EU-KI-Gesetz tritt in Kraft: Was die Omnibus-Änderungen für Ihr Unternehmen bedeuten
Am 2. August 2026 wird die KI-Verordnung vollständig anwendbar. Was Omnibus VII geändert hat - und welche Transparenzpflichten jetzt sofort gelten.

Am 2. August 2026 wird die EU-KI-Verordnung vollständig anwendbar - bis dahin sind es nur noch wenige Wochen. Am 29. Juni 2026 erteilte der Rat der EU seine endgültige Zustimmung zum "Digital AI Omnibus" (Omnibus VII), einem Änderungspaket, das mehrere wichtige Fristen verlängert und die Compliance-Anforderungen für kleinere Unternehmen vereinfacht. Eine Kategorie von Pflichten wurde jedoch nicht verschoben: Die Transparenzvorschriften nach Artikel 50 gelten ab dem 2. August 2026 - unabhängig von Unternehmensgröße oder Branche - und sie betreffen jedes Unternehmen, das in der EU ein kundengerichtetes KI-System betreibt.
Drei wichtige Fakten zur Woche des 2. August 2026
Erstens: Jeder Chatbot, KI-Assistent oder jedes automatisierte System, das mit Nutzern interagiert, muss bis zum 2. August 2026 offenlegen, dass es sich um KI handelt - keine Fristverlängerung, keine Ausnahmen für KMU. Zweitens: Die Compliance-Frist für die meisten Hochrisiko-KI-Anwendungen - Personalauswahl, Kreditscoring, Bildungssysteme, biometrische Identifikation - wurde um 16 Monate auf den 2. Dezember 2027 verlängert. Drittens: Unternehmen mit bis zu 750 Mitarbeitern und einem Jahresumsatz unter 150 Millionen Euro kommen nun in den Genuss erweiterter KMU-Schutzbestimmungen der KI-Verordnung.
Was das Omnibus-VII-Paket geändert hat
Die politische Einigung über die Omnibus-Änderungen wurde am 7. Mai 2026 erzielt. Das Europäische Parlament stimmte formal am 16. Juni zu, der Rat erteilte seine endgültige Zustimmung am 29. Juni. Die Änderungen traten drei Tage nach Veröffentlichung im Amtsblatt der EU in Kraft - noch vor dem 2. August.
Die bedeutendste Fristverlängerung betrifft Hochrisiko-KI-Systeme nach Anhang III: Systeme, die in der Personalauswahl, in Bildungseinrichtungen, bei wesentlichen Dienstleistungen, zur Kreditwürdigkeitsbewertung und in der öffentlichen Verwaltung eingesetzt werden. Die Compliance-Frist für diese Systeme wurde auf den 2. Dezember 2027 verschoben - 16 Monate später als ursprünglich. KI-Systeme, die als Sicherheitskomponenten in regulierten Produkten verbaut sind, erhalten noch mehr Zeit: ihre Frist wurde auf den 2. August 2028 verlegt.
Für generative KI-Systeme, die bereits vor dem 2. August 2026 eingesetzt wurden, gilt eine viermonatige Übergangsfrist für die Pflichten zur Kennzeichnung synthetischer Medien. Neue Systeme, die nach dem 2. August in Betrieb genommen werden, müssen sofort die Kennzeichnungsvorschriften für KI-generierte Inhalte einhalten.
Was sich nicht geändert hat: Transparenz ab 2. August
Der Omnibus hat viele Fristen verlängert, Artikel 50 jedoch unverändert gelassen. Ab dem 2. August 2026 gilt:
- Jedes KI-System, das zur direkten Interaktion mit Menschen ausgelegt ist - Chatbots, virtuelle Assistenten, automatisierte E-Mail-Beantworter - muss Nutzern mitteilen, dass sie mit einer KI kommunizieren.
- Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen die betroffenen Personen darüber informieren.
- Deepfakes sowie KI-generierte Audio- oder Videoinhalte müssen als künstlich erstellt gekennzeichnet werden - durch Wasserzeichen, Metadaten oder sichtbare Hinweise.
Diese Anforderungen gelten sowohl für Anbieter (Unternehmen, die KI-Systeme entwickeln) als auch für Betreiber (Unternehmen, die sie gegenüber Kunden einsetzen). Ein Unternehmen, das einen Drittanbieter-Chatbot auf seiner Website betreibt, ist Betreiber - und die Offenlegungspflicht trifft beide Parteien.
Erweiterte KMU-Schutzbestimmungen
Im ursprünglichen KI-Gesetz galten reduzierte Compliance-Anforderungen nur für kleine und mittlere Unternehmen im EU-Sinne - bis zu 250 Mitarbeitern und 50 Millionen Euro Umsatz. Der Omnibus erweitert diese Erleichterungen auf "kleine mittelgroße Unternehmen": bis zu 750 Mitarbeitern und 150 Millionen Euro Jahresumsatz. Das ist eine bedeutende Änderung für den deutschen Mittelstand. Viele familiengeführte Hersteller und Technologieunternehmen mit 250 bis 750 Beschäftigten kommen jetzt in den Genuss vereinfachter Konformitätsbewertungsverfahren, geringerer Dokumentationspflichten und bevorzugtem Zugang zu Regulierungs-Sandboxen.
Neues Verbot: Nicht einvernehmliche intime Abbildungen
Der Omnibus führt ein neues Verbot ein, das im ursprünglichen KI-Gesetz nicht enthalten war. KI-Systeme, die nicht einvernehmliche intime Aufnahmen erzeugen oder manipulieren - sogenannte Nudifier-Anwendungen - sind ab dem 2. Dezember 2026 verboten. Anbieter haften, wenn solche Ausgaben ein beabsichtigtes oder vorhersehbares Ergebnis des Systems sind. Damit wird eine Lücke geschlossen, die frühere Entwürfe des KI-Gesetzes offen gelassen hatten.
Ausnahme für Industrie-KI
KI-Systeme, die ausschließlich im Rahmen der EU-Maschinenverordnung eingesetzt werden, sind nun von den Klassifizierungsanforderungen des KI-Gesetzes ausgenommen. Das ist relevant für deutsche Hersteller, die KI zur Produktionsüberwachung, vorausschauenden Wartung oder automatisierten Qualitätskontrolle nutzen. Sofern diese Systeme unter die Maschinenverordnung fallen, benötigen sie keine KI-Konformitätsprüfung.
Strafen bleiben hoch
Der Omnibus hat nichts am Bußgeldrahmen geändert. Verstöße gegen verbotene KI-Praktiken können mit bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden - je nachdem, welcher Betrag höher ist. Das übersteigt die DSGVO-Obergrenze von 4% des globalen Umsatzes. Für Verstöße gegen Informationspflichten im Rahmen von Lieferketten zwischen Anbietern und Betreibern drohen Bußgelder von bis zu 3% des weltweiten Umsatzes.
Was das für DACH-Unternehmen bedeutet
Jedes deutsche oder europäische Unternehmen, das ein kundengerichtetes KI-System betreibt - einen automatisierten Support-Bot, einen Lead-Qualifizierungsassistenten oder ein KI-gestütztes Buchungssystem - muss bis zum 2. August 2026 transparente Offenlegungsmechanismen implementiert haben. Das ist der nicht verhandelbare Teil der August-Frist.
Hochrisiko-Anwendungen - KI zur Vorauswahl von Stellenbewerbern, zur Kreditwürdigkeitsbewertung oder für Entscheidungen über den Zugang zu wesentlichen Dienstleistungen - haben bis Dezember 2027 Zeit für die vollständige Compliance. Aber die vom KI-Gesetz geforderten Risikomanagementsysteme, technischen Dokumentationen und Mechanismen zur menschlichen Aufsicht sind umfangreich. Wer erst Mitte 2027 anfängt, wird den Zeitplan kaum einhalten. Jetzt ist der richtige Zeitpunkt, diese Bewertungen zu beginnen.
Für Mittelstandsunternehmen in der neu erweiterten KMU-Kategorie bietet der Omnibus echte regulatorische Erleichterungen - aber keine Befreiung. Die grundlegenden Pflichten gelten weiterhin; die Wege zum Nachweis der Konformität sind vereinfacht.
OpSolid entwickelt Automatisierungs- und KI-Systeme für mittelständische Unternehmen in Deutschland und der EU. Bei der Integration von KI-Komponenten in Geschäftsprozesse - ob kundengerichtet oder intern - ist die Einhaltung der Offenlegungsanforderungen und des Risikoklassifizierungsrahmens der KI-Verordnung von Anfang an Teil des Designs.