Worum es beim Digital Omnibus geht
Am 7. Mai 2026 hat sich die EU auf den „Digital Omnibus on AI" verständigt — ein Gesetzespaket, das mehrere zentrale Fristen des KI-Gesetzes (AI Act) nach hinten verschiebt. Die wichtigste Änderung betrifft Hochrisiko-KI-Systeme nach Anhang III des AI Act: Sie müssen die strengen Vorgaben nun erst zum 2. Dezember 2027 erfüllen — statt wie ursprünglich vorgesehen im Sommer 2026.
Anhang III benennt die sensiblen Einsatzfelder: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung und Personalwesen, Strafverfolgung, Grenzkontrolle. Der Grund für die Verschiebung ist sachlich: Die technischen Normen, an denen sich Unternehmen bei der Umsetzung orientieren sollen, sind vom zuständigen European AI Office noch nicht fertiggestellt. Ohne fertige Standards lässt sich kaum rechtssicher umsetzen — also gibt es mehr Zeit.
In vielen Schlagzeilen klingt das nach Entwarnung. Für die meisten kleinen und mittleren Unternehmen ist es das nicht — jedenfalls nicht so, wie es oft verstanden wird.
Der gefährliche Kurzschluss
Die naheliegende Reaktion lautet: „Dann betrifft mich das KI-Gesetz eben erst 2027." Dieser Schluss ist falsch — und er kann teuer werden.
Der Grund liegt in einer Unterscheidung, die in der Berichterstattung oft untergeht. Die verschobene Frist betrifft ausschließlich das Hochrisiko-Regime — also Unternehmen, die solche Systeme entwickeln oder betreiben. Die allermeisten KMU tun das nicht. Sie entwickeln keine KI, sie nutzen sie: ChatGPT, Microsoft Copilot, Google Gemini, KI-Funktionen in ihrer Branchensoftware. Für diese alltägliche Nutzung ändert der Digital Omnibus wenig. Die Pflichten, die hier greifen, sind andere — und ein Teil davon gilt längst.
Was schon heute gilt — unabhängig von der Verschiebung
Zwei Regelungen sind seit Februar 2025 in Kraft und werden vom Digital Omnibus nicht angetastet:
Verbotene KI-Praktiken. Bestimmte Einsatzformen sind grundsätzlich untersagt — etwa Social Scoring oder Systeme, die Menschen gezielt manipulieren. Für den Büroalltag der meisten KMU ist das selten relevant, sollte aber bekannt sein.
Die Pflicht zur KI-Kompetenz. Artikel 4 des AI Act verlangt, dass Unternehmen sicherstellen: Wer KI einsetzt, verfügt über ausreichende KI-Kompetenz — ein Grundverständnis von Funktionsweise, Möglichkeiten und Grenzen der eingesetzten Werkzeuge. Diese Pflicht gilt seit dem 2. Februar 2025 und betrifft praktisch jedes Unternehmen, in dem Mitarbeitende KI-Werkzeuge verwenden. In der Praxis wird sie am häufigsten übersehen.
Hinzu kommt ein Termin, der näher liegt als Dezember 2027: Voraussichtlich ab Dezember 2026 greift eine erweiterte Transparenzpflicht. KI-generierte Inhalte müssen als solche erkennbar sein, und Nutzer müssen es mitbekommen, wenn sie mit einem KI-System interagieren — etwa mit einem Chatbot auf Ihrer Website.
Wann „Hochrisiko" Sie doch direkt betrifft
Es gibt einen Bereich, in dem auch ein klassisches KMU schnell im Hochrisiko-Regime landet: das Personalwesen. KI-gestützte Werkzeuge, die Bewerbungen vorsortieren, Lebensläufe bewerten oder Kandidaten in eine Rangfolge bringen, fallen unter Anhang III. Wer ein solches Tool im Recruiting einsetzt, ist betroffen — auch als kleines Unternehmen.
Für genau diese Fälle ist die Verschiebung eine echte Erleichterung: mehr Zeit, die Anforderungen sauber umzusetzen. Vorausgesetzt, Sie wissen überhaupt, dass eines Ihrer Werkzeuge in diese Kategorie fällt. Das herauszufinden ist der erste Schritt.
So nutzen Sie die gewonnene Zeit
Der Aufschub ist wertvoll — wenn Sie ihn nutzen, statt ihn verstreichen zu lassen. Fünf Schritte, die sich ohne großen Aufwand umsetzen lassen:
| Schritt | Was zu tun ist |
|---|---|
| Bestandsaufnahme | Auflisten, welche KI-Werkzeuge im Unternehmen genutzt werden — auch inoffiziell |
| Einordnung | Prüfen, ob ein Werkzeug unter Hochrisiko fällt, besonders im Personalbereich |
| KI-Kompetenz | Mitarbeitende schulen — das ist bereits Pflicht, kein Zukunftsthema |
| Datenschutz | DSGVO-konforme Einrichtung sichern, Auftragsverarbeitung klären |
| Leitlinie | Eine interne KI-Richtlinie festlegen: was eingegeben werden darf, was nicht |
Keiner dieser Schritte erfordert das fertige Standardwerk aus Brüssel. Sie schaffen damit Ordnung im eigenen Haus — und genau diese Ordnung ist die Grundlage, auf der jede spätere Pflicht problemlos aufsetzt.
Aufschub ist kein Freibrief
Die verschobene Frist ist eine Atempause, kein Schlussstrich. Unternehmen, die die Zeit nutzen, um ihren KI-Einsatz sauber aufzustellen — Überblick, Schulung, klare Regeln —, gehen dem Dezember 2027 gelassen entgegen. Wer „2027" mit „später" übersetzt, wird im Herbst 2027 dasselbe tun wie alle anderen, nur unter Zeitdruck.
Und die Pflichten des Alltags — KI-Kompetenz und Transparenz — warten ohnehin nicht auf das Hochrisiko-Datum. Sie gelten jetzt. Die ehrlichste Lesart des Digital Omnibus lautet deshalb nicht „mehr Zeit zum Abwarten", sondern „mehr Zeit, es richtig zu machen".