8. Mai 2026

KI-Omnibus-Paket: Was sich für Unternehmen jetzt ändert

Lesezeit: ca. 5 Minuten

Mit dem KI-Omnibus-Paket haben sich EU-Kommission, Parlament und Rat auf zentrale Anpassungen der KI-Verordnung geeinigt. Für Unternehmen bedeutet das: längere Übergangsfristen für Hochrisiko-KI, eine vorgezogene Kennzeichnungspflicht für KI-Inhalte ab dem 2. Dezember 2026 und neue Verbote für besonders missbrauchsanfällige Anwendungen.

Das Wichtigste in Kürze

Kennzeichnungspflicht für KI-generierte Inhalte gilt früher als geplant – ab dem 2. Dezember 2026.
Hochrisiko-KI-Pflichten greifen für eigenständige Systeme erst ab Dezember 2027, für KI als Sicherheitskomponente erst ab dem 2. August 2028.
Maschinen fallen in vielen Fällen nicht mehr unter das Hochrisiko-Regime der KI-Verordnung.
Registrierungspflicht in der EU-Datenbank wurde wieder eingeführt – auch wenn ein Anbieter sein System selbst nicht als Hochrisiko einstuft.
Neue Verbote: Entkleidungs-Apps und KI-Systeme, die sexuellen Missbrauch von Kindern oder nicht einvernehmliche sexuelle Handlungen darstellen.

KI-Verordnung einhalten?

Mit KI-VO Software,
einfach gelöst.
Unsere Software schafft Struktur, Sicherheit
und erspart Ihnen viel Zeit.

Was ist das KI-Omnibus-Paket?

Das KI-Omnibus-Paket ist ein Gesetzgebungsvorschlag der EU, mit dem die KI-Verordnung (KI-VO, auch AI Act genannt) und angrenzende Digitalvorschriften vereinfacht und harmonisiert werden sollen. Es ist Teil des sogenannten Omnibus-VII-Pakets im Rahmen der Vereinfachungsagenda der EU und umfasst Vorschläge für zwei Verordnungen.

Ziel ist es, den Rechtsrahmen für den digitalen Bereich zu straffen, Doppelregulierung zu vermeiden und Unternehmen mehr Klarheit über ihre Pflichten zu geben. In der Praxis bringt das Paket drei Arten von Änderungen mit sich:

angepasste Fristen,
gezielte Erleichterungen,
ergänzende Verbote.

Wann gilt die neue Kennzeichnungspflicht für KI-Inhalte?

Die Kennzeichnungspflicht für KI-generierte Inhalte greift bereits ab dem 2. Dezember 2026 – und damit früher als ursprünglich vorgesehen. Unternehmen, die KI-generierte Texte, Bilder, Videos oder Audios veröffentlichen, müssen diese eindeutig als solche ausweisen.

Wer KI-Inhalte im Marketing, in der Kommunikation oder im Produkt einsetzt, sollte bereits jetzt prüfen, wo gekennzeichnet werden muss und wie diese Kennzeichnung in bestehende Workflows integriert wird – von Redaktionssystemen über Social-Media-Tools bis zur Produkt-UI.

Welche Erleichterungen bringt das KI-Omnibus-Paket?

Mehr Zeit für Hochrisiko-KI: Die Pflichten für eigenständige Hochrisiko-KI-Systeme greifen erst ab Dezember 2027. Unternehmen erhalten dadurch zusätzlichen Spielraum, um Risikoklassifizierung, technische Dokumentation, Konformitätsbewertung und Governance-Strukturen aufzubauen. Für KI-Systeme, die als Sicherheitskomponenten in Produkten eingesetzt werden, verschiebt sich die Anwendung sogar bis zum 2. August 2028.

Maschinenbereich entlastet: Maschinen fallen künftig in vielen Fällen nicht mehr unter das Hochrisiko-Regime der KI-Verordnung. Durch die Umordnung innerhalb der Verordnung sind die strengsten Anforderungen für viele industrielle Anwendungen nicht mehr einschlägig. Die Kommission erhält zudem die Befugnis, delegierte Rechtsakte im Rahmen der Maschinenverordnung zu erlassen – ein klarer Schritt gegen Doppelregulierung.

KI sicher nutzen?

Jetzt KI-Beauftragten von Keyed erhalten.

Welche neuen Pflichten kommen auf Unternehmen zu?

Registrierung in der EU-Datenbank

Anbieter müssen ihre KI-Systeme wieder in der EU-Datenbank für Hochrisikosysteme registrieren – und zwar auch dann, wenn sie selbst nicht von einer Hochrisiko-Einstufung ausgehen. Diese Pflicht war zwischenzeitlich abgeschwächt worden und kehrt nun zurück.

Bias-Korrektur und besondere Datenkategorien

Besondere Kategorien personenbezogener Daten – etwa Gesundheits-, Herkunfts- oder biometrische Daten – dürfen zur Erkennung und Korrektur von Verzerrungen (Bias) nur verarbeitet werden, wenn dies unbedingt erforderlich ist. Damit bleibt der Schutzstandard der DSGVO auch im KI-Kontext fest verankert.

Klarere Aufsichtsstruktur

Rat und Parlament haben präzisiert, wann das Büro für Künstliche Intelligenz zuständig ist – und wann nationale Behörden (Strafverfolgung, Grenzmanagement, Justiz, Finanzaufsicht) das Sagen behalten. Für betroffene Unternehmen heißt das: Klarheit darüber, wer Ansprechpartner ist.

Welche KI-Anwendungen werden ausdrücklich verboten?

Das KI-Omnibus-Paket benennt zusätzliche Verbote ausdrücklich. Untersagt sind insbesondere:

sogenannte Entkleidungs-Apps
KI-Systeme, die sexuellen Missbrauch von Kindern darstellen
KI-Systeme, die nicht einvernehmliche sexuelle Handlungen darstellen

Damit zieht die EU eine klare Linie gegen missbräuchliche und ethisch problematische Einsatzfelder von KI – unabhängig von Risikoklasse oder Anwendungsbereich.

Wie geht es jetzt weiter?

Stand Mai 2026 muss die vorläufige Einigung noch vom Rat und vom Europäischen Parlament gebilligt werden. Danach überarbeiten Rechts- und Sprachsachverständige den Text, bevor das Paket in den kommenden Wochen förmlich angenommen werden kann. Offen sind aktuell noch mögliche Anpassungen im Bereich Datenschutz und Cybersicherheit, die im weiteren Gesetzgebungsprozess konkretisiert werden.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Sophia Brackmann

Frau Sophia Brackmann ist im Team der externen Datenschutzbeauftragten bei Keyed tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy