Brüssel hat geliefert. Am Abend des 7. Mai 2026, nach einem letzten Trilog, der bis kurz nach Mitternacht ging, einigten sich Europäisches Parlament, Rat und Kommission auf den "Digital AI Omnibus". Was technokratisch klingt, ist eine der substantiellsten Veränderungen am EU-AI-Act seit seiner Verabschiedung 2024: Die Pflichten für Hochrisiko-KI-Systeme aus Anhang III rücken vom 2. August 2026 auf den 2. Dezember 2027. Hochrisiko-Systeme aus Anhang I – also KI, die als Sicherheitsbauteil in regulierten Produkten verbaut ist – bekommen sogar bis 2. August 2028 Zeit. Zusätzlich werden Dokumentations-, Risikomanagement- und Konformitätsbewertungs-Pflichten für kleine und mittlere Unternehmen substanziell vereinfacht.

Die erste Reaktion in deutschen Mittelstandsforen war erleichterte Entspannung. Die zweite Reaktion sollte gewesen sein: ein nüchterner Blick auf das, was sich nicht verschiebt – und auf die strategische Falle, die in einer scheinbaren Atempause steckt. Genau diesen Blick wollen wir hier zeigen.

Was der Omnibus tatsächlich verändert

Der EU-AI-Act ist in seiner ursprünglichen Fassung ein gestaffeltes Inkrafttreten: Verbote ab Februar 2025, GPAI-Pflichten ab August 2025, Hochrisiko-Pflichten ab August 2026, Vollanwendung ab August 2027. Was die Omnibus-Einigung verändert, ist im Wesentlichen die Hochrisiko-Stufe – also den Teil, der für die meisten produktnahen Mittelständler den eigentlichen Compliance-Aufwand bedeutet.

Verschoben werden: Die Konformitätsbewertungs-Pflichten für Hochrisiko-KI aus Anhang III (z. B. KI in HR-Tools, KI in Kreditvergabe-Systemen, KI in der Bildung, KI in kritischen Infrastrukturen, KI in der Strafverfolgung) gelten ab dem 2. Dezember 2027. Bei Anhang-I-Systemen (KI als Sicherheitsbauteil in CE-Produkten, etwa in Medizinprodukten, Aufzügen, Maschinen) verlängert sich die Frist sogar auf 2. August 2028. Das gibt der Industrie und ihren Zulieferern die Zeit, die der ursprüngliche Fahrplan nicht vorgesehen hatte.

Nicht verschoben werden: Die Verbote gefährdeter Praktiken (Social Scoring, ungezielte Emotionserkennung am Arbeitsplatz, manipulative Systeme) gelten weiterhin seit Februar 2025. Die Pflichten für General-Purpose-AI-Modelle (Transparenz, Trainingsdaten-Dokumentation, Sicherheitstests bei Modellen über 10^25 FLOPs) gelten weiter seit August 2025. Und – das wird gern übersehen – die Transparenzpflichten für synthetische Inhalte greifen wie geplant ab August 2026: Wer KI-generierte Bilder, Audios oder Videos veröffentlicht, muss diese maschinenlesbar markieren. Wer Texte mit KI generiert und öffentlich publiziert, ebenfalls.

Zusätzlich führt der Omnibus ein neues, hartes Verbot ein: "Nudifier-Tools" – also Modelle, deren primärer Zweck die Erzeugung sexueller Deepfakes oder von Kindesmissbrauchsmaterial ist – sind ab Dezember 2026 vollständig verboten. Das ist eine Reaktion auf die Welle synthetischer Missbrauchsdarstellungen, die das Parlament 2025 alarmiert hatte.

Die Erleichterungen für KMU im Detail

Substanziell für den Mittelstand sind drei konkrete Vereinfachungen, die im Omnibus verankert sind. Erstens wird die Dokumentationspflicht für KMU auf ein vereinfachtes Template reduziert – statt der ausführlichen Technical Documentation nach Annex IV reicht künftig eine deutlich schlankere Variante mit Fokus auf Datenherkunft, Trainingsverfahren und Risikobewertung. Zweitens erlaubt der Omnibus für viele KMU-Anwendungsfälle die Selbstbewertung der Konformität, ohne dass eine externe notifizierte Stelle eingeschaltet werden muss. Drittens wird das Risikomanagement-System nach Artikel 9 für KMU mit weniger als 250 Mitarbeitern auf eine verhältnismäßige Variante reduziert – pragmatisch, dokumentiert, aber ohne den Aufwand eines Großkonzerns.

Das ist ein klares Signal: Brüssel hat verstanden, dass die ursprünglichen Anforderungen für einen 80-Personen-Maschinenbauer mit Predictive-Maintenance-KI unverhältnismäßig waren. Und es ist die Grundlage dafür, dass viele Mittelständler überhaupt eine reale Chance haben, ihre KI-Anwendungen konform zu betreiben, statt sie aus regulatorischer Vorsicht abzuschalten.

User Story: Wie ein Maschinenbauer aus Westfalen die Frist neu denkt

Um zu zeigen, was die Verschiebung in der Praxis bedeutet, nehmen wir die Heinrich Klemm GmbH – einen fiktiven, aber typischen Mittelständler aus dem Münsterland. 340 Mitarbeiter, Sondermaschinenbau, Umsatz 78 Millionen Euro, Hauptkunden in Automotive und Medizintechnik. Klemm ist seit 2024 mit zwei KI-Projekten unterwegs.

Projekt 1: Eine Predictive-Maintenance-Lösung für die Endkunden – die Maschinen sind beim Kunden vernetzt, ein KI-Modell sagt aus Vibrations-, Temperatur- und Stromdaten Wartungsbedarfe voraus. Die Lösung ist Teil der CE-Konformität der Maschine. Damit fällt sie unter Anhang I des AI Acts – Sicherheitsbauteil eines geregelten Produkts.

Projekt 2: Ein KI-gestütztes Bewerber-Screening, das eingehende Bewerbungen vorsortiert und einen "Fit-Score" auf Basis öffentlich verfügbarer Stellenprofile errechnet. Das Tool wird seit 2025 im HR-Team eingesetzt. Es fällt eindeutig unter Anhang III, Punkt 4: KI-Systeme, die in der Beschäftigung, Personalverwaltung und Zugang zu Selbstständigkeit eingesetzt werden.

Im Februar 2026 hatte der CIO der Klemm GmbH einen Compliance-Plan aufgesetzt, der davon ausging, dass beide Projekte bis 2. August 2026 vollständig dokumentiert, risiko-bewertet und – bei Projekt 1 – durch eine notifizierte Stelle auditiert sein müssten. Das Budget dafür: 240.000 Euro extern, drei Vollzeit-Äquivalente intern über fünf Monate.

Am 8. Mai 2026, morgens um halb neun, sitzt der CIO mit der Geschäftsführung zusammen. Die Schlagzeile zum Omnibus liegt auf dem Tisch. Die naheliegende Reaktion: "Gut, wir haben mehr Zeit. Schieben wir das Projekt um ein Jahr." Genau diese Reaktion wäre ein Fehler – und zwar aus vier Gründen.

Erstens: Die Transparenzpflichten für synthetische Inhalte greifen weiterhin ab August 2026. Wenn Klemm seine Marketing-Bilder mit KI generiert (was tatsächlich passiert), müssen diese ab Sommer maschinenlesbar markiert sein – Adobe Content Credentials, C2PA, oder vergleichbar. Das ist ein Thema für die Marketing-IT, nicht für das Hochrisiko-Compliance-Projekt. Es darf nicht verwechselt werden.

Zweitens: Das Bewerber-Screening fällt unter Anhang III. Theoretisch hat Klemm jetzt bis Dezember 2027 Zeit. Praktisch hat das Unternehmen eine DSGVO-Pflicht zur Datenschutz-Folgenabschätzung, eine Pflicht aus dem Allgemeinen Gleichbehandlungsgesetz zur Diskriminierungsfreiheit der Auswahlverfahren und – ab dem Moment, in dem ein Bewerber sich beschwert – eine Beweislast, dass das System fair, transparent und kontrollierbar arbeitet. Diese Pflichten sind älter als der AI Act, gelten unabhängig vom Omnibus und sind sofort einklagbar. Wer die AI-Act-Frist als Hinweis liest, das System bis Ende 2027 "irgendwie" zu prüfen, missversteht die Rechtslage.

Drittens: Die Predictive-Maintenance-Lösung ist über die Maschinenrichtlinie und die neue Maschinenverordnung 2023/1230 ohnehin in einem CE-Konformitätsbewertungs-Prozess. Diese Verordnung greift ab Januar 2027 – also vor dem verschobenen Anhang-I-AI-Act-Termin. Die KI in der Maschine muss also schon 2027 als Sicherheitskomponente nachweisbar funktionieren, mit Risikoanalyse, Validierung und Dokumentation. Die Omnibus-Verschiebung verschiebt nur die zusätzliche AI-Act-Konformitätsbewertung, nicht die zugrundeliegende Produktsicherheit.

Viertens: Kunden fragen längst. Ein großer Tier-1-Automotive-Kunde von Klemm hat im April 2026 in einem Lieferantenfragebogen explizit nach der "AI Act Compliance Roadmap" gefragt. Verschiebt Klemm jetzt das Projekt um ein Jahr, steht die Antwort "wir warten" in einem Lieferantenbewertungssystem – und der Folgeauftrag steht auf der Kippe.

Der CIO und die Geschäftsführung beschließen am Ende des Tages eine andere Strategie: Das Compliance-Projekt wird nicht verschoben, sondern umgewidmet. Statt panischer Konformitätsbewertung bis August 2026 wird daraus ein strukturierter 18-Monats-Plan, der die KI-Governance der Klemm GmbH als strategisches Asset aufbaut. Inventory, Risikoklassifikation, ein internes KI-Komitee, ein Lifecycle-Modell für Modelle, Monitoring und Drift-Erkennung. Das Externbudget wird auf 180.000 Euro reduziert (die Konformitätsbewertung durch eine notifizierte Stelle entfällt zunächst), das interne Team bleibt erhalten, der Zeitplan wird auf 18 Monate gestreckt. Am Ende steht ein Unternehmen, das die KI-Compliance versteht und steuert – und nicht eines, das eine Frist abhakt.

Die strategische Falle: Warum die Verschiebung gefährlich werden kann

Die Klemm-Story illustriert ein Muster, das wir bei pleXtec in den letzten zwei Wochen mehrfach beobachten. Viele Mittelständler interpretieren die Omnibus-Einigung als "Pause-Knopf". Tatsächlich ist sie etwas anderes: eine Verschiebung der Prüfschärfe bei gleichbleibender Pflicht. Was sich verschiebt, ist die Pflicht zur formalen Konformitätsbewertung. Was sich nicht verschiebt, sind die Erwartungen der Aufsichtsbehörden, der Kunden, der Versicherer und der Gerichte an einen sorgfältigen, dokumentierten, nachvollziehbaren Einsatz von KI.

Wer die zusätzliche Zeit als Atempause versteht und nichts tut, erlebt drei Effekte:

Erstens: Wenn der Termin Ende 2027 da ist, ist der Beratungsmarkt komplett überlaufen. Notifizierte Stellen für Anhang-I-Audits sind in Deutschland bis heute nicht in ausreichender Zahl akkreditiert. 18 Monate vor Stichtag werden die Wartezeiten zweistellig in Monaten gemessen werden.

Zweitens: Versicherer und Wirtschaftsprüfer beginnen schon 2026, die KI-Governance ihrer Mandanten zu prüfen. Cyberversicherungen ziehen ihre Bedingungen an. Wer 2026 keinen dokumentierten KI-Governance-Prozess hat, zahlt 2027 deutlich höhere Prämien – oder bekommt die Police nicht.

Drittens: Die Kunden warten nicht. Tier-1-Lieferanten in Automotive, Pharma, Medizintechnik, Energie fragen heute schon nach KI-Lieferantenerklärungen, weil ihre eigene Compliance-Kette das verlangt. Wer als Mittelständler in diesen Wertschöpfungsketten arbeiten will, wird auch ohne formale AI-Act-Frist gezwungen, eine belastbare KI-Compliance vorzuweisen.

Handlungsempfehlungen: Was der Mittelstand jetzt tun sollte

Die Verschiebung der Hochrisiko-Pflichten ist kein Grund, die KI-Strategie zu verschieben. Sie ist die Einladung, sie endlich vom regulatorischen Druck zu lösen und als strategisches Asset aufzubauen. Konkret bedeutet das fünf Schritte.

Schritt 1 – KI-Inventar erstellen. Welche KI-Systeme laufen heute im Unternehmen? Wo sind sie eingebettet? Welche Daten verarbeiten sie? Wer ist verantwortlich? Diese Frage wird in 80 Prozent der Mittelstandsorganisationen nicht sauber beantwortet. Schatten-KI – Sales-Mitarbeiter mit privaten ChatGPT-Accounts, Marketing mit Midjourney über Kreditkarte – ist die Realität. Bevor irgendetwas gesteuert werden kann, muss inventarisiert werden. Ein gutes Inventar trägt pro System mindestens: Zweck, Datenquellen, Modelltyp, Anbieter, betroffene Personen, AI-Act-Risikoklasse, DSGVO-Status.

Schritt 2 – Risikoklassifikation nach AI Act. Welche Systeme fallen unter welche Kategorie – verboten, hochrisiko (Anhang I oder III), eingeschränktes Risiko (Transparenzpflicht), minimales Risiko? Die Klassifikation ist nicht trivial, vor allem an den Rändern: Ein KI-gestütztes CRM mit Lead-Scoring kann je nach Einsatz harmlos oder problematisch sein. Hier hilft ein strukturiertes Mapping, idealerweise mit externer Unterstützung.

Schritt 3 – KI-Governance-Komitee aufbauen. Wer entscheidet im Unternehmen, ob ein neues KI-Tool eingeführt wird? Wer prüft die Datenbasis? Wer dokumentiert? Ein kleines, klar besetztes Komitee aus IT, Datenschutz, Rechtsabteilung und Fachbereich, das alle zwei Wochen tagt, ist 2026 das wichtigste organisatorische Element jeder KI-Strategie. Es ersetzt keine Konformitätsbewertung – aber ohne dieses Gremium scheitert jede Konformitätsbewertung später.

Schritt 4 – Verträge mit Anbietern überarbeiten. Microsoft Copilot, OpenAI über Azure, Anthropic Claude, lokale GenAI-Lösungen – die Verträge wurden in den meisten Fällen 2023 oder 2024 abgeschlossen. Sie enthalten kaum verlässliche Klauseln zur AI-Act-Kompatibilität, zur Trainingsdaten-Herkunft, zu Modell-Updates und zu Notifikation bei Vorfällen. Diese Klauseln müssen 2026 nachverhandelt werden – auch unter dem Omnibus.

Schritt 5 – Pilot-Konformitätsbewertung an einem Anhang-III-System durchführen. Statt 2027 unter Termindruck zu üben, lohnt es sich, in den nächsten zwölf Monaten ein System einmal vollständig zu dokumentieren, zu bewerten und intern zu auditieren. Das schafft die Routine, die ab 2028 für alle Hochrisiko-Systeme nötig sein wird. Wer hierfür Unterstützung braucht, findet bei pleXtec eine strukturierte Vorgehensweise – unsere Teams begleiten mehrere Mittelständler durch genau diese Übungsläufe; mehr dazu auf unserer Seite zur KI-Strategie und -Integration und im Kontext der Compliance-Software.

Was an Bürokratie tatsächlich entfällt – und was nur kürzer wird

Damit nicht der falsche Eindruck entsteht: Der Omnibus ist keine Deregulierung. Er ist eine Verhältnismäßigkeits-Kalibrierung. Für ein KMU mit unter 250 Mitarbeitern bedeutet das konkret: Die Technical Documentation nach Annex IV schrumpft von einem 80-seitigen Anforderungskatalog auf ein etwa 25-seitiges Template. Das Quality-Management-System nach Artikel 17 darf in bestehende ISO-9001- oder ISO-27001-Strukturen integriert werden, statt parallel aufgebaut zu werden. Das Risikomanagement nach Artikel 9 darf "skalierbar" angelegt werden – kleine Anbieter mit niedrig-frequenten Anwendungen brauchen keinen voll besetzten Risiko-Audit-Zyklus.

Was nicht entfällt: Die Pflicht zur Datenqualitätssicherung nach Artikel 10. Die Pflicht zur menschlichen Aufsicht nach Artikel 14. Die Pflicht zur Genauigkeits- und Robustheits-Prüfung nach Artikel 15. Und vor allem: Die Pflicht zur Markierung und Dokumentation von Vorfällen nach Artikel 62. Wer hier wegguckt, baut sich später ein Compliance-Loch.

Ausblick: Worauf der Mittelstand bis Jahresende achten sollte

Der Omnibus ist politisch geeinigt, aber noch nicht verabschiedet. Die formale Veröffentlichung im EU-Amtsblatt wird für Juli 2026 erwartet, das Inkrafttreten ist von der nationalen Umsetzung abhängig. In Deutschland arbeitet das BMWi an einer angepassten Umsetzungs-Roadmap, die voraussichtlich im Spätsommer als Eckpunktepapier vorliegen wird. Bis dahin gilt: Plan zur Konformität nicht stoppen, sondern auf die neuen Fristen kalibrieren.

Ein zweites Augenmerk gilt der Durchsetzungspraxis. Die Mitgliedstaaten haben in der Omnibus-Verhandlung explizit darauf bestanden, dass die nationalen KI-Aufsichtsbehörden früher mit Marktüberwachung beginnen können – auch vor dem offiziellen Hochrisiko-Stichtag. In Deutschland ist die Bundesnetzagentur als zentrale KI-Aufsicht benannt; sie hat ihren Aufbau in Mainz im Frühjahr begonnen. Erste Beratungsanfragen sind bereits möglich, erste informelle Marktbeobachtungen werden ab Herbst 2026 erwartet.

Drittens: Die EU-Kommission hat angekündigt, im Rahmen des Omnibus auch Leitlinien für die Selbstbewertung von KMU bis Q4 2026 zu veröffentlichen. Diese Leitlinien werden das Maß sein, an dem Aufsicht und Gerichte später die Sorgfaltspflicht messen. Sie zu lesen – idealerweise mit qualifizierter Unterstützung – wird zur Pflichtaufgabe für jeden Mittelständler, der KI im Hochrisiko-Bereich betreibt.

Wer 2026 die richtige Lehre aus dem Omnibus zieht, hat einen Wettbewerbsvorteil. Wer ihn als Pause-Knopf versteht, holt sich die Probleme von 2027 ins Haus. Wir bei pleXtec sehen genau diesen Punkt als entscheidend für unsere Mandanten – und unterstützen mit pragmatischen, KMU-tauglichen Schritten von der KI-Inventarisierung bis zur Anbietervertrags-Überarbeitung. Wer das Thema in einem ersten Sondierungsgespräch durchgehen will, erreicht uns über die Kontaktseite oder findet eine Übersicht unserer Angebote unter Leistungen. Wer tiefer in das Thema einsteigen will, findet zur grundlegenden KI-Seite weiterführende Informationen.

Brüssel hat sich 17 Monate Zeit gekauft. Wer sie nutzt, gewinnt. Wer sie verschwendet, verliert sie doppelt.