Seit Monaten kursierte in vielen Unternehmen dieselbe Zahl: 2. August 2026, der Stichtag für die Hochrisiko-Pflichten des EU AI Act. Mit dem Digital Omnibus (vorläufige Einigung im Mai 2026) ist dieser Termin nun verschoben: die standalone-Hochrisiko-Pflichten auf Dezember 2027, eingebettete Produktsysteme auf August 2028. Wer seine KI-Roadmap auf „komme, was wolle, bis August 2026” gebaut hat, kann durchatmen.
Sollte man aber nicht.
Kurz gesagt: Der Digital Omnibus verschiebt die Hochrisiko-Pflichten, nicht die Arbeit. Die früh anwendbaren Pflichten gelten weiter, und die Lücke zwischen Modell, Organisation und Betrieb schließt kein verschobener Stichtag.
Was gleich geblieben ist
Drei Dinge gelten unverändert, teilweise schon heute:
- Verbotene Praktiken (Art. 5) und die KI-Kompetenz-Pflicht (Art. 4) sind seit Februar 2025 anwendbar. Kein Aufschub.
- GPAI-Pflichten gelten seit August 2025.
- Die Höhe möglicher Sanktionen, bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, bleibt der harte Hintergrund jeder Diskussion.
Die Deadline ist also gewandert. Der Arbeitsaufwand für ein hochrisiko-relevantes System ist es nicht: Risikomanagement, Daten-Governance, Logging, menschliche Aufsicht, Robustheit und die technische Dokumentation entstehen nicht in der Woche vor dem Stichtag. Sie entstehen über Monate, eng verzahnt mit der Art, wie ein System gebaut und betrieben wird.
Warum „mehr Zeit” trügt
Die meisten KI-Vorhaben scheitern ohnehin an der Lücke zwischen Modell, Organisation und Betrieb. Die Regulierung ist selten der eigentliche Grund. Ein verschobener Stichtag verschiebt diese Lücke nicht. Er verschiebt nur den Moment, in dem sie sichtbar wird. Unternehmen, die jetzt auf „abwarten” schalten, stehen 2027 vor genau demselben Berg, nur mit weniger Vorlauf.
Hinzu kommt: Wer Governance erst kurz vor dem Stichtag aufsetzt, baut sie als Aufsatz auf ein fertiges System. Das ist teuer und führt zu Reibung. Wer sie früh als Teil der Entwicklung mitdenkt, bekommt am Ende ein besseres Produkt, das die Anforderungen ohnehin erfüllt.
Was die gewonnenen Monate wert sind
- Inventar und Klassifizierung. Welche KI-Systeme sind im Einsatz, welche fallen in welche Risikoklasse? Über die Hälfte der Unternehmen kann diese Frage heute nicht beantworten. Das ist die Grundlage für alles Weitere, und an einem Nachmittag begonnen.
- Governance als Teil der Umsetzung. Logging, Daten-Governance, Modell-Lifecycle und Human-in-the-loop sind Aufgaben für das Build-Team, das die Rechtsabteilung eng begleitet. Wer sie als Teil der Produktentwicklung baut, hat am Ende ein besseres System, das obendrein konform ist.
- Kompetenz statt Compliance-Theater. Die Art.-4-Pflicht ist real und überfällig. Rollenbasierte Befähigung, vom Vorstand über die Fachbereiche bis zum Betriebsrat, ist der Hebel, der Akzeptanz überhaupt erst ermöglicht. Sie zahlt sich unabhängig vom Stichtag aus.
Die Vorstands-Checkliste
Vier Fragen, die ein Vorstand heute beantworten können sollte:
- Haben wir ein vollständiges Inventar unserer KI-Systeme samt Risikoklasse?
- Wer verantwortet KI-Governance, und ist diese Rolle mit Mandat und Ressourcen ausgestattet?
- Erfüllen wir die seit Februar 2025 geltende KI-Kompetenz-Pflicht nachweisbar?
- Bauen wir Logging und menschliche Aufsicht in unsere Systeme ein, oder setzen wir sie nachträglich auf?
Fazit
Der Digital Omnibus ist eine Chance, kein Freifahrtschein. Die Unternehmen, die die zusätzliche Zeit in tragfähige Governance statt in eine Panik-Checkliste investieren, werden 2027 nicht hetzen müssen, und haben nebenbei KI, die in Produktion läuft und von der Organisation getragen wird.
Die Deadline ist gewandert. Die Arbeit nicht.