ki-compliance-kit.de

Digital Omnibus AI Act: Was sich für KMU ab Mai 2026 ändert

Von Timo Korte Stand: Mai 2026 Lesezeit: 7 Minuten

Am 7. Mai 2026 haben der Rat der EU und das Europäische Parlament den Digital Omnibus beschlossen -- ein Gesetzespaket, das unter anderem die Fristen und Regelungen der KI-Verordnung (Verordnung 2024/1689) anpasst. Für KMU bringt der Omnibus sowohl Erleichterungen als auch neue Pflichten. Dieser Artikel fasst die wichtigsten Änderungen zusammen und zeigt, was Sie jetzt konkret tun müssen.

Wichtig: Der Omnibus verschiebt Hochrisiko-Fristen -- aber die Basispflichten nach Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) gelten bereits seit dem 2. Februar 2025. Wer hier noch nicht aktiv ist, verstößt bereits gegen die Verordnung.

Wenig Zeit? Finden Sie in 3 Minuten heraus, wo Sie stehen.

Der kostenlose 25-Punkte-Check zeigt Ihnen sofort, welche AI-Act-Pflichten Sie bereits erfüllen und wo Handlungsbedarf besteht.

Kostenlosen Selbst-Audit starten →

Was ist der Digital Omnibus?

Der Digital Omnibus ist ein legislatives Paket der EU, das mehrere bestehende Digitalgesetze vereinfacht und aufeinander abstimmt -- darunter auch die KI-Verordnung (AI Act). Ziel ist es, die Regulierung praxistauglicher zu machen, ohne das Schutzniveau abzusenken. [Omnibus-Vereinbarung vom 7. Mai 2026]

Am 7. Mai 2026 haben Rat und Parlament die politische Einigung erzielt. Die formelle Annahme steht noch aus, wird aber innerhalb weniger Wochen erwartet. Da es sich um eine Verordnung handelt, gilt sie nach Veröffentlichung direkt in allen Mitgliedstaaten -- ohne Umsetzung in nationales Recht.

KMU-Tipp: Eine politische Einigung zwischen Rat und Parlament bedeutet, dass der Inhalt feststeht. Die formelle Annahme ist ein Formalakt. Sie können sich bereits jetzt an den neuen Fristen orientieren.

Die neuen Fristen im Überblick

Der Omnibus verschiebt mehrere Fristen der KI-Verordnung. Die folgende Tabelle zeigt die ursprünglichen und die neuen Termine:

Was Alte Frist Neue Frist (Omnibus) Status
Verbote [Art. 5 KI-VO] 2. Feb. 2025 Unverändert Gilt bereits
KI-Kompetenz [Art. 4 KI-VO] 2. Feb. 2025 Unverändert Gilt bereits
GPAI-Pflichten [Art. 51-60 KI-VO] 2. Aug. 2025 Unverändert Gilt bereits
Transparenz / Watermarking [Art. 50 KI-VO] 2. Aug. 2026 2. Dez. 2026 NEU
Regulatory Sandboxes [Art. 57 ff. KI-VO] 2. Aug. 2026 2. Aug. 2027 NEU
Hochrisiko Anhang III [Art. 6 Abs. 2 KI-VO] 2. Aug. 2026 2. Dez. 2027 NEU (+16 Monate)
Hochrisiko Anhang I (Produkte) [Art. 6 Abs. 1 KI-VO] 2. Aug. 2027 2. Aug. 2028 NEU

[Art. 113 KI-VO -- Übergangsbestimmungen; Digital Omnibus on AI, Procedure 2025/0359(COD), politische Einigung im Trilog 07.05.2026 -- Annahme im Amtsblatt steht aus]

⚠️ Rechtsstand: Die in der Tabelle „Neue Frist (Omnibus)" genannten Daten sind das Ergebnis der politischen Einigung im Trilog vom 07.05.2026. Der Rechtsakt ist noch nicht im Amtsblatt veröffentlicht. Bis zur formellen Annahme + Veröffentlichung gilt formal Verordnung 2024/1689 in ihrer Originalfassung. Die Kommission strebt Annahme vor dem 02.08.2026 an. Bitte prüfen Sie regelmäßig den aktuellen Status (z. B. EP Legislative Train).

AI Act Compliance Kit

12 fertige Vorlagen — in 90 Minuten compliance-ready

KI-Inventar, Risikoklassifizierung, Schulungsnachweis, KI-Policy und mehr. Einmalkauf ab 149 €, kein Abo, sofort-Download.

Jetzt ansehen — ab 149 €

Neue Verbote: Deepfakes und Nudification

Der Omnibus erweitert die Liste der verbotenen KI-Praktiken in Art. 5 KI-VO um einen neuen Tatbestand: die KI-gestützte Erzeugung nicht-einvernehmlicher intimer Bildaufnahmen, sogenannte Nudifier. [Art. 5 KI-VO, ergänzt durch Digital Omnibus]

Das bedeutet konkret: KI-Systeme, die auf Basis realer Fotos intime oder sexualisierte Bilder einer Person erzeugen -- ohne deren ausdrückliche Zustimmung -- werden nach Inkrafttreten des Digital Omnibus verboten sein. Dieses Verbot gab es in der ursprünglichen KI-Verordnung nicht. Es ist eine direkte Reaktion auf die zunehmende Verbreitung solcher Tools. Stand Mai 2026: Bis zur formalen Annahme + Veröffentlichung des Omnibus gilt das Verbot rechtlich noch nicht; Compliance-Frist nach Annahme: 02.12.2026.

Achtung: Dieses Verbot tritt nicht erst mit einer Übergangsfrist in Kraft, sondern gilt als Ergänzung der bereits bestehenden Verbote nach Art. 5. Unternehmen, die solche Tools anbieten oder einsetzen, sind ab formeller Annahme des Omnibus in Verstoß. Bußgelder: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes [Art. 99 Abs. 3 KI-VO].

Was bedeutet das für KMU?

Der Omnibus hat unterschiedliche Auswirkungen je nach Pflichtenkategorie. Hier die Einordnung für mittelständische Unternehmen:

Verbote und Schulungspflicht: Gelten JETZT

Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) sind seit dem 2. Februar 2025 in Kraft. Daran ändert der Omnibus nichts. Wenn Sie noch keine Schulungen für Ihre Mitarbeiter dokumentiert haben, verstoßen Sie bereits gegen die Verordnung. Das ist keine theoretische Gefahr -- die nationalen Aufsichtsbehörden nehmen ihre Arbeit auf. [Art. 4, Art. 5, Art. 113 Abs. 1 KI-VO]

Transparenzpflichten: Ab August 2026 — Watermarking ab Dezember 2026

Die allgemeinen Transparenzpflichten nach Art. 50 (Chatbot-Offenlegung, Deepfake-Kennzeichnung) gelten ab dem 2. August 2026 — daran ändert der Omnibus nichts. Nur die Watermarking-Compliance für Anbieter synthetischer Inhalte (Art. 50 Abs. 2) wurde auf den 2. Dezember 2026 verschoben. Wenn Sie Chatbots betreiben oder KI zur Kundenkommunikation einsetzen, müssen Ihre Prozesse bis August 2026 stehen. [Art. 50 KI-VO; Omnibus]

Hochrisiko: Mehr Zeit, aber jetzt anfangen

Die Hochrisiko-Pflichten nach Anhang III wurden auf den 2. Dezember 2027 verschoben -- das sind 16 Monate mehr als ursprünglich geplant. Klingt nach viel. Ist es nicht. Risikomanagementsysteme, technische Dokumentation, Logging, Human Oversight und Grundrechte-Folgenabschätzungen (FRIA) sind komplex und brauchen Vorlauf. [Art. 6 Abs. 2, Art. 9-15, Art. 27 KI-VO; Omnibus]

Kernaussage: Mehr Zeit für Hochrisiko heißt NICHT mehr Zeit für alles. Art. 4 und Art. 5 gelten seit Februar 2025. Art. 50 greift ab August 2026 (Watermarking ab Dezember 2026). Der Omnibus gibt Ihnen Luft bei den komplexen Hochrisiko-Pflichten -- nicht bei den Grundlagen.

Was Sie jetzt tun sollten

Vier konkrete Schritte, die Sie als KMU jetzt angehen sollten -- priorisiert nach Dringlichkeit:

1. KI-Inventar erstellen

Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen im Einsatz sind -- ob eingekauft, selbst entwickelt oder als Service genutzt. Ohne Inventar können Sie weder Risiken bewerten noch Pflichten zuordnen. Diese Pflicht ergibt sich implizit aus den Betreiberpflichten und ist Voraussetzung für alles Weitere. [Art. 26 KI-VO]

2. Schulungen dokumentieren

Die KI-Kompetenzpflicht nach Art. 4 gilt seit Februar 2025. Schulen Sie Geschäftsführung und alle Mitarbeiter, die KI-Systeme bedienen oder deren Einsatz verantworten. Dokumentieren Sie Datum, Teilnehmer und Inhalte. Eine formlose interne Schulung reicht -- aber sie muss nachweisbar sein. [Art. 4 KI-VO; ErwGr 20-21]

3. Transparenz-Prozesse aufbauen

Bis zum 2. August 2026 müssen die allgemeinen Transparenzpflichten umgesetzt sein: Chatbot-Offenlegung, Kennzeichnung KI-generierter Inhalte, Deepfake-Hinweise. Für Watermarking (Art. 50 Abs. 2) gilt eine Frist bis 2. Dezember 2026 (Omnibus). Prüfen Sie, wo in Ihrem Unternehmen KI-Inhalte entstehen und an Kunden oder die Öffentlichkeit gelangen. Definieren Sie Kennzeichnungsstandards. [Art. 50 KI-VO; Omnibus]

4. Hochrisiko-Vorbereitung starten

Wenn Ihre KI-Systeme unter Anhang III fallen (z. B. HR-Recruiting, Kreditscoring, Zugangskontrollen), haben Sie bis Dezember 2027 Zeit. Nutzen Sie diese Zeit aktiv: Beginnen Sie mit der Risikoklassifizierung, bauen Sie ein Risikomanagementsystem auf und klären Sie die Zuständigkeiten intern. Die Anforderungen nach Art. 9-15 KI-VO sind umfangreich und erfordern technische und organisatorische Vorarbeit. [Art. 6 Abs. 2, Art. 9-15, Anhang III KI-VO; Omnibus]

KMU-Tipp: Art. 62 KI-VO sieht vereinfachte Dokumentationsformen für KMU vor. Und Art. 99 Abs. 6 deckelt Bußgelder für KMU: Es gilt immer der niedrigere Betrag von festem Höchstbetrag oder Umsatzanteil. Die Verordnung berücksichtigt Ihre Größe -- aber nur, wenn Sie nachweislich aktiv geworden sind.

Strukturiert zur Compliance

Das AI Act Starter Kit enthält alle Vorlagen, Checklisten und Tools für Ihre KI-Compliance -- vom KI-Inventar über die Schulungspräsentation bis zum Umsetzungsplan mit Meilensteinen. Bereits aktualisiert für den Digital Omnibus. Einmalkauf, kein Abo.

Starter-Paket jetzt sichern (ab 149€)

Fazit: Der Omnibus gibt Zeit -- aber nicht für die Grundlagen

Der Digital Omnibus vom 7. Mai 2026 bringt eine wichtige Neuordnung der AI-Act-Fristen. Die Hochrisiko-Pflichten nach Anhang III rücken auf Dezember 2027, die allgemeinen Transparenzpflichten bleiben bei August 2026 (Watermarking ab Dezember 2026), und die Produktpflichten nach Anhang I auf August 2028. Gleichzeitig wurden die Verbote um Nudification-KI erweitert.

Für KMU bedeutet das: Die Basispflichten -- Schulung, Verbote, KI-Inventar -- sind längst fällig. Die Transparenzfrist (Art. 50) greift in knapp drei Monaten. Und die zusätzliche Zeit bei Hochrisiko sollte nicht als Einladung zum Abwarten verstanden werden, sondern als Chance, die Vorbereitung sauber aufzusetzen.

Unternehmen, die jetzt strukturiert anfangen, werden die Fristen einhalten. Unternehmen, die warten, werden unter Zeitdruck schlechte Lösungen implementieren. Der Unterschied liegt nicht im Budget, sondern im Startpunkt.

Wo stehen Sie? Unser kostenloses KI-Compliance Selbst-Audit zeigt Ihnen in 15 Minuten, wo Ihr Unternehmen steht und wo konkreter Handlungsbedarf besteht. 25 Prüfpunkte, 5 Kategorien, mit Artikelreferenzen.

Weiterlesen

Stand: Mai 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Alle Angaben beziehen sich auf die Verordnung (EU) 2024/1689 in der verabschiedeten Fassung sowie die politische Einigung zum Digital Omnibus vom 7. Mai 2026. Die formelle Annahme des Omnibus steht noch aus. Für spezifische Rechtsfragen konsultieren Sie einen auf KI-Recht spezialisierten Anwalt.

Weiterführende Artikel

Kostenloses Selbst-Audit: Wo steht Ihr Unternehmen?

25 Prüfpunkte mit Scoring -- in 15 Minuten wissen Sie, ob Sie ein Problem haben.

Kostenloses Selbst-Audit starten →