Am 7. Mai 2026 haben sich Rat und EU-Parlament auf den sogenannten Digital Omnibus on AI geeinigt. Die wichtigste Aussage in einem Satz: die Pflichten für Hochrisiko-KI-Systeme nach Anhang III werden von August 2026 auf den 2. Dezember 2027 verschoben, in regulierten Produkten nach Anhang I sogar auf den 2. August 2028. Das klingt nach Atempause für 16 Monate. In Wahrheit ist es das nur für einen kleinen Teil der KI-VO. Drei Pflichten, die Unternehmen sofort treffen, bleiben unverändert in Kraft.
Wir sehen seit der Einigung in jeder zweiten Mandantenanfrage dasselbe Missverständnis: "Dann müssen wir doch erst 2027 etwas tun." Das stimmt nicht. Wer das so liest, läuft in mindestens drei Compliance-Lücken gleichzeitig.
Was sich tatsächlich verschiebt
Die Verschiebung trifft genau zwei Kategorien von KI-Systemen.
Erstens die Standalone-Hochrisiko-KI nach Anhang III der KI-VO. Das sind eigenständige Systeme in Bereichen wie Personalauswahl, Kreditbewertung, biometrische Identifikation, Bildungs-Bewertung, kritische Infrastruktur, Strafverfolgung, Migrationskontrolle und Justiz. Hier galt ursprünglich der 2. August 2026 als Stichtag. Nach dem Omnibus gilt der 2. Dezember 2027. Das sind genau 16 Monate Aufschub.
Zweitens Hochrisiko-KI, die in regulierten Produkten verbaut ist und nach Anhang I der KI-VO eingeordnet wird. Beispiele sind KI in Medizinprodukten, in Maschinen unter der Maschinenverordnung oder in Aufzügen. Hier gilt jetzt der 2. August 2028.
Begründung der Verschiebung: die harmonisierten technischen Standards, die Anbieter brauchen, um Konformität nachzuweisen, liegen noch nicht vollständig vor. Außerdem haben die KMU-Verbände Druck gemacht. Mit den ursprünglichen Fristen wäre die Compliance-Last in einem Jahr nicht zu schaffen gewesen, in dem viele Anbieter erst noch ein internes Risikomanagement aufbauen müssten.
Was sich nicht verschiebt
Hier liegt der eigentlich wichtige Teil der Pressemitteilung, der in den meisten Schlagzeilen unterging.
Art. 4 KI-VO (KI-Kompetenzpflicht): Diese Pflicht gilt seit dem 2. Februar 2025 und wurde nicht angefasst. Jeder Betreiber und Anbieter von KI-Systemen muss sicherstellen, dass die Personen, die mit der KI arbeiten, über ausreichende KI-Kompetenz verfügen. Kein Stichtag in der Zukunft, sondern eine bereits laufende Pflicht. Bei einem KI-Vorfall im Unternehmen, der zu einem Personen- oder Vermögensschaden führt, ist die fehlende Kompetenznachweisbarkeit ein Mitverschuldensaspekt nach den allgemeinen Sorgfaltsanforderungen.
Art. 5 KI-VO (Verbotene Praktiken): Auch diese Liste gilt seit dem 2. Februar 2025. Verbotene Anwendungen wie Social Scoring durch Behörden, manipulative KI gegen vulnerable Gruppen oder ungerechtfertigte biometrische Echtzeit-Überwachung im öffentlichen Raum sind nicht auf 2027 verschoben worden. Die zugehörige Bußgeldhöhe bleibt bei bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes.
Art. 50 KI-VO (Kennzeichnungspflicht): Diese Pflicht tritt am 2. August 2026 in Kraft, der Omnibus hat sie ausdrücklich nicht aufgeschoben. Anbieter müssen KI-generierte Outputs maschinenlesbar als KI markieren. Nutzer müssen Deepfakes klar als KI markieren, wenn sie als echt wahrgenommen werden könnten. Bei Verstößen drohen bis zu 15 Mio. EUR oder 3 Prozent des Jahresumsatzes Bußgeld.
Diese drei Pflichten sind das, was 99 Prozent der deutschen Unternehmen tatsächlich betrifft. Hochrisiko-Systeme nach Anhang III sind eine Spezialkategorie für eine relativ überschaubare Zahl von Anbietern und Betreibern.
Wer von der Verschiebung profitiert, wer nicht
Die Verschiebung hilft im Wesentlichen drei Gruppen.
Erstens Anbietern von HR-Software mit eingebautem KI-Scoring. Wer Bewerber-Matching mit KI macht, fällt unter Anhang III. Hier ist der Zeitgewinn echt, weil die Konformitätsbewertung aufwendig ist.
Zweitens Anbietern von biometrischen Identifikationssystemen, etwa für Zutrittskontrollen oder Bezahlsysteme mit Gesichtserkennung. Auch hier galt August 2026 als sportlich.
Drittens Anbietern in regulierten Industrien (Medizintechnik, Maschinenbau), die ohnehin schon an Konformität nach den jeweiligen Sektorverordnungen arbeiten und jetzt etwas mehr Atem haben, KI-spezifische Anforderungen zu integrieren.
Praktisch nichts ändert sich für die große Masse: Mittelstand, Beratungen, Handwerk, Einzelhandel, Bildungsträger, die KI für interne Prozesse nutzen. Die genannten Branchen sind in der Regel keine Anbieter von Hochrisiko-Systemen, sondern Anwender von Standard-KI wie ChatGPT, Claude, Mistral oder Gemini. Für sie gelten Art. 4, Art. 5 und Art. 50 unverändert. Genau das ist die Ebene, die in der Compliance-Praxis 80 Prozent der Arbeit macht.
Praxisbeispiel: Ein mittelständischer Personaldienstleister
Die fiktive Bayreuth Consulting Group, ein Personaldienstleister mit 95 Mitarbeitern in Oberfranken, hat 2024 einen KI-gestützten Bewerber-Matcher eingeführt. Das System scannt Lebensläufe, gleicht sie mit Stellenanforderungen ab und schlägt eine Vorauswahl vor. Klassischer Anhang-III-Fall.
Vor dem Omnibus stand der August 2026 als harter Stichtag im Risikoregister. Das Unternehmen hatte bereits einen externen Auditor beauftragt, ein Compliance-Projekt gestartet und ein Budget von 65.000 EUR für die Konformitätsbewertung freigegeben. Das Projekt war für Q3 2026 terminiert.
Mit dem Omnibus rutscht der Stichtag auf Dezember 2027. Die Geschäftsführung musste am Tag nach der Einigung entscheiden: Projekt stoppen, verlangsamen oder weiterlaufen lassen?
Unsere Empfehlung war: weiterlaufen lassen, aber den Zeitplan strecken. Begründung: Erstens hat das Unternehmen bereits investiert und das interne Wissen aufgebaut. Zweitens kommen die harmonisierten Standards bis 2027 sukzessive raus, wer früh dran ist, kann sie konsolidieren statt später unter Druck nachzuziehen. Drittens kommt im Februar 2027 vermutlich die nächste Welle behördlicher Hinweise und Prüfberichte. Wer dann schon ein dokumentiertes Risikomanagement hat, ist deutlich besser aufgestellt.
Parallel haben wir die Art.-4-Schulung der HR-Mitarbeiter, die mit dem System arbeiten, vorgezogen. Die war ohnehin überfällig, hatte mit dem Omnibus aber nichts zu tun.
Was Unternehmen jetzt konkret tun sollten
Die Verschiebung schafft einen Planungsspielraum, kein Compliance-Vakuum. Drei Ebenen sind in den nächsten 12 Monaten relevant.
| Pflicht | Stichtag | Wer betroffen |
|---|---|---|
| Art. 4 KI-Kompetenz | gilt seit 02.02.2025 | jeder Anbieter und Betreiber von KI |
| Art. 5 Verbotene Praktiken | gilt seit 02.02.2025 | jeder, einzelne Anwendungen werden geprüft |
| Art. 50 Kennzeichnung | ab 02.08.2026 | jeder, der KI-Output veröffentlicht oder Deepfakes erzeugt |
| Anhang III Hochrisiko | ab 02.12.2027 | Anbieter und Betreiber spezifischer Systeme |
| Anhang I Hochrisiko in Produkten | ab 02.08.2028 | Anbieter regulierter Produkte mit KI-Komponente |
Der erste Schritt für jedes Unternehmen ist eine ehrliche Inventur: Welche KI-Systeme nutzen wir, wer nutzt sie, wofür? In den meisten Fällen kommt dabei eine Liste von Tools wie ChatGPT, Claude, Microsoft Copilot, deepl, Notion AI heraus. Keines davon ist Hochrisiko-KI. Aber alle davon brauchen dokumentierte Kompetenz der Nutzer und gegebenenfalls Kennzeichnung der Outputs.
Der zweite Schritt ist eine Schulungsdokumentation. Es reicht nicht zu sagen, "unsere Mitarbeiter wissen Bescheid". Es braucht einen Nachweis, dass die für die jeweilige Tätigkeit relevante KI-Kompetenz vermittelt wurde. Wer das ohne strukturierte Weiterbildung leisten will, baut sich die Compliance-Lücke vorprogrammiert ein. Eine geförderte Weiterbildung wie unser Digitalisierungsmanager deckt die Anforderungen aus Art. 4 in einem dokumentierten 4-Monats-Curriculum ab und ist über Bildungsgutschein oder QCG nach §82 SGB III förderbar.
Der dritte Schritt ist eine Bestandsaufnahme bei externen Anbietern. Wer Hochrisiko-KI als Service nutzt (Bewerber-Matching, Kreditscoring, biometrische Identifikation), sollte vom Anbieter schriftlich bestätigen lassen, wann dessen Konformitätsbewertung steht. Das gibt Planungssicherheit für eigene Compliance-Verträge.
Die ehrliche Praxis-Sicht
Die Verschiebung hilft Anbietern, nicht Anwendern. Das ist in der Aufregung um das Datum oft nicht klar. Wer als KMU heute KI nutzt, hatte schon vor dem Omnibus drei sofort wirksame Pflichten am Hals. Die wichtigste davon, Art. 4, gilt seit über einem Jahr und wird in Audits zunehmend abgefragt. Wer die Verschiebung als Erlaubnis liest, das Compliance-Thema ein weiteres Jahr zu verschleppen, verschiebt nur das Problem in einen Zeitraum, in dem dann gleichzeitig Art. 50 scharf läuft, der TÜV beim QM-Audit nach KI-Kompetenz fragt und die ersten Bußgelder publik werden. In der Praxis sehen wir bei Mandaten regelmäßig, dass das KI-Compliance-Thema 2-4 Wochen aktive Arbeit braucht, wenn es ordentlich gemacht wird. Das ist machbar, aber nicht in einer Woche neben dem Tagesgeschäft.
Häufige Fragen
Heißt der Digital Omnibus, dass die KI-VO grundsätzlich entschärft wurde?
Nein. Die Grundsätze der KI-VO bleiben unverändert. Verschoben wurde ausschließlich der Geltungsbeginn der Hochrisiko-Pflichten nach Anhang III und Anhang I. Bußgeldhöhen, Risikokategorien, Verbote und die unmittelbar geltenden Pflichten (Art. 4, Art. 5, Art. 50) wurden nicht verändert.
Müssen wir trotzdem schon mit der Vorbereitung für Hochrisiko-Compliance anfangen?
Wenn euer System unter Anhang III oder Anhang I fällt, ja. Konformitätsbewertungen sind aufwendig und brauchen 6-12 Monate Vorlauf. Wer im Sommer 2027 erst anfängt, kommt zum Stichtag in Bedrängnis. Die Verschiebung gibt euch Luft, kein Pflichten-Moratorium.
Ändern sich die Bußgelder durch den Omnibus?
Nein. Die Bußgeldhöhen wurden im Omnibus explizit bestätigt: bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes für Verstöße gegen Art. 5 (verbotene Praktiken). Bis zu 15 Mio. EUR oder 3 Prozent für Verstöße gegen die meisten anderen Pflichten, einschließlich Art. 50. Der Vollzug liegt bei den nationalen Behörden, in Deutschland überwiegend bei der Bundesnetzagentur und den Datenschutzbehörden.
Was passiert, wenn ein Mitgliedstaat die Verschiebung nicht akzeptiert?
Die Einigung zwischen Rat und Parlament ist die politische Grundlage, der formale Rechtsakt folgt in den nächsten Wochen. Erst danach ist der Omnibus bindend. Sollte ein Mitgliedstaat strenger vollziehen wollen, kann er das im nationalen Recht ergänzen, aber nicht hinter die EU-Pflichten zurückgehen. Für Deutschland ist mit keiner Sonderregelung zu rechnen.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
EU AI Act in der Praxis. Wenn du KI-Kompetenz nach Art. 4 dokumentieren musst, deckt unser Digitalisierungsmanager die Pflichten in 4 Monaten ab. Bildungsgutschein und QCG möglich, Details auf der Pillar.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.