Zurück zum Blog

EU AI Act: Die Omnibus-Atempause - Was die verschobene Hochrisiko-Frist für den Mittelstand wirklich ändert

Henri Jung, Mitgründer von Superkind
Henri Jung

Mitgründer von Superkind

Ein mechanischer Countdown-Timer mit zurückgedrehtem Zeiger als Sinnbild für die verschobene Hochrisiko-Frist der EU-KI-Verordnung

Am 7. Mai 2026 einigten sich Europäisches Parlament und Rat darauf, das gefürchtetste Datum der EU-KI-Verordnung zu verschieben. Die Anwendung der Pflichten für eigenständige Hochrisiko-Systeme nach Anhang III, ursprünglich für den 2. August 2026 vorgesehen, wurde auf den 2. Dezember 2027 verlegt2. In vielen Mittelstands-Vorständen war die Reaktion Erleichterung und dann Ruhe. Das Compliance-Projekt wanderte zurück in die Schublade.

Genau das ist die Falle. Der Digital Omnibus zur KI hat eine Frist verschoben, nicht die ganze Verordnung. Die Transparenzregeln, die Betreiberpflichten, das Verbot bestimmter Praktiken und die KI-Kompetenzpflicht gelten alle weiter auf ihren ursprünglichen Zeitachsen, von denen einige seit Februar 2025 in Kraft sind13. Eine verschobene Frist nützt nur, wenn Sie weiter darauf hinarbeiten. Wenn Sie aufhören, erreichen Sie den Dezember 2027 mit weniger Vorlauf, nicht mehr.

Dieser Leitfaden ist für die Geschäftsführerin, den Justiziar und die Compliance-Verantwortliche im deutschen Mittelstand, die gehört haben „die KI-Verordnung wurde verschoben“ und genau wissen müssen, was sich geändert hat, was nicht und was in diesem Quartal weiterzulaufen hat. Keine Panik, keine falsche Beruhigung. Nur die Fakten und ein Plan.

Kurzfassung

Eine Frist hat sich verschoben - Hochrisiko-Pflichten für eigenständige Anhang-III-Systeme rücken vom 2. August 2026 auf den 2. Dezember 2027; eingebettete Anhang-I-Hochrisiko-KI vom 2. August 2027 auf den 2. August 2028.

Die meisten Pflichten blieben - Die Transparenz nach Artikel 50 gilt ab dem 2. August 2026, die Betreiberpflichten nach Artikel 26 greifen, und verbotene Praktiken sowie KI-Kompetenz sind seit Februar 2025 durchsetzbar.

Die Atempause ist dem Sinn nach an Bedingungen geknüpft - die zusätzliche Zeit existiert, damit harmonisierte Normen und benannte Stellen nachziehen können, nicht damit Sie aufhören.

KMU erhalten echte Entlastung - eine neue Small-Mid-Cap-Kategorie, vereinfachte Vorlagen, Reallabor-Zugang und niedrigere Bußgeldgrenzen - die Pflichten bleiben aber bestehen.

Die Sanktionen sind unverändert - bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes in der höchsten Stufe.

Was der Digital Omnibus tatsächlich geändert hat

Die EU-Kommission legte den Digital Omnibus zur KI am 19. November 2025 als Vereinfachungspaket vor1. Nachdem eine erste Trilog-Runde am 28. April 2026 gescheitert war, erzielten die Institutionen am 6./7. Mai eine vorläufige politische Einigung, bestätigt durch die Mitgliedstaaten am 13. Mai3. Die Überschrift ist eine Verschiebung der Zeitachse, keine Neufassung des Risikomodells.

  • Anhang-III-Hochrisiko verschoben - Eigenständige Hochrisiko-Systeme (Personalauswahl, Bonitätsbewertung, Versicherung, Bildung, biometrische Identifizierung) rücken vom 2. August 2026 auf den 2. Dezember 2027, eine Verschiebung um rund 16 Monate2.
  • Anhang-I-Hochrisiko verschoben - In regulierte Produkte wie Maschinen und Medizinprodukte eingebettete Hochrisiko-KI rückt vom 2. August 2027 auf den 2. August 20283.
  • Der Grund hinter dem Aufschub - Die Umsetzung lag sichtbar im Verzug; harmonisierte Normen von CEN-CENELEC und die Infrastruktur der benannten Stellen waren nicht bereit, daher soll die Zeit dem Unterbau zum Aufholen dienen6.
  • Ein neues Verbot ergänzt - Das Paket ergänzt nach Artikel 5 ein Verbot von KI, die nicht einvernehmliche intime Darstellungen und Darstellungen sexuellen Kindesmissbrauchs erzeugt, wirksam ab 2. Dezember 20263.
  • Gezielte Vereinfachung - Einige Registrierungspflichten für selbstbewertete Nicht-Hochrisiko-Systeme wurden gestrichen, und sensible Daten dürfen genutzt werden, wo zwingend nötig, um Verzerrungen zu erkennen und zu mindern6.
  • Reallabore verschoben - Die Frist für die Mitgliedstaaten, ein Reallabor zu betreiben, rückte um ein Jahr auf den 2. August 20276.

Zentrale Kennzahl

Die Anhang-III-Verschiebung ist die größte Einzeländerung: 16 Monate vom 2. August 2026 auf den 2. Dezember 2027. Verschoben werden die schweren Pflichten - Konformitätsbewertung, Risikomanagement, technische Dokumentation, Architektur der menschlichen Aufsicht und Marktbeobachtung nach Artikel 8 bis 273.

Die zuständige Kommissarin beschrieb das Paket als Mittel, Unsicherheit zu senken, statt den Maßstab zu senken.

„Unsere Unternehmen und Bürger wollen zwei Dinge von KI-Regeln. Sie wollen innovieren können und sich sicher fühlen. Die heutige Einigung leistet beides.“

- Henna Virkkunen, Exekutiv-Vizepräsidentin der EU-Kommission für technologische Souveränität, Sicherheit und Demokratie17

SystemtypUrsprüngliche FristNeue FristVerschiebung
Anhang III, eigenständig Hochrisiko2. August 20262. Dezember 2027~16 Monate
Anhang I, eingebettet Hochrisiko2. August 20272. August 202812 Monate
Reallabore aktiv2. August 20262. August 202712 Monate
Wasserzeichen-Übergang (Bestandssysteme)2. August 20262. Dezember 20264 Monate

Was sich nicht verschoben hat (und warum das am meisten zählt)

Die Entlastung ist eng. Vier Säulen der KI-Verordnung bleiben vom Omnibus unberührt, und drei davon gelten bereits oder gelten in wenigen Wochen. Besteht Ihr KI-Einsatz aus Chatbots, Inhaltsgenerierung oder einem kundenseitigen Agenten, bringt der Aufschub fast nichts.

  • Transparenz nach Artikel 50 - Gilt ab dem 2. August 2026. Sie müssen offenlegen, wenn eine Person mit einem KI-System interagiert, und KI-generierte oder wesentlich veränderte Inhalte kennzeichnen. Vom Omnibus weitgehend unberührt10.
  • Betreiberpflichten nach Artikel 26 - Gelten für Betreiber von Hochrisiko-Systemen und bleiben bestehen. System gemäß Anleitung nutzen, menschliche Aufsicht sicherstellen, Betrieb überwachen, Protokolle führen und Betroffene wo nötig informieren11.
  • Verbotene Praktiken nach Artikel 5 - Seit dem 2. Februar 2025 durchsetzbar. Social Scoring, manipulative KI, ungezieltes Auslesen von Gesichtsbildern und Emotionserkennung am Arbeitsplatz sind verboten. Der Omnibus ergänzte ein neues Verbot, er lockerte keine bestehenden12.
  • KI-Kompetenz nach Artikel 4 - Seit dem 2. Februar 2025 verbindlich. Anbieter und Betreiber müssen sicherstellen, dass Personal, das KI-Systeme bedient, über ein angemessenes KI-Kompetenzniveau verfügt. Der Omnibus hat die Formulierung leicht abgemildert, die Pflicht aber behalten13.
  • Regeln für Allzweck-KI - Seit dem 2. August 2025 für GPAI-Modellanbieter in Kraft. Wer auf einem Basismodell aufbaut, dessen Anbieter trägt diese, Ihre nachgelagerten Pflichten bleiben9.
  • Die EU-Registrierungsdatenbank - Die Pflicht zur Registrierung von Hochrisiko-Systemen in der zentralen EU-Datenbank bleibt bestehen; nur einige selbstbewertete Registrierungspunkte wurden gestrichen6.

Der Punkt, den alle übersehen

Der Satz „die KI-Verordnung wurde verschoben“ ist falsch. Ein Anwendungsdatum wurde verschoben. Transparenz, Betreiberpflichten, verbotene Praktiken und KI-Kompetenz liegen auf ganz eigenen Zeitachsen, die der Omnibus nicht bewegt hat. Ein Unternehmen mit einem einzigen Kunden-Chatbot hat im August 2026 aktive Pflichten, unabhängig vom Hochrisiko-Aufschub10.

PflichtGilt abVom Omnibus geändert?
Verbotene Praktiken (Art. 5)2. Februar 2025Nein (ein neues Verbot ergänzt)
KI-Kompetenz (Art. 4)2. Februar 2025Formulierung gemildert, Pflicht bleibt
Allzweck-KI-Regeln2. August 2025Nein
Transparenz (Art. 50)2. August 2026Nur Wasserzeichen-Übergang bis Dez. 2026
Betreiberpflichten (Art. 26)Mit Hochrisiko-AnwendbarkeitNein
Hochrisiko Anhang III (Art. 6-27)2. Dezember 2027Ja, 16 Monate verschoben

Weiterhin gültig am 2. August 2026: die Transparenzschicht

Artikel 50 ist die Pflicht, die den breitesten Teil des Mittelstands trifft, weil heute fast jeder kundenseitige KI betreibt. Sie ist nicht verschoben. Das fordert sie konkret.

Die vier Transparenzpflichten

  1. Offenlegung bei Chatbot und Agent - Jedes KI-System, das direkt mit einer Person interagiert, muss klarmachen, dass die Person es mit einer KI zu tun hat, sofern es sich nicht aus dem Kontext ergibt. Ein Sprachagent in der Service-Hotline oder ein Website-Chatbot zählen beide10.
  2. Kennzeichnung von KI-Inhalten - Anbieter generativer KI müssen Ausgaben maschinenlesbar als künstlich erzeugt markieren. Betreiber, die sie nutzen, müssen offenlegen, wo Inhalte KI-generiert oder verändert sind10.
  3. Offenlegung von Deepfakes - Bild-, Audio- oder Videoinhalte, die ein Deepfake sind, müssen als künstlich erzeugt oder verändert gekennzeichnet werden, mit engen Ausnahmen für künstlerische oder behördliche Nutzung10.
  4. Hinweis bei Emotion und Biometrie - Betreiben Sie Emotionserkennung oder biometrische Kategorisierung, müssen Sie die exponierten Personen informieren. Mehrere solcher Nutzungen sind nach Artikel 5 zudem ganz verboten12.

Praxis-Lesart für den Mittelstand

Haben Sie einen Kunden-Chatbot, einen Sprachagenten in der Service-Leitung oder KI-entworfene Marketinginhalte eingesetzt, haben Sie eine Transparenzpflicht zum August 2026. Der Hochrisiko-Aufschub deckt nichts davon ab. Die Lösung ist meist klein - ein klarer Hinweis und eine Inhaltskennzeichnung - muss aber vorhanden und dokumentiert sein.

Wasserzeichen: die eine kurze Übergangsfrist

  • Neue Systeme sofort konform - Generative Systeme, die nach dem 2. August 2026 in Verkehr gebracht werden, müssen Ausgaben ab diesem Datum markieren6.
  • Bestandssysteme erhalten vier Monate - Systeme, die vor dem 2. August 2026 am Markt waren, haben bis zum 2. Dezember 2026 Zeit, maschinenlesbare Wasserzeichen zu ergänzen3.
  • Das ist keine Hochrisiko-Frage - Wasserzeichen liegen unter Transparenz, also gelten sie unabhängig von der Anhang-III-Verschiebung.

Unsicher, welche Pflichten Sie 2026 wirklich treffen?

Buchen Sie einen 30-minütigen Termin. Wir ordnen Ihre KI-Systeme gemeinsam der Zeitachse der KI-Verordnung zu.

Demo buchen →
Industrieblöcke zurückgeschoben von einem orangefarbenen Stoppmarker als Sinnbild für eine verschobene Compliance-Frist

Warum eine verschobene Frist eine Falle ist, wenn Sie aufhören

Ein Aufschub hilft nur den Unternehmen, die ihn nutzen. Wer das Projekt ablegt, steht im Dezember 2027 vor derselben Wand mit schlechteren Chancen, denn die Arbeit, die der Aufschub ermöglichen sollte, geschieht nicht von selbst. Fünf Mechaniken machen die Atempause gefährlich.

  • Normen kommen spät, Zertifizierung später - Die zusätzliche Zeit existiert, weil harmonisierte Normen und benannte Stellen nicht bereit sind. Wenn sie kommen, füllt sich die Warteschlange für die Konformitätsbewertung. Frühe Bewegung sichert Kapazität, Nachzügler warten6.
  • Dokumentation entsteht langsam, nicht das Einreichen - Eine technische Hochrisiko-Akte nach Anhang IV umfasst Datenherkunft, Systemlogik, Risikomanagement und Testnachweise. Diese Historie muss beim Bauen erfasst werden, nicht im letzten Quartal rekonstruiert.
  • Die politische Richtung ist umstritten - Mehr als 120 Bürgerrechtsorganisationen nannten den Omnibus Deregulierung statt Vereinfachung, und der Berichterstatter des Parlaments warnte, der Ansatz könne deregulierend wirken19. Auf weitere Entlastung zu setzen heißt, auf einen Konflikt mit offenem Ausgang zu setzen.
  • Die anderen Pflichten beißen zuerst - Transparenz im August 2026 und Kompetenz seit Februar 2025 gelten jetzt. Wer die ganze Verordnung als „verschoben“ behandelt, verpasst Pflichten ohne Bezug zur Hochrisiko-Frist13.
  • Kompetenz kumuliert - KI-Governance, saubere Einstufung und Aufsichtsdesign sind organisatorische Muskeln. Teams, die jetzt an Systemen mit niedrigem Risiko üben, sind bereit, wenn ein Hochrisiko-Fall auftaucht. Wer wartet, startet unter Fristdruck bei null.

Zeit nutzen vs. Entlastung verbuchen

Die Zeit nutzen

  • Dokumentation laufend aufbauen - die Anhang-IV-Nachweise erfassen, solange Systeme frisch sind
  • Reallabor-Kapazität sichern - vor der Warteschlange einsteigen
  • Transparenz jetzt klären - die August-2026-Pflichten früh erledigen
  • Team schulen - KI-Kompetenz ist bereits Pflicht und ein kumulierender Wert

Entlastung verbuchen und aufhören

  • Gleiche Wand, weniger Vorlauf - Dezember 2027 ohne Dokumentationshistorie
  • Zertifizierungsengpass - die Kapazität benannter Stellen ist endlich und füllt sich schnell
  • Aktive Pflichten verpasst - Transparenz und Kompetenz beißen 2025-2026
  • Kein Governance-Muskel - der erste Hochrisiko-Bau geschieht unter Maximaldruck

„Die Einigung beim KI-Omnibus ist ein gutes Signal für die Entwicklung industrieller KI in Europa, also etwa von KI-Anwendungen in der Produktion oder dem Maschinenbau.“

- Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung16

Die KMU- und Small-Mid-Cap-Regelungen

Der Omnibus ist nicht nur ein Aufschub. Er bringt echte Entlastung für kleinere Unternehmen, und das ist der für den Mittelstand relevanteste Teil. Die Entlastung senkt die Last der Pflichten, sie hebt sie nicht auf.

  • Die neue Small-Mid-Cap-Kategorie - Die Verordnung erhält eine Small-Mid-Cap-Klasse für Unternehmen bis 750 Beschäftigte und unter rund 150 Millionen Euro Umsatz (oder einer Bilanzsumme unter etwa 129 Millionen Euro), zwischen KMU und Großunternehmen4.
  • Vereinfachte technische Dokumentation - Small Mid-Caps und KMU können vereinfachte Dokumentationsvorlagen nutzen, die benannte Stellen akzeptieren müssen, was den Papieraufwand für die Hochrisiko-Konformität senkt4.
  • Verhältnismäßiges Qualitätsmanagement - Anforderungen an das Qualitätsmanagementsystem werden an die Unternehmensgröße angepasst, statt einheitlich angewandt4.
  • Bevorzugter Reallabor-Zugang - Kleinere Unternehmen erhalten vorrangigen, kostenfreien Zugang zu nationalen Reallaboren, wo gutgläubiges Testen zur Compliance zählen kann4.
  • Niedrigere Bußgeldgrenzen - Für KMU und Start-ups gilt jeweils der niedrigere von Festbetrag oder Umsatzprozentsatz, was die Haftung verhältnismäßig hält14.
  • Ein Korrekturfenster - Kleinere Firmen erhalten nach einer Verwarnung eine kurze Frist, einen Verstoß zu beheben, bevor Sanktionen greifen, statt sofortiger Strafen4.
BußgeldstufeHöchstbetragGilt für
Verbotene Praktiken35 Mio. Euro oder 7 % des WeltumsatzesVerstöße gegen Artikel 5
Sonstige Pflichtverstöße15 Mio. Euro oder 3 % des WeltumsatzesHochrisiko und andere Pflichten
Falsche Angaben7,5 Mio. Euro oder 1 % des WeltumsatzesFalsche oder unvollständige Angaben an Behörden
KMU- und Start-up-GrenzeJeweils der niedrigere BetragVerhältnismäßige Haftung

Mittelstands-Relevanz

Die meisten deutschen KMU und Hidden Champions liegen bequem innerhalb der KMU- oder Small-Mid-Cap-Schwellen. Damit ist die Dokumentationslast für ein künftiges Hochrisiko-System leichter als die Schlagzeilen vermuten lassen, und ein gutgläubiger Reallauf kann einen Teil der Konformitätsarbeit ersetzen. Die Entlastung belohnt Unternehmen, die früh mit der Aufsicht zusammenarbeiten.

Was jetzt zu tun ist: ein praktischer Plan

Die richtige Antwort auf den Aufschub ist weder aufhören noch Panik. Es ist ein stetiger Arbeitstakt, der die aktiven Pflichten erledigt und auf den Dezember 2027 hinarbeitet. Das ist die Reihenfolge.

  1. Jedes KI-System inventarisieren - Listen Sie alles, was Sie bauen oder einsetzen, samt Schatten-Tools, die Teams eigenmächtig eingeführt haben. Erfassen Sie je System Eigentümer, Funktion, berührte Daten und mögliche Anhang-III-Kategorie. Das ist die Grundlage für alles Weitere.
  2. Jetzt nach Risiko einstufen - Ordnen Sie jedes System der Systematik verboten, hochriskant, begrenztes oder minimales Risiko zu. Die Substanz der Hochrisiko-Pflichten hat sich nicht geändert, nur der Zeitpunkt, daher bleibt eine heutige Einstufung gültig15.
  3. Die Transparenzschicht klären - Ergänzen Sie für jeden Kunden-Chatbot, Sprachagenten und generativen Inhalt vor dem 2. August 2026 Offenlegung und Kennzeichnung. Dokumentieren Sie es. Das ist die nächste aktive Frist für die meisten10.
  4. KI-Kompetenzschulung durchführen - Artikel 4 ist seit Februar 2025 Pflicht. Liefern Sie rollenbasierte Schulungen für alle, die KI bedienen, und führen Sie Nachweise. Günstig und für viele Firmen überfällig13.
  5. Dokumentation laufend aufbauen - Erfassen Sie für jedes System, das hochriskant werden könnte, Datenherkunft, Modellentscheidungen, Aufsichtsdesign und Testergebnisse von Tag eins. Diese Ende 2027 zu rekonstruieren ist der teure Weg.
  6. Betreiberpflichten festzurren - Klären Sie bei zugekaufter KI schriftlich, was der Anbieter abdeckt und was Sie nach Artikel 26 tragen: Aufsicht, Überwachung, Protokollierung und Information Betroffener11.
  7. Früh ins Reallabor - Sobald Ihr nationales Reallabor öffnet, steigen Sie ein. Die Kapazität ist begrenzt, und gutgläubiges Testen kann zur Compliance zählen4.
  8. DSGVO und Betriebsrat im Blick behalten - Beides hat der Omnibus nicht berührt. Führen Sie eine Datenschutz-Folgenabschätzung durch, wo nötig, und stimmen Sie sich mit dem Betriebsrat zu Systemen ab, die Beschäftigte überwachen.

Checkliste KI-Verordnung nach dem Omnibus

  • Lebendes Inventar jedes KI-Systems, das Sie bauen oder einsetzen
  • Jedes System nach Risikoklasse eingestuft, mit benanntem Eigentümer
  • Transparenzhinweis und Inhaltskennzeichnung aktiv vor dem 2. August 2026
  • Wasserzeichen auf generativen Bestandssystemen bis zum 2. Dezember 2026
  • Rollenbasierte KI-Kompetenzschulung durchgeführt und dokumentiert (Artikel 4)
  • Betreiberpflichten für jedes zugekaufte KI-System dokumentiert
  • Anhang-IV-Dokumentation laufend für potenzielle Hochrisiko-Systeme erfasst
  • Reallabor-Antrag eingereicht, sobald das nationale Reallabor öffnet
  • DSGVO-Abschätzung und Betriebsrats-Abstimmung abgeschlossen, wo relevant

Ein einfacher Takt für die kommenden Monate

ZeitfensterFokusErgebnis
Jetzt bis August 2026Inventar, Einstufung, Transparenz, KompetenzAktive Pflichten erledigt und belegt
August bis Dezember 2026Wasserzeichen, Betreiberverträge, Governance-RoutineBetriebsmodell steht
Bauphase 2027Anhang-IV-Dokumentation, Reallabor-Tests, AufsichtsdesignHochrisiko-Reife wächst an
Bis Dezember 2027Konformitätsbewertung und RegistrierungAnhang-III-Systeme rechtzeitig konform

Wie Superkind passt

Superkind baut maßgeschneiderte KI-Agenten für KMU und Unternehmen, und Compliance ist Teil des Bauens, nicht eine nachträglich aufgesetzte Schicht. Der Ansatz ist prozessorientiert: Wir kartieren Ihre Abläufe und Systeme, bevor Code entsteht, was zugleich eine saubere KI-Verordnungs-Dokumentation erzeugt.

  • Einstufung eingebaut - Jeder Agent wird beim Design gegen die Risikosystematik der KI-Verordnung bewertet, sodass Sie vor dem Livegang wissen, ob ein Fall minimal, begrenzt oder hochriskant ist.
  • Transparenz standardmäßig - Kundenseitige Agenten weisen sich als KI aus und kennzeichnen generierte Inhalte, sodass die Artikel-50-Pflichten von Tag eins erfüllt sind, nicht nachgerüstet werden.
  • Dokumentation als Nebenprodukt - Weil wir Prozess und Datenflüsse vorab kartieren, wächst die technische Dokumentation für ein potenzielles Hochrisiko-System beim Bauen, nicht in letzter Minute.
  • Human-in-the-Loop-Design - Kritische Entscheidungen laufen zu einer Person mit dem nötigen Kontext, was gute Praxis und zugleich die geforderte menschliche Aufsicht ist.
  • Aufsatz auf Ihrem Stack - Agenten verbinden sich über APIs mit Ihrem bestehenden ERP, CRM und Dokumentensystem. Kein Rip-and-Replace, und der Prüfpfad bleibt in Ihrer Infrastruktur.
  • Daten unter Ihrer Kontrolle - Verschlüsselte Verbindungen und EU-freundliche Betriebsoptionen halten die DSGVO-Lage sauber, was der KI-Verordnungs-Aufschub nicht ändert.
  • Kompetenz kommt mit dem Rollout - Die Teams, die mit dem Agenten arbeiten, lernen ihn zu bedienen und zu beaufsichtigen, was direkt auf Ihre Artikel-4-Kompetenzpflicht einzahlt.
  • Ergebnisse statt Lizenzen - Die Abrechnung erfolgt pro Anwendungsfall mit messbarem ROI, der vor dem Bau definiert wird, sodass Compliance-Arbeit eingegrenzt ist, nicht offen.
AnsatzGenerisches KI-ToolSuperkind
RisikoeinstufungIhr ProblemBeim Design bewertet
TransparenzSelbst konfigurierenOffenlegung und Kennzeichnung eingebaut
DokumentationSpäter rekonstruierenBeim Bauen erfasst
DatenortAnbieter-Cloud, oft USAIhre Infrastruktur, EU-Optionen
AufsichtGenerische EinstellungenIn den Ablauf eingebaut

Superkind

Pro

  • Compliance-bewusster Bau - Einstufung, Transparenz und Dokumentation von Anfang an
  • Prozessorientiert - Agenten um Ihre echten Abläufe gebaut
  • Daten bleiben Ihre - EU-freundlicher Betrieb, saubere DSGVO-Lage
  • Ergebnisbasierte Abrechnung - zahlen für Resultate, nicht für Plätze

Contra

  • Keine Self-Service-Plattform - erfordert Zusammenarbeit mit unserem Team
  • Keine Rechtsberatung - wir bauen konforme Systeme, Ihre Juristen zeichnen ab
  • Kapazitätsbegrenzt - wir arbeiten mit einer fokussierten Zahl von Kunden
  • Nicht für triviale Automatisierungen - übertrieben, wenn ein einfaches Skript reicht

Entscheidungsrahmen: Wie exponiert sind Sie?

Der Aufschub ändert Ihre Zeitachse nur, wenn Sie tatsächlich Hochrisiko-Systeme betreiben. Nutzen Sie diese Signale, um zu entscheiden, wie stark Sie die Atempause betrifft.

SignalWas es bedeutetMaßnahme
Sie betreiben Kunden-Chatbots oder SprachagentenTransparenz nach Artikel 50 gilt im August 2026Offenlegung und Kennzeichnung jetzt ergänzen, der Aufschub hilft nicht
Sie nutzen KI bei Einstellung, Kredit oder VersicherungWahrscheinlich Anhang-III-HochrisikoDie Zeit bis Dezember 2027 nutzen, Dokumentation laufend aufbauen
Sie betten KI in regulierte Produkte einAnhang-I-Hochrisiko, Frist 2. August 2028Mit Ihrem Produkt-Konformitätsprozess abstimmen
Sie betreiben nur interne ProzessautomatisierungMeist minimales RisikoKompetenz und Inventar aktuell halten, geringe Hochrisiko-Exponierung
Sie haben noch kein KI-InventarSie können keine der obigen Fragen beantwortenZuerst das Inventar aufbauen, in diesem Quartal
Sie nahmen an, die ganze Verordnung sei verschobenMöglicherweise verpassen Sie aktive PflichtenTransparenz- und Kompetenzpflichten sofort prüfen

Jetzt handeln vs. auf Dezember 2027 warten

Jetzt handeln

  • Aktive Pflichten abgedeckt - Transparenz und Kompetenz rechtzeitig erledigt
  • Dokumentation wächst - die Anhang-IV-Akte baut sich beim Arbeiten auf
  • Reallabor-Kapazität - früher Zugang vor der Warteschlange
  • Governance-Muskel - das Team ist bereit für den ersten Hochrisiko-Bau

Warten

  • Verpasste aktive Pflichten - Bußgelder bei Transparenz und Kompetenz während des Wartens
  • Rekonstruktionskosten - Dokumentationshistorie unter Druck nachbauen
  • Zertifizierungsengpass - endliche Kapazität benannter Stellen Ende 2027
  • Regulatorisches Hin und Her - auf weitere Entlastung setzen, die ausbleiben kann

„Was als technische Vereinfachung der EU-Digitalgesetze präsentiert wird, ist in Wahrheit der Versuch, einige der stärksten Schutzmechanismen Europas abzubauen - die Durchsetzung zu verzögern und hart erkämpfte Garantien zu schwächen.“

- Gemeinsame Erklärung von über 120 Bürgerrechtsorganisationen zum Digital Omnibus19

Häufig gestellte Fragen

Ja. Der Digital Omnibus zur KI, von der EU-Kommission am 19. November 2025 vorgeschlagen und am 6./7. Mai 2026 politisch beschlossen, hat das Anwendungsdatum für eigenständige Hochrisiko-Systeme nach Anhang III vom 2. August 2026 auf den 2. Dezember 2027 verschoben. In regulierte Produkte eingebettete Hochrisiko-KI nach Anhang I rückt vom 2. August 2027 auf den 2. August 2028. Für Anhang-III-Systeme sind das rund 16 Monate.

Er verschiebt die aufwendige Konformitätsbewertung für Anhang-III-Systeme: Risikomanagement, technische Dokumentation, Architektur der menschlichen Aufsicht, Daten-Governance, Genauigkeits- und Robustheitstests sowie die Marktbeobachtung. Das sind die Pflichten nach Artikel 8 bis 27 der Verordnung. Der Aufschub betrifft weder Transparenz noch verbotene Praktiken noch KI-Kompetenz, die auf eigenen Zeitachsen liegen.

Die Transparenzpflichten nach Artikel 50 werden am 2. August 2026 anwendbar: Sie müssen offenlegen, wenn Menschen mit einem Chatbot oder KI-Agenten interagieren, und KI-generierte oder manipulierte Inhalte müssen gekennzeichnet werden. Auch die Betreiberpflichten nach Artikel 26 gelten. Verbotene Praktiken nach Artikel 5 sind seit dem 2. Februar 2025 durchsetzbar, KI-Kompetenz nach Artikel 4 ist seit demselben Datum verbindlich. Die Regeln für KI-Modelle mit allgemeinem Verwendungszweck gelten seit dem 2. August 2025.

Nein, und genau das wäre das Hauptrisiko. Die Pflichten zu Transparenz, Betreiber, verbotenen Praktiken und KI-Kompetenz bleiben unberührt und greifen 2026 oder früher. Der Hochrisiko-Aufschub verschafft Zeit, um die Konformitätsdokumentation sauber aufzubauen, nicht einen Grund aufzuhören. Wer jetzt herunterfährt, steht im Dezember 2027 vor derselben Wand mit weniger Vorlauf, weil harmonisierte Normen und benannte Stellen Zeit brauchen.

Das Omnibus-Paket enthält gezielte Vereinfachungen, und über eine Verengung oder Selbstbewertung wurde diskutiert, was Bürgerrechtsorganisationen als Deregulierung kritisieren. Die Grundsystematik aus verboten, hochriskant, begrenztem Risiko und minimalem Risiko bleibt. Stufen Sie Ihre Systeme jetzt nach den bestehenden Anhang-III-Kategorien ein, denn die Substanz der Hochrisiko-Pflichten nach Artikel 6 bis 27 ist weitgehend unverändert, nur der Zeitpunkt hat sich verschoben.

Der Omnibus erweitert die Verordnung um eine Small-Mid-Cap-Kategorie für Unternehmen bis 750 Beschäftigte und unter rund 150 Millionen Euro Umsatz. Diese Firmen erhalten vereinfachte Vorlagen für die technische Dokumentation, die benannte Stellen akzeptieren müssen, verhältnismäßige Anforderungen an das Qualitätsmanagement und bevorzugten Zugang zu Reallaboren. KMU profitieren zusätzlich von niedrigeren Bußgeldgrenzen. Das senkt die Dokumentationslast, hebt die Pflicht aber nicht auf.

Die Bußgeldstufen bleiben unverändert: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für Verstöße gegen verbotene Praktiken, bis zu 15 Millionen Euro oder 3 Prozent für die meisten Hochrisiko- und sonstigen Pflichtverstöße und bis zu 7,5 Millionen Euro oder 1 Prozent für falsche Angaben. Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge, was die Haftung verhältnismäßig hält.

Ja. Kundenseitige Chatbots und KI-Agenten fallen unter die Transparenzpflicht nach Artikel 50, die ab dem 2. August 2026 gilt. Sie müssen klarmachen, dass die Person mit einem KI-System interagiert, und KI-generierte oder wesentlich veränderte Inhalte kennzeichnen. Für das Wasserzeichnen generativer Ausgaben gibt es eine kurze Übergangsfrist bis zum 2. Dezember 2026 für bereits am Markt befindliche Systeme. Nichts davon hat der Omnibus verschoben.

Das ist der zentrale Kritikpunkt. Mehr als 120 Bürgerrechtsorganisationen argumentieren, der Digital Omnibus bringe Deregulierung statt Vereinfachung, und warnen, dass die Verzögerung der Hochrisiko-Durchsetzung und gekürzte Registrierungspflichten den Schutz schwächen. Für die Unternehmensplanung ist die Lehre dieselbe: Die Pflichten kommen, die politische Richtung ist umstritten, und auf dauerhafte Entlastung zu bauen ist fragil.

Er ändert an beidem nichts. Die DSGVO gilt für jedes KI-System, das personenbezogene Daten verarbeitet, unabhängig von der KI-Verordnung, samt Datenschutz-Folgenabschätzung in risikoreicheren Fällen. Der Betriebsrat behält seine Mitbestimmungsrechte bei Systemen, die Leistung oder Verhalten von Beschäftigten überwachen, nach Paragraf 87 des Betriebsverfassungsgesetzes. Eine Entlastung bei der KI-Verordnung entbindet nicht von deutschen Arbeits- und Datenschutzpflichten.

Beide Seiten tragen Pflichten, auf verschiedenen Artikeln. Der Anbieter ist für die Konformität des Systems verantwortlich, doch als Betreiber tragen Sie die Pflichten aus Artikel 26: das System gemäß Anleitung nutzen, menschliche Aufsicht sicherstellen, den Betrieb überwachen, Protokolle führen und betroffene Personen wo nötig informieren. Auch die Transparenz nach Artikel 50 ist in vielen Fällen eine Betreiberpflicht. Der Hochrisiko-Aufschub hilft dem Anbieter beim Aufbau der Dokumentation, hebt Ihre Betreiberpflichten aber nicht auf.

Die Daten sind in der politischen Einigung nun fixiert und auf dem Weg zur förmlichen Verabschiedung im Amtsblatt. Eine erneute Verschiebung ist im Prinzip möglich, doch auf weitere Verzögerung zu hoffen ist die schwächste Compliance-Strategie. Die vernünftige Haltung: den 2. Dezember 2027 als real behandeln, die zusätzlichen Monate für saubere Konformität nutzen und bei Transparenz- und Kompetenzpflichten, die bereits gelten, aktuell bleiben.

Ein lebendes Inventar aller KI-Systeme aufbauen und pflegen, das jedes System nach KI-Verordnungs-Risikoklasse einstuft, mit verantwortlichem Eigentümer, geltenden Pflichten und Stichtag. Der größte Teil der Compliance-Kosten steckt darin, herauszufinden, was Sie überhaupt betreiben. Mit einem Inventar werden die Transparenzarbeit für August 2026 und die Hochrisiko-Dokumentation für Dezember 2027 beide handhabbar statt zur Last-Minute-Übung.

Verwandte Artikel

Quellen

  1. Europäische Kommission - Digital Omnibus zur KI (Vorschlag, 19. Nov. 2025)
  2. Rat der EU - Künstliche Intelligenz: Rat und Parlament einigen sich auf Vereinfachung (7. Mai 2026)
  3. Gibson Dunn - EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines and Other Key Changes
  4. White & Case - EU agrees Digital Omnibus deal to simplify AI rules
  5. Hogan Lovells - EU legislators agree to delay for high-risk AI rules
  6. Covington Inside Privacy - EU AI Act Update: Timeline Relief, Targeted Simplification, and New Prohibitions
  7. DLA Piper - The Digital AI Omnibus: Proposed deferral of high-risk AI obligations under the AI Act
  8. Europäisches Parlament - Digital Omnibus on AI, Legislative Train Schedule
  9. EU AI Act - Implementation Timeline
  10. EU AI Act - Artikel 50: Transparenzpflichten
  11. EU AI Act - Artikel 26: Pflichten der Betreiber
  12. EU AI Act - Artikel 5: Verbotene KI-Praktiken
  13. EU AI Act - Artikel 4: KI-Kompetenz
  14. EU AI Act - Artikel 99: Sanktionen
  15. EU AI Act - Anhang III: Hochrisiko-Anwendungsfälle
  16. Bitkom - Kommentar zum Kompromiss beim KI-Omnibus (Susanne Dehmel)
  17. Euronews - EU tech chief eyes AI Act amendments to create legal certainty (Henna Virkkunen)
  18. Liberties.eu - AI Omnibus: Fast-Tracking Deregulation, Weakening Digital Rights
  19. Business and Human Rights Centre - 120 organisations argue Digital Omnibus brings deregulation, not simplification
  20. Jacques Delors Centre - The EU's Digital and AI Omnibus is Heading in the Wrong Direction
  21. IAPP - AI Act Omnibus: What just happened and what comes next
  22. CEN-CENELEC - Standardisierungsauftrag zur KI-Verordnung
Henri Jung, Mitgründer von Superkind
Henri Jung

Mitgründer von Superkind, wo er KMU und Unternehmen hilft, maßgeschneiderte KI-Agenten einzusetzen, die wirklich zu ihren Teams passen. Henri schließt mit Leidenschaft die Lücke zwischen dem, was KI kann, und dem Wert, den sie in echten Unternehmen schafft. Er ist überzeugt, dass der Mittelstand alles hat, um bei KI führend zu sein - es braucht nur den richtigen Ansatz und eine Compliance-Haltung, die Regulierung in einen Vorsprung verwandelt statt in eine Hetzjagd.

Bereit, den Aufschub der KI-Verordnung in einen Vorsprung zu verwandeln?

Buchen Sie einen 30-minütigen Termin mit Henri. Wir ordnen Ihre KI-Systeme der neuen Zeitachse zu und skizzieren einen Plan, der die aktiven Pflichten erledigt und auf den Dezember 2027 hinarbeitet - keine Verpflichtung, kein Verkaufsgespräch.

Demo buchen →