Die Frist hat sich verschoben. Ihre Pflichten nicht alle mit ihr.
Zwei Jahre lang arbeitete jedes Unternehmen, das in Europa KI einsetzt, auf ein einziges Datum hin: den 2. August 2026, an dem die anspruchsvollsten Pflichten des EU AI Act in Kraft treten sollten. Am 7. Mai 2026 erzielten die EU-Gesetzgeber dann eine politische Einigung über den sogenannten Digital Omnibus on AI und verschoben die Hochrisiko-Fristen um mehr als ein Jahr nach hinten.
Das klingt nach Entlastung. Für die meisten kleinen und mittleren Unternehmen (KMU) ist es das auch — aber es ist kein Freibrief. Mehrere Pflichten sind heute bereits in Kraft, und der häufigste Fehler, den wir bei Buinsoft beobachten, sind Inhaber, die die Schlagzeile „Frist verschoben" lesen und sich still und leise zurücklehnen. Dieser Leitfaden zeigt genau auf, was sich geändert hat, was weiterhin gilt und welche praktischen Schritte ein KMU jetzt unternehmen sollte.
Kurzer Hinweis: Die Einigung vom 7. Mai ist vorläufig. Sie bedarf noch der förmlichen Annahme durch das Europäische Parlament und den Rat — erwartet bis Juli 2026, vor der ursprünglichen Augustfrist. Die Stoßrichtung ist klar, doch der endgültige Wortlaut und die endgültigen Termine sind erst nach Veröffentlichung im Official Journal verbindlich.
Was sich im Mai 2026 tatsächlich geändert hat
Der Digital Omnibus ist Teil der umfassenderen Bemühungen der EU, die Regulierung im digitalen Bereich zu vereinfachen. Sein zentraler Schritt ist eine gestaffelte Verschiebung der Fristen für Hochrisiko-KI-Systeme:
| Pflicht | Neuer Status nach der Einigung von 2026 |
|---|---|
| Verbote für KI mit inakzeptablem Risiko + KI-Kompetenz (Article 4) | Bereits in Kraft seit dem 2. Februar 2025 |
| Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) | Bereits in Kraft seit dem 2. August 2025 |
| Transparenzpflichten (Article 50) | Unverändert — gelten weiterhin ab dem 2. August 2026 |
| Hochrisiko-Systeme nach Annex III (Beschäftigung, Biometrie, Kreditwürdigkeitsprüfung, Bildung, kritische Infrastruktur) | Verschoben vom 2. Aug. 2026 → 2. Dezember 2027 |
| Hochrisiko-Systeme nach Annex I (KI als Sicherheitskomponente eines Produkts) | Verschoben → 2. August 2028 |
Kurz gesagt: Die schweren, dokumentationsintensiven Hochrisiko-Regeln haben rund 16 zusätzliche Monate erhalten. Fast alles andere blieb, wo es war.
Die Falle: drei Dinge, die bereits für Sie gelten
Genau hier haben die meisten KMU eine akute Compliance-Lücke, ohne es zu merken.
1. Die Pflicht zur KI-Kompetenz (Article 4) — in Kraft seit Februar 2025
Wenn Ihre Mitarbeiter bei der Arbeit KI-Tools nutzen — Chatbots, Copilots, automatisiertes Verfassen von Texten, was auch immer — muss Ihre Organisation sicherstellen, dass sie über ein „ausreichendes Maß an KI-Kompetenz" verfügen. Wenn Sie keine strukturierte Schulung durchgeführt haben, besteht bereits eine Lücke. Diese Pflicht wird häufig übersehen, gerade weil sie unverbindlich klingt. Optional ist sie aber nicht.
2. Die Verbote für KI mit inakzeptablem Risiko — in Kraft seit Februar 2025
Eine festgelegte Reihe von KI-Praktiken ist in der EU schlicht verboten. Die meisten KMU werden mit diesen nicht in Berührung kommen, aber Sie müssen das bestätigen — nicht einfach annehmen.
3. Transparenzpflichten (Article 50) — greifen ab dem 2. August 2026
Diese wurden nicht verschoben. Wenn Sie einen Chatbot einsetzen, KI-Inhalte erstellen oder KI nutzen, die mit Menschen interagiert, müssen Sie dies wahrscheinlich offenlegen. Für ein KMU mit einem kundenseitigen KI-Assistenten ist dies das maßgebliche Datum in diesem Jahr — nicht 2027.
Was die Änderungen konkret für KMU bedeuten
Beim Omnibus ging es nicht nur um Termine. Ein zentrales Ziel war die Verringerung des Verwaltungsaufwands — um insgesamt mindestens 25 % und speziell für KMU um 35 %. Für kleinere Unternehmen weist das vereinbarte Paket in folgende Richtung:
- Vereinfachte Leitlinien und standardisierte Dokumentationsvorlagen, damit Sie Compliance nicht aus einer 100-seitigen Verordnung rekonstruieren müssen.
- Zugang zu regulatorischen Sandboxes, sodass Sie KI-Systeme vor dem vollständigen Rollout unter Aufsicht testen können.
- Reduzierte Bußgelder, die an die Unternehmensgröße angepasst sind.
Die praktische Erkenntnis: Die EU versucht, Compliance für kleine Unternehmen verhältnismäßig zu gestalten. Doch „verhältnismäßig" bedeutet immer noch etwas — und die Firmen, die sich frühzeitig vorbereiten, werden schneller vorankommen und gegenüber Großkunden und Partnern, die ihre eigene Due Diligence betreiben, glaubwürdiger wirken.
Ein praktischer 5-Schritte-Fahrplan für KMU
Sie brauchen keine Rechtsabteilung. Sie brauchen einen klaren, auf Ihre Größe zugeschnittenen Plan.
- Erfassen Sie Ihre KI. Listen Sie jedes KI-Tool und -System auf, das Sie entwickeln oder nutzen, und welche Daten es berührt. Sie können kein Risiko einstufen, das Sie nicht erfasst haben.
- Schließen Sie jetzt die Lücke bei der KI-Kompetenz. Diese Pflicht ist bereits aktiv. Eine strukturierte interne Schulung und eine kurze Nutzungsrichtlinie bringen Sie weit.
- Prüfen Sie Ihre Transparenzpflichten vor August 2026. Wenn Sie einen Chatbot betreiben oder KI-generierte Inhalte veröffentlichen, planen Sie Ihre Offenlegungen jetzt — diese Frist hat sich nicht verschoben.
- Nutzen Sie den Spielraum zum Aufbauen, nicht zum Aufschieben. Die Termine 2027/2028 geben echten Vorlauf für Hochrisiko-Systeme. Ein solides Compliance-Rahmenwerk — Dokumentation, Risikobewertungen, Aufsicht — braucht Monate, um es richtig aufzubauen. Legen Sie jetzt die Grundlagen.
- Nutzen Sie die KMU-Erleichterungen. Sandboxes, vereinfachte Vorlagen und größenabhängige Entlastungen gibt es, um Ihnen zu helfen. Stellen Sie sicher, dass Sie tatsächlich infrage kommen und sie auch nutzen.
Häufig gestellte Fragen
Gilt der EU AI Act für mein kleines Unternehmen?
Wenn Sie KI-Systeme bereitstellen oder einsetzen, die Nutzer in der EU erreichen, kann er gelten — unabhängig davon, wo Ihr Unternehmen registriert ist. Das Risikoniveau Ihres konkreten Anwendungsfalls bestimmt, wie viel davon zutrifft.
Wurden die Fristen wirklich nach hinten verschoben?
Die Fristen für Hochrisiko-Systeme wurden auf Dezember 2027 und August 2028 verschoben. Doch die Verbote, die Pflicht zur KI-Kompetenz, die GPAI-Regeln und die Transparenzpflichten von August 2026 sind allesamt weiterhin aktiv oder folgen ihrem ursprünglichen Zeitplan.
Was ist die Pflicht zur KI-Kompetenz?
Seit Februar 2025 müssen Organisationen, die KI bereitstellen oder einsetzen, sicherstellen, dass ihre Mitarbeiter über ein ausreichendes Maß an KI-Kompetenz verfügen — gemeint sind strukturiertes Bewusstsein und Schulungen zu den verwendeten Tools, nicht nur informelle Erfahrung.
Ist mein kundenseitiger Chatbot betroffen?
Höchstwahrscheinlich ja, gemäß den Transparenzregeln nach Article 50, die weiterhin ab dem 2. August 2026 gelten. Nutzer müssen grundsätzlich wissen, wann sie mit KI interagieren.
Wo Buinsoft ins Spiel kommt
Die meisten KMU brauchen keine Compliance-Generalüberholung — sie brauchen Klarheit: was für uns gilt, was dringend ist und was warten kann. Genau diese Lücke schließen wir.
Buinsoft führt ein praxisnahes AI Act Readiness-Assessment durch, das auf kleine und mittlere Unternehmen in Prag und in der gesamten EU zugeschnitten ist: Wir erfassen Ihre KI-Nutzung, kennzeichnen Ihre akuten Pflichten (beginnend mit denen, die bereits in Kraft sind) und geben Ihnen einen passend dimensionierten, priorisierten Maßnahmenplan — keine juristische Vorlesung.
Buchen Sie ein kostenloses 30-minütiges AI Act Readiness-Gespräch →
Dieser Artikel dient der allgemeinen Information und gibt den Stand des EU AI Act sowie der vorläufigen Einigung über den Digital Omnibus zum Juni 2026 wieder. Er stellt keine Rechtsberatung dar. Die Einigung vom Mai 2026 steht noch unter dem Vorbehalt der förmlichen Annahme; prüfen Sie die für Ihre konkrete Situation aktuell geltenden Pflichten, bevor Sie handeln.