Am 2. August 2026 wird es ernst mit dem EU AI Act – allerdings anders, als die meisten Unternehmen erwartet haben. Der Digital Omnibus hat die Hochrisiko-Pflichten um bis zu zwei Jahre verschoben. In vielen Führungsetagen ist daraus die Schlussfolgerung geworden: „Dann haben wir ja Zeit.“ Das ist ein teurer Irrtum. Ein erheblicher Teil der Verordnung greift unverändert in wenigen Wochen – inklusive Bußgeldrisiko.
Was der Digital Omnibus tatsächlich verschoben hat
Der Digital Omnibus ist ein Änderungspaket zur KI-Verordnung, auf das sich Rat und Parlament im Trilog am 7. Mai 2026 geeinigt haben. Das Europäische Parlament stimmte am 16. Juni 2026 zu, der Rat gab am 29. Juni 2026 grünes Licht. Die Veröffentlichung im Amtsblatt steht noch aus, wird aber vor dem 2. August erwartet.
Verschoben wurden ausschließlich die Anforderungen an Hochrisiko-KI-Systeme:
- Eigenständige Hochrisiko-Systeme (Anhang III) – etwa KI im Personalwesen, in der Bildung, bei der Kreditvergabe oder beim Zugang zu wesentlichen Dienstleistungen: neue Frist 2. Dezember 2027.
- KI als Sicherheitskomponente in Produkten (Anhang I) – etwa in Maschinen, Medizinprodukten oder Fahrzeugen: neue Frist 2. August 2028.
Wichtig für die Einordnung: Die inhaltlichen Anforderungen an Hochrisiko-Systeme wurden nicht entschärft. Risikomanagement, Datenqualität und Data Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit sowie die Registrierung in der EU-Datenbank bleiben inhaltlich bestehen. Verschoben wurde der Stichtag, nicht die Substanz.
Was am 2. August 2026 unverändert gilt
Genau hier entsteht das Missverständnis. Diese Pflichten greifen unabhängig vom Omnibus:
- Verbotene KI-Praktiken (Art. 5). Social Scoring, manipulative Systeme, bestimmte biometrische Anwendungen – wer solche Systeme einsetzt, muss sie abstellen. Der Omnibus hat die Liste sogar erweitert.
- Transparenz- und Kennzeichnungspflichten (Art. 50). Nutzerinnen und Nutzer müssen erkennen können, dass sie mit einer KI interagieren; KI-generierte Inhalte müssen maschinenlesbar gekennzeichnet werden. Für generative Systeme, die vor dem Stichtag auf dem Markt waren, gilt eine Übergangsfrist bis zum 2. Dezember 2026.
- Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI, Art. 53) – und ab August 2026 auch deren Durchsetzung.
Ein Detail, das in der Berichterstattung oft untergeht: Die KI-Kompetenzpflicht nach Art. 4 wurde durch den Omnibus von einer strikten Verpflichtung zu einer Förderpflicht abgemildert. Wer daraus „müssen wir nicht mehr“ liest, denkt zu kurz: Ohne Mitarbeitende, die verstehen, was ein KI-System tut und wo seine Grenzen liegen, lässt sich weder die menschliche Aufsicht noch die Transparenzpflicht praktisch erfüllen. Die Schulung verschwindet nicht – sie wandert nur von der Compliance-Liste in die Betriebsrealität.
Der eigentliche Denkfehler: „verschoben“ ist nicht „erledigt“
Wer heute ein Hochrisiko-System entwickelt oder einkauft, produziert bis Dezember 2027 Fakten – Architektur, Datenpipelines, Logging, Dokumentation. Genau diese Entscheidungen bestimmen später, ob die Konformitätsbewertung eine Formalie oder ein Reengineering-Projekt wird. Protokollierung und Data Governance lassen sich nicht nachträglich über ein fertiges System stülpen; sie sind Architekturentscheidungen.
Die zusätzlichen 16 Monate sind deshalb kein Aufschub, sondern ein Zeitfenster. Unternehmen, die es nutzen, gehen 2027 mit einer belastbaren Dokumentation in die Bewertung. Unternehmen, die es aussitzen, stehen dann vor derselben Aufgabe – nur mit mehr Legacy im Rücken.
Was jetzt sinnvoll ist – vor dem 2. August
- Inventarisieren. Welche KI-Systeme sind im Haus – inklusive der Copilot-Lizenzen, Chatbots und eingekauften SaaS-Funktionen, die niemand als „KI-Projekt“ führt? Ohne Inventar ist jede weitere Frage nicht beantwortbar.
- Klassifizieren. Verboten, hochrisiko, transparenzpflichtig oder unkritisch? Die meisten Systeme im Mittelstand landen in der dritten oder vierten Kategorie – aber das muss man begründen können, nicht vermuten.
- Transparenz umsetzen. Chatbot-Hinweise, Kennzeichnung KI-generierter Inhalte, klare Angaben in der Kundenkommunikation. Das ist der Teil, der in drei Wochen fällig ist – und der sich in drei Wochen auch schaffen lässt.
- Verbote prüfen. Ein kurzer, dokumentierter Abgleich mit Art. 5. In den allermeisten Unternehmen ein leeres Ergebnis – aber eines, das man schriftlich haben will.
- Hochrisiko-Kandidaten aufsetzen, nicht vertagen. Für alles, was 2027 relevant wird: Logging, Datenherkunft und Dokumentation von Anfang an mitbauen.
Fazit
Der Digital Omnibus verschafft Luft bei den aufwendigsten Pflichten – und keine einzige Minute bei den Pflichten, die am 2. August 2026 greifen. Wer die Schlagzeile „Frist verschoben“ als Entwarnung liest, verwechselt den anspruchsvollsten Teil der Verordnung mit ihrem Ganzen. Realistisch betrachtet ist der 2. August für die meisten mittelständischen Unternehmen ein Transparenz- und Inventar-Termin, kein Zertifizierungstermin. Aber es ist ein Termin.
Wie eine pragmatische KI-Governance aussieht, die Compliance liefert, ohne Projekte auszubremsen, zeigen wir auf unserer Seite zur KI-Governance & EU AI Act.
Dieser Beitrag gibt den Stand vom 14. Juli 2026 wieder und dient der allgemeinen Information. Er ersetzt keine Rechtsberatung; die endgültigen Fristen ergeben sich aus der Veröffentlichung im Amtsblatt der EU.
Sie möchten das in Ihrem Unternehmen umsetzen? Wir unterstützen Sie pragmatisch – von der Idee bis zum Betrieb.