EU AI Act: Die Hochrisiko-Fristen wurden verschoben — was der Omnibus für den Mittelstand wirklich bedeutet

Im Mai 2026 hat sich die EU auf etwas geeinigt, das viele Compliance-Verantwortliche im Mittelstand erst einmal aufatmen ließ: Die zentrale Hochrisiko-Frist des AI Act, ursprünglich der 2. August 2026, ist nach hinten gerückt. Wer das als „Thema erledigt, kümmern wir uns 2027 drum" liest, hat die Einigung allerdings missverstanden — und unterschätzt, wie kurz der reale Vorlauf trotzdem ist.

Dieser Artikel ordnet ein, was der sogenannte Digital Omnibus konkret ändert, was unverändert in Kraft bleibt, und welche zwei Dinge ein mittelständisches Unternehmen jetzt — nicht 2027 — tun sollte.

Was der Digital Omnibus geändert hat

Am 7. Mai 2026 haben sich Rat, Parlament und Kommission politisch auf den Digital Omnibus auf KI geeinigt. Der Kern: Die Pflichten für Hochrisiko-KI-Systeme werden verschoben, weil die harmonisierten Normen und die nötige Infrastruktur (benannte Stellen, zuständige Behörden) schlicht nicht rechtzeitig fertig wurden.

Die neuen Stichtage hängen davon ab, wie ein System hochriskant ist:

• Standalone-Systeme nach Annex III (z. B. KI im Recruiting, Bonitätsbewertung, Biometrie, bestimmte Bildungs- und Infrastruktur-Anwendungen): verschoben vom 2. August 2026 auf 2. Dezember 2027 — rund 16 Monate mehr.
• KI in regulierten Produkten nach Annex I (z. B. Medizinprodukte unter MDR/IVDR, Maschinen, Funkanlagen): verschoben vom 2. August 2027 auf 2. August 2028 — rund 12 Monate mehr.

Wichtig für die Praxis: Gerade im Medical-AI-Umfeld sind viele Systeme Annex I, nicht Annex III — ihr Stichtag ist also August 2028, nicht Dezember 2027. Eine pauschale „Dezember 2027"-Aussage ist für Medizinprodukte schlicht falsch.

Was ausdrücklich nicht verschoben wurde

Hier liegt das häufigste Missverständnis. Verschoben wurden nur die Hochrisiko-Pflichten. Zwei Bausteine des AI Act sind längst in Kraft und bleiben es:

• Verbotene Praktiken (Artikel 5) gelten seit dem 2. Februar 2025. Social Scoring, bestimmte manipulative Systeme, ungezielte Gesichtsdatenbanken etc. sind heute schon untersagt — unabhängig vom Omnibus.
• Pflichten für GPAI / General-Purpose-AI-Modelle gelten seit dem 2. August 2025.

Wer also generative KI einsetzt oder Funktionen baut, die in die verbotene Zone fallen könnten, hat keinen Aufschub bekommen — diese Uhr läuft bereits.

„Noch nicht Gesetz": der Status, den viele übersehen

Die Einigung vom 7. Mai 2026 ist eine vorläufige politische Einigung. Sie wird erst mit der formellen Verabschiedung und Veröffentlichung im EU-Amtsblatt rechtsverbindlich. Bis dahin bleibt formal der 2. August 2026 in Kraft.

Praktisch heißt das: Planen Sie mit Dezember 2027 bzw. August 2028 als Anker — aber behandeln Sie die finale Verabschiedung als noch offenen Punkt, den Sie im weiteren Jahresverlauf bestätigen. Es ist ein politischer Konsens, kein abgeschlossener Gesetzgebungsakt.

Warum „mehr Zeit" trügerisch ist

Drei Gründe, warum 2027/2028 näher ist, als der Kalender suggeriert:

1. Konformitätsbewertungsstellen sind bereits 4–6 Monate ausgebucht. Wer eine externe Bewertung braucht, muss den Slot lange vorher sichern. Der effektive Vorlauf ist also deutlich kürzer als die nominelle Frist.
2. Harmonisierte Normen kommen spät — und dann muss man sie umsetzen. Genau ihr Verzug war der Grund für die Verschiebung. Sobald sie da sind, beginnt erst die eigentliche Arbeit an Risikomanagement, technischer Dokumentation und Logging.
3. Die Pflichten sind keine Formalie. Risikomanagementsystem (Art. 9), Datenverwaltung (Art. 10), technische Dokumentation (Art. 11 + Annex IV), Aufzeichnungspflichten (Art. 12), Transparenz (Art. 13), menschliche Aufsicht (Art. 14) und Konformitätsbewertung (Art. 43) lassen sich nicht in zwei Wochen nachreichen.

Für den Mittelstand kommt hinzu: Diese Arbeit landet meist bei einem kleinen Team, das parallel den Normalbetrieb stemmt. „Wir machen das später" bedeutet in der Praxis oft „wir machen es unter Zeitdruck schlechter".

Was Sie jetzt tun sollten — in zwei Schritten

Erstens: Klassifizieren. Bevor irgendeine Frist relevant ist, müssen Sie wissen, ob und wie Ihr System unter den AI Act fällt — verboten, hochriskant (Annex I oder III), begrenztes oder minimales Risiko. Diese Einordnung bestimmt alles Weitere, inklusive des für Sie geltenden Stichtags. Genau dafür gibt es unseren kostenlosen EU AI Act Readiness Check: 10 Fragen, ein Bericht mit Risikoklasse, anwendbaren Pflichten und einem konkreten Aktionsplan — für Medical AI und alle anderen Branchen.

Zweitens: Lücken schließen, solange Zeit ist. Nutzen Sie den gewonnenen Vorlauf für die Dinge mit langer Vorlaufzeit — Datenqualität und -governance, technische Dokumentation, Logging-Architektur und die frühzeitige Reservierung eines Slots bei einer benannten Stelle. Das sind keine Themen, die man am Ende „schnell" erledigt.

Wenn Sie bei der Architektur DSGVO- und MDR-konformer KI-Systeme tiefer einsteigen wollen, hilft unser Medical-AI-Architektur-Leitfaden weiter. Und wenn Sie ein konkretes System einordnen oder die Umsetzung planen möchten, besprechen wir das gern in 30 Minuten — Architektur-Review statt Sales-Pitch.

---

Dieser Beitrag dient der ersten Orientierung und ist keine Rechtsberatung. Für verbindliche Compliance-Aussagen ziehen Sie eine fachkundige Beratung hinzu. Stand: Juni 2026; die finale Verabschiedung des Digital Omnibus stand zu diesem Zeitpunkt noch aus.