Die Omnibus-Einigung vom 7. Mai 2026 verschiebt die Hochrisiko-Regeln. Sie räumt aber nicht ab, was am 2. August 2026 ohnehin scharf gestellt wird: Transparenz, GPAI-Pflichten, Bußgelder für Art. 5/16/22/23/24/26/31/33/34/50 und ab Dezember das CSAM-Verbot.
Wer den Trilog-Spruch vom 7. Mai 2026 als generelle Entlastung gelesen hat, hat schlecht zugehört. Annex III und Annex I sind verschoben, das stimmt. Den Rest hat die Einigung bewusst unangetastet gelassen. Für deutsche KMU heißt das: in acht Wochen werden Pflichten scharf, mit denen viele Mittelständler noch nichts gemacht haben.
Art. 4 KI-Kompetenz war schon vorher Pflicht
Art. 4 der KI-Verordnung verlangt von jedem, der KI im Unternehmen einsetzt, "ausreichende KI-Kompetenz" der eigenen Mitarbeiter. Seit dem 2. Februar 2025. Diese Regel war in der Omnibus-Verhandlung nie ein Thema, niemand hat sie verschoben. Scalewise AI hält das in einer Note vom Mai 2026 ausdrücklich fest: "Artikel 4 (KI-Kompetenz) nicht verschoben."
Praktisch heißt das: wenn dein Vertriebsteam ChatGPT nutzt, deine Buchhaltung mit Copilot arbeitet oder dein Kundendienst einen Chatbot betreibt, brauchst du einen dokumentierten Kompetenznachweis. Eine Schulung, eine Teilnehmerliste, ein Curriculum, eine Bestätigung. Den Hintergrund der Mai-Einigung haben wir hier ausführlich erklärt: EU AI Act Digital Omnibus vom 7. Mai 2026.
Wer hier 2026 noch nichts vorzeigen kann, hat im Streitfall einfach nichts in der Hand.
Bußgelder ab 2. August 2026 scharf
Das ist der größte Missverständnis-Hotspot der Omnibus-Einigung. Verschoben ist die materielle Pflicht für Hochrisiko-Systeme. Nicht verschoben sind die Sanktionen für die Artikel, die ab dem 2. August 2026 ohnehin scharf werden.
Konkret: Art. 5 (verbotene KI-Praktiken wie Social Scoring oder ungezielte Gesichtserkennung), Art. 16 (Pflichten der Anbieter), Art. 22 (Bevollmächtigte), Art. 23 (Pflichten der Importeure), Art. 24 (Pflichten der Händler), Art. 26 (Pflichten der Betreiber von Hochrisiko-KI, sobald sie greifen), Art. 31 (Konformitätsbewertungsstellen), Art. 33 und Art. 34 (benannte Stellen), Art. 50 (Transparenzpflichten für KI-generierte Inhalte). Ab 2. August 2026 sind Verstöße bußgeldbewehrt mit Hochsätzen bis 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes.
Das wirkt zunächst akademisch. Ist es nicht. Wenn dein Unternehmen ein KI-Tool importiert oder als Händler vertreibt, gelten Art. 23 und 24 ab August 2026 für dich. Vollständig.
Transparenzpflichten ab August 2026, Watermarking ab Dezember
Die Omnibus-Einigung hat hier einen Kompromiss zwischen Kommission (sechs Monate Schonfrist) und Parlament (drei Monate) gefunden: vier Monate. William Fry schreibt dazu, der Watermarking-Compromise sei "ein Kompromiss zwischen der Commission (6 Monate) und dem Parlament (3 Monate)". Heißt: die Transparenzpflicht selbst greift wie geplant am 2. August 2026. Für bestehende Systeme gibt es Schonfrist bis 2. Dezember 2026, um Watermarking technisch sauber umzusetzen.
Konkret für dich: wenn dein Unternehmen Chatbots betreibt, KI-generierte Texte für Marketing oder Support nutzt, KI-Bilder erstellt oder Voice-Klone einsetzt, muss das ab August klar als KI gekennzeichnet sein. Bei Bildern und Audio ab Dezember technisch, also in den Metadaten oder per Wasserzeichen. Modulos AI nennt das in seiner Note "sieben Monate Engineering-Arbeit, kein Schreibtisch-Vorgang".
GPAI-Regeln laufen unverändert weiter
General-Purpose-AI-Modelle, also die großen Sprachmodelle wie GPT, Claude, Gemini, Mistral, fallen unter Art. 50 bis 55. Diese Pflichten gelten bereits seit dem 2. August 2025. Die Omnibus-Einigung hat sie nicht angefasst.
William Fry stellt es unmissverständlich klar: "The General-Purpose AI obligations under Articles 50 to 55 of the AI Act, which have been in force since 2 August 2025, are not amended." Für KMU bedeutet das vor allem: wer ein GPAI-Modell in eigene Produkte einbettet (eigener Chatbot auf GPT-Basis, eigenes Tool mit Claude-API), übernimmt nachgelagerte Dokumentationspflichten. Das war 2025 schon so und bleibt 2026 so.
Der praktische Punkt ist die Lieferkette. Wenn dein Modellanbieter eine Compliance-Bestätigung nach Art. 53 ausgestellt hat, lass sie dir schriftlich geben und lege sie in deine Compliance-Akte. Falls dein Anbieter nichts liefert, hast du ein Beweis-Problem, falls die Behörde nachfragt.
Neue Verbote ab 2. Dezember 2026
Hier hat die Omnibus-Einigung sogar neue Pflichten draufgepackt. Bird & Bird, William Fry und Hogan Lovells nennen einhellig den 2. Dezember 2026 als Startdatum für ein neues Verbot: KI-Systeme, die nicht-einvernehmliche intime Bildinhalte (NCII), Kindesmissbrauchsmaterial (CSAM) oder sogenannte Nudifier-Outputs erzeugen, sind verboten.
Bird & Bird zitiert den Standard: das Verbot greift, wenn ein solches Ergebnis "a reasonably foreseeable and reproducible outcome" eines Systems ist. Übersetzt: vernünftigerweise vorhersehbar und reproduzierbar. Das ist kein reines Plattform-Thema. Wer KI-Bildgenerierung anbietet oder vertreibt, fällt darunter, wenn er keine Missbrauchsschutzmaßnahmen einbaut und nachweist.
Für KMU ist das vor allem dann relevant, wenn eigene Bildgenerierungs-Tools oder fein-getunte Modelle eingesetzt oder weitergegeben werden. Wer als Agentur ein eigenes Modell hostet, das Kundenbilder verarbeitet, sollte technische Filter und eine Audit-Spur dokumentieren. Hogan Lovells weist darauf hin, dass die Voraussehbarkeits-Schwelle bewusst niedrig gewählt wurde, damit Anbieter sich nicht hinter "war nicht beabsichtigt" verstecken können.
Was für KMU jetzt zählt
Für den klassischen deutschen Mittelständler ist die Omnibus-Einigung gemischte Botschaft. Wer ein Hochrisiko-System plant (HR-Software mit Bewerber-Scoring, Bonitätsprüfung, biometrische Zugänge), gewinnt 16 Monate Vorlauf. Wer einfach KI-Tools im Alltag nutzt, gewinnt nichts.
Drei Dinge sind in den nächsten acht Wochen praktisch wichtig.
Erstens: KI-Kompetenz nachweisbar machen. Welche Mitarbeiter nutzen welche KI-Systeme, welche Schulung haben sie absolviert, gibt es ein Curriculum oder eine schriftliche Anweisung? Wenn die Antwort "nichts dokumentiert" lautet, hast du ein Art.-4-Problem, das seit Februar 2025 läuft.
Zweitens: KI-generierte Inhalte transparent machen. Jeder Kanal, auf dem KI Texte, Bilder oder Stimmen erzeugt, braucht einen Hinweis. Bei Bildern und Audio musst du bis Dezember das Wasserzeichen oder die Metadaten-Markierung technisch implementiert haben.
Drittens: Lieferanten und Verträge prüfen. Wenn du KI-Tools importierst oder als Händler weitergibst, greifen Art. 23 und Art. 24 ab August 2026. Du brauchst klare vertragliche Zusicherungen vom Hersteller.
Was das für KMU bedeutet
Die ehrliche Einschätzung aus der Praxis ist, dass viele Mittelständler die Verschiebung der Hochrisiko-Regeln als Entwarnung lesen. Das ist nicht, was die Omnibus-Einigung sagt. Travers Smith fasst es treffend zusammen: die Einigung schafft Zeit, aber keine regulatorische Pause.
Bei den Teilnehmern unserer Weiterbildungen sehen wir wiederholt das gleiche Muster. Geschäftsführer hören "Hochrisiko verschoben" und buchen die Compliance auf 2027 um. Im selben Atemzug nutzen sie ChatGPT für Angebote, lassen Marketing-Bilder mit Midjourney erstellen und betreiben Service-Chatbots ohne dokumentierten Kompetenznachweis. Das passt nicht. Wer hier nicht in den nächsten Wochen aufräumt, läuft im Herbst in eine Welle von Hinweisen und Beschwerden.
Die zwei Jahre extra für Annex III ändern nichts an dem, was August 2026 ohnehin scharf wird. Das ist die eine Botschaft der Einigung, die niemand verdrängen sollte.
Haeufige Fragen
Welche EU-AI-Act-Pflichten greifen ab 2. August 2026 trotz Omnibus?
Die Transparenzpflichten und die Bußgelder für Art. 5, 16, 22, 23, 24, 26, 31, 33, 34 und 50 werden am 2. August 2026 scharf, mit Höchstgrenzen bis 35 Millionen Euro oder 7 Prozent vom weltweiten Jahresumsatz. Verschoben ist nur die materielle Pflicht für Hochrisiko-Systeme (Annex III auf 2. Dezember 2027).
Was muss ich für Art. 4 KI-Kompetenz konkret vorweisen?
Art. 4 verlangt seit 2. Februar 2025 ausreichende KI-Kompetenz deiner Mitarbeiter. Praktisch heißt das: dokumentierte Schulung, Teilnehmerliste, Curriculum und schriftliche Bestätigung. Wenn dein Vertrieb ChatGPT nutzt oder Buchhaltung mit Copilot arbeitet, brauchst du im Streitfall einen Nachweis. Eine Schreibtisch-Anweisung allein reicht der Behörde nicht.
Wann müssen KI-generierte Inhalte mit Wasserzeichen gekennzeichnet sein?
Die Transparenzpflicht greift am 2. August 2026. Für bestehende Systeme gilt eine Watermarking-Schonfrist bis 2. Dezember 2026, ein Kompromiss zwischen Kommission (sechs Monate) und Parlament (drei Monate). Modulos AI nennt das sieben Monate Engineering-Arbeit, kein Schreibtisch-Vorgang. Bei Bildern und Audio muss die Markierung technisch in den Metadaten sitzen.
Was ändert sich am 2. Dezember 2026 neu?
Ein neues EU-Verbot greift für KI-Systeme, die nicht-einvernehmliche intime Bildinhalte (NCII), Kindesmissbrauchsmaterial (CSAM) oder Nudifier-Outputs erzeugen können. Das Verbot greift schon, wenn ein solches Ergebnis vernünftigerweise vorhersehbar und reproduzierbar ist. Wer KI-Bildgenerierung anbietet, braucht technische Filter und einen dokumentierten Missbrauchsschutz.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI praktisch einsetzen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Förderwege: Bildungsgutschein und QCG im Vergleich.
Für Geschäftsführer und HR: KI-Compliance-Pflichten für KMU als kostenloser Step-by-Step-Guide.
Zuletzt aktualisiert: 04.06.2026. Stand der Recherche: 04.06.2026. Politische Einigung des Trilogs vom 7. Mai 2026, formale Annahme durch Rat und Parlament noch ausstehend.