Am 7. Mai 2026 erzielten Rat und Europäisches Parlament eine vorläufige politische Einigung über den Digital Omnibus zum EU AI Act — das erste formelle Änderungspaket zum ursprünglichen Verordnungstext seit seiner Verabschiedung im Juni 2024. Die Schlagzeile ist eine Verschiebung: Hochrisiko-KI-Pflichten, die am 2. August 2026 in Kraft treten sollten, werden um 16 Monate aufgeschoben. Innerhalb von Stunden füllten sich die Postfächer mit Newsletter-Betreffzeilen, die sich lasen wie Freibriefe. „Mehr Zeit für Compliance." „EU verlängert KI-Frist." „Druck lässt nach."
Die Erleichterung ist verständlich. Die Deutung ist gefährlich.
Der Digital Omnibus hat keine einzige materielle Pflicht gestrichen. Er hat das Durchsetzungsdatum für eigenständige Hochrisiko-KI-Systeme verschoben. Alles andere — die seit Februar 2025 geltenden Verbote, die seit August 2025 aktiven GPAI-Pflichten, die KI-Kompetenzanforderung, der vollständige Umfang der Hochrisiko-Compliance-Anforderungen — bleibt exakt unverändert. Die Frist hat sich verschoben. Die Pflicht nicht.
Für DACH-Unternehmen, die bereits mit ihrer Compliance-Arbeit begonnen haben, ist das ein strategisches Geschenk: zusätzliche Monate, um Begonnenes zu vertiefen, Dokumentation unter realen Bedingungen zu erproben und Governance zu verfeinern, bevor die Durchsetzungsuhr zu ticken beginnt. Für diejenigen, die ohnehin im Rückstand waren, besteht das Risiko, dass 16 Monate Zusatzzeit schlicht zu 16 Monaten zusätzlicher Verzögerung werden.
Was der Digital Omnibus tatsächlich geändert hat
Die vorläufige Einigung strukturiert mehrere Fristen um, führt neue Bestimmungen ein und justiert den regulierten Kreis der Unternehmen. Präzise zu verstehen, was sich verschoben hat — und was nicht —, ist für jedes Unternehmen, das seine KI-Roadmap neu kalibriert, unverzichtbar.
Eigenständige Hochrisiko-KI-Systeme nach Anhang III. Das sind Systeme, die nicht deshalb als Hochrisiko eingestuft werden, weil sie in regulierte Produkte eingebettet sind, sondern aufgrund ihres Anwendungsbereichs — Beschäftigungsentscheidungen, Kreditwürdigkeitsprüfung, Versicherungsrisikobewertung, Benotung im Bildungsbereich, biometrische Identifizierung. Der ursprüngliche AI Act verlangte volle Compliance bis zum 2. August 2026. Der Digital Omnibus verschiebt dieses Datum auf den 2. Dezember 2027 — eine Verschiebung um exakt 16 Monate. Das ist die Änderung, die die größte Zahl von DACH-Unternehmen betrifft, denn eigenständige Hochrisiko-Systeme sind genau der Bereich, in dem Mittelstands- und Enterprise-KI-Deployments am häufigsten mit der Regulierung kollidieren.
Produkteingebettete Hochrisiko-KI-Systeme nach Anhang I. KI-Systeme, die als Sicherheitskomponenten von Produkten dienen, die bereits unter EU-Sektorgesetzgebung fallen — Medizinprodukte, Maschinen, Automobil, Luftfahrt —, waren ursprünglich bis zum 2. August 2027 Compliance-pflichtig. Der Omnibus verlängert dies auf den 2. August 2028. Für Hersteller in diesen Branchen ist das bedeutsam, aber enger im Umfang: Die ursprüngliche Verordnung gewährte ihnen bereits ein zusätzliches Jahr, der Omnibus fügt ein weiteres hinzu.
Wasserzeichen- und Inhaltsmarkierungspflichten. Die allgemeinen Transparenzpflichten nach Artikel 50 bleiben ab dem 2. August 2026 wie vorgesehen anwendbar. Für die spezifische Wasserzeichenpflicht nach Artikel 50(2) — maschinenlesbare Markierungen in KI-generierten Inhalten — erhalten Anbieter von Systemen, die vor dem 2. August 2026 bereits auf dem Markt waren, eine Übergangsfrist bis zum 2. Dezember 2026. Das ist keine pauschale Verschiebung, sondern eine Übergangsregelung für bestehende Systeme, die anerkennt, dass die technischen Standards noch finalisiert werden.
Ein neues Verbot nicht-einvernehmlicher intimer Bilder. Der Omnibus ergänzt KI-Systeme, die nicht-einvernehmliche intime Bilder identifizierbarer Personen erzeugen oder manipulieren — sogenannte „Nudifier"-Anwendungen sowie Material sexuellen Kindesmissbrauchs — auf die Liste verbotener KI-Praktiken. Dieses Verbot tritt am 2. Dezember 2026 in Kraft. Es erweitert die bestehenden Verbote, die seit Februar 2025 gelten, und signalisiert die Bereitschaft des Gesetzgebers, den Anwendungsbereich des Acts zu aktualisieren, wenn neue Schäden auftreten. Ein Safe Harbour besteht für Systeme mit wirksamen Präventivmaßnahmen, die für die rechtmäßige Erkennung oder Verfolgung solcher Inhalte konzipiert sind.
Eine neue Kategorie „Small Mid-Cap". Unternehmen mit weniger als 750 Beschäftigten und einem Jahresumsatz unter 150 Millionen Euro — oder einer Bilanzsumme unter 129 Millionen Euro — profitieren von vereinfachten Compliance-Wegen. Konkret bedeutet das: vereinfachte technische Dokumentationsvorlagen, die von notifizierten Stellen akzeptiert werden müssen, proportionale Qualitätsmanagementsystem-Anforderungen, bevorzugter Zugang zu regulatorischen Sandboxes und angepasste Bußgeldobergrenzen. Hinzu kommt eine Korrekturperiode von 30 Tagen: Bevor Sanktionen verhängt werden, erhalten KMU und Small-Mid-Cap-Unternehmen eine Warnung und die Möglichkeit zur Nachbesserung. Das Europäische Parlament hatte in den Trilog-Verhandlungen höhere Schwellen angestrebt — bis zu 1.000 Beschäftigte und 200 Millionen Euro Umsatz —, der beschlossene Text hält jedoch an den ursprünglichen Kommissionsschwellen fest.
Bereinigung von Überlappungen mit Sektorrecht. Der Omnibus schafft einen neuen Mechanismus: Die Kommission kann durch Durchführungsrechtsakte Überschneidungen zwischen dem AI Act und bestehenden sektoriellen EU-Gesetzen — insbesondere der EU-Maschinenverordnung — auflösen. Dadurch sollen doppelte Compliance-Belastungen vermieden werden. KI-gestützte Maschinen, die bereits unter die Maschinenverordnung fallen, können von den spezifischen Hochrisiko-Pflichten des AI Acts ausgenommen werden.
Stärkung des AI Office. Das AI Office erhält erweiterte Aufsichtsbefugnisse über General-Purpose-AI-Systeme und KI-Anwendungen, die in sehr große Online-Plattformen integriert sind. Nationale Behörden behalten die Zuständigkeit für Strafverfolgung, Grenzmanagement und Finanzinstitute. Gleichzeitig wird eine EU-weite Sandbox eingerichtet, die vom AI Office betrieben wird und KMU bevorzugt Zugang gewährt.
Was der Digital Omnibus nicht geändert hat
Dieser Abschnitt ist wichtiger als der vorherige.
Verbotene Praktiken gelten weiterhin. Das Verbot von Social Scoring, biometrischer Echtzeit-Identifizierung im öffentlichen Raum, Emotionserkennung an Arbeitsplätzen und in Schulen sowie der Ausnutzung vulnerabler Gruppen ist seit dem 2. Februar 2025 durchsetzbar. Der Omnibus ändert daran nichts. Wenn Sie Ihr KI-Inventar noch nicht gegen die verbotenen Kategorien geprüft haben, sind Sie bereits exponiert.
GPAI-Pflichten gelten weiterhin. Anbieter von General-Purpose-AI-Modellen unterliegen seit dem 2. August 2025 den Transparenz-, Dokumentations- und Urheberrechts-Compliance-Anforderungen. Anbieter von Modellen mit systemischem Risiko sind zusätzlich zu adversarialem Testen und Incident Reporting verpflichtet. Der Omnibus verschiebt davon nichts. Wenn Ihre Organisation ein GPAI-Modell betreibt — auch über API-Zugang zu großen Sprachmodellen —, sind die Anbieterpflichten bereits aktiv.
KI-Kompetenz gilt weiterhin. Die Anforderung, dass Organisationen ausreichende KI-Kompetenz unter ihren Mitarbeitenden sicherstellen — proportional zur Rolle, zum Kontext und zur Risikostufe der KI-Systeme, mit denen sie arbeiten —, ist bereits bindend. Das ist eine der am meisten unterschätzten Pflichten des gesamten Acts. Sie verlangt dokumentierte Schulungen, nicht ein einzelnes All-Hands-Webinar.
Die materiellen Anforderungen selbst sind identisch. Der Omnibus hat die Artikel 6 bis 27 nicht geändert — die inhaltlichen Anforderungen an Hochrisiko-KI-Systeme. Konformitätsbewertungen, technische Dokumentation, Risikomanagementsysteme, Daten-Governance, menschliche Aufsicht, Genauigkeitstests, automatische Protokollierung, Registrierung in der EU-Datenbank — alles bleibt wie ursprünglich formuliert. Was sich verschoben hat, ist ausschließlich das Durchsetzungsdatum. Am 2. Dezember 2027 wird jede Anforderung, die am 2. August 2026 fällig war, in vollem Umfang erwartet. Keine Einführungsphase. Keine weitere Übergangszeit.
Warum 16 Monate weniger Zeit sind, als es klingt
Sechzehn Monate fühlen sich komfortabel an — bis man durchplant, was in ihnen passieren muss.
Das Konformitätsbewertungs-Ökosystem reift erst. Das Netz aus notifizierten Stellen, harmonisierten Standards und Konformitätsbewertungsverfahren für eigenständige Hochrisiko-KI-Systeme ist noch im Aufbau. Die ursprüngliche Frist im August 2026 galt weithin als unrealistisch, gerade weil diese Infrastruktur nicht bereit war — der Omnibus erkennt genau diese Realität an. Aber 16 Monate sind der Zeitraum, in dem sowohl die Infrastruktur als auch die Unternehmen gleichzeitig bereit werden müssen. Organisationen, die auf die Finalisierung harmonisierter Standards warten, bevor sie mit der Compliance-Arbeit beginnen, werden feststellen, dass sie in den letzten Monaten vor der Frist um begrenzte Kapazitäten bei notifizierten Stellen konkurrieren.
Technische Dokumentation ist kein Wochenendprojekt. Artikel 11 verlangt eine umfassende Dokumentation, die Verwendungszweck, Designspezifikationen, Entwicklungsprozess, Daten-Governance, Leistungsmetriken, Risikoanalyse und Post-Market-Monitoring-Plan abdeckt. Für einen komplexen KI-Workflow — etwa ein automatisiertes Schadentriagesystem oder ein KI-gestütztes Kreditentscheidungsmodell — dauert die Erstellung dieser Dokumentation Monate, nicht Wochen. Sie erfordert koordinierten Input von Engineering, Data Science, Rechtsabteilung, Compliance und dem Fachbereich, der das System betreibt. Diese bereichsübergreifende Koordination ist der eigentliche Engpass.
Risikomanagement ist ein Prozess, kein Dokument. Artikel 9 verlangt ein Risikomanagementsystem, das über den gesamten Lebenszyklus des Hochrisiko-KI-Systems aufrechterhalten wird — nicht nur eine einmalige Risikoanalyse vor dem Deployment, sondern kontinuierliche Überwachung, Aktualisierung und Mitigation in der Produktion. Den Aufbau dieser Fähigkeit — Monitoring-Infrastruktur, Eskalationsverfahren, Governance-Rhythmen — kann man nicht in das letzte Quartal vor einer Frist komprimieren. Der Compliance-by-Design-Ansatz beschreibt, wie diese Strukturen ins Betriebsmodell eingebaut werden.
Die strategische Kalkulation für DACH-Unternehmen
Der Omnibus schafft einen Divergenzpunkt. Unternehmen werden sich in zwei Gruppen teilen, und der Abstand zwischen ihnen wird deutlich vor Dezember 2027 sichtbar sein.
Die erste Gruppe behandelt die Verschiebung als Planungshorizont. Sie nutzen die 16 Monate, um Compliance-Infrastruktur in besonnener Geschwindigkeit aufzubauen — ihre KI-Systeme zu klassifizieren, technische Dokumentation iterativ zu erstellen, Monitoring- und Governance-Strukturen zu implementieren, Mitarbeitende zu schulen und interne Konformitätsbewertungen durchzuführen, bevor externe erforderlich sind. Wenn die Frist kommt, ist Compliance eine Bestätigung bereits geleisteter Arbeit, kein hektisches Zusammenstellen von Artefakten unter Druck.
Die zweite Gruppe behandelt die Verschiebung als Aufschub. Sie priorisieren Compliance-Arbeit herunter, lenken Ressourcen auf andere Initiativen um und planen, das Thema Mitte 2027 wieder aufzugreifen. Wenn sie darauf zurückkommen, werden sie feststellen, dass die Aufgabe nicht einfacher geworden ist — sie ist schwieriger geworden, weil ihr KI-Portfolio gewachsen ist, neue Systeme ohne Compliance-Erwägungen in Betrieb gegangen sind und die Kapazitäten bei notifizierten Stellen überbucht sind.
Die Wettbewerbsdimension ist real. In regulierten Branchen — Finanzdienstleistungen, Versicherungen, Gesundheitswesen, kritische Infrastruktur — wird die Fähigkeit, AI-Act-Compliance nachzuweisen, zu einem Beschaffungskriterium. Unternehmenskunden werden Lieferanten fragen, ob ihre KI-gestützten Services die Hochrisiko-Anforderungen erfüllen. Organisationen, die im Januar 2028 dokumentierte Compliance vorweisen können, werden einen greifbaren Vorteil gegenüber denen haben, die ihre Nachweispakete dann erst zusammenstellen.
Dieses Muster ist aus der DSGVO bekannt. Organisationen, die die zweijährige Übergangsfrist für echte Vorbereitung nutzten, waren am 25. Mai 2018 bereit. Diejenigen, die warteten, gaben mehr Geld aus, erreichten geringere Compliance-Qualität und hatten Jahre der Nachbesserung vor sich. Die Komplexität des AI Acts übertrifft die der DSGVO in mehreren Dimensionen — nicht zuletzt, weil er die Technologie selbst reguliert, nicht nur die Daten, die sie verarbeitet.
Die Small-Mid-Cap-Chance
Die neue Kategorie verdient besondere Aufmerksamkeit von DACH-Mittelständlern. Die Schwelle — weniger als 750 Beschäftigte und Jahresumsatz unter 150 Millionen Euro — erfasst einen erheblichen Teil des deutschen Mittelstands. Die konkreten Vereinfachungen sind im beschlossenen Text klar definiert: Vereinfachte technische Dokumentationsvorlagen, die notifizierte Stellen akzeptieren müssen, proportionale Qualitätsmanagementsystem-Anforderungen, bevorzugter Zugang zur AI-Office-Sandbox und angepasste Bußgeldobergrenzen. Dazu kommt die 30-tägige Korrekturperiode, bevor Sanktionen greifen.
Das bedeutet keine Freistellung. Small-Mid-Cap-Unternehmen, die Hochrisiko-KI-Systeme einsetzen, müssen weiterhin die Einhaltung der Kernanforderungen nachweisen: Risikomanagement, Daten-Governance, menschliche Aufsicht, Genauigkeit und Transparenz. Was sich ändert, ist die erwartete Tiefe und Formalität der Nachweise. Ein Versicherungsmakler mit 200 Mitarbeitenden, der KI für die Schadentriage einsetzt, wird nicht am gleichen Dokumentationsstandard gemessen wie ein DAX-Konzern — aber er muss zeigen, dass er Risiken identifiziert und Aufsichtsmechanismen etabliert hat.
Die praktische Konsequenz: Mittelständler sollten jetzt mit dem Aufbau ihrer Governance-Frameworks beginnen und die vereinfachten Erwartungen als Designvorgabe nutzen. Ein schlankes Modell, das Verantwortlichkeit, Aufsicht und Entscheidungsrechte abdeckt, ist nicht nur Best Practice — es wird unter dem geänderten Act voraussichtlich die minimale Compliance-Postur für diese Kategorie sein.
Was in den nächsten 90 Tagen zu tun ist
Die Verschiebung ändert nicht die Arbeit. Sie ändert die Reihenfolge.
Vervollständigen Sie Ihr KI-Inventar. Wenn Sie noch nicht jedes KI-System in Ihrer Organisation katalogisiert haben — einschließlich Drittanbieter-Tools mit eingebetteter KI —, ist das der grundlegende erste Schritt. Sie können nicht klassifizieren, was Sie nicht identifiziert haben. Jeder Eintrag sollte den Zweck des Systems, die verarbeiteten Daten, die Betreiber und die Entscheidungen abdecken, die es informiert oder automatisiert.
Klassifizieren Sie jedes System anhand des geänderten Zeitplans. Eigenständige Hochrisiko-Systeme nach Anhang III haben nun bis zum 2. Dezember 2027. Produkteingebettete Hochrisiko-Systeme nach Anhang I bis zum 2. August 2028. Alles andere — verbotene Praktiken, GPAI, begrenzte Risikosysteme — gilt bereits jetzt. Die Risikoeinstufungs-Anleitung liefert den Entscheidungsbaum für diese Übung.
Beginnen Sie die technische Dokumentation für Ihr höchstes Risikosystem. Versuchen Sie nicht, alles auf einmal zu dokumentieren. Wählen Sie das System, das am eindeutigsten Hochrisiko ist — dasjenige, das Beschäftigungsentscheidungen, Kreditbewertungen oder Versicherungsansprüche verarbeitet — und erstellen Sie zuerst die Artikel-11-Dokumentation dafür. Der Prozess wird Ihnen zeigen, welche Informationen fehlen, welche Teams einbezogen werden müssen und wie lange die Arbeit tatsächlich dauert. Diese Erkenntnis ist wertvoller als jede Checkliste.
Etablieren Sie Ihre Governance-Baseline. Benennen Sie einen KI-Verantwortlichen für jedes Produktivsystem. Definieren Sie die Delegationsregeln: Was die KI entscheidet, was sie empfiehlt, was vollständig beim Menschen bleibt. Dokumentieren Sie den Aufsichtsrhythmus — regelmäßiges Metriken-Review, periodische Grenzfallanalyse, quartalsweises Governance-Assessment. Diese Struktur ist das operative Rückgrat der Compliance und muss lange vor der Frist laufen.
Die Frist hat sich verschoben — die Pflicht nicht
Der Digital Omnibus ist eine pragmatische Anpassung. Der europäische Gesetzgeber hat erkannt, dass das Compliance-Ökosystem für August 2026 nicht bereit war, und hat zusätzliche Zeit gewährt. Das ist eine rationale Reaktion auf eine reale Umsetzungsherausforderung.
Aber die schlechteste mögliche Lesart dieser Änderung ist die, die sich am wahrscheinlichsten verbreiten wird: dass der AI Act aufweicht, dass Compliance warten kann, dass Verschiebungen ein Zeichen mangelnder regulatorischer Ernsthaftigkeit sind. Das Gegenteil ist wahr. Der Omnibus hat ein neues Verbot hinzugefügt. Er hat jede bestehende Pflicht beibehalten. Er hat eine neue Kategorie geschaffen, die Compliance für kleinere Unternehmen erreichbarer machen soll — was nur Sinn ergibt, wenn der Gesetzgeber beabsichtigt, diese Anforderungen breit durchzusetzen. Und er hat dem AI Office mehr Durchsetzungsmacht gegeben, nicht weniger.
DACH-Unternehmen, die diese 16 Monate zum Aufbau von Compliance-Infrastruktur nutzen, werden im Dezember 2027 mit dokumentierten Systemen, geschulten Teams und operativer Governance dastehen. Sie werden — nicht zufällig — auch die Vertrauensarchitektur aufgebaut haben, die es KI ermöglicht, von Pilotprojekten in die Produktion überzugehen, in den Anwendungen, die tatsächlich die GuV bewegen. Compliance und operative Leistungsfähigkeit sind keine konkurrierenden Prioritäten. Unter dem AI Act sind sie dieselbe Arbeit.
Ein Fit Call klärt in 20 Minuten, welche Ihrer KI-Systeme nach dem Digital Omnibus welche Frist haben, wo Ihre Dokumentations- und Governance-Lücken liegen — und was Sie priorisieren sollten, bevor die Frist sich dringend anfühlt.
Referenzen: Council of the European Union, „Artificial Intelligence: Council and Parliament Agree to Simplify and Streamline Rules," Pressemitteilung, 7. Mai 2026, consilium.europa.eu; Orrick, „EU's Digital Omnibus on AI: 7 Key Changes You Need to Know," Mai 2026, orrick.com; European Parliament, „Simplified rules for small 'mid-cap' companies," Pressemitteilung, 20. Februar 2026, europarl.europa.eu; Verifywise, „EU AI Act Digital Omnibus: What Changed on 7 May 2026," Mai 2026, verifywise.ai.