EU AI Act Digital Omnibus — die Omnibus-Einigung verschiebt die Fristen und erweitert die SME-Schiene auf bis zu 750 Mitarbeiter
16. Mai 2026. Am 7. Mai 2026 haben Rat und Parlament der EU eine politische Einigung zum Digital Omnibus auf den AI Act erzielt — die förmliche Verabschiedung wird bis Juli 2026 erwartet. Die für unsere Kunden zentrale Änderung: die SME-Erleichterungen gelten künftig auch für Small-Mid-Cap-Unternehmen bis 750 Mitarbeiter und 150 Mio EUR Jahresumsatz — das deckt den oberen Mittelstand-Korridor ab, der bisher in die volle Enterprise-Pflicht fiel. Die High-Risk-AI-Stichtage werden auf den 2. Dezember 2027 (stand-alone) bzw. 2. August 2028 (regulated-product) verschoben, die Watermarking-Pflicht für KI-generierte Inhalte wandert vom August auf den 2. Dezember 2026.
TL;DR — 90 Sekunden
Die wichtigste Botschaft des Omnibus für unsere Kunden ist nicht der Aufschub, sondern die Erweiterung des SME-Begriffs auf Small Mid-Cap (bis 750 Mitarbeiter / 150 Mio EUR Umsatz). Die Stichtag-Verschiebungen kaufen Planungs-Zeit, sie reduzieren aber nicht die Pflichten — sie ordnen sie zeitlich neu.
| Frage | Antwort |
|---|---|
| Betroffen? | Jedes Unternehmen im EU-Wirkungsraum, das KI-Systeme entwickelt, betreibt oder vertreibt. Für DACH-Mittelstand und Small Mid-Cap (bis 750 Mitarbeiter / 150 Mio EUR Umsatz) ändert sich der Regulierungs-Korridor substanziell. |
| Was ändert sich? | (1) SME-Erleichterungen gelten künftig auch für Small Mid-Cap. (2) High-Risk-AI-Fristen: stand-alone HRAIS auf 02.12.2027, regulated-product auf 02.08.2028. (3) Watermarking-Pflicht für KI-generierte Inhalte: vom 02.08.2026 auf 02.12.2026. (4) Zentralisierung der Aufsicht beim AI Office, EU-weites Sandbox-Programm. |
| Was bleibt? | Transparenz- und Dokumentationspflichten für GPAI-Modelle (General Purpose AI), Verbots-Tatbestände (Artikel 5), Stichtag 02.08.2026 für die Aufsichtsstruktur. Der Omnibus delegiert die Last, er hebt sie nicht auf. |
| Sofortmaßnahme? | Einordnungs-Inventur mit Anwalt oder Datenschutzbeauftragten: Wo liegt Ihr Unternehmen im neuen SME-/SMC-/Enterprise-Raster? Welche KI-Systeme im Bestand sind High-Risk, welche GPAI-Anwendungs-Schicht haben Sie? Welche Lieferanten-Verträge regeln die Verantwortungs-Übergabe? |
| Wann wird es scharf? | GPAI-Pflichten ab 02.08.2026, Watermarking ab 02.12.2026, High-Risk-AI gestuft ab 02.12.2027 (stand-alone) bzw. 02.08.2028 (regulated-product). |
Was ändert sich — und was bleibt
Wir verfolgen den AI Act seit dem ursprünglichen Trilog-Text 2024, weil unsere Plattform-Entscheidungen in der Zusammenarbeit mit Kunden davon abhängen — vom CMS-Setup bis zur Auswahl der KI-Komponenten. Was sich am 7. Mai geändert hat, ist nicht der Regulierungs-Wille der EU, sondern die zeitliche Choreographie und die Definition, ab welcher Unternehmensgröße welcher Pflichten-Korridor greift. Vier Änderungen sind aus unserer Sicht entscheidend, eine fünfte bleibt im Diskussions-Stand. Die rechtliche Einordnung im Einzelfall liegt bei Ihrem Anwalt oder Datenschutzbeauftragten — wir ordnen hier die Implikationen für die Plattform-Seite ein, nicht die juristische Pflichtenlage.
Erstens: SME-Erleichterungen jetzt auch für Small Mid-Cap
Die ursprüngliche SME-Definition im AI Act folgte der EU-Standard-Definition (bis 250 Mitarbeiter, 50 Mio EUR Umsatz oder 43 Mio EUR Bilanzsumme). Der Omnibus erweitert die SME-Regulierungs-Erleichterungen auf eine neue Kategorie Small Mid-Cap (SMC) bis 750 Mitarbeiter und 150 Mio EUR Jahresumsatz. Die Analyse von Latham & Watkins beziffert den Wirkungsraum dieser Erweiterung auf eine substanzielle Schicht des europäischen Mittelstands, die bisher in die volle Enterprise-Pflicht fiel.
Konkrete Erleichterungen umfassen vereinfachte Dokumentationsvorlagen, reduzierte Bußgeld-Korridore, priorisierten Zugang zu den nationalen Regulatory Sandboxes und vereinfachte Konformitäts-Bewertungsverfahren. Für ein DACH-Mittelstand-Unternehmen mit 400 Mitarbeitern und 80 Mio EUR Umsatz, das bisher klar im Enterprise-Korridor saß, verschiebt sich damit der gesamte Compliance-Aufwand in eine pragmatischere Bahn.
Zweitens: High-Risk-AI-Fristen verschoben
Die High-Risk-AI-System-Pflichten (Annex III: Beschäftigung, Bildung, kritische Infrastruktur, Strafverfolgung u.a.) wären am 2. August 2026 in Kraft getreten. Der Omnibus verschiebt:
- Stand-alone HRAIS (eigenständige Hochrisiko-Systeme) auf 2. Dezember 2027
- Regulated-product safety components (Sicherheits-Komponenten in regulierten Produkten) auf 2. August 2028
Das sind 16 bzw. 24 Monate Atempause. Die Verlängerung ist kein Aufruf zur Vertagung — sie ist eine Korrektur der ursprünglich optimistischen Trilog-Annahme, dass die harmonisierten Standards und nationalen Aufsichtsbehörden bis August 2026 funktional bereitstehen würden. Stand Mai 2026 ist diese Annahme nicht erfüllt: die wesentlichen harmonisierten Standards (über CEN-CENELEC JTC 21) sind im Entwurfsstand, mehrere Mitgliedstaaten haben ihre nationale Notified-Body-Architektur noch nicht aufgebaut.
Drittens: Watermarking-Pflicht vom August auf Dezember 2026
Die Transparenz-Pflicht zur Kennzeichnung KI-generierter Inhalte (Artikel 50) wandert vom 2. August 2026 auf den 2. Dezember 2026. Vier Monate Aufschub für eine Pflicht, die für jeden Kunden relevant ist, der generative KI in Marketing-Content, Produkt-Bildern, Sprachausgabe oder Code-Generierung einsetzt — also faktisch jeden produktiven KI-Anwender im DACH-Mittelstand. Auf der Plattform-Seite ist Artikel 50 mit unserem AI-Ready CMS bereits adressierbar: die C2PA-konforme Manifest-Einbettung in Bild- und Medien-Pfade ist Teil des Produkt-Standards, eine Text-Disclosure-Linie für Chatbot-Antworten lässt sich auf gleicher Plattform-Grundlage konfigurieren. Ob die konkrete Umsetzungs-Variante die rechtliche Anforderung in Ihrer Konstellation erfüllt, klärt am Ende Ihr Anwalt — die technische Vorbereitung sitzt aber bereits in der Plattform.
Viertens: Aufsichts-Zentralisierung und EU-Sandbox
Das AI Office bei der Europäischen Kommission bekommt mehr Zuständigkeit für die direkte Aufsicht über GPAI-Modelle und über grenzüberschreitende Fälle. Parallel wird ein EU-weites Sandbox-Programm aufgesetzt, das die nationalen Regulatory Sandboxes ergänzt. Für Unternehmen mit grenzüberschreitenden KI-Anwendungen reduziert das die Heterogenität der Aufsichts-Konversation — eine Anwendung, ein Ansprechpartner auf EU-Ebene statt 27 nationale Variationen.
Was bleibt unverändert
Drei Punkte sind im Omnibus ausdrücklich nicht entschärft:
- GPAI-Transparenz- und Dokumentationspflichten (Artikel 53) bleiben im August-2026-Stichtag. Anbieter und Anwendungs-Schichten von General-Purpose-AI-Modellen müssen die summarischen Trainingsdaten-Beschreibungen, technischen Dokumentationen und Urheberrechts-Compliance-Konzepte bis dahin liefern.
- Verbots-Tatbestände (Artikel 5: Social Scoring, manipulative KI, ungezielte Gesichtserkennungs-Datenbanken u.a.) gelten seit Februar 2025 und bleiben unverändert.
- Bußgeld-Korridor für die Verbots-Tatbestände (bis 35 Mio EUR oder 7 % des weltweiten Jahresumsatzes) gilt seit dem 2. August 2025 und bleibt im Omnibus unangetastet — der reduzierte Bußgeld-Korridor für SME/SMC bezieht sich auf die übrigen Pflichtklassen, nicht auf Artikel 5.
Der Omnibus ist Korrektur, nicht Rückzug. Wer das so liest, wird die jetzt gewonnene Zeit nicht als Vertagung nutzen, sondern als Frist für die ordentliche Inventur und Lieferanten-Vertrags-Anpassung.
Wer fällt jetzt unter SME oder Small Mid-Cap?
Die saubere Einordnung ist die strategisch wichtigste Frage, die der Omnibus aufwirft — und sie ist nicht trivial. Die SME-Definition folgt der EU-Empfehlung 2003/361/EG, die Small-Mid-Cap-Definition kommt aus dem InvestEU-Rahmen, und beide Begriffe sind im KI-Kontext über Konzern-Verbundstrukturen, Beteiligungs-Mehrheiten und Auslands-Tochterumsätze zu prüfen.
| Unternehmens-Profil | Bisher (vor Omnibus) | Künftig (mit Omnibus) |
|---|---|---|
| Familienunternehmen, 120 Mitarbeiter, 25 Mio EUR Umsatz, eigenständig | SME — vollständig im erleichterten Korridor | SME — unverändert |
| Mittelständler, 380 Mitarbeiter, 70 Mio EUR Umsatz, eigenständig | Enterprise — voller Pflichten-Korridor | Small Mid-Cap — neu erleichtert |
| Familien-Holding, 600 Mitarbeiter, 140 Mio EUR Umsatz, drei Tochtergesellschaften | Enterprise — voller Pflichten-Korridor | Small Mid-Cap (Konzern-konsolidiert geprüft) — neu erleichtert, sofern Konzern-Schwellen nicht überschritten |
| Mittelständler, 250 Mitarbeiter, 200 Mio EUR Umsatz | Enterprise | Enterprise — Umsatz-Schwelle 150 Mio EUR überschritten |
| Mittelständler, 800 Mitarbeiter, 120 Mio EUR Umsatz | Enterprise | Enterprise — Mitarbeiter-Schwelle 750 überschritten |
| Konzern-Tochter mit 200 Mitarbeitern, Mutter-Konzern global 12.000 Mitarbeiter | Enterprise (Konzern-konsolidiert) | Enterprise (Konzern-konsolidiert) — Konzern-Verbundschwellen schlagen durch |
Die Konzern-Verbundregel ist die häufigste Stolperfalle, und sie ist eine juristische Prüfung, keine Plattform-Prüfung. Wir haben in der Zusammenarbeit mit unseren Kunden in den vergangenen 18 Monaten mehrfach erlebt, dass eine eigenständig wirkende Einheit sich selbst als SME einordnet, die rechtliche Prüfung durch Datenschutzbeauftragten oder Hausanwalt aber die Mehrheits-Beteiligung einer Holding berücksichtigt — und die SME-Zuordnung damit anders ausfällt als zunächst angenommen. Mit der neuen SMC-Schwelle wird dieselbe Prüfung jetzt für eine größere Korridor-Schicht relevant. Was wir Ihnen dazu praktisch sagen können: stellen Sie die Frage früh und beantworten Sie sie sauber, denn auf der Antwort baut die spätere Dokumentation auf.
Auswirkungen für die Planung
Wir teilen die operativen Auswirkungen in drei Zeit-Horizonte.
Bis 2. August 2026 (kurzfristig, 11 Wochen): GPAI-Transparenz- und Dokumentationspflichten bleiben unverändert. Wer GPAI-Modelle (OpenAI, Anthropic, Mistral, Google Gemini u.a.) in eigene Anwendungs-Schichten integriert, hat die Use-Case-Dokumentation, die Daten-Fluss-Beschreibung und die Risiko-Klassifikation bis dahin in einer auditierbaren Form. Aufsichtsstrukturen auf nationaler Ebene (in Deutschland federführend BNetzA, mit Beteiligung von BSI und BfDI) treten in Kraft.
Bis 2. Dezember 2026 (mittelfristig, 7 Monate): Watermarking-Pflicht für KI-generierte Inhalte. Wer generative Modelle für Bild-, Text- oder Audio-Erzeugung im Kundenkontakt einsetzt, hat bis dahin die maschinen-lesbare und ggf. menschen-erkennbare Kennzeichnung in den Produktions-Pfaden integriert. Die Auswertung von TechPolicy.Press betont, dass die Umsetzung gerade für CMS- und E-Commerce-Plattformen tooling-seitig vorbereitet sein muss — die Kennzeichnung darf nicht erst beim Auslieferungs-Schritt ergänzt werden, sondern muss in der Generierungs-Pipeline verankert sein.
Bis 2. Dezember 2027 bzw. 2. August 2028 (langfristig, 19 bzw. 27 Monate): High-Risk-AI-System-Pflichten. Wer KI-Systeme in Annex-III-Anwendungsfeldern betreibt (HR-Recruiting-Tools, Kreditscoring, Bildungs-Bewertungs-KI, kritische Infrastruktur-Steuerung), hat bis dahin die Konformitätsbewertung, das Risikomanagementsystem, die Qualitätssicherung der Trainingsdaten, das technische Dokumentationsdossier, die Post-Market-Überwachung und die Aufsichts-Anbindung in funktionalem Stand. Der gewonnene Zeit-Korridor ist real, aber die Anforderungstiefe ist substanziell — wer erst zur Jahreswende 2027 anfängt, hat keinen sinnvollen Vorlauf für die externe Konformitätsbewertung.
Wirtschaftlich bedeutet der Omnibus für unsere Kunden zwei Dinge. Erstens: ein Stichtag-Druck weniger im Sommer-Geschäftshalbjahr 2026. Zweitens: für die Mittelstand-Schicht zwischen 250 und 750 Mitarbeitern eine Verschiebung vom „Compliance-Block, der zwingend externe Großberatung rechtfertigt“ hin zu einem „Compliance-Block, der intern mit Standard-Vorlagen plus anwaltlicher Abnahme der Endfassung abbildbar ist“. Das spart nicht die Arbeit, aber es spart einen substanziellen Beratungs-Posten — und es macht Plattform-Entscheidungen, die wir mit unseren Kunden gemeinsam treffen, planbarer.
Sofortmaßnahmen — Ihre Einordnungs-Inventur
Drei Pfade, in genau dieser Reihenfolge.
Pfad 1 — Unternehmens-Einordnung (rechtliche Schicht)
Klären Sie auf Geschäftsleitungs-Ebene mit Ihrem Anwalt oder Datenschutzbeauftragten, in welchen Korridor Sie nach den neuen Schwellen fallen. Die Prüfung berücksichtigt typischerweise:
- Mitarbeiterzahl auf Konzern-konsolidierter Basis (nicht nur juristische Einheit)
- Jahresumsatz auf Konzern-konsolidierter Basis
- Bilanzsumme als Alternative zur Umsatzschwelle (relevant für kapital-intensive Branchen)
- Beteiligungs-Verhältnisse — Mehrheitsbeteiligungen von Großkonzernen schlagen über die EU-Verbundregel auf die Einordnung durch
- Auslands-Tochtergesellschaften und deren Umsätze
Die zugrunde liegende Datenlage (Mitarbeiterzahlen, Umsatz, Konzern-Konsolidierung) ist im Regelfall im Controlling oder beim Wirtschaftsprüfer greifbar — sie wird etwa für KfW- oder BAFA-Förderanträge, für Bilanz-Veröffentlichungen oder für die KMU-Einstufung im Rahmen einzelner EU-Programme ohnehin gelegentlich erhoben. Eine eigenständige „AI-Act-Erstprüfung“ ist im Steuerberater-Standardumfang nicht enthalten, die Datenpunkte selbst sind aber in der Regel verfügbar.
Pfad 2 — KI-System-Inventur (Plattform-Schicht)
Erstellen Sie ein Verzeichnis aller im Unternehmen produktiv eingesetzten KI-Systeme. Drei Spalten haben sich in unserer Plattform-Arbeit bewährt: (a) Anwendungsfall und Geschäftsprozess, (b) zugrunde liegende Modell-Schicht (eigenes Modell, GPAI-Anwendungsschicht, eingekauftes SaaS-Produkt), (c) Risiko-Klassifikation nach AI-Act-Annex-Kategorien. Die Risiko-Einordnung ist eine rechtliche Bewertung — wir liefern die technische Bestands-Aufnahme, die juristische Zuordnung trifft Ihr Anwalt.
In der Zusammenarbeit mit unseren Kunden landet die Mehrheit der KI-Anwendungen in der GPAI-Anwendungs-Schicht (eigene Customer-Support-Chatbots auf GPT-4-Basis, interne Wissensbasen mit RAG-Pipelines, Marketing-Text-Generierung) und in der niedrig-/keine Risiko-Klasse (interne Produktivitäts-Tools, Übersetzungs-Hilfen). Hochrisiko-Systeme sind im DACH-Mittelstand selten, aber wenn vorhanden (Recruiting-Algorithmen, Kreditscoring, Schul-/Hochschul-Bewertungs-KI), sind sie strategisch unverhandelbar. Unser AI-Ready CMS ist so gebaut, dass diese Inventur nicht in einem Excel-Schatten-Register entsteht, sondern als Metadaten-Schicht am Content selbst — der CMS-Eintrag weiß, welches Modell ihn erzeugt hat, mit welchem Prompt, und ob das Ergebnis nach Artikel 50 kennzeichnungspflichtig ist.
Pfad 3 — Lieferanten-Vertrags-Audit (rechtliche Schicht)
Wer GPAI-Modelle als Cloud-Service bezieht, hat die Compliance-Last in einer geteilten Verantwortung mit dem Anbieter. Die Vertrags-Bedingungen der großen Anbieter sind seit Anfang 2026 in mehreren Wellen angepasst worden — wer einen Lieferanten-Vertrag aus 2024 oder früher hat, sollte die DPA-Anhänge, die Schulungs-Daten-Transparenz-Klauseln und die Auftrags-Verarbeitungs-Bedingungen anwaltlich auf den aktuellen AI-Act-Stand prüfen lassen. Insbesondere die Frage, wer die Watermarking-Pflicht aus Artikel 50 in welchem Schritt ausführt, ist häufig zwischen Modell-Anbieter und Anwender unklar geregelt. Auf der Plattform-Seite lässt sich der Watermarking-Pfad sauber abbilden, sobald die vertragliche Rollenverteilung steht — siehe AI-Ready CMS oben.
Prüfung Ihrer Einordnung — eine kurze Checkliste
Eine pragmatische Erste-Linien-Prüfung, die Sie in einer Geschäftsleitungssitzung in 30 Minuten durchgehen können. Die rechtliche Abnahme der Antworten liegt anschließend bei Anwalt oder Datenschutzbeauftragten.
- Wir haben in den letzten 12 Monaten mindestens ein KI-System (auch GPAI-basiert) produktiv im Geschäftsbetrieb eingesetzt. Wenn ja: AI Act gilt für Sie, unabhängig von der Größe.
- Wir liegen konsolidiert unter 250 Mitarbeitern und 50 Mio EUR Umsatz. Wenn ja: SME-Korridor mit voller Erleichterung. Wenn nein: weiter zur nächsten Frage.
- Wir liegen konsolidiert unter 750 Mitarbeitern und 150 Mio EUR Umsatz. Wenn ja: SMC-Korridor mit erweiterten Erleichterungen aus dem Omnibus. Wenn nein: Enterprise-Korridor.
- Wir setzen mindestens ein KI-System in einem Annex-III-Anwendungsfeld ein (HR-Recruiting-Entscheidung, Kreditscoring, Bildungs-Bewertung, kritische Infrastruktur, Strafverfolgung, biometrische Identifikation). Wenn ja: High-Risk-AI-Pflichten ab 02.12.2027 / 02.08.2028, unabhängig vom Größen-Korridor.
- Wir setzen generative KI im Kundenkontakt ein (Text-, Bild-, Audio-, Video-Generierung mit Veröffentlichungs- oder Versand-Pfad nach außen). Wenn ja: Watermarking-Pflicht ab 02.12.2026.
- Unsere KI-Anwendungen verarbeiten personenbezogene Daten. Wenn ja: DSGVO-Schicht mit AI-Act-Wechselwirkung (Datenschutz-Folgenabschätzung, Auftragsverarbeitung, Recht auf Erklärung). Bleibt unverändert vom Omnibus.
Wer alle sechs Fragen für sich klar beantworten kann, hat den Einordnungs-Stand für die nächste Beirats-Sitzung. Wer in zwei oder mehr Fragen unsicher ist, hat den Punkt, an dem eine strukturierte Inventur lohnt.
Betreiberempfehlung
Vorab eine Wenn/Dann-Übersicht für die häufigsten Konstellationen.
Jetzt aktiv werden, wenn Sie KI-Systeme in einem Annex-III-Anwendungsfeld betreiben, oder generative KI im direkten Kundenkontakt einsetzen, oder Ihre Größen-Einordnung im Konzern-Verbund unklar ist. In diesen Fällen lohnt die Inventur und der Lieferanten-Vertrags-Audit jetzt — der gewonnene Zeit-Korridor ist nicht beliebig dehnbar.
Im Wochenfenster planen, wenn Sie GPAI-Anwendungen ohne Annex-III-Bezug einsetzen und Ihre Größen-Einordnung eindeutig ist. Die GPAI-Dokumentations-Pflicht zum 02.08.2026 bleibt; sie ist mit den Standard-Vorlagen des AI Office in zwei bis drei Wochen Vorbereitungs-Zeit erfüllbar.
Im Quartalsrhythmus aufgreifen, wenn Sie KI ausschließlich für interne Produktivitäts-Zwecke einsetzen, ohne Kunden-Außenwirkung und ohne Annex-III-Bezug. Die Inventur lohnt trotzdem — als Vorbereitung, falls ein Anwendungsfeld später hinzukommt.
Mittelstand (bis 250 Mitarbeiter / 50 Mio EUR — SME)
Sie sind im günstigsten Korridor. Die SME-Vorlagen des AI Office, die in den nächsten Monaten in deutscher Übersetzung verfügbar werden, sind als Rückgrat der internen Dokumentation konzipiert. Wer in dieser Größe sechsstellige Beratungs-Tagessätze bindet, übererfüllt — die SME-Schicht ist im Omnibus bewusst auf Eigenbearbeitung mit anwaltlicher Abnahme der Endfassung ausgelegt.
Small Mid-Cap (250–750 Mitarbeiter / 50–150 Mio EUR — neu durch Omnibus)
Sie sind die wesentliche Profiteur-Schicht des Omnibus. Bisher orientierten Sie sich an Enterprise-Standards, künftig stehen Ihnen die SME-Erleichterungen offen. Das ist kein Freibrief, sondern eine Ressourcen-Entlastung. Ein formaler Beschluss der Geschäftsleitung zur Inanspruchnahme der SMC-Schiene mit dokumentierter Größen-Einordnung wird in der Praxis die Grundlage gegenüber der nationalen Aufsicht — die Formulierung dieses Beschlusses gehört in die Hand Ihres Anwalts oder Datenschutzbeauftragten.
Enterprise (über 750 Mitarbeiter oder über 150 Mio EUR Umsatz)
Sie bleiben im vollen Pflichten-Korridor. Die Stichtag-Verschiebungen geben Planungs-Zeit, sie reduzieren aber nicht die Anforderungstiefe. Die zusätzlichen 16–24 Monate sind das Fenster für die ordentliche Konformitätsbewertung, die Schulung interner Datenschutz- und IT-Sicherheits-Verantwortlicher und den Aufbau der Post-Market-Überwachungs-Strukturen — alles Themen, die juristisch und prozessual aufgesetzt werden müssen, bevor die Plattform-Seite überhaupt sinnvoll konfigurierbar ist.
Anbieter von GPAI-Anwendungs-Schichten
Wenn Sie eigene Produkte auf GPAI-Modell-Schicht aufsetzen (z.B. einen eigenen Customer-Support-Bot, der OpenAI oder Anthropic als Modell-Anbieter nutzt), wird in der juristischen Praxis häufig diskutiert, ob Sie nach AI-Act-Lesart Anbieter im Sinne der GPAI-Anwendungspflichten sind. Die Transparenz-Pflichten zum 02.08.2026 können in dieser Lesart auch Sie treffen, nicht nur den Modell-Hersteller. Die Einordnung im konkreten Fall wird anwaltlich getroffen — sie wird in der Praxis aber häufig zu spät gestellt. Wer eine GPAI-Anwendungsschicht produktiv betreibt, sollte diese Frage noch vor August 2026 mit dem Hausanwalt geklärt haben.
Was wir konkret tun
Wir haben die Kunden-Liste seit dem 7. Mai durch eine Erst-Sortierung gezogen. Drei Beobachtungen aus dem Bestand:
Erstens: rund 60 % unserer Kunden verschieben sich durch die SMC-Schwelle aus dem Enterprise- in den erleichterten Korridor. Für diese Kunden haben wir die nächste turnusmäßige Plattform-Sitzung um den Punkt „SMC-Schiene relevant?“ ergänzt — als technische Vorbereitung, damit der Beschluss-Entwurf zur SMC-Inanspruchnahme, wenn er anwaltlich aufgesetzt wird, sauber auf die Plattform-Realität trifft.
Zweitens: die Watermarking-Pflicht zum 02.12.2026 trifft alle Kunden, die generative KI im Marketing-Output, in der Bild-Generierung für Produkt-Kataloge oder in der Sprachausgabe für Kunden-Voicebots einsetzen — also faktisch alle, die in den vergangenen 18 Monaten KI-Werkzeuge in den Marketing- oder Customer-Service-Stack integriert haben. Im AI-Ready CMS ist die C2PA-konforme Manifest-Einbettung in Bild-, Video- und Audio-Pfade bereits Teil des Produkts; für TYPO3- und Sylius-Bestände außerhalb des AI-Ready-Stacks bereiten wir bis Q3/2026 ein Modul-Paket vor, das dieselbe Watermarking-Pipeline nachrüstet. Eine Text-Disclosure-Linie für Chatbot-Antworten lässt sich auf der gleichen Plattform-Grundlage konfigurieren.
Drittens: die GPAI-Anbieter-Einordnung wird im Bestand konsistent zu spät diskutiert. Wer eine eigene Anwendung auf einer Foundation-Modell-Schicht baut, kann nach AI-Act-Lesart gegenüber den eigenen Kunden in eine Anbieter-Rolle rutschen. Wir adressieren diese Frage im Onboarding neuer Projekte ab Juni 2026 explizit und verweisen für die juristische Einordnung an Anwalt oder Datenschutzbeauftragten.
Auf der Plattform-Seite bauen wir parallel ein Modul aus, das die KI-System-Inventur als strukturierte Metadaten-Schicht am Content führt — das spart Excel-Schatten-Register und macht spätere Audit-Anfragen technisch beantwortbar.
Häufige Fragen zum AI Act Digital Omnibus
Müssen wir unsere KI-Roadmap wegen des Omnibus überarbeiten?+
Nein, wenn Ihre Roadmap auf realistische Stichtage und ordentliche Inventur aufbaut, ändert der Omnibus nichts Substanzielles. Ja, wenn Ihre Roadmap stillschweigend von der August-2026-Frist als treibendem Datum ausging und jetzt die Watermarking-Implementierung in Q3/2026 oder die HRAIS-Konformitätsbewertung in Q1/2027 verschieben können. Die Verschiebung ist Möglichkeit, nicht Vorgabe.
Gilt die SMC-Erweiterung bereits jetzt, oder erst nach förmlicher Verabschiedung?+
Die politische Einigung vom 7. Mai 2026 ist noch nicht in Kraft — die förmliche Verabschiedung durch Rat und Parlament wird bis Juli 2026 erwartet, vor dem ursprünglichen 2. August 2026 Stichtag. Bis zur Verabschiedung gelten formal noch die alten Schwellen. In der Praxis lässt sich die Inventur und Vorbereitung jetzt auf die neue Schwelle ausrichten — die Wahrscheinlichkeit einer materiellen Abweichung vom politischen Einigungs-Text ist gering. Die abschließende Bewertung des Inkrafttretens im Einzelfall gehört zu Ihrem Anwalt.
Wir betreiben unseren Customer-Support-Bot auf der OpenAI-API. Sind wir GPAI-Anbieter oder Nutzer?+
In Bezug auf das Foundation-Modell sind Sie Nutzer, in Bezug auf Ihre eigene Anwendung gegenüber Ihren Kunden kann je nach Konstellation eine Anbieter-Rolle entstehen — die AI-Act-Lesart kennt diese geteilte Rolle. Die Transparenz-Pflichten gegenüber Ihren Endkunden (Disclosure, dass der Bot KI ist; Kennzeichnung KI-generierter Antworten ab 02.12.2026) liegen in der Regel bei Ihnen, die Modell-spezifischen Transparenz-Pflichten (Trainingsdaten-Beschreibung, technische Dokumentation des Foundation-Modells) bei OpenAI. Die genaue Einordnung im konkreten Fall trifft Ihr Anwalt.
Wie viel Aufwand ist die SMC-Einordnungs-Dokumentation tatsächlich?+
Wenn die Konzern-konsolidierte Mitarbeiter- und Umsatzzahl in Ihrem Controlling oder beim Wirtschaftsprüfer ohnehin jährlich vorliegt, ist die SMC-Dokumentation eine ergänzende Seite — Größenklassifikation nach AI Act mit Verweis auf die zugrunde liegenden Geschäftsjahres-Daten. Aufwand auf Plattform-Seite: ein halber Sitzungs-Block in der Geschäftsleitung plus Dokumentations-Erstellung. Die rechtliche Abnahme der Einstufung gehört in jedem Fall in die Hand Ihres Anwalts oder Datenschutzbeauftragten.
Was passiert, wenn wir die Watermarking-Pflicht zum 02.12.2026 nicht erfüllen?+
Bußgeld-Korridor für die Transparenz-Pflichten liegt bei bis zu 15 Mio EUR oder 3 % des weltweiten Jahresumsatzes (für SME/SMC mit reduzierten Anwendungs-Sätzen). Wichtiger als das Bußgeld ist die Aufsichts-Beziehung: die nationale Aufsicht (in Deutschland federführend BNetzA) wird in der Anfangsphase voraussichtlich verhandelnd vorgehen, aber dokumentierte Nicht-Umsetzung ohne ernsthafte Vorbereitung wird in den ersten Verfahren als Signal-Fall behandelt werden. Lieber pragmatisch und dokumentiert vorbereiten als perfekt und verspätet. Auf der Plattform-Seite ist die C2PA-Manifest-Einbettung im AI-Ready CMS bereits Standard.
Hat der Omnibus Auswirkungen auf bereits laufende Konformitätsbewertungs-Projekte?+
Ja, in einer entlastenden Richtung. Wer bereits in einem HRAIS-Konformitätsbewertungs-Projekt steckt, kann den Stichtag-Korridor nutzen, um die externen Bewertungs-Slots zu glätten — die Notified Bodies sind aktuell überlastet, die Verlängerung gibt Spielraum. Aus Plattform-Sicht macht es Sinn, das Projekt nicht auszusetzen, sondern in eine ruhigere Taktung zu überführen.
Fazit
Der Omnibus ist die ehrlichste regulatorische Korrektur am AI Act seit Trilog-Abschluss — er stellt die ursprünglich optimistischen Stichtage auf realistische Umsetzungs-Korridore um und schafft mit der SMC-Erweiterung eine Schicht, die der europäischen Wirtschaftsrealität näher kommt. Was den Omnibus tragfähig macht, ist nicht der Aufschub, sondern die Anerkennung, dass ein 380-Mitarbeiter-Unternehmen andere Compliance-Kapazitäten hat als ein 38.000-Mitarbeiter-Konzern.
Die Frage lautet nicht, ob der AI Act ab August 2026 zu hart greift — die Verschiebungen lösen den akuten Stichtag-Druck. Sie lautet, ob die jetzt gewonnenen Monate für eine ordentliche Inventur, eine anwaltlich begleitete Lieferanten-Vertrags-Anpassung und eine Plattform-Vorbereitung genutzt werden — oder ob die neue Frist als Einladung zur Vertagung gelesen wird. Aus unserer Sicht in der Plattform-Arbeit mit Kunden führt die zweite Lesart in jedem Fall zum gleichen Engpass, nur 16 Monate später, weil dann alle gleichzeitig fragen.
Wir bauen die Plattform-Seite Ihrer AI-Act-Vorbereitung — die rechtliche Einordnung bleibt bei Ihrem Anwalt.
Konkret: KI-System-Inventur als strukturierte Metadaten-Schicht im CMS, Watermarking-Pipeline mit C2PA-Manifest-Einbettung für Bild-, Video- und Audio-Pfade, Text-Disclosure-Linie für generative Chatbot-Antworten, technische Vorbereitung der GPAI-Dokumentation, Plattform-Linie, die SMC-Beschlüsse und Audit-Anfragen technisch beantwortbar macht. Vorzugsweise direkt auf unserem AI-Ready CMS, für TYPO3- und Sylius-Bestände außerhalb des AI-Ready-Stacks als Modul-Nachrüstung.
Wenn Sie als Geschäftsführerin oder Geschäftsführer eines DACH-Mittelstand- oder Small-Mid-Cap-Unternehmens die Plattform-Seite der AI-Act-Vorbereitung strukturieren wollen, sprechen wir vor der nächsten Geschäftsleitungs-Sitzung. Termin direkt vereinbaren, oder schauen Sie sich vorab unser AI-Ready CMS as a Service, unsere AI Agent as a Service-Linie und unsere DevSecOps as a Service-Plattform an.
Über die Autorin
Kim Hartwig
Kim verantwortet das operative Geschäft und begleitet unsere Kunden strategisch im Alltag. Ihre Expertise in der Computerlinguistik vereint kommunikatives Verständnis mit technologischem Know-how.
Verwandte Beiträge
Artikel 50 wird greifbar — die EU-Kommission legt ihre Transparenz-Leitlinien zum AI Act vor und gibt Ihnen 26 Tage zum Mitreden
Weiterlesen →
Drei Monate bis zum EU AI Act: Was Mittelständler bis zum 2. August 2026 sauber stehen haben sollten
Weiterlesen →