mediapool
KI-Strategie

AI Act im April-Update: Was sich verschiebt und was KMU JETZT trotzdem machen müssen

Der EU AI Act wird neu verhandelt. Was sich mit dem Digital Omnibus on AI verschiebt, was trotzdem gilt und welche drei Schritte KMUs im DACH-Raum jetzt umsetzen müssen.

Florian Semmler
F

Florian Semmler

ca. 10 Min. Lesezeit
AI Act im April-Update: Was sich verschiebt und was KMU JETZT trotzdem machen müssen

Der AI Act KMU 2026 ist gerade in der spannendsten Phase seit dem Inkrafttreten. Anfang April hat die Europäische Kommission mit dem Digital Omnibus on AI einen Vorschlag eingebracht, der zentrale Fristen verschiebt und einzelne Pflichten erleichtern soll. Rat und Parlament haben ihre Positionen festgelegt, am 28. April läuft die zweite Trilog-Runde. Bis Mai soll eine Einigung stehen.

Was heißt das für dich als KMU im DACH-Raum? Kurz: Es wird voraussichtlich mehr Zeit geben, bestimmte Dinge umzusetzen. Aber es wird keinen Freifahrtschein geben. Und mindestens eine zentrale Pflicht – die KI-Kompetenzpflicht nach Artikel 4 – gilt seit Februar 2025 ohnehin schon. In diesem Artikel ordnen wir ein, was wirklich passiert, was sich verschiebt, was bleibt, und welche drei Schritte du jetzt unabhängig vom Verhandlungsausgang machen solltest.

Was wird mit dem Digital Omnibus on AI verschoben — und um wie lange?

Der Digital Omnibus on AI ist ein Sammeländerungsantrag, mit dem die EU-Kommission den AI Act anpassen will. Hintergrund: Mehrere Probleme bei der Umsetzung machen das ursprüngliche Tempo unrealistisch.

Erstens fehlen die harmonisierten europäischen Normen, die Unternehmen als Grundlage für den Konformitätsnachweis brauchen. Diese Normen werden voraussichtlich erst Ende 2026 oder später vorliegen. Ohne sie ist nicht klar, wie eine konforme technische Dokumentation überhaupt aussehen muss.

Zweitens schätzt die Kommission selbst, dass die initialen Compliance-Kosten für ein mittelständisches Unternehmen, das ein Hochrisiko-KI-System entwickelt, bis zu 600.000 Euro betragen. Das entspricht 30 bis 40 Prozent Gewinnbelastung – für viele Unternehmen unverhältnismäßig hoch.

Drittens hatten zum Zeitpunkt des Vorschlags nur acht von 27 EU-Mitgliedstaaten überhaupt eine zentrale Anlaufstelle für die KI-Marktüberwachung benannt. Ohne diese Aufsicht ist die Durchsetzung der Hochrisiko-Bestimmungen praktisch nicht möglich.

Was konkret verschoben werden soll:

  • Hochrisiko-KI nach Anhang III (eigenständige KI-Systeme in sensiblen Bereichen wie HR, Bildung, Strafverfolgung): voraussichtlich 2. Dezember 2027 statt August 2026.
  • Hochrisiko-KI nach Anhang I (KI in regulierten Produkten wie Medizinprodukten oder Maschinen): voraussichtlich 2. August 2028.
  • Wasserzeichen für KI-generierte Inhalte: zwischen November 2026 (Parlamentsposition) und Februar 2027 (Kommissionsvorschlag). Ein Kompromiss in der Mitte ist wahrscheinlich.

Was sich nicht verschiebt:

  • Verbotene KI-Praktiken nach Artikel 5 – sanktionsbewehrt seit August 2025.
  • KI-Kompetenzpflicht nach Artikel 4 – anwendbar seit Februar 2025.
  • Pflichten für allgemein einsetzbare KI (GPAI) nach Artikel 53 – anwendbar seit August 2025, Durchsetzung ab August 2026.
  • Transparenzpflichten nach Artikel 50 – ab 2. August 2026.

Wichtig: Diese Verschiebung schafft keine Pflicht ab. Sie verschiebt nur den Zeitpunkt der Durchsetzung. Wer sich darauf verlässt, dass Brüssel das Thema schon irgendwie versanden lässt, hat in 18 Monaten ein Problem.

Trilog am 28.04. — was passiert, wenn keine Einigung kommt?

Die formellen Verhandlungen zwischen Rat, Parlament und Kommission laufen seit Ende März. Der zweite Trilog am 28. April ist der entscheidende Termin für eine politische Einigung. Die zyprische Ratspräsidentschaft strebt einen Abschluss bis Mai 2026 an.

Der Zeitdruck ist real. Wenn der Digital Omnibus nicht vor dem 2. August 2026 verabschiedet und im EU-Amtsblatt veröffentlicht ist, greifen die ursprünglichen Fristen der KI-Verordnung. Das bedeutet: Die Hochrisiko-Bestimmungen würden am 2. August 2026 anwendbar – ohne Fristverschiebung, ohne Vereinfachung für den Mittelstand.

Zwischen einer möglichen Trilog-Einigung Ende April und dem 2. August liegen drei Monate für die formelle Annahme durch beide Organe und die Veröffentlichung im Amtsblatt. Das ist ambitioniert, aber bei breitem politischen Konsens machbar. Die gute Nachricht: Rat und Parlament sind sich in den Kernpunkten einig. Feste Fristen statt offener Termine. Registrierungspflicht bleibt. Strenge Erforderlichkeit bei sensiblen Daten wird wiederhergestellt.

Strittig ist vor allem die strukturelle Behandlung von Anhang I, also die Frage, wie KI in regulierten Produkten künftig zertifiziert wird. Das Parlament will hier weitergehen als der Rat. Die Wahrscheinlichkeit, dass es trotzdem zu einer Einigung kommt, ist hoch – aber nicht sicher.

So sehen wir es: Die Wahrscheinlichkeit für eine rechtzeitige Einigung liegt bei ungefähr 70 bis 80 Prozent. Das ist hoch, aber kein Grund, den Kopf in den Sand zu stecken. Plane für beide Szenarien.

Artikel 4 KI-Kompetenzpflicht — die Pflicht, die NICHT verschoben wird

Wenn du in den nächsten 30 Tagen nur eine Sache aus diesem Artikel mitnimmst, dann diese: Die KI-Kompetenzpflicht nach Artikel 4 EU AI Act gilt seit dem 2. Februar 2025. Sie wird durch den Digital Omnibus nicht verschoben. Und sie betrifft praktisch jedes Unternehmen, das KI einsetzt – also auch dich.

Die Kommission hatte ursprünglich vorgeschlagen, die direkte Anbieter- und Betreiberpflicht abzuschwächen und in eine institutionelle Förderungsaufgabe umzuwandeln. Das hätte bedeutet: Du als Unternehmen wärst nicht mehr direkt verpflichtet gewesen, deine Mitarbeiter zu schulen, sondern „nur noch“ aufgefordert, das zu unterstützen. Rat und Parlament haben diesen Vorschlag in ihren Positionen weitgehend zurückgewiesen. Beide tendieren dazu, die Pflicht in abgeschwächter Form, aber weiterhin verbindlich beizubehalten.

Heißt für dich: Die Pflicht bleibt. Wer KI im Unternehmen einsetzt – egal ob als Geschäftsführer, IT-Verantwortlicher oder Mitarbeiter – muss nachweisen können, dass die Beteiligten ein „ausreichendes Maß an KI-Kompetenz“ haben. Das ist keine Empfehlung. Das ist Gesetz, seit über einem Jahr.

In Österreich werden die ersten konkreten Aufsichtsverfahren erwartet, sobald die nationalen Strukturen vollständig stehen. Deutschland ist mit dem Bundesnetzagentur-Modell schon weiter. Wer 2027 von einem Audit überrascht wird, weil er „dachte, es sei nicht so dringend“, spart genau gar nichts.

Was bedeutet „ausreichende KI-Kompetenz“ nach Artikel 4 konkret?

Die Frage ist berechtigt. Im Gesetzestext steht nicht „pro Mitarbeiter X Stunden Schulung“ oder „Zertifikat Y muss vorliegen“. Stattdessen formuliert Artikel 4 eine pragmatische Verpflichtung. „Ausreichend“ heißt: angemessen für die Rolle der Person, das eingesetzte System und den Kontext.

Konkret heißt das in unserer Beratungspraxis:

Für Geschäftsführer und Entscheidungsträger: Verständnis dafür, was KI grundsätzlich kann und nicht kann. Wo die rechtlichen Risiken liegen (DSGVO, AI Act, Urheberrecht, Geschäftsgeheimnis). Wie eine KI-Strategie aussehen sollte. Welche Use Cases im eigenen Unternehmen Sinn machen. Das ist die Ebene, auf der unsere KI-Beratung ansetzt.

Für Mitarbeiter, die KI-Tools direkt nutzen: Praktische Bedienung der konkreten Tools (ChatGPT, Claude, Copilot). Bewusstsein für Halluzinationen und wie man sie erkennt. Datenschutz-Grundlagen: Welche Daten dürfen rein, welche nicht? Prompt-Hygiene. Verantwortungsbewusste Nutzung. Das ist die Ebene unserer KI-Zertifizierung.

Für IT- und Compliance-Verantwortliche: Vertieftes Wissen zu Risikobewertung, technischer Dokumentation, Anbieter-Pflichten und Aufsichtsstrukturen. Das geht über klassische Mitarbeiterschulung hinaus.

Wichtig: „Ausreichend“ ist keine absolute Größe, sondern relativ zur Rolle. Eine Buchhalterin, die ChatGPT für E-Mail-Entwürfe nutzt, braucht weniger tiefes Wissen als der CTO, der die unternehmensweite KI-Architektur verantwortet. Aber beide brauchen nachweislich etwas.

Wie dokumentierst du das? Drei Bausteine:

  • Schulungsnachweise mit Inhalt, Datum, Teilnehmer, Trainer, Dauer.
  • Interne KI-Richtlinie, die regelt, wer welche Tools wofür nutzen darf und welche Daten in welche Systeme dürfen.
  • Auditierbares KI-Inventar mit den eingesetzten Tools, Anbieter, Verantwortlichen und Risikoeinstufung.

Das klingt nach Bürokratie. Ist es teilweise auch. Aber ehrlich: Ein KMU mit 30 Mitarbeitern und vier KI-Tools im Einsatz schafft das in 8 bis 16 Stunden. Das ist kein riesiges Projekt. Es ist aber eines, das gemacht werden muss.

Drei Schritte, die jeder KMU im April umsetzen sollte

Egal wie der Trilog am 28. April ausgeht, egal ob die Hochrisiko-Fristen sich verschieben oder nicht – diese drei Schritte machen unabhängig vom Szenario Sinn. Wir raten unseren Beratungskunden zu genau dieser Reihenfolge.

Schritt 1: KI-Inventar erstellen

Der erste Schritt ist, eine Liste zu führen. Welche KI-Tools werden im Unternehmen eingesetzt? Wer nutzt sie? Wofür? Mit welchen Daten?

Das klingt einfach. Ist es aber selten. In unserer Beratungspraxis sehen wir regelmäßig, dass Geschäftsführer „drei Tools“ nennen – und nach einem 30-minütigen Workshop mit dem Team auf zwölf kommen. ChatGPT-Privataccounts. Eingebaute KI in Office. Übersetzungstools. Bildgeneratoren für Marketing. Recruiting-Software mit KI-Sourcing. Code-Assistenten für IT.

Was du brauchst: Eine einfache Tabelle mit den Spalten Tool, Anbieter, Einsatzbereich, verantwortliche Person, verarbeitete Datenkategorien, Risikoeinstufung (gering / mittel / hoch / hochrisiko nach AI Act). Das Inventar ist deine Compliance-Grundlage und gleichzeitig die Basis für jede sinnvolle KI-Strategie. Wer nicht weiß, was er einsetzt, kann es weder steuern noch absichern.

In unserer KI-Potenzialanalyse machen wir genau das systematisch. Aber du kannst auch selbst beginnen – mit einer halbtägigen internen Erhebung in den Abteilungen.

Schritt 2: KI-Schulung für alle Mitarbeiter

Sobald du weißt, was eingesetzt wird, brauchst du strukturierte KI-Schulung Mitarbeiter. Nicht ein optionales Webinar, das niemand schaut. Sondern eine verpflichtende Grundausbildung.

Mindestinhalte aus unserer Praxis:

  • Was kann KI – und was kann sie nicht? Halluzinationen erkennen.
  • Welche Daten dürfen in externe KI-Systeme – welche nicht?
  • Wie schreibe ich einen guten Prompt?
  • Welche internen Regeln gelten bei uns?
  • Was ist der EU AI Act – und warum betrifft er auch dich?
  • Wie nutze ich konkret die Tools, die wir einsetzen?

Wichtig ist die Dokumentation: Schulungsnachweis mit Teilnehmerliste, Datum, Inhalt und Trainer. Das ist im Audit das, was zählt. Mündlich „wir haben das mal besprochen“ reicht nicht.

Unser Leitfaden zum EU AI Act für KMU, der Einstiegsartikel zur KI-Einführung und unsere KI-Zertifizierung helfen dir, das intern sauber zu strukturieren.

Schritt 3: KI-Richtlinie schreiben

Der dritte Schritt ist eine schriftliche interne Richtlinie. Die Datenschutz-Paranoia, die wir in vielen Unternehmen sehen – „ChatGPT komplett sperren“ – führt nur dazu, dass Mitarbeiter es privat ohne Aufsicht nutzen. Das ist der schlimmstmögliche Zustand.

Eine pragmatische Richtlinie regelt stattdessen klar:

  • Welche Tools sind freigegeben?
  • Welche Daten dürfen in welche Systeme?
  • Was ist explizit verboten? (Beispiel: Kundendaten in private ChatGPT-Accounts.)
  • Wer ist Ansprechpartner bei Unsicherheit?
  • Was passiert bei Verstößen?

Die Richtlinie sollte nicht länger als zwei A4-Seiten sein. Sie muss verständlich, durchsetzbar und aktualisierbar sein. Und sie muss von der Geschäftsführung unterzeichnet und an alle Mitarbeiter kommuniziert werden.

Wer diese drei Schritte – Inventar, Schulung, Richtlinie – im Mai abschließt, hat bis Sommer 2026 ein solides Compliance-Fundament. Unabhängig davon, was beim Trilog herauskommt.

Hochrisiko-KI-Systeme: Was sie sind, wer betroffen ist, was sich konkret ändert

Hochrisiko-KI ist die Kategorie mit den schärfsten Anforderungen im AI Act. Die meisten KMUs sind hier nicht direkt betroffen – aber einige schon. Es lohnt sich also zu prüfen, ob du dazugehörst.

Was ist Hochrisiko-KI?

Anhang III nennt eigenständige Hochrisiko-Anwendungen – also KI-Systeme, deren Hauptzweck eine sensible Aufgabe ist:

  • Biometrische Identifikation
  • Kritische Infrastruktur (Energie, Verkehr)
  • Bildung und Berufsausbildung (z. B. automatische Bewertung)
  • Beschäftigung und Personalentscheidungen (z. B. automatisches Bewerber-Screening, Performance-Bewertung)
  • Zugang zu wesentlichen privaten und öffentlichen Diensten (z. B. Kreditscoring)
  • Strafverfolgung
  • Migration und Grenzschutz
  • Justiz und demokratische Prozesse

Anhang I nennt KI in regulierten Produkten – also KI-Komponenten in Maschinen, Medizinprodukten, Aufzügen, Spielzeug und ähnlichen Bereichen.

Für KMUs am häufigsten relevant: HR-Systeme. Wer als Personalberatung oder Unternehmen mit eigenem Recruiting eine KI-gestützte Bewerber-Sortierung einsetzt, fällt potenziell unter Anhang III. Das gleiche gilt für KI-gestützte Performance-Reviews oder automatisierte Kreditprüfungen.

Was sich konkret ändert (vorausgesetzt der Trilog kommt zu einer Einigung):

  • Die Anwendung der Hochrisiko-Pflichten verschiebt sich um etwa 16 Monate.
  • Die Pflichten selbst bleiben praktisch unverändert: Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht, Robustheit, Transparenz.
  • Die Bußgelder werden für KMUs voraussichtlich um 50 Prozent reduziert, für Kleinstunternehmen um 75 Prozent.
  • Die neue Kategorie „Small Mid-Caps“ (bis 750 Mitarbeiter oder 150 Mio. Euro Umsatz) erhält vereinfachte Dokumentationspflichten.

So sehen wir es: Wenn du Hochrisiko-KI einsetzt oder einsetzen willst, gibt dir der Digital Omnibus mehr als ein Jahr zusätzliche Vorbereitungszeit. Das ist Zeit, die du nutzen solltest – nicht zum Abwarten, sondern zum strukturierten Aufbau von Risikomanagement und Dokumentation.

Ein Punkt, der noch nicht endgültig geklärt ist: Wie genau die parlamentarische Forderung umgesetzt wird, KI in regulierten Produkten primär über die sektorale Konformitätsbewertung zu zertifizieren. Hier ist im Trilog noch alles offen. Wir empfehlen, diesen Punkt für betroffene Unternehmen weiter zu beobachten.

FAQ

Ja. Der AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach KI-Nutzung. Wenn dein Betrieb ChatGPT, Microsoft Copilot oder ähnliche Tools nutzt, fällst du unter Artikel 4 (KI-Kompetenzpflicht). Was sich für KMUs voraussichtlich ändert: reduzierte Bußgelder und vereinfachte Dokumentation für Hochrisiko-KI – nicht aber die grundsätzliche Pflicht zur Mitarbeiter-Schulung.

In der Theorie drohen Bußgelder. In der Praxis stehen 2026 zunächst Aufsichtsbehörden im Aufbau, in Österreich werden konkrete Verfahren gerade vorbereitet. Wir gehen davon aus, dass 2026 die ersten Stichproben-Audits stattfinden, mit Schwerpunkt auf Branchen mit erhöhtem Risiko (HR, Finanzdienstleistung, Marketing). Aber: Selbst wenn keine Strafe droht, bist du im Audit oder bei einer Datenschutz-Beschwerde in einer schwachen Position. Und: Wer mit großen Kunden arbeitet (Industrie, öffentliche Hand), wird zunehmend nach Compliance-Nachweisen gefragt.

Wenn es dokumentiert ist, ist das ein Anfang. Aber: Einmalig reicht nicht für Mitarbeiter, die täglich mit KI arbeiten. KI entwickelt sich schnell, neue Tools kommen, Risiken verändern sich. Wir empfehlen ein Modell aus initialer Grundschulung plus jährlicher Auffrischung – ähnlich wie bei Datenschutz-Schulungen. Wichtig sind dokumentierte Lerninhalte, Teilnehmerlisten und Lernerfolgskontrolle.

Wenn du keine Hochrisiko-KI einsetzt: praktisch nichts. Die KI-Kompetenzpflicht, GPAI-Pflichten und Transparenzpflichten gelten unverändert. Wenn du Hochrisiko-KI einsetzt (typisch: KI-gestütztes Recruiting, automatisches Bewerber-Screening): Du bekommst voraussichtlich 16 Monate mehr Zeit für die volle Compliance, also bis Dezember 2027.

Dann gelten die ursprünglichen Fristen weiter. Hochrisiko-KI nach Anhang III muss ab 2. August 2026 voll compliant sein. Das ist ein realistisches Risiko – nicht das wahrscheinlichste Szenario, aber nicht ausgeschlossen. Wenn du Hochrisiko-KI einsetzt, plane für beide Szenarien.

Nein, im Gegenteil. Eine pauschale Sperre führt erfahrungsgemäß dazu, dass Mitarbeiter private Accounts nutzen – ohne Aufsicht und mit Unternehmensdaten. Das ist der schlimmstmögliche Zustand. Besser: klare Richtlinie, freigegebene Tools, geschulte Mitarbeiter und ein Single Sign-On über die Unternehmens-Plattform (Microsoft 365 Copilot, ChatGPT Business, Claude Enterprise). Das ist kontrollierbar und compliance-konform.

Die GPAI-Pflichten nach Artikel 53 sind seit August 2025 anwendbar, die Durchsetzung beginnt im August 2026. Diese Pflichten betreffen aber primär die Anbieter der Modelle (OpenAI, Anthropic, Google, Mistral). Du als Nutzer profitierst davon, weil die Anbieter ihre Dokumentationspflichten erfüllen müssen – was wiederum deine eigene Compliance erleichtert. Frage bei deinen Anbietern aktiv nach den GPAI-Compliance-Unterlagen, sobald sie verfügbar sind. ## Was wir empfehlen – ehrlich Der Digital Omnibus wird, wenn er durchgeht, mehr Zeit geben. Aber er ändert die grundsätzlichen Anforderungen nicht. Die KI-Kompetenzpflicht gilt seit über einem Jahr. Die Transparenzpflichten kommen im August. Die Hochrisiko-Pflichten kommen – nur eben verschoben. Was wir in der Beratungspraxis sehen: KMUs, die jetzt strukturiert in KI-Inventar, Schulung und Richtlinie investieren, haben nicht nur Compliance abgehakt. Sie haben automatisch auch eine bessere KI-Strategie, weil sie wissen, was sie einsetzen, wer es nutzt und wofür. Wer dagegen wartet, bis 2027 die Pflicht „scharf“ wird, baut sein KI-System in Hektik – und macht dabei häufig Fehler. Ehrlich: Es gibt keine perfekte Lösung. Die Regulierung verändert sich gerade, und niemand kennt das exakte Ergebnis des Trilogs. Aber die drei Schritte – Inventar, Schulung, Richtlinie – sind in jedem Szenario richtig. Sie kosten ein paar Tage Arbeit. Und sie zahlen sich aus, ganz egal ob die Hochrisiko-Fristen verschoben werden oder nicht. ---

Du willst eine ehrliche Einschätzung für deinen Betrieb? In einem 30-minütigen Erstgespräch klären wir, welche Schritte für dich Sinn machen – und welche nicht.