Monatelang war der EU AI Act ein bewegliches Ziel. Seit Sommer 2026 steht die Zeitachse fest. Der Digital Omnibus ist beschlossen, die verschobenen Fristen sind geltendes Recht, und damit endet die Ausrede des Abwartens. Nur verstehen viele Mittelständler die Verschiebung falsch, und dieser Irrtum wird teuer.
Wenn Sie einen älteren Artikel gelesen haben, der die Hochrisiko-Pflichten für August 2026 ansetzt, war er zu seiner Zeit korrekt und ist es heute nicht mehr. Der Digital Omnibus hat die schwersten Pflichten nach hinten geschoben. Er hat aber nicht alles verschoben, und die Teile, die bleiben, treffen früher, als die meisten denken. Die nächste harte Frist ist nicht 2027. Sie ist der 2. August 2026.
Der Stand nach dem Digital Omnibus
Die im Frühjahr 2026 erzielte politische Einigung ist inzwischen formal angenommen: vom Europäischen Parlament am 16. Juni, vom Rat am 29. Juni 2026. Damit ist die neue Zeitachse kein Entwurf mehr und keine Wette auf einen Prozess, der noch kippen könnte. Sie gilt.
Das ändert die richtige Haltung. Bisher konnte man argumentieren, man warte die formale Annahme ab, bevor man plant. Dieses Argument ist verbraucht. Die Fristen stehen, jetzt zählt allein die Umsetzung.
Was jetzt schon in Kraft ist
Der Omnibus hat die Hochrisiko-Pflichten verschoben, nicht die Teile des AI Act, die längst gelten.
| Seit | Was gilt | Betrifft Sie, wenn … |
|---|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) und AI-Literacy-Pflicht (Art. 4) | Sie KI einsetzen, die manipuliert, Schwächen ausnutzt, Social Scoring betreibt oder biometrisch kategorisiert ohne Rechtsgrundlage. Die AI-Literacy-Pflicht gilt für jeden, der KI im Unternehmen einsetzt. |
| 2. August 2025 | Pflichten für General-Purpose-KI (GPAI), Governance-Strukturen, Konformitätsstellen | Sie eigene GPAI-Modelle anbieten. Für Mittelständler als reine Nutzer selten relevant, wichtig aber, sobald Sie Modelle finetunen und weiterverbreiten. |
Die AI-Literacy-Pflicht aus Artikel 4 unterschätzen viele. Sie verlangt, dass Ihre Mitarbeiter, die KI bedienen, ausreichendes Verständnis dafür haben. Diese Pflicht gilt seit Februar 2025 und wurde durch den Omnibus nicht angetastet. Wer zweihundert KI-Lizenzen ohne jede Schulung verteilt hat, ist an genau dieser Stelle angreifbar.
Die brennende Frist: Artikel 50 ab 2. August 2026
Hier liegt der Punkt, den die Verschiebungs-Schlagzeilen verdecken. Die Transparenzpflichten aus Artikel 50 wurden nicht verschoben. Sie greifen am 2. August 2026, und sie betreffen fast jedes Unternehmen, das KI nach außen einsetzt.
Ab diesem Datum gilt: Wer einen Chatbot betreibt, muss offenlegen, dass Nutzer mit einer Maschine sprechen. Wer KI-generierte Bilder, Audio, Video oder Texte veröffentlicht, muss sie maschinenlesbar als künstlich erzeugt kennzeichnen. Wer Deepfakes erstellt, muss das offenlegen. Für generative Systeme, die schon vor dem Stichtag im Einsatz waren, läuft eine Übergangsfrist für die maschinenlesbare Kennzeichnung bis zum 2. Dezember 2026.
Eine Ausnahme entscheidet in der Praxis, gerade für alle, die Inhalte publizieren. Wer KI-gestützte Texte zu Themen von öffentlichem Interesse veröffentlicht, muss sie nicht kennzeichnen, sofern ein Mensch sie substantiell geprüft und die redaktionelle Verantwortung übernommen hat. Wer seine Inhalte ernsthaft gegenliest und dafür geradesteht, fällt unter diese Ausnahme. Wer ungeprüft ausspielt, nicht.
Was der Digital Omnibus verschoben hat
Verschoben wurde der schwere Teil, die Pflichten für Hochrisiko-Systeme, und zwar in zwei Stufen.
Nutzungsbasierte Hochrisiko-Systeme nach Anhang III, etwa Kreditscoring, Versicherungs-Pricing, Personalauswahl oder biometrische Identifikation, bekommen bis zum 2. Dezember 2027 Zeit, statt wie ursprünglich bis August 2026. Das sind sechzehn Monate mehr. Produktregulierte Systeme nach Anhang I, etwa KI in Medizinprodukten oder Funkanlagen, verschieben sich auf den 2. August 2028.
Der Grund ist nüchtern: Die technischen Normen, an denen die Einhaltung gemessen werden soll, waren schlicht nicht fertig. Man kann von keinem Unternehmen verlangen, eine Norm zu erfüllen, die es noch nicht gibt.
Die Risiko-Kategorien in einer Minute
Der gesamte AI Act baut auf vier Stufen auf.
- Unannehmbares Risiko, verboten. Social Scoring, manipulative Systeme, unautorisierte biometrische Echtzeit-Überwachung. Untersagt seit Februar 2025.
- Hohes Risiko. Systeme in sensiblen Feldern wie Personalauswahl, Kreditvergabe, Versicherungs-Pricing, kritische Infrastruktur, bestimmte Medizinprodukte. Umfangreiche Pflichten von Risikomanagement über Dokumentation bis menschlicher Aufsicht. Dieser Teil wurde verschoben.
- Begrenztes Risiko. Chatbots, Deepfakes, KI-generierte Inhalte. Nur Transparenzpflichten, und die greifen ab August 2026.
- Minimales Risiko. Die große Mehrheit der Anwendungen, von Spam-Filtern bis Standard-Automatisierung. Keine besonderen Pflichten.
Die entscheidende Frage lautet nicht, ob Sie vom AI Act betroffen sind. Sie lautet, ob Sie irgendwo ein Hochrisiko-System im Einsatz haben.
Die Strafen, und warum das kein Papiertiger ist
Der AI Act hat ein dreistufiges Bußgeld-System nach Artikel 99, das der DSGVO-Logik folgt, aber höher ansetzt.
| Verstoß | Maximale Strafe |
|---|---|
| Verbotene Praktiken (Art. 5) | bis 35 Mio € oder 7 % des weltweiten Jahresumsatzes, der höhere Wert zählt |
| Andere Pflichtverletzungen, etwa bei Hochrisiko-Systemen | bis 15 Mio € oder 3 % des weltweiten Jahresumsatzes |
| Falsche oder irreführende Angaben gegenüber Behörden | bis 7,5 Mio € oder 1 % des weltweiten Jahresumsatzes |
Zwei Dinge dazu. Der Prozentsatz bezieht sich auf den gesamten weltweiten Konzernumsatz, nicht nur auf das EU-Geschäft. Bei einem Mittelständler mit siebenstelligem Umsatz greift die absolute Eurogrenze, bei einer Unternehmensgruppe wird der Prozentsatz schnell existenzbedrohend. Für kleine und mittlere Unternehmen sowie Start-ups gilt ausdrücklich der jeweils niedrigere der beiden Beträge, eine bewusste Erleichterung.
Was Sie jetzt konkret tun sollten
Die Verschiebung auf 2027 ist kein Grund zu warten, denn Artikel 50 kommt 2026 und die Vorbereitung auf Hochrisiko dauert länger, als der Kalender vermuten lässt. Fünf Schritte.
Eins, KI-Inventur. Listen Sie auf, welche KI-Systeme tatsächlich laufen, auch die inoffizielle Schatten-KI in den Abteilungen. Sie können nichts klassifizieren, was Sie nicht kennen.
Zwei, Hochrisiko-Triage. Prüfen Sie jedes System auf Anhang III. Personalauswahl, Kreditvergabe, Versicherungs-Pricing und biometrische Verfahren sind die typischen Treffer. Das entscheidet über Ihren Aufwand.
Drei, Transparenz zuerst. Weil Artikel 50 die nächste Frist ist: Kennzeichnen Sie Chatbots, KI-generierte Texte und Bilder jetzt. Der Aufwand ist gering, das Datum ist nah.
Vier, AI-Literacy umsetzen. Das gilt heute, nicht 2027. Eine dokumentierte Grundschulung für alle KI-Anwender ist günstig, schnell gemacht und schließt die offensichtlichste Lücke.
Fünf, Verantwortung benennen. Bestimmen Sie eine Person oder Rolle für KI-Compliance. Ohne klare Zuständigkeit passiert bis 2027 nichts.
Die unbequeme Parallele zur DSGVO
Ich habe 2017 und 2018 viele Mittelständler durch die DSGVO-Vorbereitung begleitet. Das Muster war überall gleich. Lange geschah nichts, dann kam die Panik im letzten Quartal, dann folgten hektische Notlösungen, teurer und schlechter als eine ruhige Vorbereitung es gewesen wäre.
Der AI Act wird dasselbe Muster auslösen, verstärkt durch den aktuellen Aufschub. Dezember 2027 klingt fern und ist es nicht. Eine saubere Hochrisiko-Klassifizierung samt Dokumentation und menschlichen Aufsichtsprozessen braucht realistisch neun bis fünfzehn Monate. Rückwärts gerechnet heißt das, spätestens Mitte 2026 anzufangen. Also jetzt. Wer die geschenkten sechzehn Monate nutzt, steht Ende 2027 mit sauberem Setup und einem Vorsprung da. Wer sie verschläft, zahlt dieselbe Hektik-Prämie wie 2018, diesmal unter einem Bußgeldrahmen, der bei fünfunddreißig Millionen Euro beginnt.
Stand der Angaben: 9. Juli 2026. Der Digital Omnibus wurde von Parlament (16. Juni) und Rat (29. Juni 2026) formal angenommen. Dieser Artikel ist keine Rechtsberatung. Für die Bewertung Ihrer konkreten Systeme ziehen Sie qualifizierten Rechtsrat hinzu.