© andranik.h90 - Freepik.com
Kurz erklärt!, Trendradar

Digitaler Omnibus zu KI: Was jetzt auf KMU zukommtDigitaler Omnibus zu KI: Was jetzt auf KMU zukommt

Die EU plant mit dem Digitalen Omnibus zu KI konkrete Erleichterungen für Unternehmen. Besonders kleine und mittlere Unternehmen könnten von mehr Klarheit und weniger Aufwand profitieren.

Am 19. November 2025 veröffentlichte die Europäische Kommission zwei Entwürfe zur Vereinfachung der Digitalgesetzgebung. Dieses Regulierungspaket enthält gezielte Änderungsvorschläge zu mehreren grundlegenden Digitalgesetzen, die einen direkten Einfluss auf Unternehmen in Europa haben – darunter die DSGVO, die ePrivacy-RL, die KI-VO, der Data-Act wie auch zu Vorschriften betreffend die Cybersicherheit und -reslienz (u.a. NIS2). Ziel ist unter anderem die Steigerung der Kohärenz im Regulierungsumfeld.

Konkret enthalten die Omnibusvorschriften zum einen Regelungen zu vereinfachtem Datenzugang und Verbesserungen bei der Meldung von Cyber-Sicherheitszwischenfällen (Digital Omnibus). Zum anderen soll die erst Mitte 2024 in Kraft getretene KI-Verordnung schon Änderungen erfahren (Digital Omnibus on AI, nachfolgend: Digitaler Omnibus zu KI). Dieser Beitrag rückt den Digitalen Omnibus zu KI in den Fokus. Unternehmen jeder Größe sollen unterstützt werden, indem ihnen die Last ungenauer Anforderungen in der KI-Verordnung genommen wird; administrative Belastungen sollen verringert und Verzögerungen von Seiten öffentlicher Stellen ausgeglichen werden; effizientere Reallabore sollen mehr Innovationsanreize schafft und Wettbewerbsvorteile sichern.

Auf einen Blick

Der Digitale Omnibus zu KI soll die Umsetzung der Anforderungen der KI-Verordnung vereinfachen. Konkret bedeutet dies vor allem:

Bezogen auf alle Risikostufen:

  • Die Privilegien für KMU sollen auf SMC (Small Mid-Caps, kleine Midcap-Unternehmen) ausgeweitet werden.
  • Die Verpflichtung von Anbietern und Betreibern für ein ausreichendes Maß an KI-Kompetenz zu sorgen, soll zu einer Verpflichtung der Europäischen Kommission und der Mitgliedstaaten werden; sie sollen künftig KI-Kompetenzen fördern.
  • Die Einhaltung der datenschutzrechtlichen Anforderungen soll durch Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten bei der Erkennung und Korrektur von Verzerrungen (Bias) erleichtert werden.
  • Zahlreiche weitere Leitlinien sollen als Hilfestellung entwickelt und veröffentlicht werden, um Unsicherheiten bei der Umsetzung der KI-Verordnung abzubauen.

SCMs

SMC sind Unternehmen mit weniger als 750 Beschäftigten und einem Jahresumsatz von höchstens 150 Mio. EUR oder einer Jahresbilanzsumme von höchstens 129 Mio. EUR (nach Nr. 2 Anhang zur Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen).

Bezogen auf den Hochrisikobereich:

  • Der Zeitplan für die Umsetzung von Vorschriften für Hochrisiko-KI soll an die Verfügbarkeit von Standards oder anderen Hilfsmitteln geknüpft werden.
  • Die Ausnahmeregelung für Kleinstunternehmen, gewisse Aspekte des Qualitätsmanagementsystems auf vereinfachte Weise einzuhalten, soll auf KMU ausgeweitet werden.
  • Der Registrierungsaufwand für Systeme, die in Bereichen mit hohem Risiko eingesetzt werden, aber nach einem Ausnahmetatbestand kein hohes Risiko bergen, soll verringert werden.
  • KI-Reallabore sollen noch breiter als zuvor genutzt werden, um KI im Hochrisikobereich zu entwickeln.

Potenziale für KMU

Der Digitale Omnibus zu KI bietet Potenzial auch für den Mittelstand.

Rechtssicherheit für KMU

  • KI-Kompetenz

    Art. 4 der KI-Verordnung verlangt von Anbietern und Betreibern von KI-Systemen, nach besten Kräften Maßnahmen zu ergreifen, um ein ausreichendes Maß an KI-Kompetenz bei Arbeitnehmern und Dritten, die im Auftrag des Unternehmens KI-Systeme betreiben bzw. nutzen, sicherzustellen. Diese Pflicht steht wegen ihrer ungenauen Formulierung in der Kritik, weil sich die konkreten Anforderungen für Unternehmen zur Erfüllung der Pflicht aus der KI-Verordnung nur schwer bestimmen lassen. Im Verordnungsentwurf wird nun eine Änderung des Art. 4 KI-Verordnung dahingehend vorgeschlagen, dass die Verpflichtung von nun an die Europäische Kommission und die Mitgliedstaaten treffen soll. Diese sollen nun Anbieter und Betreiber von KI-Systemen ermutigen, Maßnahmen zu ergreifen, um ein ausreichendes Maß an KI-Kompetenz ihres Personals etc. sicherzustellen.

    Auch wenn damit eine nur noch mittelbare Verpflichtung der Unternehmen verbunden wäre, bleibt zu beachten, dass KI-Kompetenz-Vermittlung und Maßnahmen zur Förderung von KI-Kompetenz weiterhin unter privatrechtlichen Haftungsgesichtspunkten für Unternehmen relevant bleiben (u.a. Organisationspflicht nach § 823 Abs. 1 BGB, Leitungsverantwortung nach § 93 Abs. 2 AktG, § 43 Abs. 2 GmbHG und § 130 OWiG).

  • Verzögerte Geltung von Anforderungen an den Hochrisikobereich

    Die Anpassungen des Digitalen Omnibusses zu KI gehen auf die Verzögerungen bei der Benennung der zuständigen nationalen Behörden und Konformitätsbewertungsstellen sowie das Fehlen harmonisierter Normen für den Bereich des hohen Risikos ein. Art. 113 KI-Verordnung bestimmt aktuell, dass Kapitel 3 Abschnitt 1, 2 und 3 (Einstufung von Systemen in die Klasse des hohen Risikos, Anforderungen an solche Systeme, Pflichten von Anbietern und Betreibern) ab dem 02. August 2026 gelten. Der Änderungsvorschlag sieht nun vor, die Geltung der genannten Abschnitte daran zu koppeln, dass die Europäische Kommission die Entscheidung erlässt, dass genügend Maßnahmen (wie etwa technische Standards) zur Unterstützung der Compliance verfügbar sind. Für KI-Anwendungsfälle nach Anhang III (Use Cases wie kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement etc.) gelten die Anforderungen sechs Monate nach der Entscheidung der Europäischen Kommission. Für KI-Anwendungsfälle nach Anhang I (Maschinen, Spielzeuge, Funkanlagen, Aufzüge, Medizinprodukte, Fahrzeuge etc.) gelten die Anforderungen 12 Monate nach der Entscheidung. Spätestens gelten die Anforderungen jedoch für KI-Anwendungsfälle nach Anhang III ab dem 2. Dezember 2027 und für KI-Anwendungsfälle nach Anhang I ab dem 2. August 2028.

  • Klarstellende Leilinien durch die Europäische Kommission

    Zahlreiche weitere Leitlinien zur Klärung von Unsicherheiten mit Bezug zur KI-Verordnung sollen als Hilfestellung entwickelt und veröffentlicht werden, z. B.:

    • Leitlinien zur praktischen Anwendung der Einstufung als risikoreich
    • Leitlinien zur praktischen Anwendung der Transparenzanforderungen gemäß Art. 50 KI-Verordnung (Chatbots, Deepfakes etc.)
    • Leitlinien zur Überwachung von KI-Systemen mit hohem Risiko nach dem Inverkehrbringen
    • Leitlinien zum Zusammenspiel der KI-Verordnung mit anderen Rechtsvorschriften der Union etc.

Angekündigte Leitlinien

  • Leitlinien zur praktischen Anwendung der Einstufung als risikoreich
  • Leitlinien zur praktischen Anwendung der Transparenzanforderungen gemäß Art. 50 KI-Verordnung
  • Leitlinien zur Meldung schwerwiegender Vorfälle durch Anbieter risikoreicher KI-Systeme
  • Leitlinien zur praktischen Anwendung der Anforderungen für risikoreiche Systeme
  • Leitlinien zur praktischen Anwendung der Verpflichtungen für Anbieter und Betreiber risikoreicher KI-Systeme
  • Leitlinien mit einer Vorlage für die Grundrechte-Folgenabschätzung
  • Leitlinien zur praktischen Anwendung der Vorschriften für die Verantwortlichkeiten entlang der KI-Wertschöpfungskette
  • Leitlinien zur praktischen Anwendung der Bestimmungen über wesentliche Änderungen
  • Leitlinien zur Überwachung von KI-Systemen mit hohem Risiko nach dem Inverkehrbringen
  • Leitlinien zu den Elementen des Qualitätsmanagementsystems, die KMU und kleine und mittlere Unternehmen
    in vereinfachter Form einhalten können
  • Leitlinien zum Zusammenspiel der KI-Verordnung mit anderen Rechtsvorschriften der Union, z. B.:

    • gemeinsame Leitlinien der Kommission und des Europäischen Datenschutzausschusses zum Zusammenspiel
      der KI-Verordnung und des EU-Datenschutzrechts
    • Leitlinien zum Zusammenspiel zwischen der KI-Verordnung und dem Cyber Resilience Act
    • Leitlinien zum Zusammenspiel zwischen der KI-Verordnung und der Maschinenverordnung
  • Leitlinien zu den Kompetenzen und zum Benennungsverfahren für Konformitätsbewertungsstellen,
    die gemäß der KI-Verordnung zu benennen sind
  • Datenverarbeitung zur Korrektur von Verzerrungen

    In die KI-Verordnung soll Art. 4a eingefügt werden. Dieser adressiert die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen (Bias). Hierdurch soll die Einhaltung des Datenschutzrechts erleichtert werden.

Weniger Bürokratie für KMU

Die Bürokratie soll abgebaut werden.

  • Registrierungspflicht

    Die Pflicht zur Registrierung von bestimmten KI-Systemen entfällt. Adressiert werden Systeme, die in den Anwendungsbereich des Anhangs III zur KI-Verordnung (Use Cases) fallen, aber nach einer Analyse des Anbieters dennoch kein hohes Risiko bergen.

  • Vereinfachtes Qualitätsmanagement

    KMU könnten in Zukunft neben Kleinstunternehmen davon profitieren, ein vereinfachtes Qualitätsmanagement durchführen zu dürfen. Welche Bausteine des Qualitätsmanagementsystems genau betroffen sind, ist noch nicht festgelegt. Genaueres wird die Europäische Kommission zukünftig in Leitlinien ausarbeiten.

Förderung nachhaltiger Technologien und Innovationen

KI-Reallabore sollen noch breiter als zuvor genutzt werden, um KI im Hochrisikobereich zu entwickeln. Um dies zu ermöglichen, soll unter anderem die Zusammenarbeit auf Unionsebene im Bereich der KI-Reallabore weiter verstärkt werden. So sollen Klarheit und Kohärenz bei der Verwaltung von KI-Reallaboren gefördert werden. Außerdem soll der Anwendungsbereich von Tests in der Praxis außerhalb von KI-Reallaboren ausgeweitet werden. Bislang war dies nur für Systeme nach Anhang III (Use Cases) vorgesehen. Zukünftig soll diese Möglichkeit auch auf KI-Systeme nach Anhang I (Maschinen, Spielzeug, Fahrzeuge etc.) ausgeweitet werden.

Fazit

Die geplanten Anpassungen im Rahmen der KI-Verordnung haben das Potenzial, für KMU spürbare Erleichterungen zu bringen:

  • Weniger Bürokratie, vereinfachte Prozesse im Qualitätsmanagement und eine gezielte Förderung nachhaltiger Innovationen.
  • Außerdem wird die Verantwortung zur Sicherstellung von KI-Kompetenz künftig vor allem bei der EU und den Mitgliedstaaten liegen.
    Unternehmen sollen motiviert werden, sich fortzubilden. Wie das im Einzelnen aussehen wird, ist allerdings noch unbestimmt.
    Bis dahin bleibt das Thema für KMU insbesondere mit Blick auf potenzielle Haftungsfragen weiterhin relevant;
    KI-Kompetenz ist zu vermitteln!
  • Die konkreten Anforderungen an Hochrisiko-KI-Systeme sollen zeitlich nach hinten geschoben werden.
    Sie sollen erst greifen, wenn die Europäische Kommission entsprechende Standards und Maßnahmen festgelegt hat.
    Für die im Anhang III genannten Systeme gilt dies spätestens ab dem 2. Dezember 2027,
    für Systeme gemäß Anhang I spätestens ab dem 2. August 2028.

Insgesamt wird die Europäische Kommission die Anforderungen der KI-Verordnung weiterhin konkretisieren
und regelmäßig durch Leitlinien erläutern.

Wie geht es weiter?

Der Verordnungsvorschlag muss nun als nächstes auf Ebene der Europäischen Union ein Trilogverfahren (Europäische Kommission, Rat, Parlament) durchlaufen, damit er zur Verordnung werden kann. Beachten Sie, dass einzelne Vorgaben noch präzisiert werden und sich Änderungen ergeben können. Wir informieren Sie selbstverständlich über relevante Neuerungen.

Quellen und weiterführende Links

  1. Europäische Kommission, Digital Omnibus on AI Regulation Proposal, abrufbar unter: https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal (05.12.2025).
  2. Europäische Union, Law Tracker, abrufbar unter: https://law-tracker.europa.eu/procedure/2025_360?lang=de (05.12.2025).

Verwandte Beiträge

© Bich Tran - Pexels.com
Kurz erklärt!

KI im Unternehmen – Trainingsdaten schützen

Datenhoheit, KI-Recht, Künstliche Intelligenz
Für das Trainieren künstlicher Intelligenz werden große Datenmengen benötigt. Wir zeigen Wege, wie Sie die eingesetzten Trainingsdaten schützen können.
Digitale-Dienste-Gesetz
© georgejmclittle - Freepik.com
Kurz erklärt!

Das neue Digitale-Dienste-Gesetz (DDG)

Gesetze & Regelungen, Recht verstehen
Der neue Rechtsrahmen für digitale Vermittlungsdienste dient als Grundlage, um künftig besser gegen illegale Inhalte oder unsichere Produkte im Internet vorzugehen. Wir erklären, worauf Unternehmen künftig achten müssen.
Datenschutzerklärungen lesen
© pixabay - Pexels.com
Kurz erklärt!

Lesbarkeit von Datenschutzerklärungen

Datenschutz, Gesetze & Regelungen, Recht verstehen
Datenschutzerklärungen nehmen schnell abschreckende Ausmaße an. Wir erklären, wann eine Datenschutzerklärung notwendig ist, was sie grundsätzlich enthalten muss und was die Lesbarkeit fördert.
© pch.vector - Freepik.com
Kurz erklärt!

KI als Gegenstand von und Tool für Compliance

Gesetze & Regelungen, Risiko & Compliance
Compliance ist essenziell für die rechtssichere Unternehmensführung. Wir zeigen, welche gesetzlichen Vorgaben gelten und wie Unternehmen ethisch sowie regelkonform mit KI umgehen.
© Diloka107 - Freepik.com
Kurz erklärt!, Nachgelesen

Risiko Marketing?

Gesetze & Regelungen, KI-Recht, Künstliche Intelligenz
Personalisierte Werbung oder automatisierte Preisgestaltung, die Potenziale von KI im Marketing sind vielseitig. Eine präzise Risikobewertung kann helfen, die Potenziale bestmöglich zu nutzen.
AI-Act
© herbinisaac - Pixabay.com
Wichtiges Urteil!

Hilfe, der AI-Act kommt!

Gesetze & Regelungen, Recht verstehen
Der AI-Act ist ein Gesetz über künstliche Intelligenz. Damit versucht die EU sich an der Spitze im Einsatz von vertrauenswürdiger KI zu positionieren. Wir schauen uns den Verordnungsentwurf genauer an.