Stand der Recherche: 9. Mai 2026. Politische Lage volatil. Council und Parliament haben am 7. Mai eine vorläufige Einigung erzielt, aber die formelle Annahme durch das EU-Parlament und den Rat steht noch aus. Vor jeder operativen Entscheidung den aktuellen Stand prüfen.
In den frühen Morgenstunden des 7. Mai 2026 haben EU-Parlament und Rat eine vorläufige Einigung zum Digital Omnibus auf KI erzielt. Konsequenz für Hochrisiko-KI-Systeme aus Anhang III: Die ursprünglich am 2. August 2026 fällige volle Anwendbarkeit verschiebt sich auf den 2. Dezember 2027. AI in eingebetteten Produkten unter Anhang I bekommt sogar bis 2. August 2028 Zeit. Klingt nach Atempause für den Mittelstand. Ist aber keine. Denn Artikel 4, Artikel 5 und die GPAI-Pflichten gelten unverändert weiter, und sie betreffen praktisch jedes Unternehmen, das ChatGPT, Copilot oder Claude im Tagesgeschäft einsetzt.
Was die Verschiebung konkret bringt, und für wen
Die Einigung vom 7. Mai folgte auf einen ersten Versuch am 28. April, der nach zwölf Stunden Verhandlung gescheitert war. Streitpunkt waren sektorale Ausnahmen für Branchen, die ohnehin strenge Konformitätsbewertungen einhalten (Medizinprodukte, Maschinenbau, Luftfahrt). Diese Industrien hatten argumentiert, dass eine zweite Konformitätsbewertung unter den AI-Act-Regeln innerhalb der Frist praktisch nicht durchführbar sei.
Die jetzt gefundene Einigung verschiebt nach unserem Recherchestand zwei Pflicht-Cluster:
| Bereich | Neue Frist (laut vorläufiger Einigung) | Was darunter fällt |
|---|---|---|
| Standalone Hochrisiko-Systeme aus Anhang III | 02.12.2027 | Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung, Grenzkontrolle |
| In Produkte eingebettete KI aus Anhang I | 02.08.2028 | Maschinen, Medizinprodukte, Spielzeug, Luftfahrt, Fahrzeuge |
| Artikel 4 KI-Kompetenzpflicht | unverändert seit 02.02.2025 | Alle Unternehmen, die KI einsetzen |
| Artikel 5 Verbote | unverändert seit 02.02.2025 | Manipulative KI, Social Scoring durch Behörden |
| GPAI-Pflichten | unverändert seit 02.08.2025 | Anbieter generativer KI |
Profitieren von der Verschiebung in erster Linie: Banken mit KI-Kreditscoring, Versicherer mit KI-Tarifierung, HR-Software-Anbieter mit Recruitment-KI, Bildungsträger mit Prüfungs-Bewertungs-KI, Betreiber kritischer Infrastruktur. Diese Branchen bekommen 16 zusätzliche Monate, um Risikomanagement, Daten-Governance, technische Dokumentation und menschliche Aufsicht aufzubauen.
Wer hingegen ausschließlich GPAI nutzt (ChatGPT, Claude, Gemini im Mitarbeiteralltag), und das ist die große Mehrheit der mittelständischen Unternehmen, bekommt durch die Verschiebung nichts. Für diese Gruppe gilt Artikel 4 weiter wie bisher, und der ist seit Februar 2025 scharfgeschaltet.
Die Einigung muss noch formell durch das EU-Parlament im Plenum und durch den Rat angenommen werden. Im üblichen Trilog-Prozess passiert das innerhalb weniger Wochen, kann aber theoretisch noch kippen. Wer auf die Verschiebung baut, sollte die finale Veröffentlichung im EU-Amtsblatt abwarten.
Was JETZT trotzdem Pflicht bleibt
Die Verschiebung lullt ein. Das ist gefährlich, weil drei Pflichtblöcke unverändert weitergelten und in der Praxis weit mehr Unternehmen treffen als die Hochrisiko-Pflichten.
Artikel 4: KI-Kompetenzpflicht. Seit dem 2. Februar 2025 müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass die mit dem System arbeitenden Mitarbeiter über ausreichende KI-Kompetenz verfügen. Die Vorschrift ist nicht direkt mit Bußgeld bewehrt, wirkt aber über die zivilrechtliche Sorgfaltspflicht. Konkret: Wenn dein Buchhalter mit ChatGPT eine Rechnung kategorisiert, ohne zu wissen, was Halluzinationen sind und wie er sie erkennt, und das geht schief, dann hast du als Geschäftsführer ein Problem mit Artikel 4. Der Nachweis erfolgt typischerweise über dokumentierte Schulungen, eine interne KI-Richtlinie und Schulungs-Logs.
Artikel 5: Verbote. Bestimmte KI-Praktiken sind seit 2. Februar 2025 vollständig verboten. Dazu gehören manipulative Systeme, die das Verhalten beeinflussen und schaden, ungezielte Massenauswertung von biometrischen Daten aus Internet oder Überwachungskameras, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, sowie Social-Scoring-Systeme öffentlicher Stellen. Verstöße gegen Artikel 5 sind die teuersten überhaupt: bis zu 35 Mio Euro oder 7 Prozent des weltweiten Jahresumsatzes.
GPAI-Pflichten. Seit 2. August 2025 gelten Transparenz- und Dokumentationspflichten für Anbieter generativer Mehrzweck-KI-Modelle. Das betrifft OpenAI, Anthropic, Google direkt, aber als Betreiber bist du indirekt betroffen, weil du nachweisen musst, dass du nur konforme Modelle einsetzt.
Dazu kommt das Querschnittsthema Datenschutz. Artikel 22 DSGVO verbietet ausschließlich automatisierte Entscheidungen mit rechtlicher Wirkung. Eine Kreditablehnung allein durch ein KI-Modell ist damit auch ohne Anhang III problematisch. Hinzu kommt die AVV-Pflicht aus Artikel 28, die Drittlandtransfers in die USA über das EU-US Data Privacy Framework und die schriftliche Dokumentation aller Verarbeitungen.
Wer jetzt denkt, „dann warte ich halt bis Dezember 2027", übersieht: Die Pflichten zu Risikomanagement und technischer Dokumentation entstehen nicht über Nacht. Eine seriöse Vorbereitung braucht 12 bis 18 Monate, weil Datenflüsse erst kartiert, Modelle erst getestet, Mitarbeiter erst geschult werden müssen. Wer im Dezember 2026 anfängt, hat ein Jahr. Knapp.
Drei Prioritäten für Mittelstand
Wenn du die Frage stellst, was du in den kommenden 90 Tagen tun solltest, dann sind das drei Sachen.
Erstens: KI-Kompetenznachweis aufbauen, falls noch nicht vorhanden. Eine schriftliche KI-Richtlinie für dein Unternehmen, die Welche Tools, Welche Daten, Welche Aufsicht regelt. Eine Mitarbeiterschulung, die dokumentiert ist und nachvollziehbar macht, wer wann was gelernt hat. Ein Logbuch über kritische KI-Entscheidungen, in denen ein Mensch eingegriffen hat. Das alles musst du nicht ab Dezember 2027 haben, du musst es ab heute haben. Falls Streit kommt und ein Gericht fragt, wie du Artikel 4 erfüllt hast, brauchst du Belege.
Zweitens: Bestandsaufnahme der eingesetzten KI-Systeme. Wer in deinem Unternehmen verwendet welche KI? In welchen Prozessen? Mit welchen Daten? Diese Inventur ist die Basis jeder weiteren Compliance-Arbeit, und sie kostet typischerweise drei bis fünf Tage. Tools wie ChatGPT in der Marketing-Abteilung, Copilot in der Buchhaltung, Claude im Vertrieb, eingebaute KI-Funktionen im CRM. Das alles gehört auf eine Liste mit Verantwortlichen, Datenkategorien und Risikoeinschätzung. Wer eine solche Liste vorlegen kann, dokumentiert nicht nur Compliance, sondern findet auch teure Lizenz-Doppelungen.
Drittens: Klassifikation, ob du selbst Hochrisiko-Anwendungen einsetzt oder nicht. Wenn ja, beginnt jetzt die ernste Vorbereitung. Wenn nein, wenn du nur GPAI im Tagesgeschäft nutzt, dann reichen Artikel-4-Nachweise und eine saubere DSGVO-Dokumentation. Die Klassifikationsfrage entscheidet über den Aufwand. Falsch zu antworten ist teuer.
Ein konkretes Beispiel zeigt, warum das ernst ist.
Praxis-Beispiel: HR-Software-Anbieter mit Recruitment-KI
Die Personio Plus GmbH in München (fiktiv, exemplarisch für einen mittelständischen HR-Software-Anbieter mit rund 240 Mitarbeitern) verkauft eine Recruiting-Plattform an etwa 1.800 deutsche Mittelständler. In der Plattform steckt ein KI-Modell, das eingehende Bewerbungen automatisch nach Passung zur Stellenanzeige sortiert und ein Ranking erzeugt.
Damit fällt das Produkt unter Anhang III Punkt 4: KI-Systeme, die zur Auswahl natürlicher Personen für Arbeitsverhältnisse oder zur Beförderungsentscheidung verwendet werden. Hochrisiko, ohne Frage.
Die Geschäftsführung war im Februar 2026 davon ausgegangen, bis Anfang August 2026 voll konform sein zu müssen: Risikomanagement nach Artikel 9, Daten-Governance nach Artikel 10, technische Dokumentation nach Artikel 11, Logs nach Artikel 12, menschliche Aufsicht nach Artikel 14, Konformitätsbewertung. Das Compliance-Projekt war für sechs Monate budgetiert, Vollzeit-Beschäftigung von zwei Mitarbeitern, externe Beratung gebucht.
Mit der Einigung vom 7. Mai 2026 verschiebt sich die Frist auf 2. Dezember 2027. 16 zusätzliche Monate Vorbereitungszeit. Die Versuchung wäre groß, das Projekt zurückzustellen. Genau das wäre falsch.
Was die Geschäftsführung stattdessen macht: Sie verlängert das Projekt um zehn Monate, gibt ihren Compliance-Verantwortlichen Luft, verteilt die Last besser. Sie nutzt die zusätzliche Zeit, um die technische Dokumentation nicht in Word-Dateien zu erstellen, sondern direkt in das CI/CD-System zu integrieren. Sie macht zwei interne Pilot-Audits mit einer externen Kanzlei, statt eines hektischen Schluss-Audits. Sie schult ihre 1.800 Kunden parallel, damit deren menschliche Aufsicht ab Dezember 2027 funktioniert. Und sie nimmt die zehn Monate, um Bias-Tests gegen mehr Datensätze als nur den eigenen zu fahren.
In Summe wird das Projekt billiger, sauberer und nachweisbar besser. Genau so soll Verschiebung funktionieren: als Atempause für Qualität, nicht als Verzögerungs-Ausrede.
Wer jetzt nicht handelt
Wer die Verschiebung als Pause-Knopf interpretiert, wird Anfang 2027 in Stress geraten. Die Erfahrung aus der DSGVO 2018 lehrt das. Auch damals gab es zwei Jahre Vorlauf, und trotzdem haben deutsche Mittelständler den Großteil der Arbeit in den letzten sechs Wochen vor dem 25. Mai 2018 erledigt. Die Folge waren teure Schnellschüsse, juristische Lücken, halbgar dokumentierte Verarbeitungsverzeichnisse, die später nachgebessert werden mussten.
Beim AI Act kommt erschwerend hinzu, dass die Pflichten technischer und tiefer sind. Du kannst eine Datenschutzerklärung in zwei Wochen aufsetzen, einen Risikomanagement-Prozess für ein produktiv genutztes KI-Modell nicht. Wer dem nichts entgegensetzt, riskiert nicht nur die formalen Bußgelder bis 15 Millionen Euro oder 3 Prozent Jahresumsatz, sondern auch Reputationsschaden in einem Markt, der KI zunehmend kritisch beobachtet.
Unsere Praxiserfahrung mit Mittelständlern zeigt: Wer früh anfängt und die KI-Kompetenz seiner Mitarbeiter strukturiert aufbaut, hat es leichter. Mitarbeiter, die KI verstehen, fragen die richtigen Fragen, finden Halluzinationen, dokumentieren Entscheidungen sauber. Mitarbeiter, denen das Thema vor die Füße geworfen wird, machen Fehler.
FAQ
Gilt die Verschiebung schon offiziell?
Nein, nicht endgültig. Die vorläufige politische Einigung vom 7. Mai 2026 muss noch durch das EU-Parlament im Plenum und durch den Rat formell angenommen werden. Im üblichen Verfahren passiert das innerhalb von vier bis acht Wochen. Erst nach der Veröffentlichung im EU-Amtsblatt ist die Verschiebung rechtskräftig. Vor operativen Entscheidungen den aktuellen Stand prüfen.
Was bedeutet die Verschiebung für mein Unternehmen, wenn wir nur ChatGPT nutzen?
Praktisch nichts. Die Verschiebung betrifft Anhang III Hochrisiko-Systeme. Wer nur GPAI wie ChatGPT, Claude oder Copilot im Tagesgeschäft einsetzt, fällt nicht darunter. Für diese Gruppe gelten unverändert Artikel 4 (KI-Kompetenzpflicht seit 02.02.2025), Artikel 5 (Verbote seit 02.02.2025) und die DSGVO-Pflichten. Wer noch keine KI-Richtlinie und keine dokumentierte Schulung hat, sollte das jetzt aufbauen.
Wann werden Bußgelder verhängt?
Artikel 5 Verbote sind seit 02.02.2025 bewehrt mit bis zu 35 Mio Euro oder 7 Prozent Jahresumsatz. Hochrisiko-Verstöße aus Anhang III mit bis zu 15 Mio Euro oder 3 Prozent. Falsche Angaben gegenüber Behörden mit bis zu 7,5 Mio Euro oder 1 Prozent. Erste Bußgeldverfahren sind nach unserem Recherchestand von einzelnen Mitgliedstaaten in Vorbereitung, deutsche Marktaufsichtsbehörde ist die BNetzA.
Brauchen wir trotzdem schon einen KI-Beauftragten im Unternehmen?
Eine Pflicht zur Bestellung eines KI-Beauftragten gibt es nach unserem Recherchestand im AI Act nicht ausdrücklich. In der Praxis empfiehlt sich aber, eine verantwortliche Person zu benennen, die KI-Compliance koordiniert. Das kann eine Doppelrolle des Datenschutzbeauftragten sein, eines IT-Sicherheitsbeauftragten oder ein eigener KI-Verantwortlicher. Wichtig ist die Dokumentation der Verantwortung.
Was passiert, wenn die Einigung doch noch kippt?
Dann gilt der ursprüngliche Stichtag 2. August 2026 weiter. Das ist im Mai 2026 noch nicht völlig auszuschließen, weil Plenum und Rat formell zustimmen müssen. Wer Compliance-Projekte aufgesetzt hat, sollte sie weiterlaufen lassen und nicht voreilig pausieren. Der Aufwand ist nicht verloren, er entsteht ohnehin bis spätestens Dezember 2027.
Mehr zu konkreten Branchen-Pflichten findest du in unserer Analyse zu KI in der Kreditvergabe nach Anhang III.
Zuletzt geprüft am 9. Mai 2026.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge, Erwachsenenbildner und Geschäftsführer von SkillSprinters. Er bildet seit über 15 Jahren Berufstätige und Quereinsteiger weiter, davon 5 Jahre in der staatlich geförderten Weiterbildung mit AZAV-zertifizierten Maßnahmen. SkillSprinters ist DEKRA-zertifizierter Bildungsträger. Mehr als 70 Sachbücher zu Weiterbildung, KI und Karriere auf Amazon KDP.
Bereit für den nächsten Schritt? Wir zeigen dir in einem persönlichen Gespräch, wie du KI-Kompetenz nach Artikel 4 in deinem Unternehmen sauber aufbaust und welche Schulungs- und Dokumentationsstandards für deine Branche realistisch sind. Termin buchen oder Kostenlos reinschnuppern.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.