EU AI Act verschoben: Entspannung für den Mittelstand?
Der ursprüngliche Stichtag 2. August 2026 ist Geschichte. Mit dem „Digital Omnibus"-Paket vom 7. Mai 2026 hat die EU-Kommission vorgeschlagen, zentrale Teile des EU AI Act um ein bis zwei Jahre zu verschieben.
Für den Mittelstand bedeutet diese Verschiebung allerdings nicht das, was die Überschriften vermuten lassen. Sie bedeutet vor allem eine Rebalancierung. Und sie macht eine andere Verordnung wichtiger, die längst gilt: die DSGVO.
Was tatsächlich verschoben wurde, und was nicht
Verschoben wurden ausschließlich Pflichten für sogenannte Hochrisiko-KI-Systeme. Konkret:
| System-Kategorie | Alter Stichtag | Neuer Stichtag |
|---|---|---|
| Anhang III (Standalone-Hochrisiko-KI: HR-Software, Biometrie, Kreditbewertung, Justiz) | 2. August 2026 | 2. Dezember 2027 |
| Anhang I (Hochrisiko-KI in regulierten Produkten: Medizinprodukte, Maschinen, Aufzüge) | 2. August 2026 | 2. August 2028 |
Das Muster: Diese Verschiebungen helfen den Anbietern von Hochrisiko-KI, Großkonzernen, spezialisierten Anbietern in regulierten Branchen, internationalen Tech-Herstellern.
Sie helfen kaum dem klassischen Mittelständler, der schlicht KI-Tools wie ChatGPT, Microsoft Copilot oder eine EU-gehostete Chat-Plattform einsetzt.
Denn was für den Mittelstand wirklich gilt, wurde nicht verschoben.
Was für den Mittelstand bleibt
Drei Pflichten betreffen jedes Unternehmen, das KI nutzt, auch das Architekturbüro mit 20 Mitarbeitenden.
Artikel 4: KI-Kompetenzpflicht, gilt seit 2. Februar 2025 Mitarbeitende, die KI bedienen oder ihre Ergebnisse nutzen, müssen „ausreichende KI-Kompetenzen" haben. In der Praxis: eine dokumentierte Schulung pro Person, deren Inhalt Grundprinzipien, Grenzen und interne Regeln abdeckt.
Artikel 5: Verbotene Praktiken, gilt seit 2. Februar 2025 Social Scoring, manipulative KI, unzulässige biometrische Echtzeit-Identifikation. Das ist die meisten Mittelständler natürlich nicht relevant. Ausnahme vielleicht: KI in der Bewerber-Auswahl und in Personalentscheidungen.
Artikel 50: Transparenzpflicht, gilt ab 2. August 2026 KI-Output muss gekennzeichnet werden, Chatbots müssen sich als solche zu erkennen geben, Deepfakes müssen klar erkennbar künstlich sein. Das ist die Pflicht, die in wenigen Wochen gilt, und kritisch auf Einhaltung geprüft werden sollte.
Diese drei Punkte sind nicht spektakulär. Sie sind aber durchsetzbar.
Die Einordnung eines Datenschutz-Experten
Wer Datenschutz-Juristen zuhört, vernimmt zunehmend eine kritische Bewertung des EU AI Act. Dr. Sebastian Kraska, einer der profiliertesten deutschen Datenschutzanwälte (IITR Datenschutz), formulierte in einem kürzlich geführten Interview sinngemäß:
- Die DSGVO regelt seit Jahren die wirklich kritischen Punkte: Personenbezug, Auftragsverarbeitung, Transparenz, automatisierte Einzelentscheidung. Wer dort sauber aufgestellt ist, hat das Meiste, was für KI relevant ist, bereits abgedeckt.
- EU-AI-Act-Großprojekte sind aktuell ein Thema für Konzerne, nicht für den Mittelstand.
- Der zusätzliche EU-AI-Act-Bedarf für KMU lässt sich auf wenige praktische Schritte reduzieren: KI-Kompetenzschulung mit Nachweis, Transparenz-Mechanik, klare interne Regeln.
Kraska weist auf einen oft übersehenen Punkt hin: Wer ohne menschliche Letztentscheidung Bewerbungen aussortiert, Kreditanfragen ablehnt oder Versicherungsleistungen prüft, fällt unter eine Vorschrift, die schon heute scharf ist und durch den AI Act nicht entschärft wird.
EU AI Act vs DSGVO
Der häufigste Fehler in der aktuellen Diskussion: AI Act und DSGVO werden in einen Topf geworfen. Die DSGVO trägt die Hauptlast und wird durch den AI Act nicht ersetzt, sondern ergänzt. Wer auf den AI Act wartet, verliert Zeit, ohne Risiko zu reduzieren.
Was die Verschiebung für den Hochrhein-Mittelstand bedeutet
Drei Schlussfolgerungen:
1. Stoppen Sie keine Initiative wegen der Verschiebung. Wer wegen Unsicherheit über den AI Act seine KI-Einführung gestoppt hat: Das war ein Vorwand. Die Verschiebung nimmt diesen Vorwand weg.
2. Investieren Sie in DSGVO-Solidität, nicht in AI-Act-Großprojekte. Saubere Auftragsverarbeitungsverträge mit Ihren KI-Anbietern. Geklärte Datenflüsse. Eine einseitige KI-Richtlinie. Eine 60-minütige Mitarbeiterschulung mit Nachweis. Damit erfüllen Sie die für Sie relevanten Pflichten beider Verordnungen.
3. Warten Sie nicht auf „Klarheit". Die wird es nicht geben. Der AI Act wird in den nächsten 18 Monaten weiter verhandelt, präzisiert, ergänzt. Wer auf den finalen Wortlaut wartet, wartet bis 2028, und verliert in der Zwischenzeit jede strategische Initiative an Wettbewerber, die jetzt handeln.
Über den Autor: Thomas Schröpfer arbeitet hauptberuflich als Go-to-Market Product Manager bei einem Schweizer Anbieter von KI-Infrastruktur. Nebenberuflich berät er Mittelständler am Hochrhein zu strategischen KI-Fragen. Er ist kein Anwalt und gibt keine Rechtsberatung, für rechtsverbindliche Bewertungen wenden Sie sich an Ihren Datenschutzbeauftragten oder einen Anwalt für IT-Recht.
Quellen:
- Verordnung (EU) 2024/1689, EU AI Act im EUR-Lex
- EU AI Act Digital Omnibus vom 7. Mai 2026, Fristverschiebung (Skill-Sprinters)
- Interview mit Dr. Sebastian Kraska (IITR Datenschutz), Mai 2026
- DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz" (Mai 2024)