Das Europäische Parlament hat am 16. Juni 2026 seine Position zur Änderung der KI-Verordnung (EU) 2024/1689 in erster Lesung angenommen (423 Ja-Stimmen, 57 Nein, 174 Enthaltungen). Der Rechtsakt – bezeichnet als „Digital Omnibus on AI” (COM(2025)0836) – ändert die KI-VO in mehreren Punkten. Die förmliche Annahme durch den Rat steht noch aus.
Hintergrund
Die KI-VO ist seit 1. August 2024 in Kraft, ihre Bestimmungen gelten jedoch gestaffelt. Die pünktliche Anwendung stand unter Druck: Nationale Aufsichtsbehörden wurden vielerorts noch nicht benannt, harmonisierte Normen und Konformitätsbewertungsrahmen lagen nicht rechtzeitig vor. Die Europäische Kommission hatte den Vorschlag am 19. November 2025 als Teil eines breiteren „Digitalen Omnibuspakets” eingebracht, das neben den KI-Regeln auch Datenschutz- und Cybersicherheitsvorschriften sowie einen Vorschlag zum Europäischen Unternehmenswallet umfasst. Der
erklärte Zweck: Reduktion von Verwaltungsaufwand bei Beibehaltung des risikobasierten Ansatzes.
1. Neue Anwendungsfristen für Hochrisiko-KI-Systeme
Die Verpflichtungen für Hochrisiko-KI-Systeme nach Art. 6 KI-VO werden zeitlich gestreckt. Für eigenständige Hochrisiko-KI-Systeme (Anhang III) gilt als späteste Frist der 2. Dezember 2027; für KI-Systeme, die als Sicherheitskomponente in Produkte eingebettet sind und unter sektorale EU-Harmonisierungsvorschriften fallen (Anhang I), der 2. August 2028. Für diese Kategorie gelten ab sofort im Wesentlichen nur noch Art. 6 Abs. 1, Art. 60a und Art. 102–112 KI-VO (Art. 2 Abs. 2 neu). Anbieter generativer KI-Systeme, die bereits vor dem 2. August 2026 auf dem Markt waren, erhalten eine Übergangsfrist bis zum 2. Dezember 2026, um die Pflicht zur maschinenlesbaren Kennzeichnung KI-generierter Inhalte (Art. 50 Abs. 2 KI-VO) zu erfüllen.
2. Verbot von „Nudifier-Apps” und KI-generierten Missbrauchsdarstellungen
Die rechtspolitisch bedeutsamste Änderung betrifft Art. 5 KI-VO. Neu eingefügt werden zwei Verbotstatbestände:
Art. 5 Abs. 1 lit. ba (neu) verbietet das Inverkehrbringen, die Inbetriebnahme oder Verwendung eines KI-Systems, das ohne die ausdrücklich erteilte, spezifische, informierte, eindeutige und explizite Einwilligung der betroffenen Person realistische Bilder, Videos, Audio oder ähnliches Material der intimen Körperbereiche einer identifizierbaren natürlichen Person oder einer identifizierbaren natürlichen Person bei sexuell eindeutigen Handlungen generiert oder manipuliert.
Art. 5 Abs. 1 lit. bb (neu) verbietet KI-Systeme, die Material im Sinne von Art. 2 lit. c und e der Richtlinie 2011/93/EU über die Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern generieren oder manipulieren, sofern kein nationaler Rechtfertigungsgrund greift.
Für Anbieter gilt das Verbot nur, wenn das Erzeugen derartigen Materials entweder der bestimmungsgemäße Zweck des Systems ist oder wenn dieses Ergebnis ohne wesentliche technische Veränderung vorhersehbar und reproduzierbar ist und das System keine angemessenen technischen Sicherheitsvorkehrungen aufweist (Art. 5 Abs. 1a lit. a neu). Für Betreiber ist die zweckgerichtete Verwendung des Systems zu diesem Zweck verboten (Art. 5 Abs. 1a lit. b neu). Bloße Nachbearbeitung ohne Erhöhung des Grads der Nacktheit oder Änderung der
sexuellen Handlung ist vom Tatbestand ausgenommen (Art. 5 Abs. 1b neu). Die Anpassungsfrist für Anbieter läuft bis zum 2. Dezember 2026.
Der Erwägungsgrund 11 des Rechtsakts hält fest, dass nicht-einvernehmliches Intimmaterial sexuelle Gewalt darstellt und die Verbreitung sogenannter „Nudification”-Anwendungen eine ausdrückliche Verbotsregelung erforderlich macht. Zu beachten ist, dass die verbotenen Verhaltensweisen auch nach nationalem Strafrecht sanktioniert werden können; die KI-rechtlichen Verbote schliDiesereßen eine strafrechtliche Verfolgung nicht aus (Erwägungsgrund 15).
3. Neudefinition „Sicherheitskomponente”
Art. 3 Z 14 KI-VO wird neu gefasst: Eine Sicherheitskomponente liegt nur vor, wenn der bestimmungsgemäße Zweck eines Bestandteils darin besteht, Risiken für Gesundheit und Sicherheit von Personen oder Eigentum zu verhindern oder zu mindern. Art. 6 Abs. 1a (neu) stellt klar, dass
KI-Systeme, die ausschließlich Nutzerunterstützung, Leistungsoptimierung, Effizienz, Automatisierung, Komfort oder nicht sicherheitsrelevante Qualitätskontrolle erfüllen, nicht als Sicherheitskomponente gelten. Maschinenbauprodukte mit KI-Anteil werden darüber hinaus aus dem direkten Hochrisiko-Regime der KI-VO herausgelöst; für sie gelten ausschließlich die Anforderungen der Maschinenverordnung. Die Kommission ist verpflichtet, deren Anhang III durch delegierten Rechtsakt um gesundheits- und sicherheitsbezogene Anforderungen an hochriskante KI-Systeme zu ergänzen.
4. Verarbeitung besonderer Datenkategorien zur Erkennung von Verzerrungen (neuer Art. 4a KI-VO)
Ein neuer Art. 4a KI-VO schafft eine eigenständige Rechtsgrundlage für die ausnahmsweise Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) zur Erkennung und Korrektur von Verzerrungen – und zwar sowohl für Anbieter von Hochrisiko-KI-Systemen als auch für Betreiber und Anbieter sonstiger KI-Systeme und -Modelle. Voraussetzung ist strikte Erforderlichkeit; die Verzerrung darf nicht durch andere Daten behebbar sein. Hinzu kommen umfangreiche Schutzpflichten (Pseudonymisierung, Zugangsbeschränkung, Löschpflicht nach erfolgter Korrektur).
5. Ausweitung auf kleine Midcap-Unternehmen; KI-Kompetenz
Die bisher nur für KMU geltenden Erleichterungen (vereinfachte technische Dokumentation, verhältnismäßige Qualitätsmanagementsysteme) werden auf kleine Midcap-Unternehmen im Sinne der Empfehlung (EU) 2025/1099 ausgeweitet. Die bisher als zwingende Pflicht ausgestaltete KI-Kompetenz (Art. 4 KI-VO) wird umgestaltet: Anbieter und Betreiber sollen Maßnahmen zur Förderung der KI-Kompetenz ihres Personals treffen; Kommission und Mitgliedstaaten sind gehalten, entsprechende Initiativen zu unterstützen und zu fördern.
Einordnung
Die Änderungen berühren den risikobasierten Ansatz der KI-VO strukturell nicht. Die neuen Verbotstatbestände in Art. 5 stellen jedoch eine Verschärfung dar, keine Vereinfachung; die neuen Fristen senken den Anpassungsdruck kurzfristig, beseitigen die Grundpflichten jedoch nicht.
Quellen:
Pressemitteilung des Europäischen Parlaments (DE) |
Angenommener Text P10_TA(2026)0198 (PDF, dzt. nur in der EN-Sprachfassung verfügbar) |
EPRS-Briefing PE 782.651, Juni 2026 (PDF, EN)