Was jetzt gilt, was verschoben wurde und was zu tun ist
Im Mai 2026 hat die EU mit dem „Digital Omnibus“ die Fristen für Hochrisiko-KI verschoben. Doch zentrale Pflichten gelten bereits heute. Dieser Leitfaden trennt, was rechtlich schon bindend ist, von dem, wofür Sie jetzt mehr Zeit haben — und zeigt, wie Sie die gewonnene Zeit sinnvoll nutzen.
Stand: Juni 2026 — keine Rechtsberatung
Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und gilt gestaffelt. Am 7. Mai 2026 haben sich Rat, Parlament und Kommission auf den „Digital Omnibus“ geeinigt — ein Reformpaket, das die Pflichten für Hochrisiko-KI deutlich nach hinten verschiebt. Die formale Verabschiedung steht noch aus, die politische Einigung ist aber gefallen. Wichtig: Das ist keine Entwarnung. Mehrere Pflichten sind bereits seit 2025 bindend und werden nicht verschoben.
Der AI Act greift nicht auf einen Schlag, sondern in Stufen. Nach der Omnibus-Einigung sieht der Fahrplan so aus:
Die verschobenen Hochrisiko-Fristen stehen unter dem Vorbehalt der formalen Verabschiedung des Digital Omnibus. Bis zur Veröffentlichung im EU-Amtsblatt bleibt rechtlich die ursprüngliche Frist (August 2026) der Referenzpunkt — die Verschiebung sollte beobachtet und in der eigenen Planung dokumentiert werden.
Der AI Act reguliert nicht „KI“ pauschal, sondern nach Risiko. In welche Klasse Ihr System fällt, entscheidet über Ihre Pflichten:
Der AI Act unterscheidet zwischen „Anbieter“ (Provider — wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt) und „Betreiber“ (Deployer — wer ein KI-System beruflich einsetzt). Die meisten Mittelständler sind Betreiber — und unterschätzen oft, dass auch diese Rolle Pflichten trägt. Wer ein System aber wesentlich anpasst oder unter eigenem Branding weitergibt, kann selbst zum Anbieter werden.
Klären Sie zuerst Ihre Rolle pro System — sie bestimmt den gesamten Pflichtenkatalog. Im Zweifel, etwa beim Fine-Tuning oder White-Labeling fremder Modelle, frühzeitig prüfen, ob Sie zum Anbieter werden.
Ja, als Betreiber. Auch wer KI nur einsetzt statt sie zu entwickeln, unterliegt der KI-Kompetenz-Pflicht und den Transparenzregeln. Zudem überlagert sich der Einsatz solcher Cloud-Tools mit der DSGVO, sobald personenbezogene Daten in Prompts fließen.
Weder vollständig abgeschafft noch komplett verschoben. Der Digital Omnibus vom Mai 2026 verschiebt die Hochrisiko-Pflichten auf 2027/2028, lässt die bereits geltenden Verbote, GPAI-Regeln und Kompetenzpflichten aber unangetastet. Die formale Verabschiedung der Verschiebung steht noch aus.
Bei verbotenen Praktiken bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes. Bei Verstößen gegen andere Pflichten bis zu 15 Mio. Euro oder 3 %. Falschangaben gegenüber Behörden bis zu 7,5 Mio. Euro oder 1 %.
Nein. Der Aufbau von Risikomanagement, Dokumentation und Daten-Governance dauert Monate. Die verlängerte Frist ist Puffer, kein Grund zum Aufschieben — und viele Maßnahmen zahlen ohnehin auf DSGVO und IT-Sicherheit ein.
Sie greifen ineinander. Sobald KI personenbezogene Daten verarbeitet, gelten beide. Eine saubere DSGVO-Grundlage — Rechtsgrundlage, Datenminimierung, Betroffenenrechte — ist oft die halbe Miete für die AI-Act-Konformität. Unser DSGVO-KI-Leitfaden ergänzt diesen Überblick.
Wir ordnen Ihre KI-Landschaft in die Risikoklassen ein, klären Ihre Rolle als Anbieter oder Betreiber und zeigen, welche Schritte jetzt zählen — DSGVO-konform und ohne Hype.
Oder starten Sie mit unserer strukturierten KI-Potenzial- und Compliance-Analyse.
Zur KI-Readiness-Analyse