ki-compliance-kit.de

Digital Omnibus AI Act: Was sich für KMU ab Mai 2026 ändert

Von Timo Korte Stand: Mai 2026 Lesezeit: 7 Minuten

Am 7. Mai 2026 haben der Rat der EU und das Europäische Parlament den Digital Omnibus beschlossen -- ein Gesetzespaket, das unter anderem die Fristen und Regelungen der KI-Verordnung (Verordnung 2024/1689) anpasst. Für KMU bringt der Omnibus sowohl Erleichterungen als auch neue Pflichten. Dieser Artikel fasst die wichtigsten Änderungen zusammen und zeigt, was Sie jetzt konkret tun müssen.

Wichtig: Der Omnibus verschiebt Hochrisiko-Fristen -- aber die Basispflichten nach Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) gelten bereits seit dem 2. Februar 2025. Wer hier noch nicht aktiv ist, verstößt bereits gegen die Verordnung.

Was ist der Digital Omnibus?

Der Digital Omnibus ist ein legislatives Paket der EU, das mehrere bestehende Digitalgesetze vereinfacht und aufeinander abstimmt -- darunter auch die KI-Verordnung (AI Act). Ziel ist es, die Regulierung praxistauglicher zu machen, ohne das Schutzniveau abzusenken. [Omnibus-Vereinbarung vom 7. Mai 2026]

Am 7. Mai 2026 haben Rat und Parlament die politische Einigung erzielt. Die formelle Annahme steht noch aus, wird aber innerhalb weniger Wochen erwartet. Da es sich um eine Verordnung handelt, gilt sie nach Veröffentlichung direkt in allen Mitgliedstaaten -- ohne Umsetzung in nationales Recht.

KMU-Tipp: Eine politische Einigung zwischen Rat und Parlament bedeutet, dass der Inhalt feststeht. Die formelle Annahme ist ein Formalakt. Sie können sich bereits jetzt an den neuen Fristen orientieren.

Die neuen Fristen im Überblick

Der Omnibus verschiebt mehrere Fristen der KI-Verordnung. Die folgende Tabelle zeigt die ursprünglichen und die neuen Termine:

Was Alte Frist Neue Frist (Omnibus) Status
Verbote [Art. 5 KI-VO] 2. Feb. 2025 Unverändert Gilt bereits
KI-Kompetenz [Art. 4 KI-VO] 2. Feb. 2025 Unverändert Gilt bereits
GPAI-Pflichten [Art. 51-60 KI-VO] 2. Aug. 2025 Unverändert Gilt bereits
Transparenz / Watermarking [Art. 50 KI-VO] 2. Aug. 2026 2. Dez. 2026 NEU
Regulatory Sandboxes [Art. 57 ff. KI-VO] 2. Feb. 2026 2. Aug. 2027 NEU
Hochrisiko Anhang III [Art. 6 Abs. 2 KI-VO] 2. Aug. 2026 2. Dez. 2027 NEU (+16 Monate)
Hochrisiko Anhang I (Produkte) [Art. 6 Abs. 1 KI-VO] 2. Aug. 2026 2. Aug. 2028 NEU

[Art. 113 KI-VO -- Übergangsbestimmungen; Omnibus-Vereinbarung Mai 2026]

Neue Verbote: Deepfakes und Nudification

Der Omnibus erweitert die Liste der verbotenen KI-Praktiken in Art. 5 KI-VO um einen neuen Tatbestand: die KI-gestützte Erzeugung nicht-einvernehmlicher intimer Bildaufnahmen, sogenannte Nudifier. [Art. 5 KI-VO, ergänzt durch Digital Omnibus]

Das bedeutet konkret: KI-Systeme, die auf Basis realer Fotos intime oder sexualisierte Bilder einer Person erzeugen -- ohne deren ausdrückliche Zustimmung -- sind ab sofort verboten. Dieses Verbot gab es in der ursprünglichen KI-Verordnung nicht. Es ist eine direkte Reaktion auf die zunehmende Verbreitung solcher Tools.

Achtung: Dieses Verbot tritt nicht erst mit einer Übergangsfrist in Kraft, sondern gilt als Ergänzung der bereits bestehenden Verbote nach Art. 5. Unternehmen, die solche Tools anbieten oder einsetzen, sind ab formeller Annahme des Omnibus in Verstoß. Bußgelder: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes [Art. 99 Abs. 3 KI-VO].

Was bedeutet das für KMU?

Der Omnibus hat unterschiedliche Auswirkungen je nach Pflichtenkategorie. Hier die Einordnung für mittelständische Unternehmen:

Verbote und Schulungspflicht: Gelten JETZT

Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) sind seit dem 2. Februar 2025 in Kraft. Daran ändert der Omnibus nichts. Wenn Sie noch keine Schulungen für Ihre Mitarbeiter dokumentiert haben, verstoßen Sie bereits gegen die Verordnung. Das ist keine theoretische Gefahr -- die nationalen Aufsichtsbehörden nehmen ihre Arbeit auf. [Art. 4, Art. 5, Art. 113 Abs. 1 KI-VO]

Transparenzpflichten: Ab Dezember 2026

Die Frist für Art. 50 (Transparenz, Watermarking, Chatbot-Offenlegung) liegt jetzt beim 2. Dezember 2026. Das sind nur noch rund sieben Monate. Wenn Sie KI-generierte Inhalte erstellen, Chatbots betreiben oder KI zur Kundenkommunikation einsetzen, müssen Ihre Prozesse bis dahin stehen. [Art. 50 KI-VO; Omnibus]

Hochrisiko: Mehr Zeit, aber jetzt anfangen

Die Hochrisiko-Pflichten nach Anhang III wurden auf den 2. Dezember 2027 verschoben -- das sind 16 Monate mehr als ursprünglich geplant. Klingt nach viel. Ist es nicht. Risikomanagementsysteme, technische Dokumentation, Logging, Human Oversight und Grundrechte-Folgenabschätzungen (FRIA) sind komplex und brauchen Vorlauf. [Art. 6 Abs. 2, Art. 9-15, Art. 27 KI-VO; Omnibus]

Kernaussage: Mehr Zeit für Hochrisiko heißt NICHT mehr Zeit für alles. Art. 4 und Art. 5 gelten seit Februar 2025. Art. 50 kommt im Dezember 2026. Der Omnibus gibt Ihnen Luft bei den komplexen Hochrisiko-Pflichten -- nicht bei den Grundlagen.

Was Sie jetzt tun sollten

Vier konkrete Schritte, die Sie als KMU jetzt angehen sollten -- priorisiert nach Dringlichkeit:

1. KI-Inventar erstellen

Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen im Einsatz sind -- ob eingekauft, selbst entwickelt oder als Service genutzt. Ohne Inventar können Sie weder Risiken bewerten noch Pflichten zuordnen. Diese Pflicht ergibt sich implizit aus den Betreiberpflichten und ist Voraussetzung für alles Weitere. [Art. 26 KI-VO]

2. Schulungen dokumentieren

Die KI-Kompetenzpflicht nach Art. 4 gilt seit Februar 2025. Schulen Sie Geschäftsführung und alle Mitarbeiter, die KI-Systeme bedienen oder deren Einsatz verantworten. Dokumentieren Sie Datum, Teilnehmer und Inhalte. Eine formlose interne Schulung reicht -- aber sie muss nachweisbar sein. [Art. 4 KI-VO; ErwGr 20-21]

3. Transparenz-Prozesse aufbauen

Bis zum 2. Dezember 2026 müssen Transparenzpflichten umgesetzt sein: Chatbot-Offenlegung, Kennzeichnung KI-generierter Inhalte, Deepfake-Hinweise. Prüfen Sie, wo in Ihrem Unternehmen KI-Inhalte entstehen und an Kunden oder die Öffentlichkeit gelangen. Definieren Sie Kennzeichnungsstandards. [Art. 50 KI-VO; Omnibus]

4. Hochrisiko-Vorbereitung starten

Wenn Ihre KI-Systeme unter Anhang III fallen (z. B. HR-Recruiting, Kreditscoring, Zugangskontrollen), haben Sie bis Dezember 2027 Zeit. Nutzen Sie diese Zeit aktiv: Beginnen Sie mit der Risikoklassifizierung, bauen Sie ein Risikomanagementsystem auf und klären Sie die Zuständigkeiten intern. Die Anforderungen nach Art. 9-15 KI-VO sind umfangreich und erfordern technische und organisatorische Vorarbeit. [Art. 6 Abs. 2, Art. 9-15, Anhang III KI-VO; Omnibus]

KMU-Tipp: Art. 62 KI-VO sieht vereinfachte Dokumentationsformen für KMU vor. Und Art. 99 Abs. 6 deckelt Bußgelder für KMU: Es gilt immer der niedrigere Betrag von festem Höchstbetrag oder Umsatzanteil. Die Verordnung berücksichtigt Ihre Größe -- aber nur, wenn Sie nachweislich aktiv geworden sind.

Strukturiert zur Compliance

Das AI Act Starter Kit enthält alle Vorlagen, Checklisten und Tools für Ihre KI-Compliance -- vom KI-Inventar über die Schulungspräsentation bis zum Umsetzungsplan mit Meilensteinen. Bereits aktualisiert für den Digital Omnibus. Einmalkauf, kein Abo.

Zum Compliance Kit (ab 149 EUR)

Fazit: Der Omnibus gibt Zeit -- aber nicht für die Grundlagen

Der Digital Omnibus vom 7. Mai 2026 bringt eine wichtige Neuordnung der AI-Act-Fristen. Die Hochrisiko-Pflichten nach Anhang III rücken auf Dezember 2027, die Transparenzpflichten auf Dezember 2026, und die Produktpflichten nach Anhang I auf August 2028. Gleichzeitig wurden die Verbote um Nudification-KI erweitert.

Für KMU bedeutet das: Die Basispflichten -- Schulung, Verbote, KI-Inventar -- sind längst fällig. Die Transparenzfrist kommt in sieben Monaten. Und die zusätzliche Zeit bei Hochrisiko sollte nicht als Einladung zum Abwarten verstanden werden, sondern als Chance, die Vorbereitung sauber aufzusetzen.

Unternehmen, die jetzt strukturiert anfangen, werden die Fristen einhalten. Unternehmen, die warten, werden unter Zeitdruck schlechte Lösungen implementieren. Der Unterschied liegt nicht im Budget, sondern im Startpunkt.

Wo stehen Sie? Unser kostenloses KI-Compliance Selbst-Audit zeigt Ihnen in 15 Minuten, wo Ihr Unternehmen steht und wo konkreter Handlungsbedarf besteht. 25 Prüfpunkte, 5 Kategorien, mit Artikelreferenzen.

Weiterlesen

Stand: Mai 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Alle Angaben beziehen sich auf die Verordnung (EU) 2024/1689 in der verabschiedeten Fassung sowie die politische Einigung zum Digital Omnibus vom 7. Mai 2026. Die formelle Annahme des Omnibus steht noch aus. Für spezifische Rechtsfragen konsultieren Sie einen auf KI-Recht spezialisierten Anwalt.

Weiterführende Artikel

Kostenloses Selbst-Audit: Wo steht Ihr Unternehmen?

25 Prüfpunkte mit Scoring -- in 15 Minuten wissen Sie, ob Sie ein Problem haben.