EU AI Act 2026: Was nach dem Digital-Omnibus-Deal wirklich gilt — und was Mittelständler jetzt tun müssen
Die meisten Artikel über den EU AI Act, die Sie aktuell finden, sind veraltet. Am 7. Mai 2026 haben Rat, Parlament und Kommission sich auf den „Digital Omnibus" geeinigt — und damit die zentrale Hochrisiko-Deadline vom August 2026 auf Dezember 2027 verschoben. Das ist eine gute Nachricht, die viele Mittelständler falsch interpretieren werden. Hier ist, was nach dem Deal wirklich gilt, was schon heute scharf ist — und warum „aufatmen und abwarten" die teuerste Reaktion wäre.
Wenn Sie in den letzten Wochen einen Artikel über den EU AI Act gelesen haben, der von der „Deadline am 2. August 2026" sprach — werfen Sie ihn weg. Er ist seit dem 7. Mai 2026 überholt.
An diesem Tag haben sich Rat der EU, Europäisches Parlament und Kommission auf eine vorläufige Einigung zum sogenannten Digital Omnibus on AI verständigt — das erste substanzielle Änderungspaket am AI Act seit dessen Verabschiedung 2024. Die wichtigste Konsequenz: Die zentrale Hochrisiko-Deadline wird verschoben.
Das ist eine Erleichterung für die Industrie. Aber sie wird von vielen Mittelständlern falsch verstanden werden — als Freibrief zum Abwarten. Genau das wäre die teuerste Reaktion. Dieser Artikel sortiert, was nach dem Deal wirklich gilt, was bereits heute scharf ist, und was Sie konkret tun sollten.
Erstens: Was bereits in Kraft ist (und nicht verschoben wurde)
Der Digital Omnibus verschiebt die Hochrisiko-Pflichten. Er verschiebt NICHT die Teile des AI Act, die bereits gelten. Das ist die Unterscheidung, die in der Aufatmen-Stimmung untergeht.
| Seit | Was gilt | Betrifft Sie, wenn… |
|---|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) + AI-Literacy-Pflicht (Art. 4) | …Sie KI nutzen, die manipulativ wirkt, Schwächen ausnutzt, Social Scoring betreibt oder biometrische Kategorisierung ohne Rechtsgrundlage einsetzt. AI-Literacy gilt für ALLE, die KI im Unternehmen einsetzen. |
| 2. August 2025 | Pflichten für General-Purpose-AI (GPAI), Governance-Strukturen, Notified Bodies | …Sie eigene GPAI-Modelle anbieten. Für die meisten Mittelständler als reine Nutzer weniger relevant — aber relevant, wenn Sie Modelle finetunen und weiterverbreiten. |
Vor allem die AI-Literacy-Pflicht (Art. 4) wird unterschätzt. Sie verlangt, dass Unternehmen sicherstellen, dass ihre Mitarbeiter, die KI-Systeme bedienen, ein ausreichendes Verständnis davon haben. Das ist seit Februar 2025 scharf, gilt für jeden KI-einsetzenden Betrieb, und wurde durch den Omnibus NICHT verschoben. Wer 200 ChatGPT-Lizenzen verteilt hat, ohne jegliche Schulung — ist hier formal angreifbar.
Zweitens: Was der Digital Omnibus konkret geändert hat
Der Deal vom 7. Mai 2026 enthält drei für Mittelständler relevante Punkte:
1. Hochrisiko-Fristen verschoben (zweistufig)
- Annex-III-Systeme (nutzungsbasiert — z. B. Kreditscoring, Versicherungs-Pricing, Personalauswahl, biometrische Identifikation): Pflichten verschoben von 2. August 2026 auf 2. Dezember 2027 — also 16 Monate später.
- Annex-I-Systeme (produktreguliert — z. B. Medizinprodukte, Aufzüge, Funkanlagen mit KI-Komponente): verschoben von 2. August 2027 auf 2. August 2028 — ein Jahr später.
Der Grund für den Aufschub: Die technischen Normen, an denen die Compliance gemessen werden soll, waren schlicht noch nicht fertig. Man kann von Unternehmen nicht verlangen, eine Norm zu erfüllen, die es noch nicht gibt. Das war der nachvollziehbare Kern des Industrie-Drucks.
2. Zwei neue Verbote kommen hinzu
Der Omnibus verschiebt nicht nur — er verschärft auch punktuell. Zwei neue verbotene Praktiken werden in Artikel 5 aufgenommen und gelten ab 2. Dezember 2026: die Nutzung von KI zur Erzeugung oder Manipulation von nicht-einvernehmlichem intimem Material sowie von Darstellungen sexuellen Kindesmissbrauchs (CSAM). Für seriöse Mittelständler praktisch nie relevant in der eigenen Anwendung — aber wichtig zu wissen, dass der Gesetzgeber bei den Verboten nachschärft, während er bei den Hochrisiko-Pflichten Luft gibt.
3. Erleichterungen für kleinere Unternehmen
Der Deal enthält gezielte Vereinfachungen: erweiterte Compliance-Flexibilitäten für „small mid-cap"-Unternehmen, reduzierte Verwaltungslasten und besseren Zugang zu regulatorischen Sandboxes und Real-World-Testing. Für den klassischen 7-stelligen Mittelständler ist das relevant — die Bürde wird kalibrierter, nicht pauschal.
Die kritische Nuance: Der Deal ist noch nicht final
Hier ist der Punkt, den die meisten verkürzten Meldungen weglassen — und der für Ihre Planung entscheidend ist: Die Einigung vom 7. Mai 2026 ist eine vorläufige politische Einigung. Sie muss noch formal von Parlament und Rat angenommen werden, bevor sie Rechtskraft erlangt.
Das bedeutet konkret: Wenn die formale Adoption sich verzögert und nicht vor dem 2. August 2026 abgeschlossen ist, gilt rechtlich weiterhin die ursprüngliche Timeline — also die Hochrisiko-Pflichten ab August 2026. Sie planen also gegen ein bewegliches Ziel. Wer jetzt seine gesamte Compliance-Vorbereitung einstellt im Vertrauen auf Dezember 2027, wettet auf einen Gesetzgebungsprozess, der schon einmal (28. April, gescheiterter Trilog) gestockt hat.
Die Risiko-Kategorien — in einer Minute verstanden
Der gesamte AI Act ist um vier Risiko-Stufen herum gebaut. Wenn Sie nur eine Sache verstehen, dann diese Einordnung:
- Unannehmbares Risiko (verboten): Social Scoring, manipulative Systeme, unautorisierte biometrische Echtzeit-Überwachung. Komplett untersagt — bereits seit Februar 2025.
- Hohes Risiko: Systeme in sensiblen Bereichen — Personalauswahl, Kreditvergabe, Versicherungs-Pricing, kritische Infrastruktur, bestimmte Medizinprodukte. Hier liegen die umfangreichen Pflichten (Risikomanagement, Dokumentation, menschliche Aufsicht, Daten-Governance). Das ist der Teil, der verschoben wurde.
- Begrenztes Risiko: Chatbots, Deepfakes, KI-generierte Inhalte. Nur Transparenzpflichten — der Nutzer muss wissen, dass er mit KI interagiert bzw. dass Inhalt KI-generiert ist.
- Minimales Risiko: Die große Mehrheit der Anwendungen — Spam-Filter, Produktempfehlungen, Standard-Automatisierung. Keine besonderen Pflichten.
Die entscheidende Frage für jeden Mittelständler lautet damit nicht „Bin ich vom AI Act betroffen?" (fast jeder ist es minimal), sondern „Habe ich irgendwo ein Hochrisiko-System im Einsatz?" Wenn ja, beginnt die eigentliche Arbeit. Wenn nein, beschränken sich Ihre Pflichten auf Transparenz und AI-Literacy.
Die Strafen — warum das kein Papiertiger ist
Der AI Act hat ein dreistufiges Bußgeld-System (Artikel 99), das sich bewusst an der DSGVO-Logik orientiert — aber höher ansetzt:
| Verstoß | Maximale Strafe |
|---|---|
| Verbotene Praktiken (Art. 5) | bis 35 Mio € oder 7 % des weltweiten Jahresumsatzes (der höhere Wert) |
| Andere Pflichtverletzungen (z. B. Hochrisiko-Verstöße) | bis 15 Mio € oder 3 % des weltweiten Jahresumsatzes |
| Falsche / irreführende Angaben gegenüber Behörden | bis 7,5 Mio € oder 1 % des weltweiten Jahresumsatzes |
Zwei Punkte, die in der Praxis oft falsch verstanden werden:
Erstens: Der Prozentsatz bezieht sich auf den gesamten weltweiten Konzern-Jahresumsatz — nicht auf den Umsatz des betroffenen KI-Produkts, nicht nur auf den EU-Umsatz. Bei einem 7-stelligen Mittelständler ist die absolute Eurogrenze relevant; bei einer Unternehmensgruppe kann der Prozentsatz schnell existenzbedrohend werden.
Zweitens: Für KMU und Start-ups gilt explizit der niedrigere der beiden Beträge — eine bewusste Erleichterung des Gesetzgebers. Das nimmt etwas Druck, ändert aber nichts an der Pflicht selbst.
Was Sie jetzt konkret tun sollten — trotz des Aufschubs
Die Verschiebung auf Dezember 2027 ist kein Grund zum Abwarten. Sie ist ein Geschenk an Zeit, das man nutzt — nicht verschläft. Fünf konkrete Schritte:
Eins — KI-Inventur. Listen Sie auf, welche KI-Systeme in Ihrem Unternehmen tatsächlich im Einsatz sind. Nicht nur die offiziell beschafften, sondern auch die „Schatten-KI" — die ChatGPT-Accounts, die einzelne Abteilungen selbst angelegt haben. Sie können nichts klassifizieren, was Sie nicht kennen.
Zwei — Hochrisiko-Triage. Prüfen Sie für jedes System: Fällt es unter Annex III? Personalauswahl, Kreditvergabe, Versicherungs-Pricing, biometrische Verfahren sind die typischen Treffer im Mittelstand. Das ist die einzige Frage, die wirklich über Ihren Aufwand entscheidet.
Drei — AI-Literacy umsetzen. Das gilt JETZT, nicht 2027. Eine dokumentierte Grundschulung für alle KI-Anwender ist günstig, schnell umsetzbar und schließt die offensichtlichste Compliance-Lücke. Wer das ignoriert, ist bei der ersten Prüfung angreifbar — unabhängig vom Hochrisiko-Aufschub.
Vier — Transparenz-Pflichten prüfen. Wenn Sie Chatbots, KI-generierte Texte oder Bilder nutzen: Kennzeichnen Sie diese. Das ist „begrenztes Risiko", niedrigschwellig umzusetzen, und verschoben wurde es nicht.
Fünf — Governance-Verantwortung benennen. Bestimmen Sie eine verantwortliche Person oder Rolle für KI-Compliance. Nicht weil das Gesetz es heute zwingend verlangt, sondern weil ohne klare Zuständigkeit bis Dezember 2027 nichts passieren wird — und dann ist es wieder zu spät, wie schon bei der DSGVO 2018.
Die unbequeme Parallele zur DSGVO
Ich habe 2017/2018 viele Mittelständler durch die DSGVO-Vorbereitung begleitet. Das Muster damals: Lange nichts, dann Panik im letzten Quartal, dann hektische Notlösungen, die teurer und schlechter waren als eine ruhige Vorbereitung gewesen wäre.
Der AI Act wird dasselbe Muster auslösen — verstärkt durch den jetzigen Aufschub, der vielen das Gefühl gibt, es sei „noch lange hin". Dezember 2027 klingt fern. Es ist es nicht. Eine saubere Hochrisiko-Klassifizierung plus Dokumentations-Aufbau plus menschliche Aufsichts-Prozesse brauchen realistisch 9-15 Monate. Rückwärts gerechnet vom Dezember 2027 heißt das: spätestens Mitte 2026 anfangen. Also jetzt.
Wer die geschenkten 16 Monate als Vorbereitungszeit nutzt, hat Ende 2027 ein sauberes Setup und einen Wettbewerbsvorteil gegenüber denen, die wieder in die Last-Minute-Panik laufen. Wer sie verschläft, zahlt dieselbe Hektik-Prämie wie 2018 — nur diesmal mit einem Bußgeldrahmen, der bei 35 Millionen Euro beginnt.
Stand der Angaben: 26. Mai 2026. Der Digital Omnibus on AI ist eine vorläufige politische Einigung (7. Mai 2026); die formale Annahme durch Parlament und Rat stand zum Redaktionszeitpunkt aus. Primäre Quellen: EU-Kommission AI Act · Rat der EU (Pressemitteilung 7. Mai 2026) · AI Act Artikel 99 (Strafen). Dieser Artikel ist keine Rechtsberatung. Für die konkrete Bewertung Ihrer Systeme ziehen Sie qualifizierten Rechtsrat hinzu.