AI Omnibus 2026: EU-KI-Regeln einfach erklärt für KMU

18. Mai 20265 Min. Lesezeit

Am 7. Mai 2026 um 4:30 Uhr morgens einigten sich EU-Gesetzgeber auf das sogenannte AI Omnibus-Abkommen. Das Ergebnis: Mehr Zeit für Unternehmen in einigen Bereichen, beschleunigte Pflichten in anderen und ein klares Signal aus Brüssel, dass der EU AI Act nicht optional wird. Wer als KMU noch nicht gehandelt hat, sollte jetzt genau hinschauen.

Was das AI Omnibus-Abkommen konkret ändert

Der EU AI Act trat am 1. August 2024 in Kraft und wird seitdem schrittweise eingeführt. Das AI Omnibus-Abkommen, das am 7. Mai 2026 beschlossen wurde, passt die Fristen in mehreren wichtigen Punkten an. Es handelt sich aber ausdrücklich nicht um eine Abschaffung von Pflichten, sondern um eine Verschiebung.

Die wichtigsten Änderungen auf einen Blick:

Hochrisiko-KI (Anhang III): Frist verschoben von August 2026 auf den 2. Dezember 2027.
Eingebettete KI in regulierten Produkten (z. B. Medizingeräte, Maschinen): Frist verlängert bis zum 2. August 2028.
Transparenzlösungen für KI-generierte Inhalte (z. B. Wasserzeichen): Frist von sechs auf drei Monate verkürzt, neuer Stichtag 2. Dezember 2026.
KMU-Privilegien ausgeweitet: Kleine und mittlere Unternehmen sowie sogenannte „Small Mid-Caps" (Jahresumsatz bis 200 Millionen Euro) können in bestimmten Fällen interne Selbstbewertungen durchführen, statt teure externe Audits zu beauftragen.

Laut einer Pressemitteilung des EU-Rats vom 7. Mai 2026 muss das Abkommen noch formal durch das Europäische Parlament und den Rat angenommen und im Amtsblatt veröffentlicht werden. Die formale Annahme wird in den kommenden Wochen erwartet.

Was ab 2. August 2026 bereits gilt

Die Fristverlängerungen bedeuten nicht, dass jetzt Entwarnung gilt. Bestimmte Pflichten treten bereits in rund 83 Tagen in Kraft, unabhängig vom AI Omnibus. Konkret gelten ab dem 2. August 2026:

Transparenzpflicht für Chatbots: Nutzer müssen klar erkennen können, dass sie mit einer KI interagieren, nicht mit einem Menschen.
Neue Verbote: Zum Beispiel für sogenannte Nudifier-Apps oder andere manipulative KI-Anwendungen.
KI-Literacy (Artikel 4): Unternehmen müssen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenzen verfügen. Diese Pflicht gilt sogar bereits seit dem 2. Februar 2025.
Kennzeichnung von KI-generierten Inhalten: Texte, Bilder, Videos und Audiodateien, die durch KI erzeugt wurden und öffentlich veröffentlicht werden, müssen als solche kenntlich gemacht werden.

Hinweis für die Praxis: Nutzt du in deinem Unternehmen einen KI-Chatbot im Kundenservice oder auf der Website, brauchst du ab August 2026 einen klaren Hinweis für Nutzer, dass sie mit einer KI sprechen. Das ist keine Empfehlung, sondern eine gesetzliche Pflicht.

Welche KMU betrifft das wirklich?

Ein weit verbreiteter Irrtum: Der EU AI Act gelte nur für KI-Entwickler und große Konzerne. Das stimmt nicht. Auch Unternehmen, die fertige KI-Systeme einsetzen (sogenannte Deployer), haben Pflichten. Ein paar typische Beispiele aus dem Alltag kleiner Betriebe:

Ein Unternehmen, das ein KI-basiertes Bewerbermanagement-Tool nutzt, gilt als Betreiber eines Hochrisiko-KI-Systems mit entsprechenden Dokumentations- und Transparenzpflichten.
Wer KI-generierte Texte erstellt und diese auf der Website oder in sozialen Medien veröffentlicht, muss diese kennzeichnen.
Für Spam-Filter oder Empfehlungssysteme gilt in der Regel minimales Risiko, freiwillige Verhaltenskodizes werden empfohlen, aber keine spezifischen Pflichten bestehen.

Besonders relevant ist das Thema „Shadow AI": Mitarbeitende nutzen KI-Tools eigenständig, ohne Freigabe und ohne Datenschutzprüfung. Ein strukturiertes KI-Inventar hilft dabei, den Überblick zu behalten und nachzuweisen, welche Systeme im Einsatz sind und wie sie bewertet wurden.

Bußgelder: Was droht kleinen Unternehmen?

Die Strafen im EU AI Act sind erheblich. Verstöße gegen Transparenz- und Kennzeichnungsregeln können mit bis zu 15 Millionen Euro oder 3 Prozent des globalen Jahresumsatzes geahndet werden. Bei den schwerwiegendsten Verstößen sind es sogar 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes.

Für KMU gibt es jedoch eine explizite Schutzregelung: Laut Artikel 99 Absatz 6 zahlt ein KMU immer den niedrigeren der beiden Beträge, also entweder den Festbetrag oder den prozentualen Anteil am Jahresumsatz. Das schützt kleine Unternehmen vor existenzbedrohenden Strafen, macht die Pflichten aber nicht weniger verbindlich.

Wie schlecht vorbereitet deutsche Unternehmen sind

Die Zahlen sind ernüchternd: Laut einer Bitkom-Erhebung aus dem Frühjahr 2026 geben 69 Prozent der deutschen Unternehmen an, Unterstützung bei der Umsetzung des EU AI Acts zu benötigen. Gleichzeitig haben sich bisher nur 24 Prozent ernsthaft damit auseinandergesetzt.

Dabei hat die KI-Nutzung im DACH-Raum zuletzt stark zugenommen: Inzwischen setzen 41 Prozent der Unternehmen ab 20 Beschäftigten KI ein. Vor einem Jahr waren es erst 17 Prozent. Die Nutzung steigt also rasant, aber die rechtliche Vorbereitung hält nicht Schritt.

Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), das das Bundeskabinett am 11. Februar 2026 beschlossen hat, schafft zwar den nationalen Rechtsrahmen zur Umsetzung des EU AI Acts in Deutschland. Allerdings hatten bis zum August-2025-Stichtag nur 8 von 27 nationalen Behörden in der EU ihre Designation abgeschlossen.

Praktische erste Schritte für KMU

Der EU AI Act mag auf den ersten Blick überwältigend wirken. Für die meisten KMU sind die nächsten Schritte aber überschaubar:

KI-Inventar erstellen: Welche KI-Systeme werden im Unternehmen genutzt, auch informell von einzelnen Mitarbeitenden?
Risiko einordnen: Fallen genutzte Systeme in die Hochrisiko-Kategorie (z. B. Personaltools)? Falls ja, sind detailliertere Maßnahmen nötig.
Chatbots kennzeichnen: Sichtbarer Hinweis, dass Nutzer mit einer KI interagieren, bis spätestens 2. August 2026 umsetzen.
KI-Literacy sicherstellen: Mitarbeitende müssen grundlegende KI-Kompetenzen nachweisen können. Das muss nicht durch teure Schulungen passieren, schriftliche Richtlinien und interne Einweisungen reichen als erster Schritt.
Datenschutz prüfen: Welche KI-Tools verarbeiten personenbezogene Daten? Gibt es Auftragsverarbeitungsverträge?

Tipp: Wer KI-Tools in einem kontrollierten, DSGVO-konformen Umfeld testen und nutzen möchte, ohne dabei Compliance-Risiken einzugehen, findet bei Plattformen wie ConRat AI einen guten Ausgangspunkt. Die Plattform wird auf deutschen und europäischen Servern betrieben, Kundendaten werden nicht für KI-Training verwendet, und es gibt keine versteckten Datenweitergaben an Dritte.

Unser Fazit

Das AI Omnibus-Abkommen gibt Unternehmen mehr Luft bei Hochrisiko-KI, aber es macht den EU AI Act nicht weicher. Das risikobasierte Kerngerüst bleibt vollständig erhalten, einige Fristen wurden sogar vorgezogen. Für KMU im DACH-Raum bedeutet das: Die nächsten Monate sind eine reale Gelegenheit, sich zu organisieren, bevor die nächsten Stichtage kommen.

Wer jetzt ein KI-Inventar erstellt, Chatbots kennzeichnet und grundlegende KI-Kompetenz dokumentiert, hat die wichtigsten Grundlagen gelegt. Der AI Act wird nicht optional werden. Aber er ist handhabbar, wenn man frühzeitig anfängt.