EU AI Act: Neue Fristen für Mittelstand und Handwerk

Der Digital Omnibus verschiebt die Compliance-Deadlines für KI-Systeme – doch viele Pflichten gelten bereits heute.

Der europäische Mittelstand bekommt mehr Zeit für die Umsetzung der strengen KI-Regularien. Am 7. Mai 2026 einigten sich EU-Rat und Parlament auf den sogenannten Digital Omnibus – eine Gesetzesanpassung, die die Umsetzungsfristen des EU AI Acts neu kalibriert. Die Nachricht kommt zu einem Zeitpunkt, an dem die Bedrohungslage für Unternehmen dramatisch ist: 81 Prozent der deutschen Firmen wurden 2025 Ziel von Cyberangriffen.

Anzeige

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. Welche KI-Systeme gelten als Hochrisiko?

Die neuen Deadlines im Überblick

Der wichtigste Punkt der Einigung: Hochrisiko-KI-Systeme nach Anhang III müssen erst bis zum 2. Dezember 2027 vollständig compliant sein. Betroffen sind Systeme für Personalauswahl, Kreditwürdigkeitsprüfungen oder kritische Infrastruktur. Noch mehr Zeit haben Unternehmen aus regulierten Branchen: Für KI in Medizinprodukten oder sicherheitsrelevanten Produkten gilt der 2. August 2028 als Stichtag.

Doch die Atempause täuscht. Transparenzpflichten kommen deutlich früher. Bereits ab dem 2. August 2026 müssen neue generative KI-Systeme mit digitalen Wasserzeichen versehen sein. Bestehende Systeme haben bis Dezember 2026 Zeit. Die Strafen sind happig: Bis zu 15 Millionen Euro oder drei Prozent des Jahresumsatzes drohen bei Verstößen gegen Transparenz- und Hochrisikopflichten. Verbotene KI-Praktiken können mit bis zu 35 Millionen Euro oder sieben Prozent des globalen Umsatzes geahndet werden. In Deutschland überwacht die Bundesnetzagentur die Einhaltung.

Sofort handeln: KI-Kompetenz ist Pflicht

Wer jetzt auf die verlängerten Fristen setzt, macht einen Fehler. Artikel 4 des AI Acts – die „KI-Kompetenz“ – gilt bereits seit dem 2. Februar 2025. Unternehmen müssen sicherstellen, dass ihre Mitarbeiter die eingesetzten KI-Tools verstehen.

Rechtsexperten warnen: Allgemeine Schulungsprogramme reichen nicht. Ein Handwerksbetrieb, der KI für spezifische technische Prozesse nutzt, braucht maßgeschneiderte Module. Die Anforderungen sind klar: werkzeugspezifische Kompetenz, Verständnis der betrieblichen Abläufe und eine Risikobewertung für den konkreten Berufszweig.

Besonders heikel: Wer KI für die Bewerberauswahl einsetzt – etwa Microsoft Copilot – landet automatisch in der Hochrisiko-Kategorie. Dann müssen Unternehmen detaillierte Protokolle führen, menschliche Aufsicht gewährleisten und die Eingabedaten kontrollieren. Fehlende Schulungen können als Organisationsverschulden gewertet werden.

Die wachsende Bedrohungslage

Der regulatorische Wandel findet vor einem düsteren Hintergrund statt. Mitte Mai 2026 legte ein DDoS-Angriff auf den Schweizer Telekommunikationsanbieter Salt das Festnetz für rund 40 Minuten lahm. Der Vorfall zeigt: Selbst kritische Infrastruktur ist verwundbar.

Sicherheitsforscher sprechen von einer wachsenden „Cybersecurity-Poverty-Gap“ – dem Unterschied zwischen dem Schutz großer Konzerne und dem, was sich Mittelständler leisten können. Sicherheitsanbieter reagieren mit neuen Partnerschaftsprogrammen und Roadshows in Frankfurt, Berlin und Zürich, um gemanagte Sicherheitsdienste auch für kleinere Unternehmen zugänglich zu machen.

Die Lage wird durch die Geschwindigkeit der KI-Entwicklung verschärft. Projekte wie Anthropics „Project Glasswing“ zeigen: KI findet Sicherheitslücken schneller, als Unternehmen sie schließen können. Eine globale Verteidigungskoalition aus Microsoft, Google und Amazon hat sich zwar formiert – doch europäische KMU stehen oft außerhalb dieses Schutzschirms. Branchenexperten raten: Weg von jährlichen Sicherheitstests, hin zu kontinuierlichem, KI-gestütztem Monitoring.

Anzeige

Ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Ihr Unternehmen zukommen und wie Sie sich ohne großes Budget vor Cyberkriminellen schützen. Cyber Security Awareness Trends jetzt kostenlos sichern

Datenschutz und der Cyber Resilience Act

Neben den KI-Regeln bleiben die Grundanforderungen der DSGVO bestehen. Die IHK Karlsruhe hat jüngst die Bedeutung der Artikel 6 und 15-21 für Immobilienmakler und Bauleiter betont, die sensible Kundendaten verarbeiten. Unternehmen müssen für das 72-Stunden-Meldefenster bei Datenschutzverletzungen gewappnet sein.

Ab dem 11. September 2026 kommt der Cyber Resilience Act (CRA) hinzu. Hersteller und Anbieter von Hardware und Software müssen dann bekannte Schwachstellen und Vorfälle melden. Die Dokumentationspflicht steigt weiter.

Ein Warnsignal: Die 100-Millionen-Euro-Strafe gegen den Betreiber des Yango-Dienstes, MLU B.V., wegen unerlaubter Datentransfers nach Russland. Zwar traf es einen Großkonzern – doch die Botschaft an alle Marktteilnehmer ist klar.

Wirtschaftliche Unsicherheit

Die verlängerten Fristen kommen in einer phase massiver Marktverwerfungen. Mitte Mai 2026 verlor Nvidia an einem Tag rund 250 Milliarden Dollar an Börsenwert – ein Minus von vier Prozent. Grund sind Sorgen über nachlassende Nachfrage bei Cloud-Anbietern und wachsende Konkurrenz aus China, das im ersten Quartal 2026 bereits 55 Prozent seines heimischen KI-Chip-Marktes kontrolliert.

Für europäische KMU bedeutet das: Die Abhängigkeit von einzelnen Hardware- oder Software-Ökosystemen birgt Risiken. Investoren hinterfragen zunehmend den langfristigen Wert von KI-Investitionen. Die Lebensdauer teurer GPU-Hardware könnte kürzer sein als ursprünglich angenommen.

Der Weg nach vorn

Die nächsten 18 Monate sind entscheidend. Bis Juli 2026 sollten Unternehmen ihre internen Dokumentationen und Schulungsmodule abgeschlossen haben, um die anstehenden Transparenzpflichten zu erfüllen.

Die Verschiebung der Hochrisiko-Frist auf Ende 2027 ist kein Grund zur Entspannung. Die Pflichten aus Artikel 26 – menschliche Aufsicht, strenge Datenkontrolle – erfordern strukturelle Veränderungen, die oft Jahre brauchen. Mit der Bundesnetzagentur als Aufsicht und dem nahenden Cyber Resilience Act wird die Integration von Cybersicherheit, Datenschutz und KI-Governance zum neuen Standard für jedes europäische Unternehmen, das wettbewerbsfähig bleiben will.

Hinweis:
Teile dieses Artikels wurden mithilfe Künstlicher Intelligenz erstellt und vor Veröffentlichung redaktionell geprüft. Die auf Börse Express bereitgestellten Informationen stellen keine Anlage- oder Finanzberatung dar und sind nicht als solche gedacht. Die Informationen dienen ausschließlich Informationszwecken. Für individuelle Finanzberatung wenden Sie sich an einen qualifizierten Finanzberater. Börse Express schließt jegliche Regressansprüche aus.