Was am 2. August 2026 wirklich gilt - und was der Digital Omnibus auf Dezember 2027 verschoben hat
Im Mittelstand geht Panik um: Greift am 2. August 2026 die volle Wucht des EU AI Act? Die ehrliche Antwort: Die meisten KMU setzen keine Hochrisiko-KI ein - und genau diese Pflichten hat der Digital Omnibus auf Dezember 2027 verschoben. Was bleibt (GPAI-Durchsetzung, Transparenz, Bussgelder, KI-Kompetenz), lässt sich mit einer kontrollierten On-Premise-Architektur sauber erfüllen.
Kaum ein Datum sorgt im Mittelstand aktuell für mehr Verunsicherung als der 2. August 2026. In Vorstandsrunden, Compliance-Meetings und LinkedIn-Feeds kursiert die Sorge, ab diesem Stichtag greife die volle Wucht des EU AI Act - mit Dokumentationspflichten, Konformitätsbewertungen und Bussgeldern, die selbst gut aufgestellte Unternehmen ins Schwitzen bringen. Die Realität ist deutlich nüchterner: Vieles, wovor sich Geschäftsführer fürchten, betrifft sie gar nicht - und ein zentraler Teil wurde gerade erst verschoben.
Dieser Artikel trennt sauber, was am 2. August 2026 tatsächlich greift, was der sogenannte Digital Omnibus auf Dezember 2027 und August 2028 vertagt hat - und wie eine kontrollierte On-Premise-Architektur genau die Pflichten erleichtert, die bleiben. Ohne Panik, mit konkreten Zahlen und einer Checkliste zum Mitnehmen.
Warum gerade alle verunsichert sind
Die Verunsicherung hat handfeste Gründe. Innerhalb weniger Wochen sind drei regulatorische Entwicklungen zusammengefallen, die in der Berichterstattung munter durcheinandergeworfen werden.
Erstens der Digital Omnibus. Am 7. Mai 2026 hat sich die EU auf ein Vereinfachungspaket geeinigt, das Teile des AI Act zeitlich streckt. Verschoben werden ausgerechnet die schwergewichtigen Hochrisiko-Pflichten - allerdings nicht ersatzlos, sondern auf Dezember 2027 beziehungsweise August 2028. Schlagzeilen wie „AI Act verschoben" verkürzen das auf gefährliche Weise, weil sie suggerieren, der gesamte Stichtag falle weg.
Zweitens das deutsche KI-MIG. Der Bundestag hat das KI-Marktüberwachungs- und Implementierungsgesetz am 11. Juni 2026 beschlossen. Es regelt, welche deutsche Behörde den AI Act durchsetzt, und tritt passgenau zur Deadline am 2. August 2026 in Kraft. Während also auf EU-Ebene Pflichten gestreckt werden, baut Deutschland die Durchsetzungsstruktur auf - ein scheinbarer Widerspruch, der Schlagzeilen produziert.
Drittens der nahende Stichtag selbst. Der 2. August 2026 ist im AI-Act-Fahrplan seit jeher als wichtige Etappe markiert. Dass ausgerechnet Wochen vorher noch Fristen verschoben werden, erzeugt das Gefühl eines beweglichen Ziels. Das Ergebnis: widersprüchliche Schlagzeilen, in denen „alles verschoben" und „jetzt wird es ernst" nebeneinanderstehen. Beides ist für sich genommen richtig - nur eben für unterschiedliche Pflichten.
Was der Digital Omnibus verschiebt
Im Kern verschiebt der Digital Omnibus die Pflichten für Hochrisikosysteme nach Anhang III des AI Act. Das sind genau jene Anwendungen, die für die meisten mittelständischen Unternehmen ohnehin keine Rolle spielen: KI in der Personalauswahl (HR), biometrische Identifikation, KI im Bildungswesen sowie in der kritischen Infrastruktur. Wer in diesen regulierten Feldern KI einsetzt, gewinnt Zeit - alle anderen waren davon nie betroffen.
Konkret verschieben sich die Fristen wie folgt:
| Pflicht / Bereich | Alte Frist | Neue Frist |
|---|---|---|
| Anhang-III-Hochrisiko (HR, Biometrie, Bildung) | 2. August 2026 | Dezember 2027 |
| Hochrisiko in Produktanwendungen (Anhang I) | 2. August 2027 | August 2028 |
| GPAI-Durchsetzung (EU AI Office) | 2. August 2026 | nicht verschoben |
| Transparenzpflichten Art. 50 | 2. August 2026 | nicht verschoben |
| Bussgeldrahmen & KI-Kompetenz Art. 4 | bereits in Kraft | nicht verschoben |
Die entscheidende Botschaft für den Mittelstand: Wer kein Foundation Model trainiert und keine Hochrisiko-KI nach Anhang III betreibt, gewinnt durch den Digital Omnibus keine relevante Atempause - weil die für ihn geltenden Pflichten gar nicht verschoben wurden. Umgekehrt heißt das aber auch: Niemand muss bis August 2026 eine vollständige Hochrisiko-Konformitätsbewertung stemmen, die ihn ohnehin nicht betrifft.
Was am 2. August 2026 wirklich greift
Trotz aller Verschiebungen bleibt der 2. August 2026 ein scharfer Stichtag. Vier Blöcke gelten unverändert - und betreffen praktisch jedes Unternehmen, das ein LLM oder andere KI-Werkzeuge im Arbeitsalltag einsetzt.
GPAI-Durchsetzung durch das EU AI Office
Die Pflichten für Anbieter von General-Purpose-AI-Modellen gelten bereits seit August 2025. Ab dem 2. August 2026 erhält das EU AI Office die formalen Durchsetzungsbefugnisse - es kann also Verstöße aktiv verfolgen und sanktionieren. Für den Mittelstand als Nutzer solcher Modelle bedeutet das vor allem: Sie müssen wissen, welche GPAI-Modelle in Ihren Tools stecken und ob deren Anbieter die geforderte Dokumentation, etwa eine Model Card, bereitstellt.
Transparenzpflichten nach Art. 50
Art. 50 verlangt, dass KI-generierte Inhalte als solche erkennbar sind und dass Nutzer wissen, wenn sie mit einer KI interagieren - etwa bei Chatbots. Das betrifft den Mittelstand unmittelbar: Wer einen Kundenservice-Bot betreibt oder KI-generierte Texte und Bilder veröffentlicht, muss diese kennzeichnen.
Bussgeldrahmen
Der Sanktionsrahmen ist vollständig anwendbar. Wie hoch er reicht und was das real bedeutet, ordnen wir im nächsten Abschnitt ein.
KI-Kompetenz nach Art. 4
Schon seit Februar 2025 verpflichtet Art. 4 Unternehmen, für ausreichende „KI-Kompetenz" ihrer Beschäftigten zu sorgen. Konkret: Wer KI einsetzt, muss nachweisen können, dass die handelnden Personen die Funktionsweise, Grenzen und Risiken - etwa Halluzinationen - verstehen.
Das bleibt - vier Punkte, die der Digital Omnibus NICHT angetastet hat:
- GPAI-Durchsetzung durch das EU AI Office ab 2. August 2026
- Transparenzpflichten nach Art. 50 (Kennzeichnung von KI-Inhalten und Chatbots)
- Bussgeldrahmen bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
- KI-Kompetenzpflicht nach Art. 4 - bereits seit Februar 2025 in Kraft
Der Bussgeldrahmen bleibt scharf
Auch wenn Hochrisiko-Pflichten gestreckt wurden - am Sanktionsrahmen ändert das nichts. Und der hat es in sich: Für verbotene Praktiken nach Art. 5 sieht der AI Act Bussgelder bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Das übertrifft selbst den DSGVO-Rahmen von 20 Mio. EUR beziehungsweise 4 %.
Für die im Mittelstand praktisch relevanteren Verstöße - gegen GPAI-, Transparenz- oder (ab 2027/2028) Hochrisiko-Pflichten - gilt ein gestaffelter Rahmen bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes. Wichtig für KMU: Art. 99 erlaubt der Aufsicht ausdrücklich, für kleine und mittlere Unternehmen sowie Start-ups niedrigere Sätze anzusetzen. Die theoretischen Maximalbeträge sind also nicht für den typischen Mittelständler kalibriert.
Dennoch: Das reale Risiko liegt weniger im katastrophalen Maximalbussgeld als in der Kombination aus Aufsichtsdruck, Reputationsschaden und - besonders heikel - der persönlichen Verantwortung der Leitungsebene. Was die Sanktionen für Geschäftsführer konkret bedeuten, vertiefen wir im Artikel zur Geschäftsführer-Haftung.
Praxisbeispiel: Maschinenbau-Zulieferer mit 80 Mitarbeitern
Ein bayerischer Zulieferer setzt einen cloud-basierten KI-Chatbot für die Angebotserstellung und ein KI-Tool zur Vorsortierung von Bewerbungen ein. Die Geschäftsführung befürchtet, ab August 2026 eine vollständige Hochrisiko-Konformitätsbewertung für das Bewerber-Tool stemmen zu müssen. Nach Prüfung zeigt sich: Das HR-Tool fällt unter Anhang III - dessen Pflichten sind durch den Digital Omnibus aber auf Dezember 2027 verschoben. Akut relevant sind nur die Transparenzkennzeichnung des Angebots-Chatbots (Art. 50), der Nachweis der KI-Kompetenz der beteiligten Mitarbeiter (Art. 4) und die Frage, ob der US-Cloud-Anbieter die GPAI-Dokumentation liefert. Aus einem gefühlten Sechs-Monats-Großprojekt werden drei klar abgrenzbare To-dos - und die Zeit bis Dezember 2027 lässt sich für eine kontrollierte Umstellung nutzen.
Warum On-Premise die Pflichten vereinfacht
Die meisten Pflichten, die am 2. August 2026 greifen, laufen auf eines hinaus: Nachweisbarkeit. Sie müssen belegen können, wer mit welcher KI was getan hat, woher ein Modell stammt und ob KI-Inhalte gekennzeichnet wurden. Genau hier spielt eine kontrollierte On-Premise-Architektur ihre Stärke aus: Datengovernance, Logging und Transparenz-Markierung liegen in Ihrer Hand - statt von der Compliance-Roadmap eines US-Cloud-Anbieters abzuhängen, dessen Prioritäten Sie nicht steuern.
Wer KI selbst in der EU betreibt, umgeht zugleich das CLOUD-Act-Risiko, bei dem US-Behörden auf Daten amerikanischer Anbieter zugreifen können. Und mit lokal gehosteten Modellen lassen sich Guardrails und das Alignment nach eigenen Compliance-Vorgaben konfigurieren, statt sie als Black Box hinzunehmen.
| Pflicht ab Aug. 2026 | On-Premise-Vorteil |
|---|---|
| Transparenz Art. 50 | Kennzeichnung und Wasserzeichen lassen sich systemseitig erzwingen - kein Verlass auf Anbieter-Defaults |
| Audit & Logging | Vollständige Protokolle aller Anfragen und Antworten im eigenen Haus, jederzeit auswertbar |
| GPAI-Nachvollziehbarkeit | Bekannte, dokumentierte Modellversion statt intransparenter Cloud-Updates |
| Datengovernance / DSGVO | Daten verlassen das Unternehmen nicht - CLOUD-Act-Risiko entfällt |
Das ist kein Plädoyer gegen jede Cloud, sondern für Kontrolle dort, wo Nachweispflichten greifen. Unsere Compliance-Beratung hilft, diese Architektur passgenau auf Ihre Anwendungsfälle zuzuschneiden.
Checkliste: Was KMU bis August erledigen sollten
Statt Großprojekt empfehlen wir einen pragmatischen, abgrenzbaren Maßnahmenplan. Diese fünf Schritte decken die ab August 2026 geltenden Pflichten ab:
- KI-Inventar erstellen: Listen Sie alle KI-Systeme auf, die im Unternehmen im Einsatz sind - inklusive der oft übersehenen Funktionen in bestehenden SaaS-Tools (CRM, Office, Ticketsysteme).
- Risikoklassen prüfen: Ordnen Sie jedes System einer Risikoklasse zu. Fällt etwas unter Anhang III (HR, Biometrie, Bildung)? Dann haben Sie dank Digital Omnibus bis Dezember 2027 Zeit - der Rest ist meist „geringes Risiko" mit reinen Transparenzpflichten.
- KI-Kompetenz dokumentieren: Weisen Sie nach, dass Mitarbeitende geschult sind (Art. 4). Eine dokumentierte Schulung zu Funktionsweise, Grenzen und Risiken genügt - hier hilft ein strukturierter Schnellcheck.
- Transparenz-Markierung sicherstellen: Kennzeichnen Sie Chatbots und KI-generierte Inhalte gemäß Art. 50. Prüfen Sie, ob Ihre Tools das automatisch leisten oder ob Sie nachsteuern müssen.
- GPAI-Lieferanten prüfen: Klären Sie bei jedem eingesetzten Foundation Model, ob der Anbieter die geforderte Dokumentation bereitstellt. Lücken hier sind Ihr Risiko, nicht das des Anbieters.
Eine ausführliche, abhakbare Variante dieser Schritte finden Sie in unserer EU-AI-Act-Checkliste. Den vollständigen Überblick über alle Fristen und Pflichten bündelt der EU AI Act Hub.
Fazit: Klarheit statt Panik
Der 2. August 2026 ist real - aber er ist kein Stichtag des Schreckens. Die meisten Mittelständler müssen handeln, jedoch bei den Basics: KI-Inventar, Risikoeinordnung, KI-Kompetenz, Transparenzkennzeichnung und GPAI-Lieferantenprüfung. Die aufwendigen Hochrisiko-Pflichten nach Anhang III, vor denen sich viele fürchten, hat der Digital Omnibus auf Dezember 2027 und August 2028 verschoben - und sie betreffen die meisten KMU ohnehin nicht.
Wer jetzt strukturiert vorgeht, statt sich von widersprüchlichen Schlagzeilen treiben zu lassen, erfüllt die geltenden Pflichten mit überschaubarem Aufwand - und schafft mit einer kontrollierten On-Premise-Architektur zugleich die Grundlage, um auch die 2027er-Pflichten gelassen anzugehen. Genau dabei begleitet Sie unsere Compliance-Beratung: von der Inventarisierung bis zur nachweisbaren Umsetzung.
Häufig gestellte Fragen zum EU AI Act ab August 2026
Muss mein KMU am 2. August 2026 etwas tun?
Sehr wahrscheinlich ja - aber meist nur bei den Grundpflichten. Transparenzpflichten nach Art. 50, die KI-Kompetenzpflicht nach Art. 4 und der Bussgeldrahmen gelten. Die aufwändigen Hochrisiko-Pflichten nach Anhang III hingegen wurden durch den Digital Omnibus auf Dezember 2027 verschoben und betreffen die meisten Mittelständler ohnehin nicht.
Was genau hat der Digital Omnibus verschoben?
Die Einigung vom 7. Mai 2026 verschiebt die Pflichten für Anhang-III-Hochrisikosysteme - etwa in HR, Biometrie und Bildung - von August 2026 auf Dezember 2027, und Produktanwendungen auf August 2028. Nicht verschoben wurden die GPAI-Durchsetzung durch das EU AI Office, die Transparenzpflichten und der Bussgeldrahmen.
Wie hoch sind die Bussgelder?
Der Rahmen reicht bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken - und damit höher als die DSGVO. Für GPAI-, Transparenz- und Hochrisikoverstöße gelten bis zu 15 Mio. EUR oder 3 %. Art. 99 erlaubt der Aufsicht ausdrücklich niedrigere Sätze für KMU und Start-ups.
Wie hilft On-Premise bei der Compliance?
Wer KI selbst in der EU betreibt, hält Datengovernance, Logging und Transparenz-Markierung in eigener Hand und ist nicht von der Compliance-Roadmap eines US-Cloud-Anbieters abhängig. Das erleichtert den Nachweis genau der Pflichten, die ab August 2026 greifen, und umgeht das CLOUD-Act-Risiko.
AI-Act-Pflichten sauber erfüllen - ohne Panik
Wir prüfen Ihren KI-Bestand, ordnen die Risikoklassen ein und setzen die ab August 2026 geltenden Pflichten On-Premise und DSGVO-konform um. Kostenlose Erstberatung.