EU verschiebt strenge AI-Act-Regeln um zwei Jahre

Die EU hat sich auf vereinfachte KI-Regeln geeinigt: Das „Digital Omnibus on AI“ verschiebt Fristen für Hochrisiko-KI auf Ende 2027 und 2028 und entlastet kleine und mittlere Unternehmen. Neu verboten werden Nudification-Apps. Die Kennzeichnungspflicht für Deepfakes und KI-Texte bleibt beim ursprünglichen Termin August 2026.

Was ist Ihre Meinung? Wenn Sie als deutscher Mittelständler bisher KI-Projekte mit Verweis auf den AI Act zurückgestellt haben, können Sie aufatmen. Die EU-Kommission hat das Digital Omnibus on AI beschlossen, ein Vereinfachungspaket, das die schärfsten KI-Regeln um zwölf bis 24 Monate verschiebt und KMU explizit entlastet. Gleichzeitig zieht Brüssel rote Linien bei besonders missbräuchlichen KI-Anwendungen wie Nudification-Apps.

Das Wichtigste in Kürze

• Hochrisiko-KI-Fristen verschoben auf Ende 2027 (Anhang III) und Ende 2028 (Anhang I)
• Kleine und mittlere Unternehmen werden bei Compliance-Pflichten explizit entlastet
• Neu verboten: Nudification-Apps zur Erstellung intimer Bilder ohne Zustimmung
• Kennzeichnungspflicht für Deepfakes und KI-Texte bleibt beim Termin August 2026
• Ziel: Wettbewerbsfähigkeit europäischer KI-Anbieter gegen US- und China-Konkurrenz stärken

Was sich konkret ändert

EU-weite Compliance-Fristen für KI-Hochrisikosysteme verschoben: Anhang III bis Ende 2027, Anhang I bis Ende 2028

Der ursprüngliche EU AI Act sah vor, dass Hochrisiko-Systeme aus Anhang III (etwa KI in Personalauswahl, Kreditprüfung, Strafverfolgung) ab August 2026 alle Compliance-Pflichten erfüllen müssen. Diese Frist verschiebt sich nun auf Ende 2027. Hochrisiko-Systeme aus Anhang I (KI in Medizinprodukten, Spielzeug, Maschinen) bekommen sogar bis Ende 2028 Zeit.

Für KMU sind die Erleichterungen besonders relevant. Die Kommission erkennt an, dass die ursprünglichen Compliance-Anforderungen für kleine Anbieter unverhältnismäßig waren. Konkrete Vereinfachungen betreffen Dokumentationspflichten, Risikomanagement-Systeme und die Konformitätsbewertung. Statt aufwendiger Audits durch externe Stellen reichen für viele KMU-Anwendungen interne Selbstbewertungen.

Was bei den Verboten neu ist

Brüssel verbietet Nudification-Apps, die ohne Zustimmung pornografische Inhalte aus normalen Fotos generieren. Das Verbot gilt weltweit für alle Anbieter

Brüssel hat parallel zur Verschiebung den Verbots-Katalog ergänzt. Neu auf der Liste: Nudification-Apps, also Anwendungen, die aus normalen Fotos pornografische Inhalte ohne Zustimmung der abgebildeten Person generieren. Diese Apps sind im letzten Jahr explosionsartig gewachsen, oft als kostenlose Freemium-Angebote auf Smartphone-Stores. Das EU-Verbot greift unabhängig vom Standort des Anbieters, sobald die App in der EU verfügbar ist.

Die Kennzeichnungspflicht für Deepfakes und KI-generierte Texte bleibt unverändert. Ab August 2026 müssen Anbieter von Bild-, Video- und Audio-Generatoren ihre Outputs technisch markieren, etwa durch Wasserzeichen oder Metadaten. Wer Texte mit KI generiert und öffentlich publiziert, muss diese ebenfalls als KI-generiert kennzeichnen. Diese Frist hält die Kommission für realistisch und politisch wichtig, weil die Wahlen in mehreren EU-Mitgliedstaaten 2026 anstehen.

Das Digital Omnibus ist ein politisches Eingeständnis, dass die ursprünglichen Fristen zu sportlich waren. Für deutsche KMU heißt das: Sie haben zwei Jahre mehr Zeit, ohne dass die Pflichten am Ende substanziell weicher werden. Wer das als Aufschub-Geschenk versteht und nicht vorbereitet, verschläft die Welle.

— Markus Seyfferth, Chefredakteur Dr. Web

Warum die EU jetzt zurückrudert

Europäische KI-Unternehmen wie Mistral und DeepL kritisieren Wettbewerbsnachteile durch den EU AI Act gegenüber US- und chinesischen Anbietern

Die Verschiebung kommt nicht aus dem Nichts. Im letzten Jahr hat die Wettbewerbsdebatte Fahrt aufgenommen: US-Anbieter wie OpenAI und Anthropic skalieren ohne vergleichbare Compliance-Last, chinesische Anbieter ebenfalls. Europäische KI-Champions wie Mistral, Aleph Alpha oder DeepL haben offen kritisiert, dass sie unter dem AI Act gegenüber außereuropäischen Konkurrenten benachteiligt seien.

Bundeskanzler und Wirtschaftsminister mehrerer EU-Staaten haben in den letzten Monaten Brüssel zur Vereinfachung gedrängt. Das Digital Omnibus ist die Antwort. Politisch sensibel ist allerdings, dass die Kommission gleichzeitig signalisieren musste, dass es kein Aufweichen bei den Grundprinzipien gibt. Daher die parallele Schärfung beim Nudification-Verbot und das Festhalten an der Deepfake-Kennzeichnung.

Was deutsche KMU jetzt tun sollten

KI-Hochrisiko-Anwendungen in Personalauswahl, Kreditscoring und Versicherungsprüfung müssen bis 2026 dokumentiert und risikomanagt werden

Drei Punkte gehören 2026 in die Tagesordnung.

Hochrisiko-Anwendungen identifizieren

Wer KI in Personalauswahl, Kreditscoring, Versicherungsprüfung oder ähnlich sensiblen Bereichen einsetzt, muss prüfen, ob die Anwendung unter Anhang III des AI Act fällt. Die zwei zusätzlichen Jahre Zeit sind kein Aufschub, sondern eine Vorbereitungsphase. Wer 2027 ohne Dokumentation und Risikomanagement antritt, verliert.

Deepfake-Kennzeichnung schon jetzt umsetzen

Die August-2026-Frist gilt für KI-generierte Bilder, Videos, Audio und Texte. Wer Marketing-Inhalte mit Midjourney, ChatGPT oder ähnlichen Tools produziert, muss ab Sommer kennzeichnen. Eine Pflicht-Übung ist das Etablieren eines internen Workflows, der KI-Generierte automatisch markiert.

KMU-Erleichterungen aktiv nutzen

Die Vereinfachungen für kleine und mittlere Unternehmen sind politisch erkämpft, aber operativ nur dann nutzbar, wenn die eigene Unternehmensstruktur klar dokumentiert ist. Mitarbeiterzahl, Umsatz und Bilanzsumme entscheiden über die Einstufung. Wer am Schwellwert kratzt, sollte die Definition kennen und seine Position aktiv steuern.

Was bedeutet das für 2026?

EU-Verordnung Digital Omnibus stärkt europäische KI-Anbieter ab 2026. Mittelständler erhalten Compliance-Erleichterungen und können KI-Projekte vorantreiben oder Kennzeichnungspflichten umsetzen

Das Digital Omnibus ist ein klares Signal: Die EU will europäische KI-Anbieter im globalen Wettbewerb stärken, ohne die Bürgerrechte aufzugeben. Für Mittelständler heißt das, dass sich der Compliance-Aufwand 2026 entzerrt. Wer KI-Projekte aus regulatorischen Gründen pausiert hat, kann jetzt durchstarten. Wer KI bereits einsetzt, muss spätestens jetzt die Kennzeichnungs-Routinen implementieren.

Praxis-Wissen für KI-Strategie und Mittelstand

Dr. Web bietet Service-Anker für strategischen KI-Einsatz 2026 neben Compliance-Anforderungen. KI wird dann zum Hygienefaktor statt Wettbewerbsvorteil

Wer KI 2026 strategisch einsetzt, findet bei Dr. Web mehrere Service-Anker für die operative Umsetzung neben der Compliance-Frage.

Die grundsätzliche Einordnung liefert KI-Algorithmus: Das Gehirn hinter smarten Systemen mit dem Statement, dass KI ab 2026 Hygienefaktor und kein Wettbewerbsvorteil mehr ist. Wer KI im Marketing-Kontext einsetzt, sollte den Ratgeber Wird Agentic Search zum Sargnagel klassischer SEO? kennen, weil hier Suchmaschinen-Realität und KI-Nutzung präzise zusammenkommen.

Praxis-Beispiele für KI-Werkzeuge im Alltag bietet die Übersicht zur Claude-Memory-Funktion. Den Sicherheits-Aspekt deckt die WordPress-Sicherheits-Anleitung ab, weil viele KMU ihre KI-Nutzung an WordPress andocken. Und der Hosting-Anker dazu liegt im WordPress Hosting Vergleich 2026 mit DSGVO-Fokus.

Mehr Newshunger?

Die KI-Branche im Umbruch: USA-China-Vorsprung erodiert, DeepL baut Stellen ab, Anthropic verschärft Zugang zu Opus 4.7

• Die US-China-Lücke in der KI ist Geschichte
• 250 Stellen weg: DeepL erfindet sich neu
• Anthropic dreht den Hahn zu: Was Opus 4.7 anders macht
• Code w/ Claude 2026: Programmiert KI selbst? Fast.
• Claude Mythos enthüllt jahrzehntealte Finanzsystem-Lücken: IWF warnt