Blogpost

Die Digitale Omnibus-Verordnung zur künstlichen Intelligenz

Die politische Einigung zum Digital Omnibus zur KI bringt neue Fristen und Vereinfachungen, schafft aber keine Entbindung von Pflichten. Was sich für Banken konkret ändert, welche Fristen gelten und warum jetzt der richtige Zeitpunkt für eine strukturierte KI-Governance ist.

Hannah Gürsching
Marie Eve Eisenacher
22
Banking der Zukunft
Digitalisierung
Künstliche Intelligenz
Strategie
6 Minuten Lesezeit

In dieser Collection enthalten:

Collection öffnen

Die Digitale Omnibus-Verordnung zur künstlichen Intelligenz

1
KI-Resilienz sicherstellen / to ensure AI resilience

Nach Claude Mythos: Wie Banken ihre KI-Resilienz sicherstellen können

2
banking3

banKIng³ - Folge 31: Volle Sinne, leere Use Cases: Warum KI-Strategie mehr braucht

3
banking3

banKIng³ - Folge 30: Revolution in der Revision: KI, DORA und der Weg zur 100-Prozent-Prüfung

4
banking3

banKIng³ - Folge 29: Souveränität, Sicherheit, Systeme – Warum Banken jetzt handeln müssen

5
KI-Nutzung Deutschland

KI-Nutzung Deutschland: Warum die Nordics im Vorteil sind

6
banking3

banKIng³ - Folge 28: Cybersecurity im KI-Zeitalter: Die neue Realität für Banken

7
IKT-Kontrollfunktion

Claude Mythos im Banking: KI auf dem Weg in die Informationssicherheit

8
Blogbeitrag SAP-Systeme, SAP systems, SAP-Security

Innovative KI-Dokumentenverarbeitung im Banking

9
Blogbeitrag: BaFin-Orientierungshilfe KI

BaFin-Orientierungshilfe KI: Was "KI im Banking" jetzt für Ihre IKT-Risiken und Governance bedeutet

10

Hintergrund der „Digitale Omnibus-Verordnung zur KI“  (Digital Omnibus on AI)

Am 19. November 2025 hat die europäische Kommission erste Entwürfe zum sogenannten digitalen Omnibus veröffentlicht. Der Begriff „Omnibus“ steht dabei für mehrere umfassende Gesetzespakete, die darauf abzielen, den digitalen Rechtsrahmen der EU zu vereinfachen, Doppelstrukturen abzubauen und die Umsetzung für Unternehmen praktikabler zu gestalten.

Neben Änderungsvorschlägen zu Rechtsakten wie der DSGVO, der e-Privacy-Richtlinie, der NIS2-Richtlinie sowie dem Data Act, enthält das umfangreiche Paket Vorschläge zur Änderung des EU AI Acts, auch bezeichnet als „Digitale Omnibus-Verordnung zur KI“ (Digital Omnibus on AI) oder KI-Omnibus).

Mit diesem Vorstoß zielt die EU-Kommission darauf ab, sich mehrere, im Rahmen von Konsultationen festgestellte Herausforderungen im Zusammenhang des EU AI Acts anzunehmen. Beispielsweise sollen Verzögerungen bei der Festlegung von Standards für Vorschriften zu KI-Systemen mit hohem Risiko sowie bei der Benennung nationaler zuständiger Behörden und Konformitätsbewertungsstellen abgefangen werden.

Im März 2026 haben das europäische Parlament und der Rat die Verhandlungspunkte verabschiedet und sich auf einen allgemeinen Ansatz geeinigt. Derzeit befindet sich das Abkommen in der Abstimmungsphase, bevor der europäische Rat die Texte voraussichtlich förmlich annehmen kann. Damit die Änderungen rechtzeitig greifen, muss das amtierende Regelwerk noch vor dem 2. August 2026 formal verabschiedet und im Amtsblatt der EU veröffentlicht werden.

Was sich bereits jetzt schon abzeichnet: Der KI-Omnibus zielt auf eine Vereinfachung in der Umsetzung, nicht auf eine inhaltliche Neuausrichtung des AI Act ab. Ziel des Verfahrens ist es, eine effizientere und konsistentere Umsetzung bestehender Pflichten herbeizuführen.

AI-Coffee-Break

Starten Sie mit frischen KI-Impulsen in Ihre Kaffeepause

Die AI-Coffee-Break-Seminare bringt KI-Wissen direkt in Ihre Kaffeepause!
In nur 45 Minuten erfahren Sie von KI-Experten, wie künstliche Intelligenz
die Finanzwelt verändert und wie Sie sie strategisch nutzen können.

Die zu erwartenden Änderungen

Im Rahmen des KI-Omnibus erwarten Unternehmen im wesentlichen Änderungen im Bereich verbotener KI-Praktiken, Fristenverlängerungen für Hochrisiko-KI und Transparenzpflichten (maschinenlesbare Kennzeichnung), die Abschwächung der KI-Kompetenzpflicht (Art.4), weniger Doppelregulierung im Bereich des Produkt- und Maschinenrechts sowie mehr Spielraum für die Verarbeitung sensibler personenbezogener Daten zum Erkennen und zur Korrektur von Verzerrungen. Darüber hinaus sind gezielte Änderung zur regulatorischen Entlastung von KMUs und Small Mid-Caps geplant.

Für Banken und Finanzinstitute sind vor allem die geplanten Fristenverlängerungen im Bereich der Hochrisiko-KI und Transparenzpflichten von Bedeutung. Für KI-Systeme aus den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, private und öffentliche (Dienst-)Leistungen, Strafverfolgung, Migrations-, Asyl- und Grenzkontrollmanagement sowie Rechtspflege und demokratische Prozesse (Anhang III, EU AI Act) wird die Frist vom 2. August 2026 auf den 2. Dezember 2027 verlängert, während Hochrisiko-KI-Systeme, die in regulierten Produkten wie beispielsweise in Spielzeugen oder Aufzügen (Anhang I, EU AI Act) enthalten sind, eine Fristverlängerung auf den 2. August 2028 kommen soll. Üblicherweise von diesen Änderungen betroffene Bankprodukte bewegen sich in der Regel in Bereichen wie etwa der Kreditwürdigkeitsprüfung oder Personalmanagementprozessen.

Auch die Frist für maschinenlesbare Kennzeichnung synthetischer Inhalte nach Art. 50 Abs. 2, auch Wasserzeichenpflicht genannt, die schon ab einer Einstufung eines KI-Systems als KI-System mit begrenztem Risiko gilt, soll auf den 2. Dezember 2026 und damit um vier weitere Monate verschoben werden. Die Transparenzverpflichtungen des EU AI Acts stellen grundsätzlich Anforderungen an die Kennzeichnung, Offenlegung und technische Markierung (Wasserkennzeichen) KI-generierter Inhalte.

Für viele Unternehmen sind diese Pflichten der erste Berührungspunkt mit dem EU AI Act. Wer beispielsweise Chatbots oder Bildgeneratoren einsetzt oder entwickelt und anbietet, muss nachweisen können, dass die Transparenzanforderungen erfüllt sind.

Hannah Gürsching Consultant | Management & Business Consulting | msg for banking

Wichtig in Bezug auf die verlängerte Frist ist, eine Unterscheidung zwischen Bestands-KI und neuen KI-Systemen zu treffen. Während bereits vorhandene KI-Systeme sich an der neuen Frist orientieren dürfen, müssen sich neue KI-Systeme, die nach der ursprünglichen Frist vom 2. August 2026 eingeführt werden, an diese halten. Ebenfalls wichtig zu verstehen ist, dass die Kernpflichten aus Art. 50 Abs. 1, 3 und 4 am 2. August 2026 anwendbar werden und nicht durch den Digital Omnibus betroffen sind.

Mehr Zeit heißt nicht weniger Pflicht

Fristen verschieben sich, aber die Grundpflichten bleiben. Wer KI-Systeme im regulierten Umfeld betreibt, muss sie kontrollieren. Mehr Vorlaufzeit ist eine Chance für bessere Governance, kein Argument für das Aufschieben struktureller Arbeit. Aus Unternehmensperspektive bringt die politische Einigung zunächst mehr Planungssicherheit. Zentrale Hochrisikopflichten sind nun an einen realistischeren Zeitplan gekoppelt. Aus grundrechtlicher Sicht lässt sich das jedoch auch kritisch bewerten. Je später Hochrisikopflichten greifen, desto länger bleiben bestimmte Schutzmechanismen lückenhaft. Die treffendste Einordnung der Digitalen Omnibus-Verordnung zur KI liegt daher in der Mitte, denn sie bedeutet weder eine vollständige Abkehr vom AI Act noch eine rein technische Korrektur. Vielmehr handelt es sich um eine politische Nachjustierung des Umsetzungsfahrplans, der Unternehmen Zeit schafft, aber keine Entbindung von Pflichten bedeutet.

Was Banken jetzt tun sollten

Im November 2025 hat die Europäische Bankenaufsichtsbehörde (EBA) ein Informationsblatt zu den Auswirkungen des KI-Gesetzes auf den EU-Banken- und Zahlungsverkehrssektor veröffentlicht. Das Ergebnis: Zwischen dem AI Act und bestehenden EU-Bankenvorschriften wurden keine wesentlichen Widersprüche festgestellt. Das KI-Gesetz ergänzt den bestehenden Rahmen, ersetzt ihn aber nicht. Finanzinstitute, die Outsourcing-Vorgaben, DORA und klassisches Risikomanagement bereits umsetzen, verfügen über eine solide Ausgangsbasis, müssen diese Rahmenwerke aber gezielt um KI-spezifische Anforderungen erweitern. Ein praktikabler KI-Governance-Rahmen umfasst dabei mindestens ein vollständiges Inventar aller eingesetzten KI-Systeme inklusive Drittanbieter, klar definierte Zuständigkeiten für fachliche, technische und Compliance-Verantwortung, eine nachvollziehbare Risikoklassifizierung der Use Cases, einen belastbaren Dokumentationsstandard, Monitoring-Prozesse sowie strukturierte Change-Management-Prozesse bei Modell- oder Datenänderungen.

Die zusätzliche Zeit, die durch den KI-Omnibus gewonnen werden kann, sollte daher für strukturierte Governance-Arbeit genutzt werden.

white lines

Besonders die folgenden sechs Handlungsfelder verdienen dabei besondere Aufmerksamkeit:

  1. KI-Inventar aufbauen und aktualisieren: Alle eingesetzten und entwickelten KI-Systeme sollten vollständig erfasst werden, einschließlich Zweck, Anbieter, Nutzergruppen, Datenarten und Einsatzkontext.
  2. Risikoklassifizierung prüfen: KI-Systeme sollten systematisch nach dem AI Act klassifiziert werden. Besonderes Augenmerk gilt Annex-III-Anwendungsbereichen.
  3. Compliance-Roadmap aktualisieren: Die neuen politischen Fristen und dabei insbesondere der 2. Dezember 2026 für Wasserzeichenpflichten bei Altsystemen sowie der 2. Dezember 2027 für Hochrisiko-KI nach Anhang III, sollten in die interne Roadmap übernommen werden. Der finale Gesetzestext steht zwar noch aus, die Richtung ist jedoch klar genug für strukturiertes Vorausplanen.
  4. Transparenzpflichten separat bewerten: Transparenzpflichten nach Art. 50 Abs. 1, 3 und 4 werden unabhängig von Hochrisikopflichten ab dem 02. August 2026 wirksam. Sie sollten daher eigenständig geprüft und adressiert werden.
  5. Datenschutz und KI-Governance verzahnen: Bias-Erkennung, Trainingsdaten, besondere Kategorien personenbezogener Daten und Datenschutz-Folgenabschätzungen sollten nicht isoliert behandelt werden. KI-Governance und DSGVO-Compliance greifen hier ineinander und eine gemeinsame Betrachtung spart Aufwand und sichert Konsistenz.
  6. Lieferketten und Verträge prüfen: Anbieter-, Betreiber-, Importeur- und Distributorrollen müssen vertraglich klar abgebildet sein. Gerade wenn KI-Lösungen von Drittanbietern bezogen werden, gelten abweichende Pflichten. Diese Rollenverteilung sollte in bestehenden Verträgen überprüft und dokumentiert werden.

Diese Handlungsempfehlungen gelten unabhängig davon, ob der finale Rechtstext exakt den aktuellen Signalen entspricht. Wer jetzt strukturiert vorgeht, schafft eine belastbarere Kontrolllandschaft und kann im nächsten Regulierungszyklus flexibel reagieren.

Fazit

Die politische Einigung zur Digitalen Omnibus-Verordnung zur KI vom 7. Mai 2026 verschiebt zentrale Pflichten des EU AI Act, vereinfacht einzelne Umsetzungsfragen und fügt zugleich neue Verbote für besonders missbräuchliche KI-Anwendungen hinzu. Unternehmen erhalten damit mehr Zeit, aber keine regulatorische Pause.

Der KI-Omnibus ist kein Zurückrudern der Regulatoren, sondern ein Versuch, die Umsetzung praktikabler zu gestalten. Als solcher ist er eine echte Chance für Institute, die jetzt den Grundstein legen.

Hannah Gürsching Consultant | Management & Business Consulting | msg for banking

Die wichtigsten Fristen im Überblick

Die allgemeinen Transparenzpflichten nach Art. 50 (Abs. 1, 3, 4) gelten ab dem 2. August 2026. Die Wasserzeichenpflicht (Art. 50 Abs. 2) gilt ab demselben Datum für neue Systeme, während für Altsysteme eine verlängerte Frist bis zum 2. Dezember 2026 gilt. Hochrisiko-KI-Systeme nach Anhang III (u. a. Kreditwürdigkeitsprüfung, HR-Screening) müssen bis zum 2. Dezember 2027 konform sein, in regulierte Produkte integrierte KI-Hochrisikosysteme nach Anhang I bis zum 2. August 2028. Eigenständige Hochrisikosysteme nach Art. 6(2) in Verbindung mit Anhang III wurden ebenfalls auf den 2. Dezember 2027 verschoben (vom ursprünglich 2. August 2026).

Der finale Gesetzestext steht noch aus, die Richtung ist jedoch hinreichend klar. Der Omnibus muss bis spätestens 30. Juli 2026 im Amtsblatt der EU veröffentlicht werden, damit er zum 2. August in Kraft treten kann. Nach der EP-Abstimmung (voraussichtlich 16. Juni 2026) und der Zustimmung des Rates (voraussichtlich 29. Juni) wird die Unterzeichnung für den 8. Juli erwartet, gefolgt von der Veröffentlichung im Amtsblatt zwischen dem 18. und 25. Juli. Weitere Leitlinien der Kommission sowie Klarstellungen zum Zusammenspiel von EU AI Act und sektorspezifischem Finanzrecht werden in den kommenden Monaten folgen.

Die wichtigste Botschaft für Banken und Finanzinstitute bleibt dabei unverändert: Wer die gewonnene Zeit nutzt, um KI-Inventare zu schließen, Kontrollframeworks aufzubauen und Governance-Strukturen mit DORA und DSGVO zu verzahnen, wird unabhängig davon, was der konsolidierte Rechtstext letztlich festlegt, deutlich besser aufgestellt sein. Denn die Richtung ist klar genug, um jetzt strukturiert weiterzuarbeiten.

_________________________________________________

banKIng3

Immer am Puls der KI-Revolution mit banKIng³

Drei Generationen, eine Vision – und Themen, die die Branche wirklich bewegen. Jede neue Folge bringt frische Perspektiven auf KI und die Zukunft des Bankings. Jetzt Play drücken und Banking neu denken.

zum Podcast

_________________________________________________

Share: LinkedIn Xing X Facebook

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Video
2 Minuten Lesezeit

msg.ORRP – Ein Datenstand. Zwei Sichten. Keine Kompromisse.

msg for banking
Blogpost
3 Minuten Lesezeit

Die Bank der Zukunft ist data inspired!

Irmgard Sturm
Blogpost
3 Minuten Lesezeit

Nach Claude Mythos: Wie Banken ihre KI-Resilienz sicherstellen können