Alle paar Monate kommt eine neue Schlagzeile, der AI Act werde "verschoben", "entschärft", "verwässert". In der operativen Praxis sächsischer Mittelständler landet dann die Frage: "Müssen wir unser KI-Projekt stoppen, bis Klarheit herrscht?" Die kurze Antwort: Nein. Die etwas längere Antwort erklärt, warum das Omnibus-Paket für die meisten Mittelstands-Anwendungen irrelevant ist — und warum die KI-Kompetenz-Pflicht (Artikel 4) das ist, was 2026 wirklich zählt.
Was genau passiert ist
Heise hat den Stand der Omnibus-Debatte früh und detailliert aufgearbeitet. Zentral: Das Omnibus-Paket soll Deadline-Verschiebungen und eine Deepfake-Regelung bringen. Die Kommission plant, bestimmte AI-Act-Vorschriften zeitlich zu strecken (teils auf 2027, teils auf 2028), während die Deepfake-Kennzeichnungspflicht eher verschärft werden soll.
Das Handelsblatt hat die politische Linie dokumentiert: Die EU will den AI Act deutlich abschwächen. Hintergrund sind zwei Kräfte: erstens die Wettbewerbsfähigkeit europäischer Unternehmen, die durch US- und chinesische Anbieter unter Druck stehen; zweitens konkrete Kritik aus der Wirtschaft, dass der AI Act in seiner ursprünglichen Fassung zu bürokratisch sei. Für Mittelständler hat das Handelsblatt parallel aufbereitet, was sie über den EU AI Act wissen müssen.
Die offizielle Kommissionsseite zum regulatorischen Rahmen für KI ist die Referenz für den Rechtsstand. Ein finaler Omnibus-Rechtsakt ist Stand Juni 2026 noch nicht beschlossen — aber die Tendenz ist klar.
Was das für den sächsischen Mittelstand heißt
Erstens: Die meisten Mittelstands-KI-Anwendungen sind nicht Hochrisiko. Ein Vertriebs-Agent, ein Dokumenten-Assistent, ein Wissens-System, eine Telefon-KI — alle sind in der Regel minimales oder begrenztes Risiko nach dem AI Act. Die Omnibus-Debatte dreht sich primär um die Hochrisiko-Kategorie (kritische Infrastruktur, Kreditscoring, Personalentscheidungen, Bildungswesen). Wer dort nicht aktiv ist, ist von den Verschiebungen praktisch nicht betroffen.
Zweitens: Die KI-Kompetenz-Pflicht nach Artikel 4 gilt seit 2. Februar 2025 und ist nicht Teil des Omnibus-Pakets. Diese Pflicht trifft alle Betreiber von KI-Systemen — unabhängig von Risikoklasse. Jeder Betrieb, der KI nutzt, muss seine Mitarbeitenden nachweislich schulen. Das ist nicht verschoben, nicht entschärft, nicht in Diskussion.
Drittens: Die Deepfake-Kennzeichnungspflicht soll eher strenger werden. Für die meisten Mittelständler ist das kein Thema — wer keine KI-generierten Bilder, Videos oder Audios in den Markt bringt, ist nicht betroffen. Für Werbe- und Medien-Agenturen ist das dagegen sehr relevant und gehört in die Dokumentationsstrategie.
Viertens: Planungssicherheit. Eine verschobene Deadline nützt nur, wenn das Projekt nicht unabhängig davon vorangehen muss. Für 95 Prozent der Mittelstands-KI-Projekte ist die AI-Act-Compliance ein Nebenstrang — der Hauptstrang ist die operative Umsetzung, DSGVO, Schulung, Dokumentation. Wer hier wartet, verliert ohne Grund.
Eine verschobene Deadline ist kein Freibrief. Wer die Schulung aufschiebt, zahlt später doppelt — in der Audit-Zeit und in der Projekt-Produktivität.
Was wir empfehlen
Konkret, für den sächsischen Mittelstand, Stand Juni 2026:
1. KI-Kompetenz-Schulung nach Artikel 4 jetzt durchführen. 60 bis 90 Minuten einmal jährlich für alle Mitarbeitenden, die KI nutzen oder deren Output verarbeiten. Teilnehmerliste archivieren. Das ist der wichtigste AI-Act-Baustein — und er ist unverhandelbar.
2. Risikoklassifizierung dokumentieren. Ein zweiseitiges Dokument, das beschreibt, welche KI-Systeme im Betrieb eingesetzt werden und in welche Risikoklasse sie fallen. Für 95 Prozent der Fälle heißt das: minimal oder begrenzt. Das ist in zwei Arbeitstagen erstellt.
3. Governance-Prozess aufsetzen. Wer entscheidet über neue KI-Tools im Betrieb? Wer prüft Datenschutz? Wer schreibt die Nutzungsrichtlinie? Einfacher Drei-Schritte-Prozess auf einer Seite. Kein Organisationsdiagramm.
4. Projekte umsetzen, nicht aufschieben. Die Verschiebung macht die Umsetzung nicht einfacher, sie macht sie nur langsamer — weil alle gleichzeitig auf 2027 schauen. Wer heute arbeitet, hat bis zur nächsten Deadline-Diskussion produktive Systeme.
5. Deepfake-Regel in Werbung/Marketing beachten. Wenn Sie KI-generierte Bilder, Videos oder Audios in Kampagnen einsetzen, die Kennzeichnungspflicht in den Prozess aufnehmen. Das wird strenger, nicht milder.
Auch die Bitkom-Seite zum Mittelstand und das Bundesamt für Sicherheit in der Informationstechnik bieten laufend aktualisierte Leitfäden, die die operative Umsetzung erleichtern.
Unser Take
Die EU-Debatte rund um den AI Act erzeugt bei Mittelständlern Unsicherheit, die operativ unbegründet ist. In unseren +15 Projekten hat die AI-Act-Compliance noch nie ein Projekt gebremst — weil die Projekte sauber aufgesetzt waren und die Compliance-Baustelle klein war. Wer die Kompetenz-Schulung dokumentiert, die Risikoklassifizierung schreibt und die Governance auf einer Seite festhält, ist compliant. Alles andere ist Diskussion.
Die Verschiebung im Omnibus-Paket macht aus unserer Sicht einen Unterschied für Betriebe im Hochrisiko-Bereich (z. B. Personalmanagement-Software-Anbieter, Kredit-Auskunfteien, Bildungs-KI-Anbieter). Für den klassischen sächsischen Mittelständler — Handwerk, Industrie, Handel, Dienstleistung — ist der Effekt gering.
Unsere Empfehlung seit 2025 bleibt: Jetzt schulen, jetzt dokumentieren, jetzt umsetzen. Wer das hat, ist für jede Deadline-Variante vorbereitet. Wer wartet, verliert Monate — und bekommt am Ende keine bessere Regulierung, sondern nur eine spätere.
Häufige Fragen
Ein Sammel-Rechtsakt der EU-Kommission, der mehrere bestehende Rechtsakte gleichzeitig anpasst. Im AI-Act-Kontext: Entschärfungen und Deadline-Verschiebungen für bestimmte Kategorien.
Stand: Juni 2026 — Omnibus-Debatte läuft. Wir aktualisieren bei finalem Rechtsakt.