endet die Frist am 2. August 2028. Auch die Einrichtung nationaler KI-Testsandkästen wurde auf Dezember 2027 verschoben.

Zudem baute der Rat den Grundrechtsschutz aus. Die Position enthält ein striktes Verbot von KI-Praktiken, die nichteinverständliche sexuelle und intime Inhalte sowie Material zum sexuellen Missbrauch von Kindern erzeugen. Diese Regelung zielt direkt auf sogenannte „Nudification-Apps“ und explizite Deepfakes ab. Zugleich stärkte der Rat die Befugnisse des neuen EU-KI-Amtes für allgemeine KI-Modelle, behielt aber spezifische Aufsichtsausnahmen für nationale Behörden in sensiblen Bereichen wie Strafverfolgung und Grenzmanagement bei.

Industrie warnt vor Doppelregulierung und hohen Kosten

Während die Politik den Rahmen setzt, schlägt die Wirtschaft Alarm. Ein breites Branchenbündnis um DIGITALEUROPE warnte am 12. März vor den anhaltenden Risiken einer Doppelregulierung. Die aktuellen Vorschläge gingen nicht weit genug, um überlappende Anforderungen zu beseitigen, die Innovation erstickten.

Konkret fürchten Hersteller, dass etwa ein autonomer Inspektionsroboter für gefährliche Industrieumgebungen weiterhin Zertifizierungen nach Maschinenverordnung und KI-Gesetz durchlaufen müsse. Die Branche fordert, KI-Systeme, die bereits unter bestehende EU-Produktsicherheitsvorschriften fallen, umzuklassifizieren, um redundante Bewertungen zu vermeiden. Die finanziellen Hürden sind enorm: Für ein KMU, das ein Hochrisiko-KI-System entwickelt, können die initialen Compliance-Kosten mehrere hunderttausend Euro betragen, zuzüglich hoher jährlicher Folgekosten.

Neben neuen KI-Regeln verschärfen auch aktuelle Gesetze zur IT-Sicherheit den Handlungsdruck auf die Geschäftsführung deutscher Unternehmen. Wie Sie Ihr Unternehmen proaktiv vor kostspieligen Cyberangriffen schützen, ohne das Budget zu sprengen, erfahren Sie in diesem Experten-Report. Gratis Cyber-Security-Leitfaden für Unternehmen herunterladen

Fitness-Check offenbart zersplitterten Rechtsrahmen

Die grundlegende Herausforderung zeigt sich im Ergebnis der öffentlichen Konsultation zum „Digital Fitness Check“, die am 11. März endete. Die vier Monate dauernde Befragung brachte fast 200 Stellungnahmen hervor, überwiegend aus der Wirtschaft.

Die Kritik der Stakeholder konzentriert sich auf die extreme Fragmentierung der digitalen Gesetzgebung. Derzeit umfasst sie über 100 Gesetze mit hunderten verschiedenen Aufsichtsbehörden in den Mitgliedstaaten. Besonders an den Schnittstellen zwischen DSGVO, ePrivacy-Richtlinie, Data Act und Cyber Resilience Act klagen Unternehmen über widersprüchliche Definitionen und sich überschneidende Anwendungsbereiche. Sie fordern vereinheitlichte Terminologien und klare Rechtsfolgen.

Verbraucherschützer und zivilgesellschaftliche Gruppen äußerten hingegen die Sorge, die Vereinfachungsagenda könne genutzt werden, um etablierte Schutzstandards zu schwächen. Ihrer Ansicht nach liegen die Probleme weniger in den Gesetzen selbst, sondern vor allem in deren mangelhafter Durchsetzung.

Ausblick: Entscheidende Wochen im Europaparlament

Nach dem Ratsbeschluss liegt der Ball nun beim Europäischen Parlament. Die Ausschüsse für Binnenmarkt (IMCO) und Bürgerliche Freiheiten (LIBE) stimmen am 18. März über ihren Kompromisstext ab.

Gelingt die Annahme, könnte das Plenum noch im März darüber abstimmen. Anschließend könnten noch vor Monatsende die Trilog-Verhandlungen zwischen Parlament, Rat und Kommission beginnen. Der Zeitplan ist ambitioniert, da die Politik die technischen Details vor den ersten Compliance-Fristen des KI-Gesetzes abschließen will. Für Unternehmen in der EU wird klar: Die finale Fassung des Digitalen Omnibus wird den operativen Rahmen für Daten, Cybersicherheit und künstliche Intelligenz auf dem Kontinent grundlegend neu gestalten.