Was hat der Digital Omnibus verschoben?
Der Digital Omnibus verschiebt die Anwendungsfristen für Hochrisiko-KI-Systeme: Anhang III (eigenständige Hochrisiko-KI) vom 2. August 2026 auf den 2. Dezember 2027, Anhang I (in Produkte eingebettete KI) auf den 2. August 2028. Das EU-Parlament bestätigte die Verschiebung am 26. März 2026 mit 569 zu 45 Stimmen; die politische Einigung zwischen Rat und Parlament folgte am 7. Mai 2026.
Wichtig für die Einordnung: Die formale Annahme und die Veröffentlichung im Amtsblatt stehen noch aus. Stand heute liegt eine politische Einigung vor, keine final verkündete Verordnung. Dass sich inhaltlich noch Grundlegendes ändert, ist unwahrscheinlich — aber seriös formuliert bleibt es dabei: politische Einigung, formale Bestätigung ausstehend. Planen Sie mit den neuen Daten, aber behandeln Sie sie nicht als in Stein gemeißelt.
Genauso wichtig ist, was nicht verschoben wurde. Der EU AI Act als Ganzes bleibt in Kraft. Die Verbote nach Artikel 5 — etwa Social Scoring und manipulative KI — gelten bereits seit Februar 2025, ebenso die Grundpflicht zur KI-Kompetenz. Verschoben sind ausschließlich die Pflichten für Hochrisiko-Systeme.
Was gilt trotzdem ab dem 2. August 2026?
Ab dem 2. August 2026 wird die KI-Kompetenzpflicht aus Artikel 4 durchsetzbar, das EU AI Office beginnt mit der Durchsetzung der Regeln für General-Purpose-AI-Modelle (GPAI), und die Transparenzpflichten aus Artikel 50 greifen. In Deutschland kommt das KI-MIG-Sanktionsregime hinzu — mit dem BSI als Aufsichtsbehörde.
Das ist der Punkt, den viele Unternehmen unterschätzen: Die Verschiebung betrifft Hochrisiko-Pflichten, nicht die Basis-Pflichten. Wer Mitarbeitende mit KI-Tools arbeiten lässt — und das sind heute praktisch alle Unternehmen — muss ab August 2026 nachweisen können, dass diese Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Die Pflicht existiert seit Februar 2025; neu ist, dass sie durchsetzbar wird.
Artikel 50 verlangt unter anderem, dass Menschen erkennen können, wenn sie mit einer KI interagieren. Die Kennzeichnungs- und Wasserzeichenpflichten für KI-generierte Inhalte rollen zwischen November 2026 und Februar 2027 aus — auch das liegt vor den neuen Hochrisiko-Fristen.
Welche Fristen gelten jetzt für Hochrisiko-KI?
Für eigenständige Hochrisiko-KI nach Anhang III — HR und Recruiting, Kreditvergabe, kritische Infrastruktur, Bildung, Strafverfolgung — gilt der 2. Dezember 2027. Für in Produkte eingebettete KI nach Anhang I gilt der 2. August 2028. Eine wichtige Ausnahme: Medizinprodukte unter MDR/IVDR verbleiben in Anhang I Abschnitt A — für Healthcare gibt es keine Pauschal-Entwarnung.
| Datum | Was gilt | Für wen |
|---|---|---|
| seit 02.02.2025 | Verbote (Art. 5), KI-Kompetenz-Grundpflicht | Alle Anbieter und Betreiber |
| 02.08.2026 | Art. 4 durchsetzbar, GPAI-Durchsetzung (EU AI Office), Transparenz Art. 50; DE: KI-MIG-Sanktionsregime (BSI) | Alle Anbieter und Betreiber, GPAI-Anbieter |
| Nov. 2026 – Feb. 2027 | Kennzeichnung / Wasserzeichen für KI-generierte Inhalte | Anbieter generativer KI-Systeme |
| 02.12.2027 | Hochrisiko-Pflichten Anhang III | HR/Recruiting, Kreditvergabe, kritische Infrastruktur, Bildung, Strafverfolgung |
| 02.08.2028 | Hochrisiko-Pflichten Anhang I (eingebettete KI) | Produkthersteller — Achtung: Medizinprodukte (MDR/IVDR) bleiben Anhang I Abschnitt A |
Für regulierte Branchen heißt das konkret: Wer KI in Medizinprodukten einsetzt oder anbietet, kann sich nicht auf die 2028er-Frist verlassen, sondern muss die Wechselwirkung mit MDR/IVDR einzeln prüfen. Genau hier entstehen aktuell die meisten Fehleinschätzungen.
Was bedeutet das für den Mittelstand?
Der Digital Omnibus bringt gezielte Erleichterungen für den Mittelstand: Die neue Kategorie „Small Mid-Caps" — Unternehmen bis 750 Mitarbeiter oder 150 Millionen Euro Umsatz — profitiert von vereinfachten Dokumentationspflichten. An der Sanktionsobergrenze ändert sich nichts: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Die Erleichterungen sind real, aber sie reduzieren den Aufwand — sie eliminieren ihn nicht. Risikoklassifizierung, Kompetenznachweis und Transparenzpflichten gelten unabhängig von der Unternehmensgröße. Und wer als Zulieferer oder Dienstleister für größere Unternehmen arbeitet, bekommt die Compliance-Anforderungen ohnehin über die Lieferkette weitergereicht.
Was sollten Unternehmen jetzt tun?
Mehr Zeit heißt nicht abwarten. Eine Konformitätsbewertung dauert in der Praxis drei bis sechs Monate — und Systeme, die jetzt neu aufgesetzt werden, sollten von Anfang an „compliant by design" sein. Nachträgliche Compliance ist immer teurer als eingebaute.
Die sinnvolle Reihenfolge:
- KI-Inventar erstellen und Risiko klassifizieren. Welche Systeme sind im Einsatz — auch die inoffiziellen? Welche fallen unter Anhang III, welche unter Anhang I, welche sind nur transparenzpflichtig?
- Artikel 4 umsetzen. KI-Kompetenz-Schulungen für alle, die mit KI-Systemen arbeiten — dokumentiert, damit sie ab August 2026 nachweisbar sind.
- Transparenzpflichten (Art. 50) prüfen. Chatbots, KI-generierte Inhalte, Kennzeichnung — die Fristen liegen vor den Hochrisiko-Terminen.
- Hochrisiko-Systeme compliant by design aufsetzen. Wer jetzt baut oder beschafft, baut die Anforderungen ein, statt sie 2027 nachzurüsten.
- Dokumentationsstruktur aufsetzen. Risk Management, Data Governance, Logging — als laufender Prozess, nicht als Einmal-Projekt kurz vor der Frist.
Die Verschiebung ist eine Chance, Compliance ohne Hektik richtig zu machen — kein Freifahrtschein, das Thema auf 2027 zu vertagen. Wer die Basis-Pflichten ab August 2026 verfehlt, zahlt nicht erst bei den Hochrisiko-Fristen.