Am 7. Mai 2026 erzielten der Europäische Rat und das Europäische Parlament eine vorläufige Einigung über den Digital Omnibus zur KI — das erste formelle Änderungspaket zum EU AI Act seit seiner Verabschiedung im Juni 2024. Die Schlagzeile ist eine Verschiebung: Hochrisiko-KI-Pflichten, die am 2. August 2026 in Kraft treten sollten, werden um 16 Monate verschoben. Innerhalb weniger Stunden füllten sich die Postfächer im DACH-Raum mit Compliance-Newsletter-Betreffzeilen, die sich wie Freibriefe lasen. „Mehr Zeit für Compliance." „EU verlängert KI-Frist." „Druck für Unternehmen lässt nach."
Die Erleichterung ist verständlich. Die Deutung ist gefährlich.
Der Digital Omnibus hat keine einzige Pflicht gestrichen. Er hat den Durchsetzungstermin für eigenständige Hochrisiko-KI-Systeme vom 2. August 2026 auf den 2. Dezember 2027 verschoben. Alles andere — die seit Februar 2025 geltenden Verbote, die seit August 2025 aktiven GPAI-Pflichten, die KI-Kompetenzanforderung, der gesamte Umfang der Hochrisiko-Compliance-Anforderungen — bleibt exakt unverändert. Die Frist hat sich verschoben. Die Pflicht nicht.
Für DACH-Unternehmen, die bereits mit ihrer Compliance-Arbeit begonnen haben, ist das ein strategisches Geschenk: zusätzliche Monate, um Begonnenes zu vertiefen, ihre Dokumentation unter realen Bedingungen zu testen und Governance zu verfeinern, bevor die Durchsetzungsuhr zu ticken beginnt. Für diejenigen, die ohnehin im Rückstand waren, besteht das Risiko, dass 16 Monate Zusatzzeit einfach zu 16 Monaten zusätzlicher Verzögerung werden.
Was der Digital Omnibus tatsächlich geändert hat
Die vorläufige Einigung strukturiert mehrere Fristen um und führt neue Bestimmungen ein. Präzise zu verstehen, was sich verschoben hat — und was nicht —, ist für jedes Unternehmen, das seine KI-Roadmap neu kalibriert, unverzichtbar.
Eigenständige Hochrisiko-KI-Systeme nach Anhang III (nutzungsbasierte Klassifizierung). Das sind Systeme, die nicht deshalb als Hochrisiko eingestuft werden, weil sie in regulierte Produkte eingebettet sind, sondern aufgrund ihres Anwendungsbereichs — Beschäftigungsentscheidungen, Kreditwürdigkeitsprüfung, Versicherungsrisikobewertung, Benotung im Bildungsbereich, biometrische Identifizierung. Der ursprüngliche AI Act verlangte volle Compliance bis zum 2. August 2026. Der Digital Omnibus verschiebt dieses Datum auf den 2. Dezember 2027 — eine Verschiebung um exakt 16 Monate. Das ist die Änderung, die die größte Zahl von DACH-Unternehmen betrifft, denn eigenständige Hochrisiko-Systeme sind genau der Bereich, in dem Mittelstands- und Enterprise-KI-Deployments am häufigsten mit der Regulierung kollidieren. Die vollständige Liste der Use Cases, die diese Klassifizierung auslösen, finden Sie in der Risikoeinstufungs-Anleitung.
Produkteingebettete Hochrisiko-KI-Systeme nach Anhang I. KI-Systeme, die als Sicherheitskomponenten von Produkten dienen, die bereits unter die EU-Sektorgesetzgebung fallen — Medizinprodukte, Maschinen, Automobil, Luftfahrt —, waren ursprünglich bis zum 2. August 2027 Compliance-pflichtig. Der Omnibus verlängert dies bis zum 2. August 2028. Für Hersteller in diesen Branchen ist das bedeutsam, aber enger im Umfang: Der ursprüngliche Act gewährte ihnen bereits ein zusätzliches Jahr, und die Änderung fügt ein weiteres hinzu.
Wasserzeichen- und Inhaltsmarkierungspflichten. Die allgemeineren Transparenzpflichten nach Artikel 50 — einschließlich der Offenlegung, wenn Nutzer mit KI-Systemen interagieren — bleiben ab dem 2. August 2026 wie ursprünglich vorgesehen anwendbar. Für die spezifische Wasserzeichenpflicht nach Artikel 50(2), die maschinenlesbare Markierungen in KI-generierten Inhalten vorschreibt, erhalten Anbieter von Systemen, die vor dem 2. August 2026 bereits auf dem Markt waren, eine Übergangsfrist bis zum 2. Dezember 2026. Das ist keine pauschale Verschiebung der Wasserzeichenpflicht, sondern eine Übergangsregelung für bestehende Systeme — in Anerkennung der Tatsache, dass die technischen Standards für Wasserzeichen noch finalisiert werden.
Ein neues Verbot nicht-einvernehmlicher intimer Bilder. Der Omnibus ergänzt KI-Systeme, die nicht-einvernehmliche intime Bilder identifizierbarer Personen erzeugen oder manipulieren — einschließlich sogenannter „Nudifier"-Anwendungen — sowie Material sexuellen Kindesmissbrauchs auf die Liste verbotener KI-Praktiken. Dieses Verbot tritt am 2. Dezember 2026 in Kraft. Es erweitert die bestehenden Verbote, die seit Februar 2025 gelten, und signalisiert die Bereitschaft des Gesetzgebers, den Anwendungsbereich des Acts zu aktualisieren, wenn neue Schäden auftreten.
Eine neue Kategorie „Small Mid-Cap". Unternehmen mit weniger als 750 Beschäftigten und einem Jahresumsatz unter 150 Millionen Euro profitieren von vereinfachten Compliance-Wegen. Die genauen Konturen der Vereinfachung werden im Gesetzestext noch finalisiert, doch die Richtung ist klar: weniger Dokumentationslast, vereinfachte Konformitätsbewertungsverfahren und potenziell leichtere Risikomanagement-Anforderungen. Für viele Mittelständler könnte das die Compliance-Kosten erheblich senken — obwohl die Kernpflichten rund um Risikomanagement und menschliche Aufsicht bestehen bleiben. Die Mittelstands-Compliance-Analyse behandelt die Grundpflichten, die unabhängig von der Unternehmensgröße gelten.
Was der Digital Omnibus nicht geändert hat
Dieser Abschnitt ist wichtiger als der vorherige. Die Verschiebung ist begrenzt im Umfang, und mehrere kritische Pflichten bleiben exakt im ursprünglichen Zeitplan.
Verbotene Praktiken gelten weiterhin. Das Verbot von Social Scoring, biometrischer Echtzeit-Identifizierung im öffentlichen Raum, Emotionserkennung an Arbeitsplätzen und in Schulen sowie der Ausnutzung vulnerabler Gruppen ist seit dem 2. Februar 2025 durchsetzbar. Der Omnibus ändert daran nichts. Wenn Sie Ihr KI-Inventar noch nicht gegen die verbotenen Kategorien geprüft haben, sind Sie bereits exponiert.
GPAI-Pflichten gelten weiterhin. Anbieter von General-Purpose-AI-Modellen unterliegen seit dem 2. August 2025 den Transparenz-, Dokumentations- und Urheberrechts-Compliance-Anforderungen. Anbieter von Modellen mit systemischem Risiko unterliegen zusätzlichen Pflichten einschließlich adversarialem Testen und Incident Reporting. Der Omnibus verschiebt davon nichts. Wenn Ihre Organisation ein GPAI-Modell einsetzt — auch über API-Zugang zu Large Language Models —, sind die Anbieterpflichten bereits aktiv, und Ihre Pflichten als Betreiber hinsichtlich Transparenz und menschlicher Aufsicht sind ebenso unberührt.
KI-Kompetenz gilt weiterhin. Die Anforderung, dass Organisationen ausreichende KI-Kompetenz unter ihren Mitarbeitenden sicherstellen — proportional zur Rolle, zum Kontext und zur Risikostufe der KI-Systeme, mit denen sie arbeiten —, ist bereits bindend. Das ist eine der am meisten unterschätzten Pflichten des gesamten Acts. Sie verlangt dokumentierte Schulungen, nicht ein einzelnes All-Hands-Webinar. Und sie hat keine Verschiebung.
Die Pflicht selbst bleibt identisch. Der Omnibus hat die Artikel 6 bis 27 nicht geändert — die materiellen Anforderungen an Hochrisiko-KI-Systeme. Konformitätsbewertungen, technische Dokumentation, Risikomanagementsysteme, Daten-Governance, menschliche Aufsicht, Genauigkeitstests, automatische Protokollierung, Registrierung in der EU-Datenbank — alles bleibt wie ursprünglich formuliert. Was sich verschoben hat, ist ausschließlich das Durchsetzungsdatum. Am 2. Dezember 2027 wird jede Anforderung, die am 2. August 2026 fällig war, in vollem Umfang erwartet. Keine Einführungsphase. Keine Übergangsfrist.
Für die vollständige Übersicht, welche Fristen nun wann gelten, verweisen wir auf den aktualisierten Zeitplan, den wir derzeit überarbeiten, um die Omnibus-Änderungen abzubilden.
Warum 16 Monate weniger Zeit sind, als es klingt
Sechzehn Monate fühlen sich komfortabel an — bis man durchplant, was in ihnen passieren muss.
Konformitätsbewertungs-Infrastruktur existiert noch nicht im großen Maßstab. Das Ökosystem aus notifizierten Stellen, harmonisierten Standards und Konformitätsbewertungsverfahren für eigenständige Hochrisiko-KI-Systeme reift noch. Die ursprüngliche Frist im August 2026 galt weithin als unrealistisch, gerade weil diese Infrastruktur nicht bereit war. Die Verschiebung erkennt diese Realität an. Aber 16 Monate sind die Zeit, in der sowohl die Infrastruktur als auch die Unternehmen gleichzeitig bereit werden müssen. Organisationen, die auf die Finalisierung der Standards warten, bevor sie mit der Compliance-Arbeit beginnen, werden feststellen, dass sie in den letzten Monaten vor der Frist um begrenzte Kapazitäten bei notifizierten Stellen konkurrieren.
Technische Dokumentation ist kein Wochenendprojekt. Artikel 11 verlangt eine umfassende Dokumentation, die den Verwendungszweck des Systems, die Designspezifikationen, den Entwicklungsprozess, die Daten-Governance, die Leistungsmetriken, die Risikoanalyse und den Post-Market-Monitoring-Plan abdeckt. Für einen komplexen KI-Workflow — etwa ein automatisiertes Schadentriagesystem, das monatlich Tausende Fälle verarbeitet — dauert die Erstellung dieser Dokumentation Monate, nicht Wochen. Sie erfordert koordinierten Input von Engineering, Data Science, Rechtsabteilung, Compliance und dem Fachbereich, der das System betreibt. Diese bereichsübergreifende Koordination ist der eigentliche Engpass, nicht das Schreiben selbst.
Risikomanagement ist ein Prozess, kein Dokument. Artikel 9 verlangt ein Risikomanagementsystem, das über den gesamten Lebenszyklus des Hochrisiko-KI-Systems aufrechterhalten wird. Das bedeutet nicht nur, Risiken vor dem Deployment zu identifizieren, sondern sie in der Produktion kontinuierlich zu überwachen, zu aktualisieren und zu mitigieren. Den Aufbau dieser Fähigkeit — die Monitoring-Infrastruktur, die Eskalationsverfahren, die Governance-Rhythmen — beschreibt der Compliance-by-Design-Ansatz. Das lässt sich nicht in das letzte Quartal vor einer Frist komprimieren.
Die strategische Kalkulation für DACH-Unternehmen
Der Omnibus schafft einen Divergenzpunkt. Unternehmen werden sich in zwei Gruppen teilen, und der Abstand zwischen ihnen wird deutlich vor Dezember 2027 sichtbar sein.
Die erste Gruppe behandelt die Verschiebung als Planungshorizont. Sie nutzen die 16 Monate, um Compliance-Infrastruktur in besonnenem Tempo aufzubauen — ihre KI-Systeme zu klassifizieren, technische Dokumentation iterativ zu erstellen, Monitoring- und Governance-Strukturen zu implementieren, Mitarbeitende zu schulen und interne Konformitätsbewertungen durchzuführen, bevor externe erforderlich sind. Wenn die Frist kommt, ist Compliance eine Bestätigung bereits geleisteter Arbeit, kein hektisches Zusammenstellen von Artefakten unter Druck.
Die zweite Gruppe behandelt die Verschiebung als Aufschub. Sie priorisieren Compliance-Arbeit herunter, lenken Ressourcen auf andere Initiativen um und planen, das Thema Mitte 2027 wieder aufzugreifen, wenn die Frist sich dringend anfühlt. Wenn sie darauf zurückkommen, werden sie feststellen, dass die Aufgabe nicht einfacher geworden ist — sie ist schwieriger geworden, weil ihr KI-Portfolio gewachsen ist, neue Systeme ohne Compliance-Erwägungen in Betrieb genommen wurden und die Kapazitäten bei notifizierten Stellen, die Anfang 2027 noch verfügbar waren, nun überbucht sind.
Die Wettbewerbsdimension ist real. In regulierten Branchen — Finanzdienstleistungen, Versicherungen, Gesundheitswesen, kritische Infrastruktur — wird die Fähigkeit, AI-Act-Compliance nachzuweisen, zu einem Beschaffungskriterium. Unternehmenskunden werden Lieferanten fragen, ob ihre KI-gestützten Services die Hochrisiko-Anforderungen erfüllen. Organisationen, die im Januar 2028 dokumentierte Compliance vorweisen können, werden einen greifbaren Vorteil gegenüber denen haben, die ihre Nachweispakete noch zusammenstellen.
Dasselbe Muster hat sich bei der DSGVO gezeigt. Organisationen, die die zweijährige Übergangsfrist für echte Vorbereitung nutzten, waren am 25. Mai 2018 bereit. Diejenigen, die warteten, gaben mehr Geld aus, erreichten eine geringere Compliance-Qualität und hatten Jahre der Nachbesserung vor sich. Die Komplexität des AI Acts übertrifft die der DSGVO in mehreren Dimensionen — nicht zuletzt, weil er die Technologie selbst reguliert, nicht nur die Daten, die sie verarbeitet. Der umfassende Compliance-Leitfaden behandelt den gesamten Umfang der Hochrisiko-Compliance.
Die Small-Mid-Cap-Chance
Die neue Kategorie „Small Mid-Cap" verdient besondere Aufmerksamkeit von DACH-Mittelständlern. Die Schwelle — weniger als 750 Beschäftigte und Jahresumsatz unter 150 Millionen Euro — erfasst einen erheblichen Teil des Mittelstands. Obwohl die genauen Vereinfachungen noch kodifiziert werden, ist die Richtung klar: weniger Dokumentationslast, vereinfachte Konformitätsbewertungswege und potenziell leichtere Risikomanagement-Anforderungen.
Das bedeutet keine Freistellung. Small-Mid-Cap-Unternehmen, die Hochrisiko-KI-Systeme einsetzen, müssen weiterhin die Einhaltung der Kernanforderungen nachweisen: Risikomanagement, Daten-Governance, menschliche Aufsicht, Genauigkeit und Transparenz. Was sich ändert, ist die erwartete Tiefe und Formalität der Nachweise. Ein Versicherungsmakler mit 200 Mitarbeitenden, der KI für die Schadentriage einsetzt, wird nicht am gleichen Dokumentationsstandard gemessen wie die Allianz — aber er muss zeigen, dass er die Risiken identifiziert und Aufsichtsmechanismen etabliert hat.
Die praktische Konsequenz: Mittelständler sollten jetzt mit dem Aufbau ihrer Governance-Frameworks beginnen und die vereinfachten Erwartungen als Designvorgabe nutzen. Ein schlankes Modell, das Verantwortlichkeit, Aufsicht, Compliance und Entscheidungsrechte abdeckt, ist nicht nur Best Practice. Unter dem geänderten Act wird es voraussichtlich die minimale Compliance-Postur sein.
Was in den nächsten 90 Tagen zu tun ist
Die Verschiebung ändert nicht die Arbeit. Sie ändert die Reihenfolge. Hier sollten Sie das erste Quartal nach dem Omnibus fokussieren.
Vervollständigen Sie Ihr KI-Inventar. Wenn Sie noch nicht jedes KI-System in Ihrer Organisation katalogisiert haben — einschließlich Drittanbieter-Tools mit eingebetteter KI —, ist das der grundlegende erste Schritt. Sie können nicht klassifizieren, was Sie nicht identifiziert haben. Jeder Eintrag sollte den Zweck des Systems, die verarbeiteten Daten, die Betreiber und die Entscheidungen abdecken, die es informiert oder automatisiert.
Klassifizieren Sie jedes System anhand des geänderten Zeitplans. Ordnen Sie jedes System seiner Risikokategorie und dem geltenden Compliance-Datum zu. Eigenständige Hochrisiko-Systeme haben jetzt bis Dezember 2027. Produkteingebettete Hochrisiko-Systeme bis August 2028. Alles andere — verboten, GPAI, begrenztes Risiko — gilt bereits. Das Klassifizierungs-Framework liefert den Entscheidungsbaum für diese Übung.
Beginnen Sie die technische Dokumentation für Ihr höchstes Risikosystem. Versuchen Sie nicht, alles auf einmal zu dokumentieren. Wählen Sie das System, das am eindeutigsten Hochrisiko ist — dasjenige, das Beschäftigungsentscheidungen, Kreditbewertungen oder Versicherungsansprüche verarbeitet — und erstellen Sie zuerst die Artikel-11-Dokumentation dafür. Der Prozess wird Ihnen zeigen, welche Informationen Ihnen fehlen, welche Teams einbezogen werden müssen und wie lange die Arbeit tatsächlich dauert. Diese Erkenntnis ist wertvoller als jede Checkliste.
Etablieren Sie Ihre Governance-Baseline. Benennen Sie einen KI-Workflow-Verantwortlichen für jedes Produktivsystem. Definieren Sie die Delegationsregeln: Was die KI entscheidet, was sie empfiehlt, was vollständig beim Menschen bleibt. Dokumentieren Sie den Aufsichtsrhythmus — wöchentliches Metriken-Review, monatliche Grenzfallanalyse, vierteljährliches Governance-Assessment. Diese Struktur ist das operative Rückgrat der Compliance und muss lange vor der Frist laufen.
Behandeln Sie Vertrauen als den Frühindikator. Die Unternehmen, die KI am effektivsten skalieren, sind nicht die mit den besten Modellen. Es sind die, deren Organisationen den KI-Ergebnissen genug vertrauen, um danach zu handeln. Dieses Vertrauen entsteht durch Observability, Governance und Validierung — dieselbe Infrastruktur, die die Anforderungen des AI Acts erfüllt. Die Analyse der Vertrauensinfrastruktur beschreibt, wie sich die 6 % der Unternehmen mit messbarem KI-Impact strukturell vom Rest unterscheiden. Die Überschneidung mit AI-Act-Compliance ist nahezu vollständig.
Die Frist hat sich verschoben — die Pflicht nicht
Der Digital Omnibus ist eine pragmatische Anpassung. Der europäische Gesetzgeber hat erkannt, dass das Compliance-Ökosystem für August 2026 nicht bereit war, und hat zusätzliche Zeit gewährt. Das ist eine rationale Reaktion auf eine reale Umsetzungsherausforderung.
Aber die schlechteste mögliche Lesart dieser Änderung ist die, die sich am wahrscheinlichsten verbreiten wird: dass der AI Act aufweicht, dass Compliance warten kann, dass die Verschiebungen ein Zeichen mangelnder regulatorischer Ernsthaftigkeit sind. Das Gegenteil ist wahr. Der Omnibus hat ein neues Verbot hinzugefügt. Er hat jede bestehende Pflicht beibehalten. Er hat den gesamten Umfang der Hochrisiko-Anforderungen bewahrt. Und er hat eine neue Kategorie geschaffen, die Compliance für kleinere Unternehmen erreichbar machen soll — was nur Sinn ergibt, wenn der Gesetzgeber beabsichtigt, diese Anforderungen breit durchzusetzen.
DACH-Unternehmen, die diese 16 Monate zum Aufbau von Compliance-Infrastruktur nutzen, werden im Dezember 2027 mit dokumentierten Systemen, geschulten Teams und operativer Governance dastehen. Sie werden — nicht zufällig — auch die Vertrauensarchitektur aufgebaut haben, die es KI ermöglicht, von Pilotprojekten in die Produktion überzugehen, in den Anwendungen, die tatsächlich die GuV bewegen. Compliance und Leistungsfähigkeit sind keine konkurrierenden Prioritäten. Unter dem AI Act sind sie dieselbe Arbeit.
Sprechen Sie mit uns über Ihre AI-Act-Compliance-Roadmap. Wir helfen DACH-Unternehmen, KI-Governance und Compliance ins Betriebsmodell einzubauen — nicht als regulatorisches Abhaken, sondern als Fundament für die Skalierung von KI in die Produktion. Wenn Sie nach dem Digital Omnibus neu kalibrieren, klärt ein 30-minütiger Fit Call, wo Sie stehen und was Sie als Nächstes priorisieren sollten. Fit Call buchen →
Referenzen: Council of the European Union, „Artificial Intelligence: Council and Parliament Reach Provisional Agreement on Digital Omnibus," Press Release, 7 May 2026; Gibson Dunn, „EU Digital Omnibus: AI Act Amendments and Revised Timelines," Client Alert, May 2026; Orrick, „EU AI Act Digital Omnibus: 7 Key Changes," AI Law Centre, May 2026; PwC EU Services, „Digital Omnibus AI Regulation: Impact Assessment for High-Risk Systems," May 2026; Inside Privacy (Covington), „EU AI Act Omnibus: Deferred Deadlines and New Obligations," May 2026; Regulation (EU) 2024/1689 of the European Parliament and of the Council (EU AI Act), Articles 6–27 (High-Risk AI Systems), Article 11 (Technical Documentation), Article 9 (Risk Management).