Am 7. Mai 2026, um 4:30 Uhr morgens, einigten sich EU-Rat und Europäisches Parlament auf das sogenannte AI Omnibus-Paket. Das Ergebnis eines sechs Monate langen Verhandlungsprozesses unter erheblichem Zeitdruck. Für kleine und mittlere Unternehmen im DACH-Raum bedeutet das: mehr Zeit für die Umsetzung der Hochrisiko-Regeln, aber keine Entwarnung. Was sich konkret ändert und was du jetzt trotzdem tun solltest, steht hier.
Was ist der AI Omnibus überhaupt?
Der EU AI Act (Verordnung EU 2024/1689) trat am 1. August 2024 in Kraft und ist das erste umfassende KI-Regelwerk eines großen Regulators weltweit. Er arbeitet mit einem risikobasierten System: KI-Anwendungen werden in vier Kategorien eingeteilt, von verboten bis minimal riskant. Je höher das Risiko, desto strenger die Pflichten.
Der AI Omnibus ist kein neues Gesetz, sondern ein Änderungspaket innerhalb des umfassenderen „Digital Omnibus"-Gesetzgebungsvorhabens der EU-Kommission. Ziel ist es, regulatorische Komplexität zu reduzieren und die Compliance-Belastung für Unternehmen zu senken. Das risikobasierte Kernsystem des AI Acts bleibt dabei vollständig erhalten.
Die vorläufige Einigung muss noch formal von Rat und Parlament gebilligt und rechtlich überarbeitet werden. Der Rat erklärte, die formale Verabschiedung werde „in den kommenden Wochen" erfolgen. Bis dahin gilt: Die Einigung ist Richtschnur für die Planung, aber noch kein geltendes Recht.
Was sich durch den Omnibus konkret ändert
Die wichtigste Änderung betrifft die Fristen für Hochrisiko-KI-Anwendungen. Statt des bisherigen Termins 2. August 2026 sollen die Hochrisiko-Regeln nun erst am 2. Dezember 2027 für eigenständige Hochrisiko-Anwendungen gelten. Für KI-Systeme, die in Produkte integriert sind, verschiebt sich der Termin sogar auf den 2. August 2028.
Außerdem werden die bislang nur für KMU geltenden Erleichterungen ausgeweitet. Die vereinfachten Dokumentationspflichten und angepassten Konformitätsbewertungen gelten nach der Einigung künftig auch für sogenannte kleine Mid-Caps (KMC), also Unternehmen mit bis zu 500 Mitarbeitenden. Das ist eine spürbare Entlastung für den deutschen Mittelstand.
Laut Ratsangaben vom 7. Mai 2026 führt das Abkommen zudem ein neues Verbot ein: KI-Praktiken zur Erzeugung nicht-konsensbasierter sexueller und intimer Inhalte werden ausdrücklich untersagt.
Was JETZT bereits gilt: drei Pflichten, die du nicht aufschieben kannst
Die Fristverlängerung gilt nur für bestimmte Hochrisiko-Pflichten. Mehrere Vorgaben sind längst in Kraft und betreffen die meisten KMU direkt.
1. KI-Kompetenzpflicht (seit Februar 2025)
Artikel 4 des EU AI Acts verpflichtet alle Unternehmen, die KI-Systeme einsetzen, sicherzustellen, dass ihre Mitarbeitenden ausreichende KI-Kenntnisse besitzen. Diese Pflicht gilt seit dem 2. Februar 2025, unabhängig davon, welche Risikoklasse das eingesetzte System hat. Es braucht kein Pflichtzertifikat, aber die Maßnahmen müssen dokumentiert sein. Ein einmaliger Workshop ohne Prüfung reicht nicht. Gefragt ist ein strukturierter, dokumentierter Kompetenzaufbau.
2. Transparenzpflichten ab August 2026
Transparenzpflichten nach Artikel 50 sind vom Omnibus nicht verschoben worden. Ab dem 2. August 2026 müssen KI-generierte Texte, Bilder, Videos und Audioinhalte als solche gekennzeichnet werden, wenn sie öffentlich publiziert werden. Wer also Marketing-Inhalte mit KI-Tools erstellt und veröffentlicht, braucht jetzt einen Workflow, der diese Kennzeichnung sicherstellt. Auch Chatbots im Kundenservice müssen als KI-System erkennbar sein.
3. Verbotene KI-Praktiken
Bestimmte KI-Anwendungen sind seit dem 2. Februar 2025 vollständig verboten. Dazu zählen beispielsweise Systeme zur unterschwelligen Beeinflussung von Personen oder zur sozialen Bewertung durch staatliche Stellen. Für die meisten KMU sind diese Verbote weniger relevant, aber es lohnt sich, den eigenen Technologie-Stack dagegen zu prüfen.
Das Vier-Klassen-System: Wo fallen die meisten KMU-Tools rein?
Der AI Act teilt KI-Systeme in vier Risikoklassen ein: verboten, Hochrisiko, begrenztes Risiko und minimales Risiko. Die gute Nachricht: Die meisten Tools, die KMU im Alltag einsetzen, fallen in die Klassen drei und vier.
- Minimales Risiko: KI-Chat-Assistenten für interne Recherche, Marketing-Texte, KI-gestützte Buchhaltungstools, Bildgeneratoren für Werbematerial
- Begrenztes Risiko: Chatbots im Kundenservice (Kennzeichnungspflicht gilt), KI-Zusammenfassungen von Dokumenten
- Hochrisiko: KI-Systeme in HR-Prozessen, also Tools zur Bewerberauswahl, Leistungsbewertung oder Entscheidungen über Beförderungen. Auch Kreditbewertungs-KI fällt hierunter.
Ein konkretes Beispiel aus der Praxis: Ein Unternehmen, das Microsoft Copilot für Texte nutzt, bewegt sich im minimalen Risikobereich. Nutzt dasselbe Unternehmen ein KI-Tool für Video-Interviews mit Bewerberinnen und Bewerbern, ist das Hochrisiko. Für dieses System gelten dann volle Hochrisiko-Pflichten: menschliche Aufsicht sicherstellen, Kandidaten informieren, Protokolle aufbewahren.
Hinweis für ConRat-AI-Nutzer: Mit dem Dokumenten-Chat und dem RechercheMeister in ConRat AI arbeitest du mit KI-Tools im minimalen Risikobereich. Deine Daten werden nicht für KI-Training verwendet, und die Plattform wird auf deutschen und EU-Servern gehostet. Das vereinfacht die Dokumentation für deine interne KI-Nutzungsrichtlinie erheblich.
Shadow AI: Der unterschätzte Compliance-Risikofaktor
„Unsere Mitarbeitenden nutzen ChatGPT auf eigene Faust. Das zählt nicht als Unternehmenseinsatz." Diese Einschätzung ist falsch und regulatorisch riskant. Wenn Mitarbeitende KI im Arbeitskontext verwenden, ist das Unternehmen verantwortlich. Das gilt auch dann, wenn die Nutzung ohne offizielle Freigabe erfolgt.
Eine interne KI-Nutzungsrichtlinie ist deshalb kein bürokratischer Aufwand, sondern ein konkreter Schutz. Sie regelt, welche Tools erlaubt sind, wie mit KI-generierten Inhalten umzugehen ist und welche Datenschutzanforderungen zu beachten sind. Zugleich ist sie ein wichtiger Nachweis für die Kompetenzpflicht nach Artikel 4.
Drei Schritte, die KMU jetzt angehen sollten
Mehr als 60 % der europäischen KMU haben laut Recherche noch nicht mit dem Compliance-Prozess begonnen. Der AI Omnibus gibt zwar mehr Zeit für Hochrisiko-Pflichten, aber das ist kein Grund, gar nichts zu tun. Diese drei Schritte sind unabhängig von der Fristverschiebung sinnvoll:
- KI-Inventur erstellen: Welche KI-Systeme werden im Unternehmen eingesetzt? Auch inoffizielle Tools, die Mitarbeitende selbst nutzen, gehören dazu. Ergebnis ist ein Register aller Systeme mit ihrer Risikoklassifizierung.
- Mitarbeitende schulen und dokumentieren: Schulungen zur KI-Nutzung strukturiert planen, durchführen und nachweisbar dokumentieren. Die Bundesnetzagentur bietet mit dem KI-Service-Desk ein kostenloses Beratungsangebot speziell für KMU an.
- Transparenz nach außen herstellen: KI-generierte Inhalte kennzeichnen, Chatbots als solche erkennbar machen. Das ist nicht nur eine Pflicht ab August 2026, sondern auch ein Vertrauenssignal gegenüber Kundinnen und Kunden.
Wer unsicher ist, in welche Risikoklasse ein bestimmtes KI-System fällt, kann den interaktiven Compliance-Kompass der Bundesnetzagentur nutzen. Das Tool hilft bei der Einordnung konkreter KI-Anwendungen.
Unser Fazit
Der AI Omnibus ist eine realistische Reaktion auf eine zu sportlich geplante Umsetzungsfrist. Für deutsche KMU bedeutet er vor allem: mehr Zeit für Hochrisiko-Pflichten, aber keine Entschuldigung für komplette Untätigkeit. Die Kompetenzpflicht gilt seit Februar 2025. Die Transparenzpflichten gelten ab August 2026. Und die Bußgelder können auch für kleinere Unternehmen spürbar sein.
Wer jetzt eine KI-Inventur macht, Mitarbeitende strukturiert schult und eine einfache Nutzungsrichtlinie einführt, hat die wesentliche Hausaufgabe erledigt. Das ist kein Großprojekt. Das ist Betriebshygiene im Jahr 2026.
