bis Q4 2026
Inventur & Schatten-IT
Vollständiges KI-Inventar inkl. SaaS-Add-ons, Browser-Plugins, freier Tools. Pro System: Anbieter, Zweck, Datenkategorien, Nutzergruppe.
Die vorläufige Einigung zum Digital Omnibus (Mai 2026) verschiebt die Hochrisiko-Frist nach Anhang III auf Dezember 2027. Verbote, GPAI-Pflichten und Transparenzpflichten ab August 2026 bleiben unverändert. Wer den Aufschub als „dann später“ liest, verfehlt den Punkt.
1. Sie gewinnen Zeit — aber die Vorbereitung wird dadurch nicht kleiner, nur planbarer.
2. Verbote, KI-Kompetenz, GPAI und Transparenzpflichten gelten unverändert weiter.
3. Die formale Annahme der neuen Fristen steht aus — verlassen Sie sich nicht auf ein Datum, sondern auf einen Plan.
Der EU AI Act tritt gestaffelt in Kraft. Der Digital Omnibus verschiebt nur einen — wenn auch den prominentesten — Block.
Bereits in Kraft. Keine Verschiebung. Schulungsregister verpflichtend.
Anbieter generativer Modelle (OpenAI, Anthropic, Mistral, …) liefern Transparenzdokumentation und Urheberrechts-Policy.
Kennzeichnung KI-generierter Inhalte, Deepfake-Hinweise, Chatbot-Offenlegung. Bleibt unverändert.
Recruiting-KI, Performance-Bewertung, Kreditscoring, Bildung. Verschoben vom 02.08.2026 — vorbehaltlich formaler Annahme.
In regulierte Produkte eingebettete Sicherheits-KI (Maschinen, Medizin, Spielzeug). Bleibt unverändert.
Bleibt unverändert
Social Scoring, Emotionserkennung am Arbeitsplatz, ungezielte Gesichtsbilddaten-Sammlung — gelten weiter ohne Wenn und Aber.
Jeder Arbeitgeber mit KI-Einsatz schuldet rollenangemessene Schulung und Nachweis. Seit Februar 2025.
Ab August 2026: Kennzeichnung KI-Inhalte, Chatbot-Hinweis, Deepfake-Markierung — auch ohne Hochrisiko-Status.
Anbieter von Basismodellen liefern Transparenz, Urheberrechts-Policy, ggf. systemische Risikoanalyse. Spillover via AGB an Betreiber.
Bis 35 Mio. € oder 7 % weltweiter Jahresumsatz für Verbote, 15 Mio. € / 3 % für sonstige Verstöße — Härte unverändert.
Verschoben auf Dez 2027
Recruiting, HR-Performance, Kreditscoring, Bildung, Strafverfolgung. Geltungsbeginn wandert vom 02.08.2026 auf Dezember 2027 — vorbehaltlich.
Risikomanagement (Art. 9), Logging (Art. 12), menschliche Aufsicht (Art. 14), Folgenabschätzung (Art. 27) — verschoben mit Anhang III.
Notifizierte Stellen, CE-Kennzeichnung, EU-Datenbank-Registrierung für Hochrisiko-Systeme nach Anhang III — entsprechend später.
Stand 06/2026: vorläufige Einigung. Formale Annahme durch Rat und Parlament ausstehend — rechtlich gilt bis Veröffentlichung im Amtsblatt weiter der 02.08.2026.
Der Aufschub adressiert die Komplexität der Hochrisiko-Pflichten — nicht ihre Notwendigkeit. Drei Mechanismen ziehen die Anforderungen in 2026 trotzdem in Ihr Haus.
Großkunden, Konzerne und öffentliche Auftraggeber fragen Compliance-Nachweise in Ausschreibungen schon 2026 ab — unabhängig vom Geltungsbeginn.
Anbieter wie OpenAI oder Anthropic geben Compliance-Anforderungen via AGB an Betreiber weiter — Logging, Transparenz, Nutzungs-Policies kommen über die Tool-Nutzung ins Haus.
Cyber- und D&O-Versicherer, Wirtschaftsprüfer und Datenschutzaufsicht fragen schon heute nach KI-Inventar, Risikoklassifizierung und Schulungsnachweisen.
Vom KI-Inventar bis zur auditbereiten Nachweis-Mappe — in der Reihenfolge, in der die Aufsicht sie sehen will.
bis Q4 2026
Vollständiges KI-Inventar inkl. SaaS-Add-ons, Browser-Plugins, freier Tools. Pro System: Anbieter, Zweck, Datenkategorien, Nutzergruppe.
Q1–Q2 2027
Einordnung in Art. 5 / Anhang III / Art. 50 / minimal. Soll-Ist-Abgleich gegen Hochrisiko-Pflichten — sauber dokumentiert.
Q3–Q4 2027
Richtlinie, Schulungsregister, Risikoanalysen, Folgenabschätzungen, Logging-Konzept, menschliche Aufsicht — auditbereit bündeln.
Steuerkanzleien
Die Verschiebung berührt § 203 StGB und § 57 StBerG nicht. ChatGPT, Copilot und DATEV-KI brauchen 2026 dieselbe DSGVO-Disziplin wie 2027. Transparenzpflichten ab August 2026 gelten auch im Mandantenkontakt.
Zum Kanzlei-LeitfadenLösungen
Schulung, Richtlinie & Inventar, Nachweis-Mappe — die drei Bausteine, die jede Organisation für die AI-Act-Vorbereitung braucht, modular und branchenagnostisch.
Zu den LösungenNein. Stand Juni 2026 liegt eine vorläufige Einigung im Rahmen des „Digital Omnibus“ vor. Die formale Annahme durch Rat und Parlament steht aus. Bis zur Veröffentlichung im Amtsblatt gilt rechtlich weiter der 2. August 2026. Wer den Fahrplan jetzt komplett auf „später“ umstellt, riskiert ein Zeitfenster ohne Vorbereitung, falls die Verschiebung kippt oder Bedingungen erhält.
Die Transparenzpflichten nach Art. 50 (Kennzeichnung KI-generierter Inhalte, Deepfake-Hinweise, Chatbot-Offenlegung) sowie die GPAI-Pflichten für Anbieter von KI-Basismodellen. Beides ist nicht Gegenstand der Omnibus-Verschiebung. Verbote nach Art. 5 und die KI-Kompetenzpflicht nach Art. 4 gelten ohnehin seit Februar 2025 unverändert.
Verschoben werden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III — also u. a. KI im Beschäftigtenkontext (Recruiting, Performance-Bewertung), in Bildung, bei Kreditscoring oder Strafverfolgung. Der bisherige Stichtag 2. August 2026 soll auf Dezember 2027 wandern. Hochrisiko-KI nach Anhang I (in regulierte Produkte eingebettete Sicherheits-KI) bleibt beim 2. August 2027.
Aus drei Gründen: Erstens fordern Mandanten, Großkunden und Versicherer schon heute belastbare Nachweise. Zweitens setzen GPAI-Anbieter Compliance-Anforderungen via AGB an ihre Betreiber durch. Drittens braucht jede ernstzunehmende Nachweis-Mappe Inventur, Klassifizierung und Schulungsregister — das dauert Monate, nicht Wochen.
Nein. Der Sanktionsrahmen nach Art. 99 (bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Mio. € oder 3 % für sonstige Verstöße) bleibt unverändert. Verschoben ist nur der Geltungsbeginn bestimmter Pflichten — nicht deren Härte.
Ein vollständiges KI-Inventar inklusive Schatten-IT, eine erste Risikoklassifizierung pro System, eine schriftliche KI-Richtlinie, ein Schulungsregister nach Art. 4 sowie eine Lückenanalyse zwischen Ist-Zustand und den Hochrisiko-Anforderungen. Das ist die Grundlage, auf der 2027 die eigentliche Nachweis-Mappe gebaut wird.
Stand: 29.06.2026. Inhalte dienen der allgemeinen Information und ersetzen keine Rechtsberatung. Bei Änderungen am Omnibus-Paket aktualisieren wir den Guide.
Wir liefern Inventar-Vorlage, Risikoklassifizierung und Nachweis-Mappe — für Unternehmen, die KI einsetzen.