EU AI Act 2026: Neue Fristen, neue Pflichten – was der Mittelstand jetzt wissen muss

Die Uhr tickt anders als gedacht

Am 2. August 2026 sollten eigentlich die Pflichten für Hochrisiko-KI-Systeme nach Annex III in Kraft treten: Risikomanagement, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Registrierung in der EU-Datenbank. Der 2. August 2026, das ist in weniger als zwei Monaten.

Doch am 7. Mai 2026 einigten sich Rat, Parlament und Kommission auf den Digital Omnibus on AI, das erste Änderungspaket zum AI Act seit seiner Verabschiedung im Juni 2024. Die Kernbotschaft für den Mittelstand: die Fristen wurden verschoben, die Pflichten bleiben.

Das verschafft Zeit, sollte aber nicht als Entwarnung missverstanden werden. Wer KI-Systeme einsetzt oder entwickelt, muss die neue Zeitachse kennen und die Vorbereitungen jetzt priorisieren.

Die neuen Fristen im Überblick

Die Verschiebungen folgen einem zweistufigen Modell:

Annex III Hochrisiko-KI-Systeme, also nutzungsbasierte Systeme in sensiblen Bereichen wie Personalmanagement, Kreditwürdigkeit oder kritischer Infrastruktur: Die Verpflichtungen verschieben sich vom 2. August 2026 auf den 2. Dezember 2027, ein Aufschub von 16 Monaten.

Annex I Hochrisiko-KI-Systeme, also produktregulierte Systeme in Maschinen, Aufzügen, Medizinprodukten: Statt August 2027 nun August 2028, ein Jahr zusätzlich.

Transparenzpflichten nach Artikel 50 Absatz 2, die Kennzeichnung KI-generierter Inhalte: Für Systeme, die vor dem 2. August 2026 in Verkehr gebracht wurden, verschiebt sich die Pflicht auf den 2. Dezember 2026. Systeme, die danach auf den Markt kommen, müssen ab Tag eins gekennzeichnet sein.

Nationale KI-Regulierungssandboxen: Die Mitgliedstaaten haben nun bis August 2027 Zeit, statt August 2026.

Die Verschiebungen spiegeln die praktischen Schwierigkeiten bei der Operationalisierung wider. Normungsgremien wie CEN-CENELEC brauchen mehr Zeit für Standards, Konformitätsbewertungsstellen müssen aufgebaut werden, und Unternehmen fehlen schlicht die Ressourcen.

Neue Verbote ab Dezember 2026

Neben den Fristverschiebungen bringt der Digital Omnibus zwei neue Verbote, die Artikel 5 des AI Act ergänzen: die Erstellung von nicht-einvernehmlichem intimen Bildmaterial und von Material sexuellen Kindesmissbrauchs mittels KI. Diese Verbote treten am 2. Dezember 2026 in Kraft.

Für Unternehmen relevant ist die Differenzierung: Anbieter haften, wenn die Erstellung solcher Inhalte der bestimmungsgemäße Zweck ist oder ein vorhersehbares und reproduzierbares Ergebnis ohne wirksame Sicherheitsmaßnahmen darstellt. Betreiber haften nur, wenn sie Systeme gezielt für diese Zwecke einsetzen, inklusive Umgehung von Sicherheitsmaßnahmen.

Was der AI Act für den Mittelstand konkret bedeutet

Die meisten mittelständischen Unternehmen sind weder Anbieter von GPAI-Modellen noch Betreiber von Hochrisiko-KI in kritischen Infrastrukturen. Trotzdem betrifft der AI Act sie, oft indirekt:

Transparenzpflicht: Wer KI-generierte Inhalte veröffentlicht, Texte, Bilder, Audio, muss künftig kennzeichnen, dass sie künstlich erzeugt oder manipuliert wurden. Das betrifft Marketingabteilungen, Content-Teams und externe Kommunikation.

Betreiberpflichten: Wer ein KI-System nutzt, das unter den AI Act fällt, muss es gemäß den Anbieteranweisungen betreiben, geschultes Personal für die menschliche Aufsicht bereitstellen und Vorfälle melden. Die wenigsten Unternehmen haben heute einen Prozess für KI-Incident-Reporting.

Dokumentation: Der AI Act fordert Nachvollziehbarkeit. Unternehmen müssen dokumentieren, welche KI-Systeme sie einsetzen, zu welchem Zweck und mit welchen Daten. Eine Anforderung, die in den meisten KMU aktuell nicht erfüllt wird.

KI-Kompetenz: Artikel 4 verlangt, dass Mitarbeitende, die KI-Systeme betreiben, über ausreichende KI-Kompetenz verfügen. Das ist keine technische, sondern eine organisatorische Pflicht mit Nachweisanforderung.

Human-in-the-Loop als Compliance-Strategie

Ein zentrales Prinzip des AI Act ist die menschliche Aufsicht über Hochrisiko-KI-Systeme, Artikel 14. Die natürliche Person muss die Fähigkeit haben, das System zu überwachen, zu interpretieren, zu übersteuern oder abzuschalten.

Das entspricht dem Human-in-the-Loop-Prinzip, das centerbit seit Gründung vertritt: KI-Agenten arbeiten innerhalb definierter Grenzen, kritische Entscheidungen bleiben beim Menschen. Was für viele Unternehmen eine neue regulatorische Anforderung ist, ist für HITL-basierte Systeme bereits Architekturprinzip.

Die Frage ist nicht, ob Unternehmen KI einsetzen. Sondern ob sie nachweisen können, dass ein Mensch die letzte Entscheidung trifft, wo es rechtlich oder ethisch darauf ankommt.

Drei Schritte für die nächsten 12 Monate

Erstens: Bestandsaufnahme. Welche KI-Systeme sind heute im Unternehmen im Einsatz, intern und extern? Wer betreibt sie, mit welchen Daten, zu welchem Zweck? Die meisten Unternehmen wissen das nicht vollständig, und genau darin liegt das Risiko.

Zweitens: KI-Governance aufbauen. Eine zentrale Stelle oder Person, die den KI-Einsatz dokumentiert, Risikobewertungen durchführt und als Ansprechpartner für Aufsichtsbehörden fungiert. Das muss kein Vollzeitjob sein, aber es muss eine klare Zuständigkeit geben.

Drittens: HITL-Strukturen implementieren. Für jedes KI-System muss definiert sein, wo die Grenze zwischen Automatisierung und menschlicher Entscheidung verläuft. Das ist nicht nur regulatorisch geboten, sondern auch betriebswirtschaftlich sinnvoll, niemand will, dass eine ungeprüfte KI rechtsverbindliche Dokumente erstellt oder Kundenentscheidungen trifft.

Fazit

Der Digital Omnibus vom Mai 2026 ist eine Atempause, keine Aufhebung. Die Fristen wurden verlängert, die Pflichten präzisiert. Unternehmen, die jetzt mit der Bestandsaufnahme und Governance beginnen, werden die neuen Deadlines ohne Hektik erreichen. Wer wartet, bis die Aufsichtsbehörde nach der Dokumentation fragt, handelt fahrlässig.