Wer die Vorbereitung auf den EU AI Act — auf Deutsch KI-Verordnung oder kurz KI-VO — bislang vor sich hergeschoben hat, bekommt 2026 mehr Zeit, aber keinen Freibrief. Mit dem sogenannten Digital Omnibus verschiebt die EU zentrale Fristen dieser Künstliche-Intelligenz-Verordnung und entlastet gezielt kleine und mittlere Unternehmen. Dieser Beitrag ordnet ein, was sich konkret ändert, welche Pflichten unverändert bestehen bleiben und welche Schritte Geschäftsführer jetzt sinnvollerweise gehen. Stand: 16. Juni 2026 — der Status ist noch vorläufig, die finale Verabschiedung des AI Act in seiner geänderten Fassung steht aus. Wir kennzeichnen im Text, was bereits gilt und was noch erwartet wird.
Der EU AI Act in Kürze
Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Er gilt seit dem 1. August 2024 formal und folgt einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung für Menschen, desto strenger die Anforderungen. Das Gesetz unterscheidet vier Stufen — verbotene Praktiken, Hochrisiko-KI (etwa in Personalauswahl, Kreditvergabe oder kritischer Infrastruktur), begrenztes Risiko mit Transparenzpflichten (etwa Chatbots) und minimales Risiko, für das praktisch keine Auflagen gelten. Verstöße können je nach Schwere empfindlich sanktioniert werden — bei verbotenen Praktiken reichen die vorgesehenen Bußgelder bis in zweistellige Millionenhöhe beziehungsweise einen Prozentsatz des weltweiten Jahresumsatzes. Das erklärt, warum die KI-Verordnung auch im Mittelstand auf der Tagesordnung steht und nicht nur Großkonzerne beschäftigt.
Für den Großteil der KMU fallen die meisten Anwendungen in die unteren Risikostufen. Relevant wird es dort, wo KI Entscheidungen über Menschen trifft oder vorbereitet. Wenn Sie mit den Grundlagen noch nicht vertraut sind, lohnt vorab unser Grundlagen-Leitfaden zum EU AI Act — dieser Beitrag konzentriert sich auf die Neuerungen des Jahres 2026.
Wichtig zu wissen: Der EU AI Act gilt nicht nur für Unternehmen mit Sitz in der EU. Sobald ein KI-System auf dem europäischen Markt angeboten wird oder seine Ergebnisse in der EU genutzt werden, greift die Verordnung — unabhängig davon, wo der Anbieter sitzt. Für den deutschen Mittelstand heißt das vor allem: Auch zugekaufte KI-Werkzeuge aus den USA entbinden Sie nicht von der eigenen Sorgfaltspflicht bei deren Nutzung.
KI-Verordnung: der aktuelle Stand 2026 und der Digital Omnibus
Der Digital Omnibus ist ein Gesetzespaket der EU, das mehrere Digitalgesetze gleichzeitig nachjustiert — darunter prominent die KI-Verordnung. Ziel ist es, Regeln zu vereinfachen, Doppelungen zu bündeln und vor allem die Fristen des AI Act an die Realität anzupassen: Mehrere technische Standards und Werkzeuge, ohne die Unternehmen ihre Pflichten gar nicht erfüllen können, waren schlicht nicht rechtzeitig fertig.
Der größere Zusammenhang: In Brüssel ist die Sorge gewachsen, dass zu dichte Regulierung Innovation ausbremst — gerade im Wettbewerb mit den USA und China. Das Reformpaket ist die Antwort darauf. Es geht nicht um Deregulierung um jeden Preis, sondern um Vereinfachung dort, wo Bürokratie ohne echten Sicherheitsgewinn entsteht. Neben der KI-Verordnung bündelt das Paket auch Anpassungen an weiteren Digitalvorschriften, etwa im Datenschutz- und Cybersicherheitsumfeld.
Die Zeitleiste im Überblick: Die EU-Kommission hat den Digital Omnibus am 19. November 2025 vorgeschlagen. Rat und Parlament erzielten am 7. Mai 2026 eine vorläufige Einigung. Die finale Verabschiedung und die Veröffentlichung im Amtsblatt werden für Juni oder Juli 2026 erwartet — also noch vor der ursprünglich kritischen Frist am 2. August 2026. Bis zur Veröffentlichung im Amtsblatt gilt: Es handelt sich um eine politische Einigung, noch nicht um final geltendes Recht. Für die Praxis im Mittelstand ist die Richtung dennoch klar genug, um die eigene Planung darauf auszurichten — ohne sich auf Details zu versteifen, die sich im Gesetzgebungsverfahren noch verschieben können.
Was heißt das bis zur finalen Verabschiedung konkret? Solange der Text nicht im Amtsblatt steht, bleibt ein Restrisiko, dass sich einzelne Punkte noch ändern. Die Grundrichtung — spätere Fristen, schlankere Pflichten für kleinere Unternehmen — gilt politisch jedoch als gesetzt, weil sich Rat und Parlament bereits geeinigt haben. Für Geschäftsführer bedeutet das: Richten Sie Ihre Planung am aktuellen Stand aus, aber treffen Sie keine unumkehrbaren Entscheidungen allein wegen eines einzelnen Datums. Wer organisatorisch flexibel bleibt, ist auf der sicheren Seite — egal, ob ein Termin am Ende um Wochen abweicht.
Verschobene Fristen — die wichtigste Änderung
Der für viele Unternehmen spürbarste Teil der Reform betrifft die Hochrisiko-Pflichten. Sie werden deutlich nach hinten verschoben. Der Grund ist nicht politischer Rückzug, sondern Pragmatismus: Ohne fertige Normen und Konformitätswerkzeuge wäre die Einhaltung gar nicht prüfbar gewesen. Die folgende Übersicht fasst die zentralen neuen Termine zusammen (Stand 16. Juni 2026, vorbehaltlich der finalen Veröffentlichung):
| Pflicht | Alte Frist | Neue Frist |
|---|---|---|
| Hochrisiko-KI nach Annex III (eigenständige Systeme, z. B. in HR oder Kreditvergabe) | 02.08.2026 | 02.12.2027 |
| Hochrisiko-KI nach Annex I (in regulierte Produkte eingebettet) | 02.08.2027 | 02.08.2028 |
| Kennzeichnungspflicht für KI-Inhalte (Watermarking) | 02.08.2026 | 02.12.2026 |
Konkret heißt das: Die Pflichten für eigenständige Hochrisiko-Systeme rücken um rund 16 Monate nach hinten, die für eingebettete Systeme um ein Jahr. Auch die Pflicht, KI-generierte Inhalte erkennbar zu kennzeichnen, gewinnt vier Monate. Für KMU, die ein Hochrisiko-System planen oder betreiben, ist das wertvolle Zeit zur sauberen Vorbereitung — kein Anlass, das Thema erneut zu vertagen.
Ein verbreitetes Missverständnis sei hier vorweggenommen: Die Verschiebung betrifft die Pflichten für Hochrisiko-Systeme — nicht den gesamten AI Act. Wer keine Hochrisiko-KI betreibt, war von der August-Frist 2026 ohnehin kaum betroffen und bleibt es auch jetzt. Die eigentliche Frage für jedes Unternehmen lautet deshalb unverändert: In welche Risikoklasse fällt meine KI überhaupt? Erst aus dieser Einordnung ergibt sich, welche der verschobenen oder weiterhin geltenden Fristen für Sie praktisch relevant sind.
Ein Sonderfall ist die Kennzeichnungspflicht für KI-Inhalte. Sie verlangt, dass etwa KI-generierte Texte, Bilder oder Stimmen maschinenlesbar als solche markiert werden. Der EU AI Act verschiebt diese Pflicht auf den 2. Dezember 2026 — auch hier, weil die technischen Standards für verlässliches Watermarking noch reifen müssen. Für Unternehmen, die mit generativer KI Inhalte erstellen, lohnt es sich, die Kennzeichnung schon jetzt mitzudenken, statt sie später aufwendig nachzurüsten.
Was sich für KMU konkret ändert
Neben den Fristen bringt der Digital Omnibus mehrere Erleichterungen, die gezielt auf kleinere Unternehmen zugeschnitten sind. Das ist die gute Nachricht für den EU-AI-Act-Mittelstand:
Vereinfachte Dokumentation. KMU sollen ihre technische Dokumentation für Hochrisiko-Systeme in reduziertem Umfang führen dürfen. Der Nachweis bleibt Pflicht, der bürokratische Aufwand sinkt aber spürbar. Konkret umfasst die technische Dokumentation für ein Hochrisiko-System normalerweise eine ganze Reihe von Nachweisen: eine Beschreibung des Systems und seines Zwecks, Angaben zu den verwendeten Trainings- und Eingabedaten, die Darstellung des Risikomanagements, den Nachweis menschlicher Aufsicht sowie Kennzahlen zu Genauigkeit und Robustheit. Für ein KMU, das etwa ein KI-gestütztes System zur Vorauswahl von Bewerbungen betreibt, summiert sich das schnell zu einem umfangreichen Aktenordner. Die KMU-Erleichterung erlaubt hier ein vereinfachtes, standardisiertes Dokumentationsformat: Die Kerninformationen müssen weiterhin nachweisbar sein, dürfen aber in schlankerer Form vorliegen — ohne den vollen Umfang, den ein Großkonzern mit eigener Rechtsabteilung stemmen würde.
Mildernde Berücksichtigung bei Strafen. Bei Verstößen soll die Unternehmensgröße strafmildernd einfließen. Die Aufsicht soll Proportionalität wahren, statt KMU mit denselben Maßstäben wie Großkonzerne zu sanktionieren. Das senkt das gefürchtete Risiko, dass ein einzelner Formfehler ein kleines Unternehmen existenziell trifft.
Neue Kategorie „Small Mid-Caps". Unternehmen, die für die klassische KMU-Definition zu groß, aber noch keine Großkonzerne sind, erhalten erstmals dieselben Erleichterungen wie KMU. Bislang fielen genau diese wachsenden Mittelständler durch das Raster und wurden behandelt wie Konzerne — die Reform schließt diese Lücke und sorgt dafür, dass ein breiterer Teil des Mittelstands profitiert.
Klarstellung beim Begriff „Safety Component". KI, die Nutzer lediglich unterstützt oder die Leistung eines Produkts optimiert, fällt nicht automatisch unter Hochrisiko — vorausgesetzt, ein Ausfall erzeugt keine Gesundheits- oder Sicherheitsrisiken. Das nimmt vielen Assistenz- und Optimierungslösungen die Hochrisiko-Einstufung und betrifft etwa auch Anwendungen, in denen Agentic AI Prozesse unterstützt, ohne sicherheitskritische Entscheidungen allein zu treffen.
Was trotzdem gilt — Pflichten, die bleiben
So wichtig die Entlastung ist — „verschoben" bedeutet nicht „abgesagt". Mehrere Teile der KI-Verordnung gelten unverändert weiter, einige davon bereits heute:
Die verbotenen Praktiken (etwa manipulative KI oder Social Scoring) sind seit Februar 2025 in Kraft und bleiben es. Die Transparenzpflichten für KI im direkten Kontakt mit Menschen bestehen fort: Wer mit einem Chatbot interagiert oder KI-generierte Inhalte erhält, muss das erkennen können. Die Pflicht zur KI-Kompetenz (AI Literacy) gilt bereits — Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI einsetzen, deren Möglichkeiten und Grenzen hinreichend verstehen. Das ist keine formale Schulungspflicht mit Zertifikat, aber eine echte Verantwortung: Wer KI ohne Verständnis bedient, produziert Fehler, die niemand bemerkt. Und die Regeln für General-Purpose-AI (GPAI), also universelle Basismodelle wie große Sprachmodelle, laufen ebenfalls weiter — relevant für jeden, der solche Modelle in eigene Anwendungen einbindet.
Warum betrifft das KMU sofort? Weil drei dieser Pflichten unabhängig vom Digital Omnibus bereits heute gelten. Die KI-Kompetenz-Pflicht etwa verlangt, dass ein Mitarbeiter, der ein Sprachmodell für Kundenkorrespondenz nutzt, dessen typische Schwächen kennt — etwa, dass es Fakten überzeugend erfinden kann. Die verbotenen Praktiken treffen auch kleine Unternehmen unmittelbar: Wer KI zur verdeckten Verhaltensmanipulation oder zur Bewertung von Mitarbeitenden nach sozialem Verhalten einsetzt, handelt schon jetzt rechtswidrig. Und die Transparenzpflicht ist im Alltag am sichtbarsten: Ein Chatbot auf der eigenen Website muss als KI erkennbar sein, KI-generierte Marketinginhalte müssen entsprechend gekennzeichnet werden. Das sind keine fernen Hochrisiko-Szenarien, sondern Anforderungen, die praktisch jedes Unternehmen mit KI-Einsatz betreffen — und für die es keine verschobene Frist gibt.
Wichtig für die ehrliche Einordnung: Die Reform schafft Luft bei den aufwendigsten Hochrisiko-Pflichten, ändert aber nichts am Grundgerüst. Wer KI im Unternehmen einsetzt, kommt um eine saubere Bestandsaufnahme und um Transparenz nicht herum. Themen wie Datenschutz und Datensouveränität bleiben parallel relevant — siehe dazu unseren Beitrag zu DSGVO-konforme KI.
Ihre To-do-Checkliste für 2026
Die verschobenen Fristen sind ein Zeitfenster, kein Ruhekissen. Wer die gewonnene Zeit nutzt, kommt entspannt ins Ziel. Vier Schritte, die sich unabhängig vom finalen Gesetzestext lohnen:
- KI-Systeme inventarisieren. Verschaffen Sie sich einen vollständigen Überblick: eigene Entwicklungen, gekaufte Tools, eingebettete KI in ERP oder CRM und intern genutzte Sprachmodelle. Was man nicht kennt, kann man nicht einordnen. Praktisch: Legen Sie eine einfache Tabelle an — Systemname, Zweck, Anbieter, zuständige Abteilung — und fragen Sie dafür jede Fachabteilung einmal gezielt ab, statt auf Zuruf zu sammeln.
- Risikoklasse bestimmen. Ordnen Sie jedes System einer Risikostufe zu. Die entscheidende Frage: Trifft oder beeinflusst die KI Entscheidungen, die Menschen direkt betreffen? Nur dann wird der Hochrisiko-Rahmen relevant. Praktisch: Gehen Sie Ihre Liste System für System durch und markieren Sie jedes, das Menschen bewertet, auswählt oder über sie entscheidet, als prüfungsbedürftig — der Rest fällt meist in die unteren Stufen.
- Dokumentation vorbereiten. Halten Sie systematisch fest, welches System zu welchem Zweck mit welchen Daten arbeitet. Dank der KMU-Erleichterungen darf das schlanker ausfallen — anfangen sollten Sie trotzdem jetzt. Praktisch: Beginnen Sie nur mit den als Hochrisiko markierten Systemen und sammeln Sie für jedes Zweck, Datenquellen und Verantwortliche an einem zentralen, auffindbaren Ort.
- Verantwortlichkeit klären. Benennen Sie eine Person, die das Thema KI-Compliance verantwortet. Ohne klare Zuständigkeit versanden gute Vorsätze zwischen IT und Geschäftsleitung. Praktisch: Bestimmen Sie eine konkrete Person mit Namen — nicht pauschal „die IT" — und räumen Sie ihr ein festes, wiederkehrendes Zeitbudget für das Thema ein.
Diese vier Schritte sind unabhängig vom finalen Wortlaut des Gesetzes sinnvoll — sie schaffen Überblick und Handlungsfähigkeit. Die Novelle verschafft Ihnen dafür mehr Zeit, doch der Aufwand verschwindet nicht, er verteilt sich nur günstiger. Wer die Inventarisierung einmal sauber gemacht hat, profitiert auch über den EU AI Act hinaus: bei Datenschutz, IT-Sicherheit und der eigenen KI-Strategie. Compliance und sinnvolle Digitalisierung sind hier zwei Seiten derselben Medaille.
Wo der Mittelstand Unterstützung findet
Die wenigsten KMU haben eigene Compliance-Abteilungen — und das müssen sie auch nicht. Der pragmatische Weg führt über die Einordnung der eigenen KI-Anwendungen und einen realistischen Fahrplan. Genau hier setzt AllBytes an: als KI-Berater für den Mittelstand begleiten wir Sie bei der praktischen Einführung von KI — von der Inventarisierung über die Risikoeinordnung bis zur sauberen Umsetzung. So wird aus der abstrakten Anforderung des EU AI Act ein konkreter, abarbeitbarer Plan, der zu Ihrer Unternehmensgröße passt. Wo es um Daten geht, ergänzt unsere Datenschutz- und Compliance-Beratung.
Ein wichtiger Hinweis zur Abgrenzung: AllBytes berät zur praktischen, technischen und organisatorischen Einführung von KI — nicht juristisch. Für die rechtsverbindliche Auslegung des EU AI Acts im Einzelfall ist eine spezialisierte Kanzlei der richtige Ansprechpartner. Unsere Stärke ist die Brücke zwischen Regulierung und funktionierendem System im Alltag. Gerade beim EU AI Act zahlt sich diese Kombination aus, weil die Verordnung technische, organisatorische und rechtliche Fragen vermischt — KMU brauchen einen Partner, der die ersten beiden zuverlässig abdeckt und beim dritten den Weg zur passenden Kanzlei ebnet.
Fazit
Der Digital Omnibus ist eine vernünftige Korrektur: Er schiebt Fristen dorthin, wo die nötigen Standards realistisch verfügbar sind, und entlastet den Mittelstand bei Dokumentation und Sanktionen. Für KMU heißt das aber nicht „durchatmen und vergessen", sondern „die gewonnene Zeit klug nutzen". Wer jetzt seine KI-Systeme inventarisiert, Risiken einordnet und Verantwortlichkeiten klärt, erfüllt die bleibenden Pflichten ohne Hektik — und ist vorbereitet, sobald die verschobenen Fristen näher rücken. Der EU AI Act 2026 belohnt die, die vorausschauend handeln.
Ihr nächster Schritt
Bereit, das in Ihrem Unternehmen umzusetzen?
AllBytes begleitet mittelständische Unternehmen seit über 20 Jahren bei der Digitalisierung. Sprechen Sie direkt mit unseren Architekten — kostenlos und unverbindlich.
Erstgespräch anfragen