News18. Juni 20267 Min. Lesezeit

EU AI Act: Warum die KI-Pflichten für KMU verschoben wurden – und was trotzdem gilt

Der Digital Omnibus verschiebt Hochrisiko-Pflichten – aber nicht alles. Was österreichische KMU zum EU AI Act 2026 wirklich wissen und tun müssen.

T
Team
EU AI Act für KMU 2026 – Fristen und Pflichten im Überblick

Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung. Stand: 18.06.2026. Der EU AI Act wird durch den „Digital Omnibus" laufend angepasst – Fristen und Pflichten können sich ändern. Bitte prüfen Sie vor Entscheidungen die offiziellen EU-Quellen oder holen Sie Rechtsrat ein.

Wenn Sie 2025 gelesen haben, dass ab August 2026 strenge KI-Pflichten auf Ihr Unternehmen zukommen – diese Information ist inzwischen überholt. Ende 2025 hat die EU mit dem sogenannten Digital Omnibus zentrale Fristen verschoben. Das bedeutet aber nicht: nichts tun. Manche Pflichten gelten für KMU bereits heute. Dieser Beitrag trennt für Sie Fakten von Panikmache.

Kurz vorab: Was ist passiert?

Die EU-Kommission hat den Digital Omnibus on AI am 19.11.2025 vorgestellt. Parlament und Rat erzielten am 07.05.2026 eine vorläufige Einigung¹. Kernpunkt: Die Pflichten für Hochrisiko-KI-Systeme werden verschoben – von ursprünglich 02.08.2026 auf 02.12.2027 (eigenständige Systeme, Annex III) bzw. 02.08.2028 (eingebettete Systeme, Annex I)¹.

Wichtig: Es ist eine Verschiebung, kein Rückzug. Der risikobasierte Ansatz des AI Act, die Governance-Struktur und die Kernpflichten bleiben bestehen¹.

Was bereits seit Februar 2025 gilt – und KMU oft übersehen

Zwei Pflichten sind seit dem 02.02.2025 in Kraft²:

  1. Verbot bestimmter Praktiken: KI-Systeme mit „unannehmbarem Risiko" (z. B. Social Scoring) sind verboten.
  2. KI-Kompetenz (Art. 4): Anbieter und Betreiber von KI-Systemen müssen für ein ausreichendes Maß an KI-Kompetenz bei ihren Mitarbeitenden sorgen.

Und genau hier liegt die für KMU relevante Pointe: Sobald jemand in Ihrem Unternehmen ein KI-Tool wie ChatGPT geschäftlich nutzt, gelten Sie als „Betreiber" (Deployer) eines KI-Systems – und sind damit von der KI-Kompetenz-Pflicht erfasst. Der Digital Omnibus weicht Art. 4 zwar ab (von „sicherstellen" hin zu „Maßnahmen zur Förderung ergreifen")¹, die Pflicht zur Schulung Ihres Teams bleibt im Kern aber bestehen.

Was seit August 2025 gilt: GPAI

Seit dem 02.08.2025 gelten Transparenz- und Dokumentationspflichten für Anbieter von General-Purpose-AI-Modellen (GPAI) – also den großen Basismodellen, auf denen viele Tools aufsetzen². Für die meisten KMU ist das vor allem mittelbar relevant: Sie nutzen GPAI über Anwendungen, sind aber selten selbst GPAI-Anbieter.

Was im August 2026 tatsächlich relevant wird

Statt der verschobenen Hochrisiko-Pflichten greift ab 02.08.2026 vor allem die Durchsetzung der GPAI-Regeln samt Sanktionsrahmen³. Verstöße können mit bis zu 15 Mio. € oder 3 % des Jahresumsatzes geahndet werden – wobei für KMU jeweils der niedrigere Schwellenwert gilt³.

EU AI Act für KMU 2026 – die Timeline auf einen Blick

DatumWas giltRelevanz für KMU
seit 02.02.2025Verbotene Praktiken + KI-Kompetenz (Art. 4)Hoch – betrifft fast jedes Unternehmen mit KI-Tools
seit 02.08.2025GPAI-Transparenzpflichtenmittel (meist als Nutzer)
02.08.2026GPAI-Durchsetzung & Sanktionenmittel–hoch
02.12.2027Hochrisiko-Pflichten (Annex III)je nach Anwendungsfall
02.08.2028Hochrisiko-Pflichten (Annex I, eingebettet)je nach Anwendungsfall

Was Sie als KMU jetzt konkret tun sollten

Die Verschiebung ist keine Einladung zum Abwarten, sondern Zeit, sauber aufzustellen:

  1. KI-Inventar erstellen: Welche KI-Tools nutzt Ihr Unternehmen tatsächlich? Oft mehr als gedacht.
  2. Risikoklasse einordnen: Die meisten KMU-Anwendungen sind „minimales Risiko" – aber das sollte dokumentiert sein.
  3. KI-Kompetenz aufbauen: Diese Pflicht gilt jetzt. Eine kurze, dokumentierte Schulung Ihres Teams ist niedrigschwellig und compliance-relevant.
  4. Datenschutz mitdenken: AI Act und DSGVO greifen ineinander. Wer auf europäische, DSGVO-konforme KI setzt, vereinfacht beides erheblich.

Wer KI auf datenschutzkonformer Basis einsetzt – etwa über ein internes RAG-System mit eigenen Unternehmensdaten auf europäischer Infrastruktur – reduziert sowohl AI-Act- als auch DSGVO-Risiken. Mehr dazu auf unserer Datenschutz-Seite.

Fazit

Der EU AI Act ist 2026 für KMU vor allem eine Frage der Vorbereitung, nicht der Panik. Die großen Hochrisiko-Pflichten sind verschoben – die KI-Kompetenz-Pflicht und der verantwortungsvolle Umgang mit KI gelten aber bereits. Wer jetzt sauber aufstellt, ist später im Vorteil.

Unsicher, wie der AI Act Ihre KI-Projekte betrifft? In einem kostenlosen Erstgespräch ordnen wir Ihren Anwendungsfall ein und zeigen Ihnen einen DSGVO-konformen, pragmatischen Weg.


¹ Digital Omnibus on AI: Morrison Foerster, mofo.com/resources/insights/251201-eu-digital-omnibus; Gibson Dunn, gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes (Stand: 18.06.2026) ² EU-AI-Act-Timeline: dataguard.de/eu-ai-act/timeline (Stand: 18.06.2026) ³ GPAI-Durchsetzung & Sanktionen: techtalentfachinformatik.academy/wissen/eu-ai-act-stichtag-august-2026.html (Stand: 18.06.2026)

Tags:EU AI ActKMUDSGVOKI-ComplianceDigital Omnibus