Das wichtigste auf einen Blick:
- Die KI-Verordnung (EU AI Act) ist seit August 2024 in Kraft und wird gestaffelt anwendbar. Zum 2. August 2026 werden die Transparenzpflichten nach Art. 50 wirksam, etwa die Kennzeichnung von Chatbots und KI-generierten Inhalten.
- Der Digital Omnibus verschiebt die Hochrisiko-Pflichten auf den 2. Dezember 2027 (Anhang III) bzw. den 2. August 2028 (Anhang I). Das ist keine Entwarnung, sondern ein Zeitfenster: Inventar, Governance und Auditfähigkeit brauchen erfahrungsgemäß zwölf bis achtzehn Monate Vorlauf.
- Auch wer KI nur nutzt, ist als Betreiber erfasst. Für die meisten Mittelständler sind die Pflichten überschaubar, sie setzen aber ein vollständiges KI-Inventar voraus, inklusive der Schatten-KI in den Fachbereichen.
- Deutschland hat die Aufsicht geklärt: Die Bundesnetzagentur wird zentrale Marktüberwachungsbehörde. Bußgelder reichen je nach Verstoß bis 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes; für KMU gilt jeweils der niedrigere Betrag.
- Fast alles, was die KI-VO verlangt (Dokumentation, Protokollierung, menschliche Aufsicht, Datenqualität), braucht ein gesteuerter KI-Betrieb ohnehin. Wer Compliance als separates Projekt aufsetzt, baut doppelt.
Gilt die KI-Verordnung ab August 2026 nun vollständig oder nicht? Wer diese Frage derzeit recherchiert, findet widersprüchliche Antworten, viele davon veraltet. Zwischen Mai und Juli 2026 hat sich die Rechtslage an drei Stellen gleichzeitig bewegt: Die EU hat die Verordnung novelliert, zentrale Fristen verschoben, und Deutschland hat seine KI-Aufsicht beschlossen. Dieser Artikel bildet den aktuellen Stand ab. Und er übersetzt ihn in das, was in Maschinenbau, Logistik und Produktion jetzt tatsächlich zu tun ist.
Die KI-Verordnung (Verordnung (EU) 2024/1689, englisch EU AI Act, kurz KI-VO) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Erklärtes Ziel der KI-VO ist es, Gesundheit, Sicherheit und Grundrechte zu schützen und zugleich Innovation zu ermöglichen. Sie wurde im Mai 2024 verabschiedet, ist am 1. August 2024 in Kraft getreten und wird seither gestaffelt anwendbar. Die KI-Verordnung der EU gilt unmittelbar in allen Mitgliedstaaten und folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Pflichten. Der vollständige Verordnungstext ist bei EUR-Lex abrufbar.
Kurz gesagt: Die Transparenzpflichten gelten ab dem 2. August 2026, die großen Hochrisiko-Pflichten wurden auf Ende 2027 und 2028 verschoben. Abwarten ist trotzdem die falsche Strategie. Warum, zeigt dieser Artikel.
KI-Verordnung aktuell: Was gilt, was kommt, was verschoben wurde
Die wichtigste Entwicklung des Jahres 2026 heißt Digital Omnibus. Hinter dem Begriff steht eine von der EU-Kommission angestoßene Novellierung der KI-VO, mit der die EU ihre Digitalregeln vereinfachen und Fristen an die Realität anpassen will. Nach der politischen Einigung im Mai stimmte das Europäische Parlament am 16. Juni 2026 zu; der Rat der EU gab am 29. Juni 2026 final grünes Licht. Bei Redaktionsschluss stand die Veröffentlichung im EU-Amtsblatt unmittelbar bevor.
Der Zeitplan der KI-Verordnung nach dem Digital Omnibus (Stand Juli 2026):
Verschoben sind damit ausschließlich die Hochrisiko-Pflichten. Die KI-Verordnung selbst gilt, und ihre Transparenzpflichten werden zum 2. August 2026 wirksam.
Die Verschiebung der Hochrisiko-Fristen um 16 bzw. 12 Monate ist die Kernbotschaft des Digital Omnibus. Daneben wurden die Erleichterungen für kleine und mittlere Unternehmen auf sogenannte Small Mid-Caps ausgeweitet, die Hochrisiko-Definition an einigen Stellen enger gefasst und die Anforderung an die KI-Kompetenz abgeschwächt. Dazu später mehr.
Warum die Verschiebung keine Entwarnung ist
Es liegt nahe, die neuen Fristen als Signal zum Abwarten zu lesen. Das wäre ein Fehlschluss, aus drei Gründen.
Erstens: Die Transparenzpflichten kommen im Wesentlichen ohne Aufschub. Wer Chatbots im Kundenkontakt einsetzt oder KI-generierte Inhalte veröffentlicht, hat ab dem 2. August 2026 konkrete Pflichten, unabhängig von jeder Hochrisiko-Diskussion.
Zweitens: Die Aufsicht formiert sich jetzt. Deutschland hat im Juli 2026 die Zuständigkeiten festgelegt; die Behördenstruktur entsteht nicht erst 2027.
Drittens, und das ist der eigentliche Punkt: Die Pflichten, die 2027 und 2028 greifen, setzen Strukturen voraus, die sich nicht in einem Quartal aufbauen lassen. Ein belastbares KI-Inventar, saubere Datenflüsse, geklärte Verantwortlichkeiten und auditfähige Dokumentation brauchen nach unserer Projekterfahrung zwölf bis achtzehn Monate. Genau dieses Fenster ist jetzt offen. Die Verschiebung ist keine Entwarnung. Sie ist ein Steuerungsfenster.
Wen die KI-Verordnung betrifft: Anbieter, Betreiber und wo Ihr Unternehmen steht
Die KI-Verordnung unterscheidet mehrere Rollen, an denen die Pflichten hängen. Für den Mittelstand sind zwei entscheidend: Anbieter und Betreiber.
Anbieter ist, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen in Verkehr bringt. Die Pflichten der Anbieter sind umfangreich: Anbieter von Hochrisiko-KI müssen ihre Systeme einer Konformitätsbewertung unterziehen, in der EU-Datenbank registrieren, bei Nichtkonformität Korrekturmaßnahmen ergreifen und mit den zuständigen Behörden zusammenarbeiten. Betreiber von KI-Systemen ist, wer ein KI-System in eigener Verantwortung beruflich verwendet, also jedes Unternehmen, das KI-Tools einsetzt, ohne sie selbst zu entwickeln. Wer eine Planungs-KI im Einkauf nutzt, ein Prognosemodell in der Instandhaltung betreibt oder Microsoft Copilot im Büroalltag einsetzt, ist Betreiber im Sinne der Verordnung. Die Betreiberpflichten sind deutlich schlanker als die eines Anbieters, aber sie existieren.

Das räumt mit einem verbreiteten Missverständnis auf: „Wir entwickeln doch gar keine KI, uns betrifft das nicht." Die KI-VO adressiert ausdrücklich auch die Nutzung. Welche Pflichten konkret entstehen, hängt von der Risikoklasse des jeweiligen Systems ab. Für die meisten heute im Mittelstand eingesetzten Werkzeuge sind sie überschaubar. Aber sie setzen voraus, dass man weiß, welche Systeme im Haus laufen.
Wann ein Betreiber zum Anbieter wird
Heikel wird es an der Rollengrenze. Wer ein bestehendes KI-System wesentlich verändert, es unter eigenem Namen anbietet oder für einen anderen Zweck einsetzt als vom Hersteller vorgesehen, kann rechtlich in die Anbieterrolle rutschen, mit dem vollen Pflichtenkatalog. Für Unternehmen, die Modelle selbst feintunen oder KI-Funktionen in eigene Produkte einbauen, ist diese Abgrenzung keine Formalie, sondern eine strategische Weichenstellung. Sie gehört vor die Entwicklung geklärt, nicht danach.
Die vier Risikoklassen der KI-Verordnung und was in Maschinenbau, Logistik und Produktion wirklich Hochrisiko ist
Die KI-Verordnung teilt KI-Systeme in vier Risikoklassen ein. An dieser Einstufung hängt fast alles: Pflichtenumfang, Fristen, Dokumentationstiefe.
Als unannehmbar gelten Systeme, die menschliches Verhalten manipulieren oder Grundrechte verletzen. Diese verbotenen KI-Praktiken spielen im industriellen Alltag kaum eine Rolle: Social Scoring und emotionserkennende Systeme am Arbeitsplatz sind in Maschinenbau und Logistik keine gängigen Use Cases. Relevant sind die beiden mittleren Klassen: die Transparenzpflichten, weil sie fast jeden treffen, und die Hochrisiko-Kategorie, weil dort die teuren Pflichten liegen.
Anhang I oder Anhang III: der Unterschied, der über Ihre Frist entscheidet
Die KI-VO kennt zwei Wege in die Hochrisiko-Klasse, und sie haben seit dem Digital Omnibus unterschiedliche Fristen. Gemeinsam ist beiden: Hochrisiko-KI-Systeme müssen unter anderem ein Risikomanagement, technische Dokumentation, Protokollierung und menschliche Aufsicht nachweisen, bevor sie in Verkehr gebracht oder betrieben werden dürfen.
Anhang I erfasst KI, die als Sicherheitsbauteil eines regulierten Produkts dient, etwa einer Maschine, eines Medizinprodukts oder eines Fahrzeugs. Nach Art. 6 Abs. 1 müssen dafür zwei Bedingungen zusammenkommen: Das KI-System ist Sicherheitsbauteil eines Produkts unter den in Anhang I gelisteten Harmonisierungsvorschriften, und dieses Produkt unterliegt einer Konformitätsbewertung durch Dritte. Das Fraunhofer IESE nennt als Beispiel einen Cloud-Dienst, der autonome Maschinen mit sicherheitsrelevanten Informationen versorgt. Diese Fälle gelten ab dem 2. August 2028.
Anhang III erfasst eigenständige KI-Systeme in sensiblen Einsatzfeldern. Für den Mittelstand am relevantesten: Systeme im Beschäftigungskontext, etwa zur Bewerberauswahl oder Leistungsbewertung. Diese Fälle gelten ab dem 2. Dezember 2027.
Für die Praxis heißt das: Eine Predictive-Maintenance-Lösung, die Ausfallwahrscheinlichkeiten prognostiziert und Instandhaltungsteams informiert, ist nach den Einstufungskriterien des Art. 6 in aller Regel kein Hochrisiko-System, solange sie nicht in Sicherheitsfunktionen eingreift. Die Einstufung bleibt eine Einzelfallprüfung. Die Grenze verläuft nicht an der Technologie, sondern an der Funktion im Prozess. Genau deshalb lässt sie sich nur pro System und Einsatzkontext beantworten. Das ist eine Inventarfrage, keine Rechtsfrage.
Diese Pflichten der KI-Verordnung gelten ab dem 2. August 2026 für fast jedes Unternehmen
Während die Hochrisiko-Pflichten warten, werden die Transparenzpflichten nach Art. 50 zum 2. August 2026 scharf. Sie betreffen deutlich mehr Unternehmen, als die abstrakte Formulierung vermuten lässt.
Offenlegung bei KI-Interaktion. Wer Menschen mit einem KI-System interagieren lässt, muss dies erkennbar machen, sofern es nicht ohnehin offensichtlich ist. Der Standardfall ist der Chatbot im Kundenservice.
Kennzeichnung synthetischer Inhalte. KI-generierte Audio-, Bild-, Video- und Textinhalte müssen maschinenlesbar als solche gekennzeichnet werden. Für Systeme, die vor dem 2. August 2026 auf dem Markt waren, gilt eine Übergangsfrist bis zum 2. Dezember 2026.
Deepfake-Kennzeichnung. Realistisch wirkende, KI-erzeugte Darstellungen realer Personen oder Ereignisse sind als künstlich erzeugt auszuweisen.
Für einen typischen Industriebetrieb ist das keine technische Großbaustelle. Es setzt aber voraus, dass jemand weiß, wo im Unternehmen KI mit Kunden interagiert und wo KI-generierte Inhalte entstehen. Marketing, Vertrieb und Kundenservice sind in der KI-Nutzung oft weiter, als die IT-Dokumentation abbildet.
Schulungspflicht: Was von Artikel 4 nach dem Omnibus übrig bleibt
Um kaum eine Vorschrift ranken sich so viele Verkaufsargumente wie um die „KI-Schulungspflicht" aus Art. 4. Der Digital Omnibus hat die Anforderung abgeschwächt: Aus der strikten Verpflichtung, ein ausreichendes Maß an KI-Kompetenz sicherzustellen, wird eine Bemühenspflicht. Unternehmen sollen Maßnahmen ergreifen, die den Aufbau von KI-Kompetenz unterstützen. Eine zertifikatspflichtige Schulung für jeden Mitarbeiter, wie sie mancher Anbieter suggeriert, verlangt die KI-VO nicht.
Nüchtern betrachtet bleibt das Thema trotzdem auf dem Tisch, aus betriebswirtschaftlichen Gründen, nicht aus regulatorischen. Nach einer repräsentativen Bitkom-Befragung von 2025 wurden erst 20 Prozent der Beschäftigten in Deutschland von ihrem Arbeitgeber im KI-Einsatz geschult; 70 Prozent erhalten überhaupt kein Schulungsangebot. Wer KI produktiv nutzen will, hat hier eine Lücke. Die Verordnung ist nur der Anlass, sie zu schließen. Wie der Kompetenzaufbau organisatorisch gelingt, beschreibt unser Beitrag zum Change Management für KI.
Aufsicht und Bußgelder: Wer die KI-Verordnung in Deutschland durchsetzt
Lange war offen, wer die Einhaltung der KI-Verordnung in Deutschland kontrolliert. Seit Juli 2026 ist das geklärt: Nach dem Kabinettsbeschluss vom Februar verabschiedete der Bundestag am 11. Juni 2026 das KI-Durchführungsgesetz, der Bundesrat billigte es am 10. Juli 2026. Die Bundesnetzagentur wird damit zentrale Marktüberwachungsbehörde für die KI-Verordnung, soweit keine Fachbehörde zuständig ist. Bei ihr entstehen ein Koordinierungs- und Kompetenzzentrum, eine zentrale Beschwerdestelle sowie mindestens ein KI-Reallabor, in dem Unternehmen neue Anwendungen unter Aufsicht erproben können. Die Bundesregierung betont dabei ausdrücklich einen innovationsfreundlichen, bürokratiearmen Ansatz mit klaren Ansprechpartnern für Unternehmen.
Der Sanktionsrahmen der KI-VO ist dreistufig aufgebaut und gilt bereits seit August 2025:
Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge. Diese Zahlen taugen für Schlagzeilen. Zur Einordnung: Die Maximalsätze zielen auf schwere Verstöße, nicht auf den Mittelständler, der seine Chatbot-Kennzeichnung zwei Wochen zu spät umsetzt. Das realistischere Risiko ist ein anderes: Ein Unternehmen ohne KI-Inventar und Dokumentation kann ein behördliches Auskunftsersuchen schlicht nicht beantworten. Nicht die Strafe ist das erste Problem. Die Auskunftsfähigkeit ist es. Und die ist, wieder einmal, kein Rechtsproblem, sondern ein Steuerungsproblem.
Vom Pflichtenkatalog zum steuerbaren KI-Betrieb: der Umsetzungspfad
Wer die Anforderungen der KI-Verordnung nebeneinanderlegt, erkennt ein Muster: Dokumentation, Protokollierung, menschliche Aufsicht, Risikomanagement, Datenqualität. Das ist keine Compliance-Exotik. Es ist die Infrastruktur, die ein Unternehmen ohnehin braucht, wenn es KI kontrolliert betreiben will, statt sie nur auszuprobieren. Wer Compliance als separates Projekt neben dem KI-Betrieb aufsetzt, baut doppelt und bezahlt doppelt.
Die Gegenüberstellung zeigt die Deckung zwischen den Anforderungen der KI-Verordnung und der Infrastruktur eines gesteuerten KI-Betriebs:
Aus dieser Deckungsgleichheit folgt der Umsetzungspfad: vier Schritte, die zugleich Compliance-Vorbereitung und Steuerungsaufbau sind. Die Grundlagen dazu haben wir im Beitrag KI im Mittelstand ausführlich beschrieben.
Schritt 1: KI-Inventar aufbauen
Ein einfacher Test: Können Sie in 30 Sekunden aufzählen, welche KI-Tools in Ihrem Betrieb laufen und wer sie verantwortet? Falls nicht, beginnt die Umsetzung der KI-Verordnung genau hier.
Ein KI-Inventar ist keine Compliance-Übung. Es ist die Grundlage jeder Steuerung. Erfasst wird, welche KI-Systeme im Unternehmen laufen, auch die inoffiziellen. Dass es die gibt, ist gut belegt: Laut Bitkom beobachtete 2025 rund ein Viertel der Unternehmen ab 20 Beschäftigten, dass Mitarbeitende private KI-Tools für die Arbeit nutzen, in Einzelfällen oder verbreitet; nur 29 Prozent gingen davon aus, dass das bei ihnen nicht vorkommt. Diese Schatten-KI taucht in keiner IT-Dokumentation auf, in einem Auskunftsersuchen der Aufsicht aber sehr wohl. Das Inventar beantwortet pro System: Was läuft, wer nutzt es, welche Daten verarbeitet es, wer verantwortet es? Wie eine solche Bestandsaufnahme systematisch gelingt, zeigt unsere KI-Potenzialanalyse.
Schritt 2: Rollen und Risiko einordnen
Auf Basis des Inventars wird jedes System zweifach eingeordnet. Erstens: Sind wir hier Betreiber oder, etwa durch Feintuning oder Einbau in eigene Produkte, Anbieter? Zweitens: In welche Risikoklasse fällt das System? Für die meisten Werkzeuge im Mittelstand endet diese Prüfung bei „begrenztes oder minimales Risiko, Betreiberrolle". Dann sind die Pflichten übersichtlich. Die wenigen kritischen Fälle wie Beschäftigtenkontext oder Sicherheitsfunktionen in Maschinen verdienen dafür umso genauere Betrachtung, gegebenenfalls mit juristischer Begleitung.
Die juristische Feinauslegung gehört dabei in die Kanzlei. Die Vorarbeit kann Ihnen allerdings keine Kanzlei abnehmen: Welche Systeme laufen, welche Daten sie verarbeiten und welche Funktion sie im Prozess haben, ist Betriebswissen. Ohne diese Grundlage kann auch der beste Jurist nur pauschal beraten.
Schritt 3: Governance und Verantwortlichkeiten festlegen
Jetzt erst lohnt sich Governance: Wer entscheidet über neue KI-Use-Cases? Wer überwacht laufende Systeme? Wann muss ein Mensch freigeben, wann eskaliert das System? Welche Daten dürfen wohin? Hier zahlt sich vorhandene Datenarbeit doppelt aus. Ein tragfähiges Data-Governance-Framework liefert die halbe KI-Governance gleich mit. Erst durch dokumentierte Zuständigkeiten wird aus verstreuten KI-Tools ein führbares System.
Bemerkenswert ist dabei ein Befund der Destatis-Erhebung 2025: 62 Prozent der Unternehmen ab zehn Beschäftigten, die keine KI einsetzen, nennen Rechtsunsicherheit als Hemmnis. Man kann die Verordnung also auch so lesen: Sie ersetzt einen Graubereich durch Regeln. Wer die Regeln beherrscht, gewinnt die Handlungssicherheit, an der es bisher fehlte.
Schritt 4: Monitoring und Auditfähigkeit in den Betrieb bringen
Der letzte Schritt macht aus Dokumenten einen Betriebszustand. Protokollierung, Überwachung und Nachvollziehbarkeit dürfen keine Projektartefakte sein, die nach dem Rollout veralten. Sie gehören in die laufende Infrastruktur. Genau dafür haben wir AIOP gebaut: Als Steuerungsschicht über bestehenden ERP-, MES- und WMS-Systemen, angebunden über Schnittstellen und ohne ERP-Migration, protokolliert die Plattform Datenflüsse und KI-Entscheidungen im laufenden Betrieb, macht sie über Audit-Trails nachvollziehbar und misst Leistung gegen eine Baseline. Dass Erklärbarkeit dabei kein Zusatzmodul ist, sondern Teil der Plattformlogik, geht auf unsere Zusammenarbeit mit dem Lehrstuhl Cognitive Systems der Universität Bamberg zurück. Auditfähigkeit entsteht so als Nebenprodukt guter Steuerung, nicht als eigenes Projekt.
Wer diesen Pfad bis Ende 2027 geht, erfüllt nicht nur die kommenden Pflichten. Er hat nebenbei das aufgebaut, woran KI-Initiativen im Mittelstand laut den einschlägigen Erhebungen tatsächlich scheitern: fehlende Transparenz, unklare Verantwortung, fehlende Messbarkeit.
Der nächste Schritt: Transparenz vor Compliance
Die Rechtslage ist klarer, als die Debatte vermuten lässt: Transparenzpflichten ab August 2026, Hochrisiko-Pflichten ab Ende 2027, dazwischen ein Zeitfenster, das für den Aufbau von Inventar, Governance und Auditfähigkeit genau reicht. Unternehmen, die jetzt strukturiert starten, erledigen die Compliance als Nebenprodukt einer besseren KI-Steuerung. Unternehmen, die warten, bauen 2027 unter Zeitdruck beides gleichzeitig.
Der erste Schritt ist immer derselbe: wissen, was läuft. Wenn Sie ein klares Bild davon bekommen wollen, welche KI-Systeme in Ihrem Betrieb laufen, welche Rolle und Risikoklasse sie haben und welche 2 bis 3 Automatisierungshebel darin stecken, ist ein kostenloses Erstgespräch der pragmatische Einstieg. 30 Minuten. Unverbindlich. Konkret. Mit schriftlicher Zusammenfassung für CFO und IT-Leitung.
Dieser Artikel gibt den Rechtsstand zum Zeitpunkt der Veröffentlichung wieder (Juli 2026) und ersetzt keine Rechtsberatung. Für die rechtliche Bewertung einzelner KI-Systeme empfehlen wir die Abstimmung mit einer auf IT- und Datenrecht spezialisierten Kanzlei.

Die meisten Geschäftsführer kennen weder die Kosten noch die Ergebnisse ihrer KI-Projekte.


.avif)