Der EU Digital Omnibus 2026 entlastet kleine und mittlere Unternehmen beim KI-Recht spürbar. Wer in den letzten Monaten frustriert über die Komplexität der KI-Verordnung war, bekommt jetzt einen klareren Pfad. Gleichzeitig verschwinden nicht alle Pflichten. Was wegfällt, was bleibt und was du als KMU-Entscheider jetzt konkret tun solltest, fasst dieser Artikel laut aktuellem Trilog-Stand zusammen, vorbehaltlich der finalen Annahme.
Das Wichtigste in Kürze
- KMU im EU-Sinne sind Unternehmen mit bis zu 250 Mitarbeitenden und 50 Mio. EUR Jahresumsatz
- Der Digital Omnibus 2026 verschmälert die Definition der Hochrisiko-Sicherheitskomponente, viele Assistenz- und Optimierungs-Tools fallen damit aus der Hochrisiko-Klasse heraus
- Die Anwendungsfristen für Hochrisiko-Pflichten verschieben sich voraussichtlich auf 02.12.2027 (Annex III) und 02.08.2028 (Annex I)
- Vereinfachte Dokumentationspflichten für KMU sind Teil der Verhandlung, der finale Standard liegt noch nicht vor
- Was bleibt: Artikel 4 KI-Kompetenz seit 02.02.2025, Artikel 5 Verbote seit 02.02.2025, Artikel 50 Transparenz für Generative KI ab 02.08.2026
- Stand 25.04.2026 ist der Omnibus im Trilog, einzelne Punkte können sich vor der endgültigen Annahme noch verschieben
Wer als KMU im Sinne der EU gilt
Die EU verwendet eine einheitliche KMU-Definition aus der Empfehlung 2003/361/EG. Demnach ist ein Unternehmen ein KMU, wenn es weniger als 250 Mitarbeitende beschäftigt und entweder einen Jahresumsatz von höchstens 50 Mio. EUR oder eine Bilanzsumme von höchstens 43 Mio. EUR aufweist.
Diese Definition gilt auch im Kontext der KI-Verordnung. Der Omnibus verändert sie nicht, knüpft aber neue Erleichterungen an genau diese Schwelle.
Für viele Solo-Selbstständige, Freiberufler und kleine Beratungen ist das relevant. Wer alleine arbeitet oder ein Team von zehn Leuten führt, fällt klar in die KMU-Kategorie. Erst über 250 Mitarbeiter beginnen die strengeren Regeln für große Unternehmen.
Welche EU AI Act Pflichten KMU besonders belastet haben
Die Verordnung war in ihrer ursprünglichen Fassung sehr breit ausgelegt. Drei Punkte waren für KMU besonders schwer zu schultern.
Erstens die Hochrisiko-Klassifikation. Annex III enthält acht Bereiche, in denen KI-Systeme automatisch als hochriskant gelten, von Bildung über Beschäftigung bis zu Strafverfolgung. Wer in einem dieser Bereiche unterwegs ist, fiel sofort unter die Vollkompliance, also Risikomanagement, technische Dokumentation, Logging, menschliche Aufsicht, Genauigkeit und Cybersicherheit, Konformitätsbewertung. Das ist für ein 15-Köpfe-Unternehmen schlicht nicht stemmbar.
Zweitens die Sicherheitskomponenten-Definition. Wenn ein KI-System Bestandteil eines anderen Produkts ist, das selbst CE-pflichtig ist (etwa eine Maschine, ein Medizinprodukt, ein Aufzug), galt es automatisch als hochriskant. Auch wenn der KI-Anteil nur eine Performance-Optimierung war, die im Ausfall keinen Schaden verursacht.
Drittens die Übergangsfristen. Der ursprüngliche Plan sah die Anwendung der Hochrisiko-Pflichten ab 02.08.2026 vor, die GPAI-Pflichten ab 02.08.2025. Für viele KMU war das zeitlich knapp, vor allem wenn sie parallel ihr eigentliches Produkt bauen müssen.
Was der Digital Omnibus konkret ändert
Der Omnibus ist ein Sammelpaket aus mehreren digitalpolitischen Anpassungen, in dem auch die KI-Verordnung erleichtert wird. Drei Änderungen sind für KMU besonders relevant.
Sicherheitskomponente neu definiert. Eine KI-Funktion gilt nur dann als sicherheitsrelevant, wenn ihr Ausfall oder ihre Fehlfunktion eine reale Gefahr für Gesundheit, Sicherheit oder geschützte Rechtsgüter darstellt. Reine Assistenzfunktionen, die einem Menschen Vorschläge machen, ohne autonom zu entscheiden, fallen aus dieser Definition heraus. Performance-Optimierungen, die das System nur effizienter machen, ohne im Ausfall einen Schaden zu erzeugen, ebenfalls.
Praktisches Beispiel. Eine KI, die in einer Bewerbungssoftware Profile vorsortiert und dem Recruiter Empfehlungen macht, war bisher nach Annex III Punkt 4b automatisch hochriskant, weil sie unter "Beschäftigung" fällt. Das bleibt formell so. Eine KI, die in einer Druckmaschine die Ausrichtung der Walzen optimiert, ist nach der neuen Definition nur dann hochriskant, wenn ihr Versagen eine konkrete Sicherheitsgefahr verursachen kann. Die meisten reinen Effizienz-Optimierungen sind das nicht.
Verschobene Fristen. Die Anwendung der Hochrisiko-Regeln rückt für Annex-III-Systeme voraussichtlich um 16 Monate nach hinten, von 02.08.2026 auf 02.12.2027. Für Annex-I-Systeme um 12 Monate, von 02.08.2027 auf 02.08.2028. Der Standardfall im Mittelstand ist Annex III. Das heisst: Du hast effektiv bis Ende 2027 Zeit, dein Compliance-Setup zu bauen.
Vereinfachte Dokumentation. Für KMU sollen reduzierte Dokumentationspflichten gelten. Welche genau und in welchem Umfang, ist Teil der laufenden Verhandlungen. Klar ist die Richtung: Das vollständige Annex-IV-Dokument, das eine große Konzern-Compliance-Abteilung mehrere Monate beschäftigt, wird für ein KMU in einer schlankeren Variante akzeptiert.
Was für KMU trotzdem bestehen bleibt
Drei Pflichten bleiben unverändert und sind teilweise schon heute aktiv.
Artikel 4 zur KI-Kompetenz. Diese Norm gilt seit dem 02.02.2025 für alle Anbieter und Betreiber von KI-Systemen, unabhängig von Risikoklasse oder Unternehmensgrösse. Wenn dein Mitarbeiter ChatGPT, Claude oder Microsoft Copilot für die Arbeit nutzt, musst du sicherstellen, dass er die nötige KI-Kompetenz hat. Das ist keine bürokratische Pflicht, sondern eine konkrete Sorgfaltspflicht, die im Schadensfall zivilrechtlich relevant wird.
Artikel 5 zu verbotenen Praktiken. Acht Anwendungsfälle sind seit 02.02.2025 EU-weit verboten, etwa Social Scoring durch öffentliche Stellen, manipulative Techniken, biometrische Echtzeit-Identifikation im öffentlichen Raum (mit engen Ausnahmen) oder KI-Systeme, die Schutzbedürftigkeit gezielt ausnutzen. Diese Verbote treffen KMU genauso wie Konzerne. Bussgelder dafür sind seit 02.08.2025 möglich.
Artikel 50 zu Transparenz. Wer generative KI einsetzt, muss klar machen, dass Inhalte KI-generiert sind. Deepfakes müssen als solche gekennzeichnet werden. Diese Pflicht gilt ab 02.08.2026 und betrifft viele KMU, die Marketing- oder Service-Inhalte mit KI produzieren. Eine kurze Kennzeichnung "Mit KI erstellt" oder "Bild generiert mit KI" reicht in den meisten Fällen, sollte aber konsistent sein.
Was du als KMU jetzt konkret tun solltest
Auch wenn der große Stichtag erst Ende 2027 fällt, gibt es vier Schritte, die heute unmittelbar Sinn ergeben.
KI-Kompetenz dokumentieren. Artikel 4 ist seit über einem Jahr in Kraft und wird zum Standard-Prüfpunkt in Audits, beim Arbeitsschutz und in Datenschutz-Folgenabschätzungen. Wer einen einfachen internen Nachweis hat, "Mitarbeiter X hat im April 2026 eine KI-Schulung im Umfang von 8 Stunden absolviert, hier die Inhalte, hier der Test", ist in 95 Prozent der Fälle auf der sicheren Seite. Wer das nicht hat, hat im Streitfall ein Problem.
Inventar deiner KI-Tools. Was wird in deinem Unternehmen wirklich genutzt? ChatGPT, Claude, Microsoft Copilot, eine Buchhaltungs-KI, ein Recruiting-Tool, ein Chatbot auf der Website? Liste das auf, mit Anbieter, Verwendungszweck und einer kurzen Notiz, ob das Tool unter Hochrisiko, GPAI oder Standard-Nutzung fällt.
Hochrisiko-Klassifikation prüfen. Falls dein Unternehmen ein eigenes KI-System einsetzt oder entwickelt, prüfe, ob es nach Annex III oder Annex I unter Hochrisiko fällt. Mit den neuen Definitionen aus dem Omnibus kannst du dabei feststellen, dass dein System nicht mehr betroffen ist. Wer Recruiting, Bonitätsprüfung, kritische Infrastruktur, Bildungseinstufung oder Strafverfolgungs-Tools im Einsatz hat, sollte hier besonders genau hinsehen.
Generative KI kennzeichnen. Wenn du auf der Website oder im Marketing KI-generierte Texte, Bilder oder Videos verwendest, plane jetzt eine einfache Kennzeichnung ein. Ab 02.08.2026 ist das Pflicht, davor ist es ohnehin guter Stil.
Was der Omnibus für deine Roadmap bedeutet
In der Praxis sehen wir bei SkillSprinters zwei häufige KMU-Szenarien.
Szenario A. Ein Unternehmen mit 30-80 Mitarbeitern setzt Microsoft Copilot oder ChatGPT Enterprise ein, hat keine eigene KI-Entwicklung, betreibt aber einen Website-Chatbot oder einen automatisierten Auswertungs-Workflow. In diesem Fall reichen Artikel-4-Schulung, ein dokumentiertes Inventar der eingesetzten Tools, eine knappe Datenschutz-Folgenabschätzung und ab August 2026 die Kennzeichnung generativer Inhalte. Hochrisiko trifft hier nicht zu, Artikel 72 ebenso wenig.
Szenario B. Ein Unternehmen entwickelt selbst KI-Komponenten und vertreibt sie als Produkt. Hier bleibt das volle Compliance-Programm relevant, aber mit den neuen Fristen aus dem Omnibus und der schmaleren Sicherheitskomponenten-Definition ist das Pensum für ein 50-Mann-Team realistisch zu schaffen. Im Detail lohnt sich für solche Unternehmen ein Blick auf Artikel 72 zur Post-Market-Beobachtung, der zusammen mit den Hochrisiko-Pflichten greifen wird.
Wer einen tieferen Einstieg sucht, findet weiterführende Informationen auf der Pillar-Seite zum Digitalisierungsmanager und auf unserer Förderseite ki-weiterbildung-kostenlos.de, wo wir Förderwege für KI-Weiterbildung aufgeschlüsselt haben.
FAQ
Bin ich als 8-Personen-Unternehmen vom EU AI Act betroffen?
Ja, aber in der Standard-Konfiguration sehr eingeschränkt. Artikel 4 KI-Kompetenz und Artikel 5 Verbote betreffen dich. Hochrisiko-Pflichten greifen nur, wenn du selbst ein Hochrisiko-System entwickelst oder betreibst. Reine Nutzung von ChatGPT oder Copilot fällt nicht darunter.
Was bedeutet die schmalere Sicherheitskomponenten-Definition praktisch?
Wenn deine KI nur Vorschläge macht, ohne autonom zu entscheiden, oder wenn ihr Ausfall keinen konkreten Schaden verursachen kann, fällt sie nach dem Omnibus voraussichtlich nicht mehr unter die strenge Hochrisiko-Klassifikation. Reine Assistenz und Optimierung sind raus, autonome Entscheidung mit Schadenspotenzial bleibt drin.
Muss ich KI-Texte auf meiner Website kennzeichnen?
Wenn du sie ab 02.08.2026 generativ erzeugst und veröffentlichst, ja. Die Kennzeichnung muss erkennbar sein, etwa als knappe Notiz im Text oder im Footer. Die genaue Form ist nicht vorgegeben, sie muss aber klar und nicht versteckt sein.
Wann ist der Omnibus endgültig beschlossen?
Stand 25.04.2026 ist der Trilog noch nicht abgeschlossen. Die finale Annahme wird für die zweite Jahreshälfte 2026 erwartet, kann sich aber verschieben. Bis dahin gilt die ursprüngliche Verordnung formal weiter, viele Aufsichtsbehörden orientieren sich aber bereits an den verhandelten Erleichterungen.
Eigene Praxiseinschätzung
In der Beratung erleben wir gerade eine merkwürdige Schieflage. Auf der einen Seite Unternehmer, die durch Compliance-Newsletter so panisch geworden sind, dass sie KI-Projekte komplett gestoppt haben. Auf der anderen Seite Unternehmer, die sich aus dem Thema verabschiedet haben, weil sie davon ausgehen, dass es sie als Kleinunternehmen sowieso nicht trifft. Beide Reaktionen kosten. Die erste Gruppe verliert die Produktivitätsgewinne, die KI in den nächsten 18 Monaten bringen wird. Die zweite Gruppe wird im Streitfall, etwa wenn ein Mitarbeiter durch falsche KI-Empfehlungen einen Schaden verursacht, ohne Nachweis dastehen, dass sie ihre Sorgfaltspflicht erfüllt hat. Der vernünftige Pfad ist banal: KI nutzen, Mitarbeiter schulen, das auf einer Seite dokumentieren, weitermachen. Wer das hat, ist mit dem Omnibus auf der entspannten Seite und kann sich auf das Geschäft konzentrieren.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.