EU lockert AI Act für Unternehmen und verschärft ihn gegen Deepfake-Nacktbilder: Omnibus-Einigung verlängert Fristen für Hochrisiko-KI bis Ende 2027 und verbietet Nudification-Apps ab Dezember 2026
Was wirklich drin steht
Am 7. Mai 2026 haben sich der Rat der EU und das Europäische Parlament auf eine vorläufige politische Einigung zum sogenannten Digital Omnibus on AI geeinigt. Diese Einigung ändert den EU AI Act in mehreren wesentlichen Punkten. Erstens werden die Compliance-Fristen für Hochrisiko-KI-Systeme deutlich verlängert: KI-Systeme in sensiblen Bereichen wie Biometrie, kritischer Infrastruktur, Bildung, Beschäftigung, Strafverfolgung und Migration (Anhang III) müssen nun erst bis zum 2. Dezember 2027 die Anforderungen erfüllen statt wie ursprünglich geplant bis August 2026. Für KI-Systeme, die in Produkte eingebettet sind, die unter EU-Produktsicherheitsrecht fallen wie Medizinprodukte oder Maschinen (Anhang I), gilt die neue Frist 2. August 2028. Zweitens werden zwei neue Verbote eingeführt: KI-Systeme zur Erzeugung oder Manipulation von nicht-einvernehmlichen intimen Bildern, Videos oder Audioaufnahmen (sogenannte Nudification-Apps) sowie KI zur Erzeugung von Material sexuellen Kindesmissbrauchs werden ab dem 2. Dezember 2026 verboten. Das Verbot gilt nicht nur für Systeme, die ausdrücklich für solche Zwecke entwickelt wurden, sondern auch für Systeme, bei denen eine solche Nutzung ein vernünftigerweise vorhersehbares Ergebnis ist und der Anbieter keine angemessenen technischen Schutzmaßnahmen implementiert hat. Drittens erhalten KMU und kleine mittelständische Unternehmen maßgeschneiderte Erleichterungen bei der Umsetzung. Die Frist für die Einrichtung regulatorischer Sandkästen durch nationale Behörden wird auf den 2. August 2027 verschoben. Die Übergangsfrist für Transparenzlösungen bei KI-generierten Inhalten wird von sechs auf drei Monate verkürzt, mit neuer Frist am 2. Dezember 2026. Die formelle Verabschiedung durch Parlament und Rat wird für Juni oder Juli 2026 erwartet.
Unsere Einordnung
Diese Omnibus-Einigung ist eine gute Nachricht auf zwei Ebenen. Zum einen gibt sie Unternehmen deutlich mehr Zeit, die komplexen Anforderungen für Hochrisiko-KI umzusetzen. Die ursprüngliche Frist im August 2026 war für viele Unternehmen unrealistisch, da die technischen Standards und Leitlinien erst seit Kurzem verfügbar sind. Die Verschiebung auf Ende 2027 beziehungsweise Mitte 2028 ist ein pragmatisches Zugeständnis, das die Qualität der Umsetzung über die Geschwindigkeit stellt. Zum anderen schließt das Verbot von Nudification-Apps eine bisher gefährliche Lücke. KI-generierte Nacktbilder ohne Einwilligung sind bereits heute ein massives Problem, das vor allem Frauen und Minderjährige betrifft. Dass das Verbot über die offensichtlichen Fälle hinausgeht und auch Anbieter in die Pflicht nimmt, deren Systeme vorhersehbar missbraucht werden können, ist ein starkes Signal. Die Regulierung zeigt damit, dass sie lernfähig ist: Sie vereinfacht dort, wo Bürokratie Innovation bremst, und verschärft dort, wo konkrete Schäden entstehen. Kritiker bemängeln allerdings, dass die Fristverlängerung die Schutzwirkung des AI Act für Bürger verzögert, die von Hochrisiko-KI in Bereichen wie Strafverfolgung oder Migration betroffen sind.
Relevanz für Deutschland
Für Deutschland ist diese Einigung aus mehreren Gründen hochrelevant. Erstens hat die Bundesregierung am 11. Februar 2026 einen Kabinettsentwurf für das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) beschlossen, das die nationale Umsetzung des AI Act regeln soll. Die verlängerten Fristen geben deutschen Unternehmen und Behörden deutlich mehr Vorbereitungszeit. Zweitens betrifft das Nudification-Verbot ein Problem, das auch in Deutschland akut ist: Laut einer Studie des Deutschen Kinderhilfswerks sind KI-generierte Nacktbilder von Minderjährigen an deutschen Schulen bereits ein wachsendes Phänomen. Das neue Verbot gibt Strafverfolgungsbehörden ein zusätzliches Instrument. Drittens profitieren die vielen deutschen KMU, die KI-Systeme entwickeln oder einsetzen, von den maßgeschneiderten Erleichterungen. Deutschland will bei der Umsetzung keinen vollständig neuen Aufsichtsapparat aufbauen, sondern an bestehende fachliche Aufsichtsstrukturen anknüpfen und diese um zentrale Koordinationsfunktionen ergänzen. Die formelle Verabschiedung der Omnibus-Änderungen wird noch vor August 2026 erwartet, um Rechtssicherheit für den Stichtag zu schaffen.
Faktencheck
Die Primärquellen sind die offizielle Pressemitteilung des Rates der EU vom 7. Mai 2026 und die Pressemitteilung der Europäischen Kommission. Die Kernfakten - Fristverlängerung für Hochrisiko-KI-Systeme (Anhang III auf 2. Dezember 2027, Anhang I auf 2. August 2028), Verbot von Nudification-Apps und CSAM-Generierung ab 2. Dezember 2026, KMU-Erleichterungen und Verschiebung der Sandbox-Frist auf 2. August 2027 - werden übereinstimmend von juristischen Fachanalysen bestätigt, darunter Gibson Dunn, Latham & Watkins, White & Case und Mishcon de Reya. Die Information zur deutschen Umsetzung über das KI-MIG stammt aus der Bundestagsdokumentation. Die formelle Verabschiedung steht zum Zeitpunkt dieser Zusammenfassung noch aus; die genannten Fristen und Verbote basieren auf dem vorläufigen Einigungstext und könnten bei der Endabstimmung noch geringfügig angepasst werden.
Quelle
- • https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
- • https://ec.europa.eu/commission/presscorner/detail/en/ip_26_1024
- • https://www.bundestag.de/dokumente/textarchiv/2026/kw12-de-kuenstliche-intelligenz-1151800
- • https://digital-strategy.ec.europa.eu/en/consultations/targeted-consultation-draft-guidelines-classification-high-risk-artificial-intelligence-systems