Am 7. Mai 2026 einigten sich der Rat der Europäischen Union und das Europäische Parlament auf das Digital Omnibus AI: die erste umfassende Änderung des AI Act seit seinem Inkrafttreten 2024. Keine vollständige Revision. Eine Verschiebung von Fristen, eine Vereinfachung der Pflichten für kleine Unternehmen, eine Neudefinition der Grenzen zwischen Risikokategorien. Für Unternehmen in Deutschland, Österreich und der Schweiz, die AI einsetzen, kommen die praktischen Konsequenzen schrittweise, und viele haben sie noch nicht vollständig erfasst.
Laut Daten vom Mai 2026 setzen bereits 79 Prozent der italienischen KMU KI-Werkzeuge ein. Weniger als vier von zehn verfügen über eine interne Nutzungsrichtlinie. Diese Lücke zwischen tatsächlicher Adoption und formaler Governance ist genau das Terrain, das das Digital Omnibus mit weniger Strenge als der ursprüngliche AI Act regeln will. Für DACH-Unternehmen gilt Ähnliches: viele Betriebe nutzen KI-Tools täglich, ohne strukturierte Compliance-Prozesse.
Welche KI-Systeme fallen unter die neuen Pflichten
Der AI Act der Europäischen Union klassifiziert KI-Systeme in vier Kategorien. Das Digital Omnibus ändert diese Struktur nicht: Die Anpassungen betreffen vor allem Fristen und Anwendungsschwellen je Kategorie.
Verteilung der KI-Systeme nach Risikokategorie gemäß AI Act, Anwendung Digital Omnibus 2026
Quelle: European AI Office, Aufbereitung SpazioCrypto, Mai 2026
Konkret bedeutet das: Die große Mehrheit der KI-Systeme, die KMU täglich nutzen (interne Chatbots, KI-gestützte Schreibtools, Datenanalyse, Produktempfehlungen, virtuelle Assistenten), fällt in die Kategorie „minimales Risiko“. Für diese Systeme waren die Pflichten des ursprünglichen AI Act bereits gering, und das Digital Omnibus bestätigt dies: keine Registrierungspflicht, keine formale Konformitätsbewertung, nur empfohlene Best Practices.
Die offizielle Position der Europäischen Kommission zum Digital Omnibus wird auf dem X-Profil aktualisiert: EU_Commission auf X.
Was sich konkret ändert: Fristen und KMU-Erleichterungen
In der Praxis: drei operative Änderungen ergeben sich aus der Einigung vom 7. Mai.
Erstens: Die Fristen für Hochrisiko-Systeme in nicht kritischen Sektoren wurden verschoben. Die Registrierungspflicht in der europäischen Datenbank und die Konformitätsbewertung für bestimmte Systemkategorien werden aufgeschoben. Wer in weniger regulierten Bereichen tätig ist (Marketing, nicht entscheidungsrelevantes HR, Logistikoptimierung), gewinnt Zeit für die Anpassung.
Zweitens: KMU mit weniger als 250 Beschäftigten und einem Jahresumsatz unter 50 Millionen Euro sehen die Pflichten zur technischen Dokumentation für intern eingesetzte KI-Systeme reduziert. Die Kommission hat den Druck des europäischen Industriesektors aufgenommen, der unverhältnismäßige Belastungen für kleinere Unternehmen signalisiert hatte. Für deutsche Mittelständler ist das eine direkte Entlastung.
Drittens: Generative KI-Systeme (wie Sprachmodelle zum Schreiben von Texten, zur Codegenerierung oder zur Beantwortung von Fragen), die keine „hochentwickelten Modelle“ sind (Schwelle: 10^25 FLOP Rechenleistung beim Training), fallen aus den schwersten Pflichten der Kategorie „Allzweck-KI-Modelle“ heraus. Praktisch bedeutet das: Claude Sonnet, GPT-4o oder Gemini Flash, die ein mittelständisches Unternehmen zur Automatisierung von E-Mails oder Dokumentation einsetzt, erfordern keine spezifische Konformitätszertifizierung. Modelle wie GPT-5 oder Claude Opus dagegen überschreiten die Schwelle. Für Unternehmen, die KI-Automatisierungen im Geschäftsbereich betreiben, ist das eine wichtige operative Unterscheidung.
Was das für KMU im DACH-Raum bedeutet
Die kurze Antwort: Im Moment ändert sich wenig, doch in den nächsten 18 Monaten ist mit erheblichen Verschiebungen zu rechnen. Das Digital Omnibus hat Fristen verschoben, nicht Pflichten abgeschafft. Wer noch keine interne KI-Nutzungsrichtlinie hat (laut Daten vom Mai 2026 mehr als 60 Prozent der befragten KMU), hat mehr Zeit gewonnen, aber keinen dauerhaften Ausweg.
Praktische Maßnahmen, die sich jetzt bereits lohnen: (1) Bestandsaufnahme der genutzten KI-Systeme und ihrer Risikokategorie gemäß AI Act; (2) Prüfung, ob die eingesetzten KI-Tools als „hochentwickelte Modelle“ eingestuft werden oder nicht; (3) Erstellung einer internen Nutzungsrichtlinie auch für Systeme mit minimalem Risiko, da diese ab 2027 in vielen Sektoren für öffentliche Ausschreibungen voraussichtlich vorausgesetzt wird.
Der konsolidierte Text des AI Act (EU-Verordnung 2024/1689) ist auf EUR-Lex veröffentlicht und bleibt der primäre Rechtsrahmen.
Die Änderungen des Digital Omnibus werden durch eine delegierte Verordnung in den offiziellen Text einfließen, die voraussichtlich bis September 2026 veröffentlicht wird. Für Compliance- und Technologieverantwortliche in Unternehmen ist die Beobachtung dieser delegierten Verordnung relevanter als politische Erklärungen zu verfolgen. In Deutschland ist die BaFin für Finanzanwendungen und das Bundesministerium für Digitales und Verkehr (BMDV) für die nationale KI-Implementierung zuständig. Nationale Leitlinien werden bis Ende 2026 erwartet.
Eine Frage, die im DACH-Raum noch zu wenig gestellt wird: Wie viele der Unternehmen, die KI einsetzen, haben tatsächlich geprüft, ob die genutzten Tools die Transparenzpflichten gegenüber Endnutzern einhalten? Dieser Aspekt blieb auch im Digital Omnibus unverändert. Google, Microsoft und Anthropic haben ihre Enterprise-Produkte bereits entsprechend ausgerichtet. Wer Nischen-Tools oder intern entwickelte Lösungen einsetzt, steht vor einer Prüfung, die in vielen Fällen noch aussteht. Wer jetzt handelt, spart sich 2027 den Stress.
