Der EU AI Act nach dem Digital Omnibus: Was 2026 wirklich gilt

Die Schlagzeile, die die meisten Entscheider falsch verstanden haben

Als die Nachricht kam, der EU AI Act sei "verschoben", haben viele Teams die KI-Governance still und leise wieder nach hinten auf der Roadmap geschoben. Das war die falsche Lesart. Der Digital Omnibus, am 7. Mai 2026 vorläufig vereinbart, hat den AI Act nicht pausiert. Er hat eine bestimmte Ebene aufgeschoben, die schwerste, und die Teile, die die meisten Unternehmen betreffen, genau dort gelassen, wo sie waren.

Dies ist eine Einordnung für Entscheider, keine Rechtsberatung. Wenn du KI baust, einkaufst oder ausliefert, die den EU-Markt berührt, findest du hier, was real ist, was sich bewegt hat und was vor der nächsten Frist zu tun ist.

Was ab dem 2. August 2026 durchsetzbar ist

Diese Punkte haben sich nicht bewegt. Plane so, als wären sie aktiv, denn das sind sie.

• Durchsetzung für General Purpose AI (GPAI). Ab dem 2. August 2026 werden die Durchsetzungsbefugnisse für General-Purpose-KI-Modelle aktiv. Wenn du ein Foundation-Modell feintunst, hostest oder vertreibst, oder so darauf aufbaust, dass du zum Anbieter wirst, gelten die Pflichten.
• Transparenzpflichten nach Artikel 50. Die zentralen Transparenzpflichten gelten. Menschen müssen darüber informiert werden, wenn sie mit einem KI-System interagieren, und die KI-Nutzung darf nicht hinter einer menschlichen Maske verborgen werden.
• KI-Kompetenz. Die Pflicht für Organisationen, sicherzustellen, dass Mitarbeitende, die KI-Systeme bedienen, über angemessene KI-Kompetenz verfügen, gilt bereits seit Anfang 2025. Der Omnibus hat sie nicht angetastet.
• Verbotene Praktiken. Die verbotenen Anwendungsfälle, etwa Social Scoring und bestimmte biometrische Kategorisierung, gelten seit Februar 2025 und bleiben verboten.

Die praktische Botschaft für ein Unternehmen aus dem deutschen Mittelstand: Wenn du einen Chatbot, ein generatives Feature oder einen KI-Assistenten an Kunden oder Mitarbeitende ausgeliefert hast, gelten die Transparenz- und Kompetenzpflichten bereits für dich. Das ist kein Problem für 2027.

Was der Omnibus tatsächlich aufgeschoben hat

Der Aufschub ist real, aber eng begrenzt. Er zielt auf das Hochrisiko-Regime, den teuersten und operativ aufwendigsten Teil des Gesetzes.

• Hochrisiko-Systeme nach Anhang III (eigenständige Systeme in Bereichen wie Beschäftigung, Kreditvergabe, Bildung, kritische Infrastruktur): Die Compliance ist auf den 2. Dezember 2027 verschoben, eine Verschiebung um rund sechzehn Monate.
• In regulierte Produkte eingebettete Hochrisiko-KI nach Anhang I: verschoben auf den 2. August 2028.
• Kennzeichnung und Wasserzeichen von KI-generierten Inhalten: Die konkrete Pflicht, synthetische Medien zu kennzeichnen und maschinell zu markieren, wurde vom 2. August 2026 auf den 2. Dezember 2026 verschoben, eine Verschiebung um vier Monate.
• Regulatorische Sandboxes: Die Frist für die Mitgliedstaaten, sie einzurichten, wurde auf den 2. August 2027 verschoben.

Warum "aufgeschoben" eine Falle ist, keine Verschnaufpause

Drei Gründe, warum die zusätzliche Zeit nicht umsonst ist.

1. Die aufgeschobene Arbeit ist die langsame Arbeit. Eine Hochrisiko-Konformitätsbewertung, ein Risikomanagementsystem, technische Dokumentation, Protokollierung, das Design der menschlichen Aufsicht und die Marktüberwachung sind kein Sprint. Sechzehn Monate sind die Startbahn, nicht der Puffer. Teams, die den Dezember 2027 als "später" behandeln, werden dasselbe Gerangel haben, nur eben später.
2. Die aktiven Pflichten greifen jetzt. Transparenz, KI-Kompetenz, GPAI und die Verbote sind durchsetzbar. Eine aufgeschobene Hochrisiko-Frist nützt einem Unternehmen nichts, das heute ein nicht offengelegtes KI-Feature im Produktivbetrieb hat.
3. Die Kennzeichnungsfrist ist nah. Wenn du irgendein generatives KI-Feature in die EU ausliefert, brauchst du nutzerseitige Kennzeichnung, maschinenlesbare Metadaten auf generierten Inhalten und eine funktionierende Erkennungslogik bis zum 2. Dezember 2026. Das sind Monate, keine Jahre.

Was vor der nächsten Frist zu tun ist

Eine pragmatische Reihenfolge, nach Priorität geordnet.

1. Inventar. Liste jedes KI-System auf, das du baust, einbettest oder Nutzern oder Mitarbeitenden zugänglich machst. Du kannst nicht steuern, was du nicht benannt hast. Die meisten Organisationen unterschätzen diese Liste um die Hälfte.
2. Klassifiziere. Lege für jedes System die Stufe fest: verboten, Hochrisiko, begrenztes Risiko mit Transparenzpflichten oder minimal. Die Klassifizierung steuert alles Weitere.
3. Schließe zuerst die aktiven Lücken. Transparenzhinweise, KI-Kompetenz für Bedienende und Kennzeichnung generativer Features. Diese sind jetzt oder bis Dezember 2026 fällig und vergleichsweise günstig zu beheben.
4. Beginne die Hochrisiko-Startbahn. Wenn etwas in Anhang III fällt, starte die Arbeit am Risikomanagement und an der Dokumentation gegen den Termin Dezember 2027. Behandle es als Programm, nicht als Häkchen.
5. Dokumentiere die Entscheidungen. Regulierungsbehörden und Enterprise-Einkäufer stellen beide dieselbe Frage: Zeig mir, wie dieses System gesteuert wird. Ein Entscheidungsprotokoll schlägt ein Policy-PDF.

Wie wir darüber denken

Wir bauen KI-Systeme, die in regulierten europäischen Unternehmen funktionieren müssen, deshalb behandeln wir Governance als Teil der Architektur, nicht als Compliance-Aufsatz. Unsere Position zum Gesetz ist bewusst zurückhaltend: Das Regime ist noch nicht ausgereift, und wer dir Gewissheit über jeden Grenzfall verkauft, verkauft dir etwas. Worauf wir uns festlegen, ist konkret: Nachvollziehbarkeit von Entscheidungen, menschliche Aufsicht an den Stellen, an denen es darauf ankommt, ein Datenumgang, der die DSGVO respektiert, und eine dokumentierte Darstellung, wie sich jedes System verhält. Diese Haltung haben wir auf unserer Seite zur KI-Governance beschrieben, und die technischen Muster dahinter in Nachvollziehbarkeit von KI-Entscheidungen und Human-in-the-Loop-KI.

Wenn du eine fundierte Einschätzung willst, welche deiner KI-Systeme betroffen sind und wie die realistische Startbahn aussieht, starte ein Gespräch. Wir sagen dir, wo die Regulierung dich tatsächlich berührt und wo nicht.

Quellen: das offizielle Regulierungsrahmenwerk zum EU AI Act. Die Daten spiegeln die vorläufige Einigung zum Digital Omnibus vom Mai 2026 wider und stehen weiterhin unter dem Vorbehalt der förmlichen Annahme.