eine Analyse von Carina Zehetmaier

Mit dem sogenannten „Omnibus-Vorschlag“ legt die EU-Kommission vertiefende Maßnahmen und Änderungen an bestehenden EU-Rechtsakten vor, um die Umsetzung des AI Act zu erleichtern. Ziel: eine praxisnahe, proportionale und wirtschaftlich verträgliche Umsetzung der Regulierung. Doch was bedeutet das in der praktischen Anwendung? Zwischen gezielter Erleichterung für KMUs und der Gefahr der Verwässerung zentraler Schutzprinzipien liegt ein schmaler Grat.

Was ist geplant? Die wichtigsten Vorschläge im Überblick:

• Verknüpfung des Inkrafttretens der Hochrisiko-Vorgaben mit der Verfügbarkeit von technischen Standards (Normen) oder Unterstützungsmaterialien (wie EU-Guidelines oder gemeinsamen Spezifikationen);
• Regulatorische Vereinfachungen für kleine und mittlere Unternehmen sowie Mid-Caps, etwa durch vereinfachte technische Dokumentation und differenziertere Sanktionspraxis;
• Stärkung der AI Literacy durch Mitgliedstaaten und Kommission, anstelle unbestimmter Schulungsverpflichtungen für Anbieter und Betreiber, wobei die Schulungspflichten imHochrisiko-Bereich bestehen bleiben;
• Mehr Flexibilität beim Post-Market Monitoring;
• Entlastung bei der Registrierungspflicht für Systeme in Hochrisikobereichen, sofern der Anbieter nachweisen kann, dass sie unter die eng definierten Ausschlusskategorien für rein accessorische oder prozedurale Zwecke fallen. Diese Entlastung geht mit einer neuen Dokumentationspflicht einher: Wer ein KI-System aus Anhang III des AI Acts nicht als Hochrisiko einstuft, muss diese Einschätzung vor Inverkehrbringen intern dokumentieren und auf Anfrage den zuständigen nationalen Behörden vorlegen. Dies macht eine strukturierte, nachvollziehbare Risikobewertung notwendig und unterstreicht die Relevanz digitaler Governance-Tools zur Ablage und Auditierbarkeit solcher Einschätzungen;
• Zentralisierung der Aufsicht beim AI Office für generative KI Modelle mit allgemeinen Verwendungszweck, große Online-Plattformen und Suchmaschinen; nationale Behörden bleiben für klassische Hochrisiko-Systeme zuständig;
• Datenverarbeitung für Bias-Erkennung: Der Vorschlag präzisiert die Interaktion mit der DSGVO und schafft mehr Rechtssicherheit für Datenverarbeitungen, die zur Erkennung und Korrektur algorithmischer Verzerrungen erforderlich sind. Die Verarbeitung erfolgt in der Regel auf Basis des legitimen Interesses des Anbieters.
• Ausbau regulatorischer Sandboxes mit EU-weiten Sandboxes und Praxistests, insbesondere für Schlüsselindustrien wie den Automobilsektor;
• Klarstellungen zur Wechselwirkung mit anderen existierenden EU-Gesetzen (z. B. Produktsicherheitsrecht, Digital Services Act, Verbraucherrecht) um Widersprüche zu vermeiden und eine einheitliche Compliance mit allen Gesetzen zu ermöglichen.

Was bedeutet das aus Sicht eines modernen Governance-Ansatzes?

Aus Governance-Sicht bedeutet der Omnibus-Vorschlag vor allem, dass Unternehmen die zusätzlichen Klarstellungen und Erleichterungen nutzen sollten, um ihre internen Prozesse an die operativen Anforderungen des AI Acts anzupassen. Die Maßnahmen erfüllen ihren Zweck nur, wenn Organisationen die Vorgaben nicht als reine Compliance Mindestanforderung behandeln, sondern als Anlass, Risikomanagement, Dokumentation und Verantwortlichkeiten im KI-Lebenszyklus strukturiert zu behandeln. 

Entscheidend wird sein, dass

• AI Literacy nicht nur als Buzzword, sondern als strategischer Kompetenzaufbau der eigenen Belegschaft begriffen wird,
• Sandboxes nicht zur Umgehung, sondern zur Erprobung und Kenntnisgewinn über ethisch robuste KI-Systeme dienen,
• Aufsichtsmechanismen über Basismodelle auch über die Zentralisierung hinaus effektiv ausgestaltet werden.

Laut EU-Kommission ändern die vorgeschlagenen Anpassungen im Rahmen des Omnibus-Vorschlags nichts am grundrechtlichen Schutzprofil des AI Act, da sie den Geltungsbereich der Regulierung sowie die inhaltlichen Anforderungen an KI-Systeme nicht modifizieren.

Der Omnibus-Vorschlag ist ein Signal für Pragmatismus. Ob er der europäischen Idee einer menschenzentrierten KI gerecht wird, hängt davon ab, wie Organisationen ihn umsetzen und ob sie bereit sind, Verantwortung nicht nur zu regeln, sondern zu leben.

Harmonisierte Norm für Qualitätsmanagement im Entwurf veröffentlicht

Ein erster Meilenstein für die operative Umsetzung stellt der erste Entwurf einer harmonisierten Norm zum Qualitätsmanagement nach Artikel 17 AI Act dar und ist aktuell zur öffentlichen Konsultation im Normenentwurfsportal von Austrian Standards verfügbar. Diese Vorlage bietet Organisationen eine Orientierung, wie sie ihr Qualitätsmanagementsystem AI-Act-konform ausgestalten können, und ermöglicht es gleichzeitig, direkt Feedback einzubringen.

Warum ist das relevant? Harmonisierte Normen können eine sogenannte Konformitätsvermutung auslösen. Wer sie anwendet, gilt automatisch als AI-Act-konform in Bezug auf die entsprechenden Verpflichtungen. Gerade für Organisationen ohne eigene Rechts- oder Technikabteilungen schafft das Rechtssicherheit durch Standardisierung.

Unternehmen, Startups und öffentliche Verwaltungen sind eingeladen, sich am Konsultationsverfahren zu beteiligen. Damit die Normung praxistauglich bleibt, braucht sie Beteiligung, Rückmeldung und Konsens. Genau hier beginnt verantwortungsvolle KI-Governance: nicht bei der Kontrolle, sondern beim Mitgestalten.

Eines ist jedoch klar: Auch bei erleichterten Regelungen tragen Organisationen weiterhin die volle Verantwortung dafür, KI-Systeme nachvollziehbar zu dokumentieren, geeignete Prozesse einzurichten und ihre Benutzer:innen umfassend zu schulen. . Ohne klare Prozesse, kompetente Anwender:innen und nachvollziehbare Entscheidungen wird Vertrauen zur Rhetorik und Governance zur Schwachstelle.