Der EU Digital Omnibus on AI ist die wichtigste rechtliche Bewegung im KI-Umfeld dieses Jahres, und am 28.04.2026 findet die zweite Trilog-Runde statt. Wer als KMU-Entscheider verstehen will, was sich ändert und was nicht, braucht weder Panik noch Aufschub. Stand 25.04.2026 ist die Lage so: Die alten Fristen gelten formal, die neuen stehen im Raum, und zwischen beidem verhandeln gerade Rat, Parlament und Kommission. Hier ist die nüchterne Einordnung.

Das Wichtigste in Kürze

Was der EU AI Act überhaupt regelt

Der AI Act ist die EU-Verordnung zur künstlichen Intelligenz. Sie ist seit dem 01.08.2024 in Kraft, wird aber gestaffelt anwendbar. Im Kern teilt sie KI-Systeme in vier Risikoklassen ein: minimal, begrenzt, hoch und unzulässig. Hochrisiko-KI muss umfangreiche Anforderungen erfüllen, etwa Datenqualität, Transparenz, menschliche Aufsicht und Konformitätsbewertung. Verbotene Praktiken nach Art. 5 sind seit dem 02.02.2025 untersagt, dazu zählen Social Scoring durch Behörden, manipulative KI-Systeme und biometrische Echtzeit-Identifikation in öffentlichen Räumen mit eng definierten Ausnahmen.

Was viele unterschätzen: Der Act trifft auch Unternehmen, die selbst keine KI bauen, sondern KI-Systeme einsetzen. Wer ChatGPT zur Bewerber-Vorfilterung nutzt, ist Betreiber eines potenziell hochrisikohaften Systems, auch wenn das Modell von OpenAI kommt. Die Pflichten beginnen also nicht beim Anbieter, sondern erstrecken sich entlang der gesamten Wertschöpfungskette.

Was der Digital Omnibus ist

Der Digital Omnibus ist ein Sammel-Rechtsakt, mit dem die EU mehrere Digitalgesetze in einem Paket ändert. Im Bereich KI verschiebt er primär Datums-Fristen, glättet Übergangsregeln und präzisiert einige umstrittene Definitionen. Er ist kein inhaltlicher Umbau. Was Hochrisiko-KI dürfen und nicht dürfen muss, welche Dokumentation nötig ist, wie Konformitätsbewertung funktioniert: Das ändert sich materiell nicht.

Die zentrale politische Logik: Anbieter und Behörden brauchen mehr Zeit, weil die technischen Standards (sogenannte harmonisierte Normen) noch nicht alle fertig sind. Ohne diese Standards können Konformitätsbewertungsstellen kaum arbeiten. Der Omnibus zieht also zuerst die Reißleine bei der Durchsetzung, nicht bei den Pflichten selbst.

Quellen wie TÜV Süd und Deloitte ordnen den Vorgang als "ordnungspolitische Reife-Pause" ein, nicht als Rückzieher. Bird and Bird schreibt dazu in der Trilog-Berichterstattung, dass die materielle Linie der Verordnung von keiner der drei Verhandlungsseiten ernsthaft in Frage gestellt wird.

Aktueller Stand 25.04.2026

Die formellen Trilog-Verhandlungen begannen Ende März 2026. Der erste Trilog hat den Verhandlungsrahmen geklärt, der zweite findet am 28.04.2026 statt. Das Europäische Parlament hat am 26.03.2026 mit 569 Ja-Stimmen, 45 Nein und 23 Enthaltungen für die verschobenen Deadlines votiert. Das ist eine sehr klare Mehrheit. In der europäischen Gesetzgebung signalisiert ein Wert über 500 politische Tragfähigkeit.

Die zyprische Ratspräsidentschaft, die noch bis Ende Juni 2026 amtiert, will den Trilog bis Mai 2026 abschließen. Die Veröffentlichung im Amtsblatt wäre dann für Juli 2026 zu erwarten, vorbehaltlich endgültiger Annahme durch das Plenum.

Zwei Szenarien für die nächsten Wochen

Wenn der Trilog erfolgreich abgeschlossen wird: Die neuen Fristen (02.12.2027 für Annex III, 02.08.2028 für Annex I) werden im Amtsblatt veröffentlicht und gelten formell. Unternehmen mit Hochrisiko-Use-Case bekommen 16 Monate mehr Vorbereitungszeit. KMU mit reinen Assistenz-Funktionen profitieren zusätzlich von der schmaleren Sicherheitskomponenten-Definition.

Wenn der Trilog scheitert oder sich über den 02.08.2026 hinaus verzögert: Die alten Fristen greifen. Hochrisiko-Pflichten nach Annex III werden ab 02.08.2026 anwendbar. Das würde für viele Anbieter ein Compliance-Vakuum bedeuten, weil die harmonisierten Normen noch nicht final stehen. Politisch wahrscheinlich ist dieses Szenario nicht, aber rechtlich nicht ausgeschlossen.

In beiden Fällen bleibt entscheidend, was der Omnibus nicht ändert: Art. 4 zur KI-Kompetenzpflicht. Diese Regel gilt seit dem 02.02.2025 und ist von den Trilog-Verhandlungen explizit ausgenommen.

Was bleibt unabhängig vom Trilog-Ausgang in Kraft

Art. 4 KI-Kompetenzpflicht. Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Was "ausreichend" heißt, ist nicht detailliert vorgegeben. Aber: Wenn etwas schiefgeht, etwa ein KI-System trifft eine diskriminierende Entscheidung, dann wird die Aufsichtsbehörde im Nachhinein prüfen, ob die handelnden Personen die Risiken einschätzen konnten.

Art. 5 Verbotene Praktiken. Diese Liste ist seit Februar 2025 verbindlich. Erste Bußgelder sind seit dem 02.08.2025 möglich. Das betrifft etwa manipulative KI-Systeme, Social Scoring durch Behörden und unzulässige biometrische Identifikation. Für normale KMU im Büro-Kontext sind die meisten dieser Verbote nicht einschlägig, aber die Regel ist scharf gestellt.

Die generellen Anforderungen an General-Purpose-AI-Modelle (Art. 53ff). Anbieter wie OpenAI, Anthropic und Google müssen technische Dokumentation, Trainingsdaten-Transparenz und Urheberrechts-Compliance liefern. Diese Pflichten sind seit dem 02.08.2025 anwendbar und unabhängig vom Omnibus.

KMU-Erleichterung im Detail

Die geplante Präzisierung der Sicherheitskomponenten-Definition ist für den Mittelstand der konkreteste Hebel. Bisher fielen viele KI-Funktionen pauschal unter Annex I, weil sie irgendwo in einem regulierten Produkt verbaut waren. Der Omnibus will hier nachschärfen: Reine Assistenz-Funktionen oder Performance-Optimierungen, deren Ausfall keine reale Gefahr für Personen oder Sachwerte darstellt, sollen aus der Hochrisiko-Klassifizierung herausfallen.

Beispiel: Ein KI-System, das in einer Fertigungsmaschine die Wartungsplanung optimiert, war bisher potenziell Annex I. Wenn der Ausfall dieser Optimierung aber nur zu einem etwas späteren Wartungstermin führt und keinen Sicherheitsrisiken erzeugt, soll diese Anwendung künftig nicht mehr Hochrisiko sein.

Das klingt technisch, ist aber operativ wichtig. Viele KMU haben in den letzten Monaten in Compliance-Beratung investiert, weil sie sich pauschal als Hochrisiko-Anbieter eingeschätzt haben. Mit der schmaleren Definition entfallen diese Pflichten in vielen Fällen.

Was Unternehmen jetzt tun sollten

KI-Kompetenz dokumentieren. Das ist die einzige Pflicht, die unabhängig vom Trilog-Ausgang seit über einem Jahr gilt. Schulungsnachweise, interne Richtlinien, Onboarding-Materialien. Wer das nicht hat, hat ein Compliance-Risiko, das nichts mit dem Omnibus zu tun hat.

Inventar der eingesetzten KI-Systeme. Welches Tool wird wofür benutzt? Welche Daten gehen rein, welche kommen raus? Wer ist verantwortlich? Diese Liste ist die Grundlage jeder weiteren Klassifizierung. In der Praxis sehen wir bei KMU häufig, dass dieses Inventar fehlt und im Krisenfall in zwei Tagen aus Excel-Tabellen rekonstruiert werden muss.

Hochrisiko-Klassifizierung prüfen. Mit der voraussichtlich schmaleren Sicherheitskomponenten-Definition lohnt sich ein zweiter Blick. Vielleicht fällt ein System aus Annex I heraus, das man bisher als Hochrisiko geführt hat. Vielleicht aber auch nicht. Diese Prüfung ist nicht trivial und sollte nicht aus dem Bauch erfolgen.

Vorbereitung statt Aufschub. Auch bei verschobenen Fristen gilt: Wer die Pflichten erst ein halbes Jahr vor dem Stichtag angeht, hat zu wenig Zeit. Konformitätsbewertung dauert. Die wichtigste Investition jetzt ist nicht Software, sondern interne Prozesse, die auch unter Zeitdruck funktionieren.

Wer KI-Kompetenz strukturiert aufbauen will, findet in unserer Pillar-Page zum Digitalisierungsmanager den Rahmen. Bildungsgutschein-Förderung gibt es über den KI-Weiterbildungs-Bildungsgutschein, bei bewilligtem Bildungsgutschein zahlst du 0 Euro.

Was wir in der Praxis sehen

In der Praxis sehen wir bei KMU-Mandanten, dass die größte Herausforderung nicht der Inhalt der Regeln ist, sondern die Bewertung der eigenen Systeme. Viele unterschätzen, wie aufwendig allein das Inventar ist. Wer das unterschätzt, fällt nach den ersten zwei Audit-Wochen aus dem Tritt, weil plötzlich auffällt, dass auch der Mail-Filter, das Recruiting-Tool und die Lager-Optimierung KI-Komponenten enthalten. Die Verschiebung der Hochrisiko-Pflichten ist also kein Grund zu warten. Sie ist ein Geschenk für alle, die jetzt anfangen, ohne unter Endspurt-Druck zu stehen.

FAQ

Wann ist der zweite Trilog?

Am 28.04.2026. Die zyprische Ratspräsidentschaft will den Trilog bis Mai 2026 abschließen. Veröffentlichung im Amtsblatt wäre dann für Juli 2026 zu erwarten, vorbehaltlich endgültiger Annahme durch das Plenum.

Gilt Art. 4 KI-Kompetenzpflicht trotz Omnibus?

Ja. Art. 4 ist seit dem 02.02.2025 anwendbar und vom Omnibus nicht betroffen. Anbieter und Betreiber von KI-Systemen müssen weiterhin sicherstellen, dass ihre Mitarbeiter ausreichende KI-Kompetenz haben. Schulungsnachweise und interne Richtlinien sind Pflicht.

Was passiert, wenn der Trilog scheitert?

Dann gelten die alten Fristen. Hochrisiko-Pflichten nach Annex III wären ab 02.08.2026 anwendbar. Politisch ist dieses Szenario unwahrscheinlich (das Parlament hat am 26.03.2026 mit 569 zu 45 Stimmen für die Verschiebung gestimmt), rechtlich aber nicht ausgeschlossen.

Profitieren KMU vom Omnibus?

In den meisten Fällen ja. Die voraussichtlich schmalere Sicherheitskomponenten-Definition nimmt reine Assistenz-Funktionen aus Annex I heraus, wenn deren Ausfall keine reale Gefahr darstellt. Das spart vielen KMU eine Hochrisiko-Klassifizierung, die sie bisher pauschal annehmen mussten.

Sollte ich jetzt mit der Vorbereitung beginnen oder warten?

Beginnen. Die KI-Kompetenzpflicht aus Art. 4 gilt seit über einem Jahr. Auch bei verschobenen Hochrisiko-Fristen lohnt sich ein KI-Inventar und eine erste Klassifizierung. Wer das schiebt, hat im Endspurt vor 02.12.2027 zu wenig Zeit für Konformitätsbewertung und harmonisierte Normen.

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp