EU AI Act 2026 für KMU: Was nach dem Digital Omnibus gilt

Seit Monaten kursieren widersprüchliche Schlagzeilen: Mal heißt es, der EU AI Act komme „mit voller Härte ab August 2026", mal, die EU habe „alles verschoben". Beides stimmt zur Hälfte – und genau diese Halbwahrheiten sorgen bei kleinen und mittleren Unternehmen für Verunsicherung. Der Digital Omnibus on AI, auf den sich Rat und Parlament am 7. Mai 2026 politisch geeinigt haben, hat die Lage verändert: Einige teure Pflichten kommen später, zwei zentrale Pflichten bleiben aber bei August 2026.

Dieser Artikel ordnet ein, was für ein normales KMU – einen Handwerksbetrieb, eine Steuerkanzlei, eine Arztpraxis, ein Maklerbüro – im Jahr 2026 konkret zu tun ist. Ohne Juristendeutsch, ohne Panikmache, aber mit den belegten Fristen und einer Checkliste, die Sie diese Woche abarbeiten können.

<Callout variant="info" title="Das Wichtigste in Kürze">

• Der EU AI Act gilt bereits – verboten ist seit Februar 2025, was hochriskant missbraucht wird.
• Der Digital Omnibus (Einigung 7. Mai 2026) verschiebt die teuren Hochrisiko-Pflichten auf Dezember 2027 bzw. August 2028.
• Nicht verschoben: die KI-Kompetenzpflicht (Art. 4) und die Transparenzpflichten (Art. 50) – beide werden ab 2. August 2026 durchsetzbar.
• Für die meisten KMU bedeutet das: kein Hochrisiko-System, aber zwei überschaubare Hausaufgaben bis August.

</Callout> <Callout variant="warning" title="Stand dieses Artikels"> Die Omnibus-Einigung vom 7. Mai 2026 ist eine **politische Einigung**, noch kein final verkündetes Gesetz. Die formelle Annahme und Veröffentlichung im EU-Amtsblatt wird vor dem 2. August 2026 angestrebt. Bis dahin können sich Details noch verschieben. Stand dieses Artikels: Juni 2026. </Callout>

Was ist der EU AI Act – in drei Sätzen?

Der EU AI Act (offiziell: KI-Verordnung) ist die weltweit erste umfassende gesetzliche Regulierung von künstlicher Intelligenz. Er funktioniert risikobasiert: Je höher das Risiko einer KI-Anwendung für Menschen, desto strenger die Pflichten. Entscheidend für KMU: Der AI Act gilt nicht nur für Entwickler von KI, sondern auch für Betreiber – also für jedes Unternehmen, das KI-Systeme im Arbeitsalltag einsetzt.

Das heißt im Klartext: Auch wenn Sie keine KI bauen, sondern „nur" ChatGPT, einen Chatbot auf Ihrer Website oder ein KI-gestütztes Bewerbungstool nutzen, kann der AI Act für Sie relevant sein. Wie stark, hängt von der Risikoklasse ab – dazu gleich mehr.

Was hat der Digital Omnibus vom 7. Mai 2026 geändert?

Der Digital Omnibus on AI ist ein EU-Gesetzespaket, das den AI Act an mehreren Stellen entschärft und Fristen streckt – als Reaktion auf Kritik aus der Wirtschaft, die Anforderungen seien zu komplex und kämen zu früh. Nach einem ersten gescheiterten Verhandlungsversuch am 28. April einigten sich die Verhandler im Trilog am frühen Morgen des 7. Mai 2026 vorläufig.

Die wichtigste Botschaft für KMU: Die teuren Hochrisiko-Pflichten kommen später. Statt im August 2026 greifen die vollen Compliance-Anforderungen für eigenständige Hochrisiko-Systeme erst Ende 2027. Gleichzeitig bleibt der Omnibus aber bei den Pflichten hart, die ohnehin als verhältnismäßig gelten – allen voran die KI-Kompetenz und die Transparenz gegenüber Nutzern.

Wichtig zu wissen: Es handelt sich um eine politische Einigung. Sie muss noch formell von Parlament und Rat angenommen und im Amtsblatt veröffentlicht werden. Angestrebt ist der Abschluss vor dem 2. August 2026 – denn sonst würden die alten Fristen greifen.

Die neuen Fristen im Überblick

Die folgende Tabelle fasst zusammen, was wann gilt – nach dem Stand der Omnibus-Einigung:

Die zentrale Erkenntnis: Für 2026 sind nur die Zeile „2. August 2026" und – falls Sie KI-Inhalte veröffentlichen – die Kennzeichnungsfristen praktisch relevant. Alles andere ist für die meisten KMU entweder schon erledigt (verbotene Praktiken nutzen Sie ohnehin nicht) oder noch weit weg.

Welche Risikoklasse betrifft mein Unternehmen?

Der AI Act kennt vier Risikoklassen – und die allermeisten KMU bewegen sich in den beiden untersten:

• Unannehmbares Risiko (verboten): Social Scoring, manipulative KI, ungezielte Gesichtsdatenbanken. Für normale Betriebe praktisch irrelevant – diese Systeme nutzt niemand im Mittelstand.
• Hohes Risiko (streng reguliert): KI in sensiblen Bereichen – etwa für Recruiting und Bewerberauswahl, Kreditvergabe, kritische Infrastruktur, Bildung. Hier können auch KMU betroffen sein, z. B. wenn ein KI-Tool Bewerbungen automatisch vorsortiert.
• Begrenztes Risiko (Transparenzpflicht): Chatbots, KI-generierte Texte und Bilder. Hier landen die meisten KMU. Pflicht: Kennzeichnung (dazu unten mehr).
• Minimales Risiko (frei): Spam-Filter, KI in Buchhaltungssoftware, Übersetzungstools. Keine besonderen Pflichten.

Die ehrliche Einordnung für den Durchschnitts-Betrieb: Wenn Sie KI für Texte, Kundenkommunikation, Terminplanung oder Buchhaltung nutzen, fallen Sie in „begrenztes" oder „minimales" Risiko. Hochrisiko wird es vor allem dann, wenn KI über Menschen entscheidet – Einstellung, Kreditwürdigkeit, Benotung. Eine genauere Selbsteinordnung können Sie mit unserem kostenlosen AI-Act-Check machen.

<Callout variant="tip" title="Branchen mit Sonderfragen"> Versicherungsmakler, Steuerberater und Kanzleien haben durch ihre Datenverarbeitung und KI-gestützte Prozesse oft spezielle Fragen. Dafür gibt es eigene Leitfäden – etwa zum <a href="/ai-act-versicherungsmakler">AI Act für Versicherungsmakler</a>. </Callout>

Die zwei Pflichten, die KMU 2026 wirklich treffen

Während die Schlagzeilen über verschobene Hochrisiko-Fristen jubelten, ging eine wichtige Information unter: Zwei Pflichten wurden nicht verschoben und werden ab dem 2. August 2026 durchsetzbar. Genau diese betreffen fast jedes KMU.

KI-Kompetenz nach Artikel 4 – ab August 2026

Artikel 4 verpflichtet Unternehmen, ein „ausreichendes Maß an KI-Kompetenz" bei den Mitarbeitenden sicherzustellen, die KI-Systeme nutzen oder betreiben. Diese Pflicht gilt formal bereits seit dem 2. Februar 2025 – durchsetzbar wird sie mit der nationalen Marktaufsicht ab dem 2. August 2026, und der Digital Omnibus hat daran ausdrücklich nichts geändert.

Konkret heißt das: Wer im Marketing Texte mit ChatGPT schreibt, in der Buchhaltung KI-Tools einsetzt oder im Kundenservice einen Chatbot betreibt, muss verstehen, was er tut – Chancen, Grenzen und Risiken der eingesetzten KI. Der AI Act schreibt kein festes Curriculum vor: Schulungen, interne Richtlinien oder Multiplikatoren-Programme sind gleichermaßen anerkannt. Sie müssen also keinen teuren Zertifikatskurs kaufen, aber Sie müssen die Kompetenz nachweisbar organisieren.

Transparenzpflichten nach Artikel 50 – ab August 2026

Auch die Transparenzpflichten aus Artikel 50 bleiben bei August 2026. Für KMU sind drei Punkte zentral:

1. Chatbot-Kennzeichnung: Wer einen Chatbot betreibt, der mit Menschen interagiert, muss diese klar darüber informieren, dass sie mit einer KI sprechen.
2. Kennzeichnung von KI-Inhalten: Texte, Bilder, Audio oder Video, die mit KI erzeugt oder wesentlich verändert wurden, müssen als solche erkennbar sein, wenn sie veröffentlicht werden.
3. Deepfakes: Realistisch wirkende, aber künstliche Darstellungen von Personen sind besonders streng zu kennzeichnen.

Ein wichtiges Detail: Sowohl die menschenlesbare Kennzeichnung (sichtbarer Hinweis) als auch die maschinenlesbare technische Kennzeichnung synthetischer Inhalte (Wasserzeichen, etwa über den C2PA-Standard, Art. 50 Abs. 2) gelten ab dem 2. August 2026. Für KI-Systeme, die bereits vor diesem Datum auf dem Markt waren, sieht der Omnibus eine Übergangsfrist bis zum 2. Dezember 2026 vor. Für die Praxis heißt das: Setzen Sie den sichtbaren Hinweis ab August – und prüfen Sie bei selbst veröffentlichten KI-Inhalten, ob Ihr Tool die maschinenlesbare Kennzeichnung unterstützt.

Was der Omnibus KMU an Erleichterungen bringt

Der Digital Omnibus ist nicht nur Fristverschiebung – er enthält gezielte Erleichterungen für kleinere Unternehmen:

• Vereinfachte technische Dokumentation: KMU müssen weniger umfangreich dokumentieren als Großunternehmen.
• Interne Selbstbewertung statt externer Audits: Für viele KMU-Anwendungen reicht eine interne Konformitätsbewertung – die teure Prüfung durch externe Stellen entfällt in diesen Fällen.
• Verhältnismäßigere Sanktionen: Schon der AI Act sieht für KMU und Start-ups vor, dass bei Bußgeldern stets der niedrigere der beiden Höchstwerte (fester Betrag statt Umsatzprozentsatz) gilt. Der Omnibus weitet diese Schutzlogik auf weitere kleinere Unternehmen aus und sorgt für verhältnismäßigere Obergrenzen.

Wichtig bei aller Erleichterung: Eine generelle Ausnahme für KMU gibt es nicht. Die Pflichten gelten dem Grunde nach für alle – kleinere Unternehmen bekommen lediglich verhältnismäßig leichtere Anforderungen und niedrigere Strafen.

Bußgelder: Was bei Verstößen wirklich droht

Die „bis zu 35 Millionen Euro"-Schlagzeile ist real, aber sie betrifft den schwersten Fall. Artikel 99 der KI-Verordnung kennt drei Stufen:

Entscheidend für den Mittelstand: Bei KMU und Start-ups gilt laut Artikel 99 jeweils der niedrigere der beiden Werte – nicht der höhere. Ein kleiner Betrieb wird also nicht nach dem 35-Millionen-Maßstab eines Konzerns bestraft. Der Digital Omnibus dehnt diese Schutzregel zudem auf weitere kleinere Unternehmen aus.

Die ehrliche Einordnung: Existenzbedrohende Bußgelder drohen Mittelständlern vor allem bei verbotenen Praktiken – und die nutzt im normalen Geschäftsbetrieb niemand. Das realistische Risiko liegt eher in der Sorgfaltspflicht: Wer KI-Kompetenz und Transparenz ignoriert und dadurch ein Schaden entsteht (etwa eine fehlerhafte, unkontrollierte KI-Entscheidung), haftet möglicherweise nach allgemeinem Recht – auch ohne direkten AI-Act-Bußgeldbescheid.

Ihre AI-Act-Checkliste für 2026

Statt sich von Fristen verwirren zu lassen, arbeiten Sie diese sieben Punkte ab – das deckt für die allermeisten KMU die Pflichten bis August 2026 ab:

1. KI-Inventar erstellen. Listen Sie auf, welche KI-Tools im Unternehmen genutzt werden – inklusive der „heimlichen" (ChatGPT auf privaten Accounts, KI-Funktionen in bestehender Software).
2. Risikoklasse bestimmen. Ordnen Sie jede Anwendung einer Klasse zu. Prüfen Sie besonders, ob etwas unter Hochrisiko (Anhang III) fällt – vor allem bei Personal- und Kreditentscheidungen.
3. Verbotene Praktiken ausschließen. Stellen Sie sicher, dass keine genutzte Anwendung in den verbotenen Bereich fällt.
4. KI-Kompetenz organisieren (Art. 4). Planen Sie Schulungen oder interne Richtlinien für alle, die KI nutzen. Dokumentieren Sie, was Sie tun.
5. Transparenz umsetzen (Art. 50). Kennzeichnen Sie Chatbots und veröffentlichte KI-Inhalte sichtbar.
6. Interne KI-Richtlinie aufsetzen. Legen Sie fest, wer welche Tools wofür nutzen darf und was nicht eingegeben werden darf (Stichwort Datenschutz).
7. Leichte Dokumentation führen. Halten Sie Ihre Einordnung und Maßnahmen schriftlich fest – das ist Ihr Nachweis im Ernstfall.

<CTABox title="Unsicher, was für Sie konkret gilt?" description="Unser kostenloser AI-Act-Check ordnet in wenigen Minuten ein, in welche Risikoklasse Ihre KI-Nutzung fällt und welche Pflichten Sie bis August 2026 erfüllen müssen." buttonText="AI-Act-Check starten" buttonHref="/ai-act-check" variant="primary" />

FAQ: Häufige Fragen zum EU AI Act für KMU

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der AI Act gilt für alle Unternehmen, die KI-Systeme entwickeln oder einsetzen – unabhängig von der Größe. Für kleine und mittlere Unternehmen gibt es zwar Erleichterungen (vereinfachte Dokumentation, interne Selbstbewertung, reduzierte Bußgelder), aber keine generelle Ausnahme. Entscheidend ist nicht Ihre Unternehmensgröße, sondern die Risikoklasse Ihrer KI-Anwendung.

Wurde der EU AI Act 2026 verschoben oder abgeschafft?

Weder noch. Der Digital Omnibus vom 7. Mai 2026 hat die Fristen für Hochrisiko-Systeme nach hinten verschoben (auf Dezember 2027 bzw. August 2028) und einige Anforderungen vereinfacht. Die KI-Kompetenzpflicht (Art. 4) und die Transparenzpflichten (Art. 50) bleiben jedoch bei August 2026. Abgeschafft wurde nichts.

Was muss ich als KMU bis August 2026 konkret erledigen?

Zwei Dinge stehen im Vordergrund: Erstens müssen Sie sicherstellen, dass Ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen (Schulung oder interne Richtlinie genügt). Zweitens müssen Sie Chatbots und veröffentlichte KI-Inhalte kennzeichnen. Beides lässt sich mit überschaubarem Aufwand umsetzen – die 7-Punkte-Checkliste oben führt Sie durch.

Brauche ich als KMU eine externe Zertifizierung?

In den meisten Fällen nicht. Für viele KMU-Anwendungen reicht eine interne Selbstbewertung. Eine externe Konformitätsbewertung wird vor allem bei Hochrisiko-Systemen relevant – und in die fällt der durchschnittliche Mittelständler in der Regel nicht. Prüfen Sie im Zweifel Ihre konkrete Anwendung.

Gilt der AI Act, wenn ich nur ChatGPT nutze?

Ja, aber meist auf der niedrigsten Stufe. Die reine Nutzung von ChatGPT für interne Texte oder Recherche fällt in „minimales Risiko" und bringt keine besonderen Pflichten – außer der KI-Kompetenz Ihrer Nutzer. Veröffentlichen Sie KI-generierte Inhalte oder setzen Sie ChatGPT in einem Chatbot ein, kommt die Transparenzpflicht hinzu. Wie Sie ChatGPT rechtssicher einsetzen, lesen Sie in unserem Leitfaden ChatGPT im Unternehmen richtig einsetzen.

Was kostet ein Verstoß gegen den AI Act?

Die Strafen sind nach Schwere gestaffelt: bis zu 35 Mio. € (bzw. 7 % Umsatz) für verbotene Praktiken, bis 15 Mio. € (3 %) für sonstige Verstöße, bis 7,5 Mio. € (1 %) für Falschangaben. Für KMU und Start-ups gilt jeweils der niedrigere Wert – nicht der höhere. Existenzbedrohende Strafen treffen im Mittelstand realistisch nur grobe Verstöße.

Fazit: Kein Grund zur Panik, aber zum Handeln

Der Digital Omnibus hat den EU AI Act für KMU spürbar entschärft – die teuren Hochrisiko-Pflichten sind vom Tisch des Jahres 2026. Was bleibt, ist überschaubar und vernünftig: Ihre Leute sollen verstehen, womit sie arbeiten (KI-Kompetenz), und Ihre Kunden sollen wissen, wann sie es mit KI zu tun haben (Transparenz). Beides ist bis August 2026 mit ein bis zwei Arbeitstagen Aufwand machbar – kein Beratungsmandat über zehntausende Euro.

Der häufigste Fehler, den wir gerade sehen: aus Unsicherheit gar nichts tun. Dabei ist der erste Schritt simpel – erstellen Sie diese Woche Ihr KI-Inventar. Danach wissen Sie, wo Sie stehen.

Nächster Schritt: Ihre Einordnung in wenigen Minuten

Sie wissen jetzt, welche Fristen gelten und welche zwei Pflichten Sie 2026 betreffen. Die offene Frage ist meist: In welche Risikoklasse fällt meine konkrete KI-Nutzung – und reicht das, was ich schon tue?

Genau dafür gibt es unseren kostenlosen AI-Act-Check: eine geführte Selbsteinordnung, die Ihre Anwendungen einer Risikoklasse zuordnet und Ihnen die nötigen Schritte bis August 2026 aufzeigt. Wer eine persönliche Einschätzung möchte, bucht eine kostenlose Erstberatung – dort klären wir Ihre konkrete Situation und, falls relevant, auch die Frage nach Fördermöglichkeiten für Digitalisierungs- und KI-Projekte.

Ich habe gerade den Artikel "EU AI Act 2026 für KMU: Was nach dem Digital Omnibus gilt" (Kategorie: KI-Integration) gelesen.

Zusammenfassung: EU AI Act 2026 für KMU erklärt: Welche Fristen der Digital Omnibus verschoben hat, welche Pflichten ab August 2026 bleiben – mit Checkliste zum Umsetzen.

Bitte hilf mir:
1. Die wichtigsten Erkenntnisse für mein Unternehmen zusammenzufassen
2. Einen konkreten Aktionsplan zu erstellen, wie ich das Gelernte umsetzen kann
3. Welche Tools oder Services ich dafür brauche
4. Mit welchem Schritt ich am besten starte

Meine Branche: [hier eingeben]
Meine groesste Herausforderung: [hier eingeben]