Der EU AI Act Digital Omnibus kam für viele KMU zu einem ungünstigen Zeitpunkt: Gerade als Betriebe begannen, ihre Compliance-Fahrpläne zu finalisieren, hat der am 7. Mai 2026 per Eilbeschluss verabschiedete Änderungsrahmen zentrale Spielregeln neu geschrieben. Fristen wurden verschoben, Bußgelder erhöht, und die Kennzeichnungspflicht für KI-generierte Inhalte rückt näher. Als KI-Berater, der täglich mit mittelständischen Betrieben arbeitet, erlebe ich gerade eine Mischung aus Erleichterung und Verwirrung – beides ist berechtigt. Dieser Artikel zeigt, was sich gegenüber dem ursprünglichen EU AI Act tatsächlich geändert hat und welche drei Punkte Sie als KMU-Inhaber jetzt konkret angehen müssen.
Falls Sie bisher noch keinen Überblick über die Grundlagen des EU AI Act haben, empfehle ich zunächst den Einstiegsartikel zur EU AI Act Compliance für KMU – dort erkläre ich die vier Risikokategorien und die ursprünglichen Fristen. Dieser Artikel baut darauf auf und konzentriert sich ausschließlich auf die Änderungen durch den Digital Omnibus.
Was ist der EU AI Act Digital Omnibus?
Der EU AI Act Digital Omnibus ist ein am 7. Mai 2026 per Eilbeschluss verabschiedetes Änderungspaket zur EU-KI-Verordnung (EU) 2024/1689, das die Compliance-Fristen für Hochrisiko-KI-Systeme deutlich nach hinten verschiebt, die Maximalstrafen auf 35 Millionen Euro bzw. 7 % des weltweiten Jahresumsatzes erhöht und die Kennzeichnungspflicht für KI-generierte Inhalte ab August 2026 verbindlich einführt. Das Paket reagiert auf Kritik aus der Wirtschaft, die die ursprünglichen Umsetzungsfristen als zu eng und die regulatorischen Anforderungen als zu komplex für kleinere Betriebe bewertet hatte. Der Name „Omnibus" signalisiert: Es handelt sich um ein gebündeltes Änderungspaket, das mehrere Aspekte der KI-Regulierung gleichzeitig adressiert – kein Neustart, sondern eine Kalibrierung.
Für KMU ergibt sich daraus ein differenziertes Bild: Mehr Zeit für Hochrisiko-Compliance, aber weniger Zeit bis zur ersten unmittelbar wirksamen Pflicht. Die Kennzeichnungspflicht, die viele Betriebe mit KI-gestützter Kommunikation direkt betrifft, wurde nicht verschoben. Wer also einen KI-Chatbot auf der Website betreibt oder KI-generierte Texte veröffentlicht, muss ab August 2026 handeln – unabhängig von allen anderen Fristverschiebungen.
Den offiziellen Volltext der EU-KI-Verordnung finden Sie auf EUR-Lex (eur-lex.europa.eu). Aktuelle Leitlinien und Hinweise des EU-KI-Büros veröffentlicht die EU-Kommission auf ihrer KI-Strategie-Seite.
Wer lieber hört statt liest – hier die Audio-Version dieses Artikels:
Transkript anzeigen
In dieser Episode erklärt Robert Werkier, was der am 7. Mai 2026 verabschiedete EU AI Act Digital Omnibus für kleine und mittlere Unternehmen in Deutschland bedeutet. Im Mittelpunkt stehen die verschobenen Fristen für Hochrisiko-KI-Systeme – Standalone bis Dezember 2027, integrierte Systeme bis August 2028 – sowie die erhöhten Maximalstrafen von bis zu 35 Millionen Euro. Gleichzeitig erklärt er, warum die Kennzeichnungspflicht für KI-generierte Inhalte trotzdem pünktlich ab August 2026 kommt und wie KMU mit einer 5-Schritte-Checkliste compliance-ready werden, ohne dabei unnötig Zeit und Geld zu investieren.
Die neuen Fristen im Überblick
Das Wichtigste zuerst: Der Digital Omnibus unterscheidet erstmals explizit zwischen eigenständigen Hochrisiko-KI-Systemen (Standalone) und KI-Funktionen, die in bestehende Softwareprodukte integriert sind. Diese Unterscheidung hat erhebliche praktische Konsequenzen für KMU, die Standardsoftware mit eingebetteter KI verwenden – also zum Beispiel HR-Software mit automatisierter Bewerberanalyse oder CRM-Systeme mit KI-gestützter Lead-Bewertung.
| Pflicht / Bereich | Ursprüngliche Frist | Neue Frist (Digital Omnibus) | Relevant für KMU? |
|---|---|---|---|
| Verbote (Social Scoring etc.) | 2. Feb. 2025 | Unverändert: 2. Feb. 2025 | Kaum – betrifft Standard-KMU nicht |
| Kennzeichnungspflicht KI-Chatbots & KI-generierte Inhalte | 2. Aug. 2026 | Unverändert: Aug. 2026 | Ja – alle KMU mit KI-Kundenkontakt |
| Hochrisiko-KI NEU Standalone-Systeme | 2. Aug. 2026 | Dez. 2027 | Ja – wenn eigenständige HR-/Kredit-KI eingesetzt wird |
| Hochrisiko-KI NEU Integrierte Systeme | 2. Aug. 2026 | Aug. 2028 | Ja – wenn Standardsoftware mit KI-Entscheidungsfunktionen genutzt wird |
| Vollständige Geltung der Verordnung | 2. Aug. 2027 | Angepasst an neue Fristen | Dann vollständige Compliance prüfen |
Die Fristverschiebung für Hochrisiko-KI bedeutet keine Entwarnung – sie ist eine Atempause. Die Kennzeichnungspflicht ab August 2026 ist davon völlig unberührt und kommt pünktlich. Wer jetzt zu entspannt reagiert und auch die Dokumentation seiner Hochrisiko-Systeme auf die lange Bank schiebt, riskiert im Jahr 2027 unter Zeitdruck zu geraten.
Standalone vs. Integriert: Die entscheidende Unterscheidung
Die Differenzierung zwischen Standalone und integriert ist für viele KMU praxisrelevanter als sie auf den ersten Blick erscheint. Ein Standalone-System ist eine KI-Anwendung, die als eigenständiges Produkt beschafft und eingesetzt wird – beispielsweise ein dediziertes KI-Tool zur Bewerberauswahl oder ein KI-gestützter Kreditscoring-Dienst via API. Ein integriertes System hingegen ist KI, die als Funktion innerhalb einer größeren Softwarelösung eingebettet ist – etwa die KI-gestützte Prioritätsbewertung in Ihrem CRM oder die automatische Dokumentenklassifizierung in DATEV. Diese Systeme fallen bis August 2028 unter die verlängerte Frist.
In meiner Beratungspraxis zeigt sich: Die meisten KMU setzen überwiegend integrierte KI-Systeme ein. Das bedeutet: Die Mehrheit der betroffenen Betriebe hat mehr Zeit als gedacht – aber nur, wenn sie die Einordnung korrekt vornehmen und dokumentieren.
Bußgelder steigen auf 35 Mio. Euro – was das für KMU bedeutet
Der Digital Omnibus setzt die Maximalstrafen für Verstöße gegen die EU-KI-Verordnung auf 35 Millionen Euro bzw. 7 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt. Diese Zahlen klingen für ein 20-Personen-Unternehmen abstrakt, haben aber eine direkte Botschaft: Die EU meint es ernst mit der Durchsetzung. Das Bußgeldsystem ist dabei abgestuft:
| Verstoßart | Maximalstrafe | KMU-Relevanz |
|---|---|---|
| Verbotene KI-Praktiken (Social Scoring, Manipulation) | 35 Mio. € / 7 % Umsatz | Sehr gering – trifft Standardbetriebe nicht |
| Verstöße bei Hochrisiko-KI (fehlende Dokumentation, Konformitätsbewertung) | 15 Mio. € / 3 % Umsatz | Mittel – betrifft KMU mit HR- oder Kreditentscheidungs-KI |
| Falsche oder irreführende Angaben gegenüber Behörden | 7,5 Mio. € / 1 % Umsatz | Gering – betrifft aktiv handelnde Verstöße |
| Fehlende Kennzeichnung KI-generierter Inhalte | Gestaffelt (national) | Mittel – betrifft alle KMU mit KI-Kundenkommunikation ab Aug. 2026 |
Wichtig: Die Verordnung sieht für KMU und Start-ups ausdrücklich verhältnismäßige Obergrenzen vor. Die absolute Zahl gilt für große Konzerne. Bei einem Jahresumsatz von 2 Millionen Euro wäre die Obergrenze beim 7-%-Satz 140.000 Euro – erheblich, aber kein Existenzvernichter, wenn der Verstoß nicht vorsätzlich erfolgte. Die Aufsichtsbehörden sind außerdem gehalten, zunächst Beratung und Verwarnungen einzusetzen, bevor sie maximale Bußgelder verhängen.
Die vollständigen KI-Tools für KMU, die im Rahmen des EU AI Act als minimal riskant eingestuft sind, habe ich in einem separaten Praxisartikel zusammengestellt – inklusive Hinweisen, welche Datenschutzvereinbarungen jeweils notwendig sind.
Kennzeichnungspflicht ab August 2026: Was KMU jetzt vorbereiten müssen
Dieser Termin wurde durch den Digital Omnibus nicht verändert und kommt pünktlich: Ab August 2026 gilt in der EU die Pflicht, KI-generierte Texte, Bilder, Audio- und Videoinhalte als solche kenntlich zu machen – und KI-Chatbots müssen sich bei Gesprächsbeginn als KI vorstellen. Das klingt technisch aufwändiger als es ist.
Was konkret als „KI-generiert" gekennzeichnet werden muss
- Chatbots auf der Website: Ein Hinweis wie „Dieser Chat wird von KI unterstützt" zu Gesprächsbeginn genügt. Kein Pop-up, keine gesonderte Seite – ein Satz in der Chatbox-Beschriftung reicht.
- KI-generierte Texte: Wenn ein Blogartikel, eine Produktbeschreibung oder eine Pressemitteilung vollständig oder wesentlich von einer KI erstellt wurde und im direkten Kundenkontakt steht, ist eine Kennzeichnung erforderlich. Interne Dokumente sind ausgenommen.
- Bilder und Videos: KI-generierte Werbegrafiken, Produktfotos oder Social-Media-Inhalte brauchen einen erkennbaren Hinweis. Ein dezentes „KI-generiert"-Label im Bildbereich oder in der Caption ist ausreichend.
- Deepfakes zu satire- oder parodistischen Zwecken: Hier gilt eine Ausnahmeregelung – aber nur, wenn der Charakter der Satire für den Durchschnittsnutzer offensichtlich ist.
Was nicht unter die Kennzeichnungspflicht fällt: Texte, die Sie mit KI-Unterstützung erstellt, dann aber wesentlich überarbeitet haben. Der Gesetzgeber zielt auf Inhalte ab, bei denen KI der primäre Autor ist – nicht auf KI als Schreibhilfe. Eine Faustregel für die Praxis: Wenn Sie mehr als 50 % des Textes inhaltlich überarbeitet haben, sind Sie auf der sicheren Seite.
Wie eine DSGVO- und EU-AI-Act-konforme KI-Content-Strategie für KMU aussieht – von der Planung bis zur Kennzeichnung – habe ich in einem eigenen Leitfaden detailliert beschrieben.
Führen Sie bis Juli 2026 ein einfaches „KI-Inhalts-Register": Eine zweispaltige Tabelle mit (1) Wo setzen wir KI-generierte Inhalte im Kundenkontakt ein? und (2) Wie kennzeichnen wir das? Dieser 30-Minuten-Check erspart Ihnen später Diskussionen mit Behörden – und gibt Ihnen gleichzeitig einen guten Überblick über Ihren tatsächlichen KI-Einsatz. Bei mehr als drei Positionen in dieser Tabelle empfehle ich eine kurze rechtliche Beratung.
In 5 Schritten zur Digital-Omnibus-Compliance
Diese Checkliste fasst zusammen, was KMU jetzt tun sollten – nicht irgendwann, sondern geordnet nach Dringlichkeit. Schritt 3 ist für die meisten Betriebe die erste echte Deadline.
Alle im Unternehmen eingesetzten KI-Systeme auflisten – inklusive KI-Funktionen in Standardsoftware wie Microsoft 365 Copilot, DATEV, CRM-Tools oder HR-Plattformen. Fragen Sie sich für jedes Tool: Trifft es automatisiert Entscheidungen über Personen? Dann ist es potenziell Hochrisiko.
Für jedes Hochrisiko-System prüfen: Ist es ein eigenständiges Tool (Standalone → Frist Dez. 2027) oder eine eingebettete Funktion in vorhandener Software (integriert → Frist Aug. 2028)? Diese Einordnung dokumentieren – sie ist im Zweifelsfall Ihr wichtigstes Compliance-Argument gegenüber Behörden.
Prüfen Sie bis Juli 2026: Haben Sie KI-Chatbots auf der Website? Veröffentlichen Sie KI-generierte Texte, Bilder oder Videos im Kundenkontakt? Wenn ja: Kennzeichnung planen und umsetzen. Chatbot-Hinweis in der UI, Bildunterschriften anpassen, Content-Richtlinie für das Team erstellen.
Falls Sie bereits eine KI-Nutzungsrichtlinie haben: Fristen und Bußgeldstufen aktualisieren. Falls nicht: Jetzt erstellen. Eine Seite reicht – welche Tools für welche Zwecke, welche Daten dürfen nicht eingegeben werden, und wer im Unternehmen ist verantwortlich für KI-Compliance-Fragen.
Drei Termine ins System: (1) Juli 2026 – Kennzeichnung prüfen und umsetzen. (2) Juni 2027 – Standalone-Hochrisiko-KI: 6 Monate vor Dezember-Deadline Dokumentation fertigstellen. (3) Februar 2028 – Integrierte Systeme: 6 Monate vor August 2028. BSI-Orientierungshilfen unter bsi.bund.de kostenlos nutzen.
"Wir hatten nach dem Digital Omnibus das Gefühl, wieder von vorn anfangen zu müssen. Roberts strukturierte Einordnung hat uns in zwei Stunden klargemacht: 90 % unserer KI-Tools sind integriert, wir haben mehr Zeit als gedacht – und müssen jetzt nur noch die Chatbot-Kennzeichnung bis August regeln."
Häufige Fragen zum EU AI Act Digital Omnibus
Was ist der EU AI Act Digital Omnibus?
Der EU AI Act Digital Omnibus ist ein am 7. Mai 2026 per Eilbeschluss verabschiedetes Änderungspaket zur EU-KI-Verordnung. Es verschiebt die Compliance-Fristen für Hochrisiko-KI deutlich nach hinten – Standalone-Systeme bis Dezember 2027, integrierte Systeme bis August 2028 – und erhöht gleichzeitig die Maximalstrafen auf 35 Millionen Euro bzw. 7 % des weltweiten Jahresumsatzes. Die Kennzeichnungspflicht für KI-generierte Inhalte ab August 2026 wurde nicht verändert.
Welche neuen Fristen gelten für Hochrisiko-KI nach dem Digital Omnibus?
Der Digital Omnibus unterscheidet jetzt zwischen zwei Kategorien: Eigenständige Hochrisiko-KI-Systeme (Standalone) müssen bis Dezember 2027 compliant sein. KI-Funktionen, die in bestehende Softwareprodukte integriert sind – etwa KI in CRM, HR-Tools oder Buchhaltungssoftware – haben bis August 2028 Zeit. Die korrekte Einordnung Ihres Systems in eine dieser Kategorien ist der erste und wichtigste Compliance-Schritt.
Wann tritt die Kennzeichnungspflicht für KI-generierte Inhalte in Kraft?
Die Kennzeichnungspflicht für KI-generierte Texte, Bilder und Videos sowie für KI-Chatbots gilt ab August 2026 – dieser Termin wurde durch den Digital Omnibus nicht verschoben. KMU, die KI-Chatbots auf ihrer Website betreiben oder wesentlich KI-generierte Inhalte im Kundenkontakt einsetzen, müssen ab dann eine eindeutige Kennzeichnung vornehmen. Ein kurzer Hinweis im Interface oder in der Bildunterschrift ist ausreichend.
Welche Bußgelder drohen nach dem Digital Omnibus?
Die Maximalstrafen wurden auf 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes gesetzt – je nachdem, was höher ist. Diese Obergrenze gilt für die schwersten Verstöße (verbotene KI-Praktiken). Für fehlerhafte Dokumentation bei Hochrisiko-KI sind es bis zu 15 Millionen Euro oder 3 % des Umsatzes. Für KMU sieht die Verordnung ausdrücklich verhältnismäßige, am Unternehmensumsatz orientierte Obergrenzen vor.
Müssen KMU trotz Fristverschiebung jetzt handeln?
Ja – aber selektiv. Die Kennzeichnungspflicht ab August 2026 kommt pünktlich und ist für alle KMU mit KI-Kundenkontakt relevant. Bei Hochrisiko-KI bleibt mehr Spielraum, aber frühzeitiges Dokumentieren und Einordnen ist trotzdem sinnvoll: Die Unterscheidung zwischen Standalone und integriert zu klären dauert weniger als einen halben Tag und schafft die Grundlage für alle weiteren Compliance-Maßnahmen.
Digital Omnibus auf einen Blick: neue Fristen, Bußgeldtabelle, Kennzeichnungsregeln und die 5-Schritte-Checkliste – kompakt zum Speichern, Ausdrucken oder im Team teilen.
PDF herunterladen"Endlich eine klare Einordnung des Digital Omnibus ohne Juristendeutsch. Die Unterscheidung Standalone vs. integriert hat uns sofort geholfen, unsere Softwarelandschaft richtig einzuordnen." – Thomas R., Inhaber, IT-Dienstleister, 15 Mitarbeitende, Bayern
KI-Compliance ohne Aufwand – für Ihr KMU?
Ich helfe KMU dabei, den EU AI Act und den Digital Omnibus pragmatisch umzusetzen: Einordnung der KI-Systeme, Kennzeichnungskonzept, interne Richtlinie – und parallel KI-Content, der Sichtbarkeit schafft. Monatlich planbar. Ab 590 €/Monat.
Kostenloses Erstgespräch sichern