Ab dem 2. August 2026 beginnt die behördliche Durchsetzung des EU AI Act (Verordnung (EU) 2024/1689). Die politische Einigung zum Digital Omnibus on AI vom 7. Mai 2026 hat zentrale Hochrisiko-KI-Fristen verschoben: Hochrisiko-KI nach Annex III (etwa Personalwesen, Bildung, Kreditprüfung) gilt jetzt erst ab 2. Dezember 2027, Hochrisiko-KI nach Annex I (in regulierte Produkte eingebettet, etwa Medizingeräte oder Maschinen) erst ab 2. August 2028. Neue Verbote (zum Beispiel für Nudifier-Apps) und die Watermarking-Pflicht für generative KI greifen ab 2. Dezember 2026. Die KI-Kompetenzpflicht nach Art. 4 wirkt bereits seit 2. Februar 2025, ihre behördliche Durchsetzung beginnt mit dem 2. August 2026.
Für mittelständische Unternehmen heißt das konkret: Vier Bausteine müssen bis zum Sommer aufgebaut sein, damit die Compliance ab August nachweisfähig ist. Die Bausteine sind KI-Inventar, Rollenklärung, Kompetenznachweis und Provider-Dokumentation. Welche davon im Mittelstand typischerweise fehlen, beobachten wir in Erstgesprächen wiederkehrend, in drei Mustern.
Drei wiederkehrende Muster im Mittelstand
In Erstgesprächen mit mittelständischen Unternehmen sehen wir drei typische Muster. Erstens werden KI-Funktionen häufig dezentral eingeführt, ohne zentrale Registrierung, oft eingebettet in Bestandssoftware wie CRM, Office-Suiten oder HR-Tools. Zweitens ergeben sich Verantwortlichkeiten aus Budgethoheit statt aus formaler Rollenzuweisung. Drittens führt die implizite Annahme, der Datenschutzbeauftragte übernehme die KI-Governance, dazu, dass beide Aufgaben (Datenschutz und KI-Compliance) suboptimal besetzt sind.
Diese Muster sind nicht das Ergebnis von Nachlässigkeit. Sie spiegeln, dass KI-Funktionen heute selten als eigenständige Systeme eingekauft, sondern als Features in bereits genutzter Software ausgerollt werden. Genau deshalb ist die Bestandsaufnahme der erste Baustein.
Erster Baustein: KI-Inventar
Ein KI-Inventar ist eine strukturierte Bestandsaufnahme aller im Unternehmen eingesetzten Systeme mit KI-Funktion. Welche Systeme sind im Einsatz? Welche Entscheidungen treffen sie, mit welchen Daten? Wer hat die Kaufentscheidung getroffen, und wer ist heute verantwortlich? Wichtig ist, eingebettete KI-Funktionen (in Office, CRM, ERP, HR-Tools, Marketing-Plattformen) explizit mit zu erfassen, weil sie sonst durch das Inventar fallen.
Zweiter Baustein: Rollenklärung zwischen Betreiber und Anbieter
Der EU AI Act unterscheidet zwischen Anbieterpflichten (für Unternehmen, die KI in Verkehr bringen) und Betreiberpflichten (für Unternehmen, die KI nutzen). Für Unternehmen, die KI als Standard-Software kaufen oder mieten, ist die Betreiberrolle in der Regel klar. Schwieriger wird es, wenn interne Teams bestehende Modelle feintunen, eigene Agenten konfigurieren oder Low-Code-Plattformen mit KI-Komponenten erweitern. In diesen Fällen entsteht eine hybride Rolle, die regulatorisch noch nicht vollständig ausgelotet ist. Unternehmen sollten diese Grenzfälle jetzt dokumentieren, bevor eine Behörde fragt.
Dritter Baustein: Kompetenznachweis
Ab Februar 2025 wirkt die Pflicht nach Art. 4 AI Act bereits: Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass die beteiligten Personen ausreichende KI-Kompetenz besitzen. Was das konkret bedeutet, präzisiert die EU-Kommission weiter. In der operativen Umsetzung heißt das: Schulungsmaßnahmen müssen dokumentiert werden, und der Nachweis muss auf Ebene der konkreten KI-Nutzung erbracht werden, nicht pauschal für die gesamte Belegschaft.
Vierter Baustein: Provider-Dokumentation
Wer KI-Systeme von Drittanbietern einsetzt, benötigt eine belastbare Dokumentation, insbesondere bei Hochrisiko-KI. Das beginnt mit dem Auftragsverarbeitungsvertrag und endet bei der technischen Dokumentation des Anbieters nach AI-Act-Logik. In der Praxis stoßen Unternehmen hier häufig auf Lücken: Anbieter aus dem Nicht-EU-Raum liefern Dokumentation, die den europäischen Anforderungen nicht entspricht. Diese Lücken früh zu identifizieren, gibt Zeit zur Nachverhandlung, nach August ist der Handlungsdruck ein anderer.
Was der AI Omnibus konkret ändert
Die politische Einigung vom 7. Mai 2026 ist noch nicht formell rechtskräftig. Die Veröffentlichung im EU-Amtsblatt wird für Juli 2026 erwartet. Der Omnibus reduziert die Pflichtenhöhe für Hochrisiko-KI bei kleinen und mittleren Unternehmen (KMU im Sinne der EU-Empfehlung 2003/361/EG: bis 250 Mitarbeitende, bis 50 Millionen Euro Jahresumsatz oder bis 43 Millionen Euro Bilanzsumme). Mittelständler oberhalb der KMU-Schwelle fallen unter die volle Pflichtenhöhe, auch wenn sie umgangssprachlich noch als „Mittelstand“ gelten.
Belastbar ist: Der Omnibus ändert nichts am Grundgerüst der Transparenz- und Kompetenznachweispflichten, die ab August für alle Unternehmen gelten, die KI einsetzen, unabhängig von der Größe.
Was wir in Erstgesprächen empfehlen
Wer ab August nachweisfähig sein will, sollte spätestens in den kommenden Wochen mit dem Aufbau beginnen. Inventarisierung, Rollenklärung und Provider-Prüfung kosten in der Praxis mehr Zeit als geplant, vor allem weil Provider-Dokumentation häufig erst auf Anfrage nachgereicht wird.
Wenn Sie den Compliance-Stand für Ihr Unternehmen jetzt einschätzen wollen: Sören Ohk führt einen 30-minütigen AI Act Compliance-Check durch. Anfrage: https://ki-reifegrad.everblue-consulting.com/
FAQ
FAQ
Wann gelten die ersten EU-AI-Act-Pflichten?
Die KI-Kompetenzpflicht nach Art. 4 wirkt bereits seit dem 2. Februar 2025. Die behördliche Durchsetzung beginnt mit dem 2. August 2026. Die zentralen Hochrisiko-KI-Fristen sind durch den Digital Omnibus on AI auf 2. Dezember 2027 (Annex III) und 2. August 2028 (Annex I) verschoben worden.
Was ist ein KI-Inventar und wozu brauche ich es?
Ein KI-Inventar ist eine strukturierte Übersicht aller im Unternehmen eingesetzten KI-Systeme mit Anbieter, Verwendungszweck, Risikokategorie und verantwortlicher Person. Es umfasst auch eingebettete KI-Funktionen in Bestandssoftware. Es ist die Grundlage für EU-AI-Act-Compliance.
Gilt der EU AI Act auch für Unternehmen, die KI nur nutzen, nicht entwickeln?
Ja. Der EU AI Act unterscheidet zwischen Anbietern und Betreibern. Wer KI einsetzt, ist Betreiber und trägt Compliance-Pflichten.
Was ist der Unterschied zwischen EU AI Act und Digital Omnibus on AI?
Der EU AI Act ist die Verordnung (EU) 2024/1689. Der Digital Omnibus on AI ist ein politisch geeinigtes Änderungspaket vom 7. Mai 2026, das die Anwendungsfristen für Hochrisiko-KI verschiebt und neue Verbote sowie eine Watermarking-Pflicht für generative KI einführt. Die KI-Kompetenzpflicht nach Art. 4 und die Transparenzanforderungen bleiben unverändert.Was gilt ab August 2026 konkret?
Ab August 2026 greifen die Transparenzpflichten des EU AI Act. Unternehmen müssen KI-Systeme als solche kennzeichnen, wenn Nutzer mit ihnen interagieren, und Governance-Strukturen nachweisen können, die den Einsatz KI-kompetent begleiten.
Was ändert der AI Omnibus für Mittelstandsunternehmen?
Der Omnibus (politische Einigung: 7. Mai 2026) erweitert die Erleichterungen für Hochrisiko-KI auf Small Mid-Caps bis 750 Mitarbeitende oder 150 Millionen Euro Umsatz. Transparenz- und Kompetenznachweispflichten bleiben davon unberührt.
Wie kann ich mein Unternehmen auf die Anforderungen des EU AI Act Omnibus vorbereiten?
Beginnen Sie mit einer strukturierten Bestandsaufnahme aller Softwaretools, die KI-Funktionen enthalten oder nutzen, auch wenn diese Funktionen vom Hersteller als “Features” vermarktet werden. Klären Sie parallel Verantwortlichkeiten und prüfen Sie, welche Anbieter bereits konforme Dokumentation bereitstellen.
Wann muss die Compliance-Struktur stehen?
Wer ab August 2026 nachweisfähig sein will, sollte spätestens im Juni mit dem Aufbau beginnen. Inventarisierung, Rollenklärung und Provider-Prüfung kosten in der Praxis mehr Zeit als geplant.
Quellen
- Europäische Kommission, EU AI Act / Digitaler Rechtsrahmen
- Verordnung (EU) 2024/1689
- open.de: EU AI Act im Mittelstand (2026)
- sage.com/de-de/blog/eu-ai-act-2026
- Scalewise AI: AI Omnibus, politische Einigung Mai 2026
- Deloitte: Omnibus-Einordnung und strategische Konsequenzen für Unternehmen
