Das EU-Parlament hat am 26. März 2026 seine Position zu den AI-Act-Änderungen verabschiedet und den Weg für verbindliche Fristen frei gemacht. Hochrisiko-KI muss bis Dezember 2027 compliant sein — und viele Mittelständler sind bereits heute betroffen, ohne es zu wissen.
Drei Fristen. Ein neues Regelwerk. Und die meisten Unternehmen ahnen es nicht.
Am 26. März 2026 hat das Europäische Parlament seine offizielle Position zu den AI-Act-Änderungen verabschiedet — der erste Schritt ins Trilog-Verfahren mit dem Rat der EU. Ein erster Kompromiss ist für den 28. April 2026 angepeilt. Was damit in Kraft tritt, ist kein Bürokratieprojekt. Es ist ein verbindlicher Zeitplan mit Bußgeldern, Dokumentationspflichten und — für viele Unternehmen — echten Haftungsrisiken.
Der sogenannte Digital Omnibus ist das Vehikel für diese Änderungen: ein Gesetzgebungspaket, das mehrere digitale Regulierungen unter einer Überarbeitung bündelt und dabei die Fristen des AI Act präzisiert. Was sich verändert, betrifft nicht nur Konzerne. Es betrifft jeden, der KI-Systeme im Unternehmen einsetzt — auch als Kunde einer SaaS-Lösung.
Die drei Daten, die zählen
Klingt interessant?
Die AI-Act-Regulierung arbeitet mit Risikokategorien. Für jede gilt ein eigener Zeitplan — und die Unterschiede sind erheblich.
2. November 2026 — Wasserzeichen-Pflicht. Wer KI-generierte Inhalte produziert oder veröffentlicht — Audio, Bilder, Videos, Texte — muss diese ab November mit maschinenlesbaren Markierungen versehen. Marketing-Abteilungen, Agenturen, Verlage: Diese Frist ist die nächste und die mit den wenigsten Vorbereitungsmonaten.
2. Dezember 2027 — Hochrisiko-KI. Für Systeme in explizit gelisteten Hochrisiko-Kategorien gilt ab diesem Datum vollständige Compliance. Das umfasst KI im Personalwesen — Bewerberauswahl, Leistungsbewertung, Kündigung —, bei der Kreditwürdigkeitsprüfung, im Bildungsbereich und überall dort, wo Algorithmen Entscheidungen mit wesentlichen Auswirkungen auf Personen vorbereiten oder treffen.
2. August 2028 — KI in regulierten Produkten. Für KI-Systeme, die in bereits regulierte Produkte eingebettet sind — Medizingeräte, Maschinen, Fahrzeuge — gilt eine verlängerte Frist. Hier müssen AI-Act-Anforderungen und sektorale Produktvorschriften gleichzeitig erfüllt werden, was die Komplexität deutlich erhöht.
Hochrisiko-KI: wer betroffen ist und wer es noch nicht weiß
Die häufigste Fehleinschätzung im Mittelstand lautet: „Wir entwickeln keine KI, also betrifft uns der AI Act nicht." Das Gesetz denkt anders. Es unterscheidet nicht nur zwischen Entwicklern und Deployern — es legt für beide Seiten Pflichten fest.
Als Deployer gilt jedes Unternehmen, das ein KI-System im beruflichen Kontext einsetzt. Wer eine Recruiting-Software nutzt, die Bewerbungen automatisch bewertet; wer KI-Unterstützung bei Kreditentscheidungen gegenüber Kunden oder Lieferanten verwendet; wer Mitarbeiterleistung mit algorithmischer Hilfe auswertet — der ist Deployer und fällt damit potenziell unter die Hochrisiko-Regeln.
Das Tückische: Viele dieser Funktionen sind als Features in Standard-SaaS-Lösungen eingebettet, ohne dass der Anbieter sie explizit als „KI-System im Sinne des AI Act" deklariert. Die Pflicht zur Risikoklassifikation liegt trotzdem beim einsetzenden Unternehmen.
Ein gespaltenes Europa — warum die Fristen trotzdem gelten
Wer hofft, dass eine lückenhafte Durchsetzungsinfrastruktur noch Aufschub bringt, sollte einen nüchternen Blick auf die Zahlen werfen. Laut EU-Parlament Think Tank hatten Anfang 2026 erst 8 von 27 EU-Mitgliedstaaten ihre nationalen Kontaktstellen für die AI-Act-Aufsicht benannt — obwohl die Frist dafür am 2. August 2025 abgelaufen war.
Das klingt nach einer Chance, abzuwarten. Es ist keine. Der AI Act gilt als Verordnung direkt in jedem Mitgliedstaat. Fehlende nationale Behörden ändern nichts an der Rechtswirksamkeit — sie verzögern lediglich die Kontrollkapazität. Wer bis zur vollständigen Benennung der zuständigen deutschen Aufsichtsbehörde wartet, wird unter Zeitdruck nacharbeiten müssen.
Die entscheidende technische Anforderung: Menschliche Aufsicht
Hochrisiko-KI im Sinne des AI Act verlangt nicht nur Dokumentation und Risikobewertung. Sie verlangt nachvollziehbare menschliche Kontrollpunkte. Automatisierte Entscheidungen müssen durch Menschen überprüft, korrigiert und bei Bedarf gestoppt werden können — und dieser Prozess muss auditierbar sein.
Das ist für viele Unternehmen der strukturell anspruchsvollste Teil der Compliance. Es reicht nicht, einen Genehmigungsklick vor die automatische Ausgabe zu schalten. Der Mensch muss tatsächlich in der Lage sein, die KI-Entscheidung zu verstehen und sinnvoll zu hinterfragen. Human-in-the-Loop ist damit keine optionale Ergonomie — es ist eine regulatorische Pflicht.
Nopex wurde für diesen Anspruch gebaut. Die Plattform macht menschliche Aufsicht zum Designprinzip: Jeder KI-gestützte Prozess enthält strukturierte Kontrollpunkte, alle Aktivitäten werden protokolliert, und Entscheidungen sind so aufbereitet, dass sie auch ohne technisches Hintergrundwissen beurteilbar sind. Das ist keine Compliance-Zugabe — das ist die Grundarchitektur.
Was jetzt zu tun ist
Drei Schritte, bevor die erste Frist im November greift: Erstens, ein KI-Inventar erstellen — welche Systeme nutzt Ihr Unternehmen, und welche Entscheidungen beeinflussen sie? Zweitens, die Risikoklassifikation prüfen — betrifft das System Menschen in einer der gelisteten Hochrisiko-Kategorien? Drittens, Anbieter in die Pflicht nehmen — verlangen Sie schriftliche Auskunft darüber, ob das eingesetzte System AI-Act-konform ist und welche technische Dokumentation existiert.
Wer jetzt beginnt, hat 18 Monate bis zur wichtigsten Deadline. Das ist genug Zeit — wenn man sie nutzt.
Vereinbaren Sie eine Demo und erfahren Sie, ob Ihre KI-Nutzung unter Hochrisiko-Regeln fällt — und was das für Ihre Prozesse bedeutet.
Quellen: OneTrust – EU Digital Omnibus & AI Act Timelines 2026 · EU Parliament Think Tank – Enforcement of the AI Act
