EU AI Act: Digital Omnibus verschiebt Hochrisiko-Deadline — Was KMUs jetzt wissen müssen
Die EU diskutiert gerade den "Digital Omnibus" — ein Gesetzespaket, das unter anderem die Hochrisiko-Deadline des EU AI Act von August 2026 auf Dezember 2027 verschieben könnte. Am 13. März 2026 hat der EU-Rat einer festen Verschiebung zugestimmt. Der Trilog läuft.
Was bedeutet das für KMUs? Können Sie sich entspannt zurücklehnen? Nein. Hier ist warum.
Was bereits gilt — seit Februar 2025
Der EU AI Act ist nicht etwas, das irgendwann kommt. Er gilt bereits. Seit dem 2. Februar 2025 sind verbotene KI-Praktiken in Kraft:
- Social Scoring (Bewertung von Menschen durch KI basierend auf Sozialverhalten)
- Manipulative KI-Systeme (unterbewusste Beeinflussung)
- Biometrische Echtzeit-Identifikation im öffentlichen Raum
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
Wenn Ihr Unternehmen eines dieser Systeme einsetzt — und sei es ein Chatbot mit manipulativen Verkaufstechniken — verstoßen Sie bereits heute gegen geltendes EU-Recht.
Bußgelder für verbotene Praktiken
Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes (der höhere Wert gilt).
Für KMUs gilt der niedrigere Wert. Beispiel: Bei 500.000 EUR Umsatz maximal 35.000 EUR.
Die Timeline — mit und ohne Digital Omnibus
| Datum | Was gilt | Status |
|---|---|---|
| 01.08.2024 | Verordnung in Kraft | Aktiv |
| 02.02.2025 | Verbotene KI-Praktiken | Aktiv |
| 02.08.2025 | GPAI / Foundation Models | Aktiv |
| 02.08.2026 | Hochrisiko-KI (Original) | Mögl. verschoben |
| 02.12.2027 | Hochrisiko-KI (Digital Omnibus) | Im Trilog |
| 02.08.2028 | Hochrisiko in Produkten | Im Trilog |
Was der Digital Omnibus wirklich bedeutet
Die Verschiebung betrifft nur Hochrisiko-KI-Systeme (Anhang III). Alles andere — Transparenzpflichten, GPAI-Regeln, verbotene Praktiken — ist davon nicht betroffen und gilt bereits.
Außerdem: Der Digital Omnibus koppelt die Hochrisiko-Anwendbarkeit an die Veröffentlichung harmonisierter Standards (CEN-CENELEC). Diese Standards — darunter prEN 18282 für Cybersecurity — sind noch in der Entwurfsphase.
Deutschland: BNetzA ist die Aufsichtsbehörde
Die Bundesnetzagentur (BNetzA) ist die designierte Marktaufsichtsbehörde für den EU AI Act in Deutschland. Seit Juli 2025 betreibt sie einen AI Service Desk, bei dem Unternehmen Anfragen stellen können.
Das Umsetzungsgesetz (KI-MIG) wurde im Februar 2026 vom Kabinett beschlossen, ist aber noch nicht in Kraft. Deutschland hat die Designierungsfrist vom August 2025 verpasst — wie 19 andere EU-Staaten auch.
Warum Warten keine Strategie ist
Drei Gründe, warum Sie jetzt handeln sollten — unabhängig von der Deadline:
- Compliance-Projekte dauern 32-56 Wochen. Risikoklassifizierung, technische Dokumentation, Qualitätsmanagement, Konformitätsbewertung — das braucht Zeit.
- Frühe Dokumentation schützt. Wenn eine Aufsichtsbehörde prüft, zählt nicht wann Sie fertig waren, sondern dass Sie angefangen haben. Nachweisbare Compliance-Aktivitäten vor der Deadline sind Ihr bester Schutz.
- Die Verbote gelten JETZT. Egal ob die Hochrisiko-Deadline August 2026 oder Dezember 2027 ist — manipulative KI-Systeme, Social Scoring und biometrische Massenüberwachung sind bereits verboten.
Wo steht Ihr KI-System?
Kostenloser Erstcheck in 60 Sekunden — kein Login, keine Daten gespeichert.
Kostenlosen Scan starten Compliance Report ab 99 EURWas KMUs konkret tun sollten
- Bestandsaufnahme: Welche KI-Systeme setzen Sie ein? Chatbots, Entscheidungssysteme, Content-Generierung, Personalauswahl?
- Risikoklassifizierung: Fallen Ihre Systeme unter "Hochrisiko" (Anhang III)? Oder reichen Transparenzpflichten?
- Gap-Analyse: Was fehlt an technischer Dokumentation, Qualitätsmanagement, Human Oversight?
- Dokumentation starten: Jetzt beginnen, nicht auf die finale Deadline warten.