loader image

——— aus der werkstatt

Recht und Ethik

EU AI Act 2026: Was der Digital Omnibus jetzt wirklich für EPU ändert

  • Alex Januschewsky
  • zuletzt aktualisiert: 20. April 2026
  • Lesezeit: 8 Minuten
digitalhandwerk als bevorzugte Google Quelle auswählen
Darum geht es in diesem Artikel
// tts Artikel anhören
// ki-zusammenfassung Diesen Artikel zusammenfassen mit:
Gemini Claude Perplexity ChatGPT

Ich bekomme gerade einige Anfragen von Kunden: „Alex, jetzt wird doch alles verschoben – ich muss nichts mehr tun, oder?“ Die ehrliche Antwort ist: teils-teils. Und genau das möchte ich aufdröseln.

Denn das, was gerade als „Entlastungspaket“ durch die Medien geht, ist tatsächlich eine differenzierte Regelung, die für unterschiedliche Unternehmensgrößen und KI-Anwendungsfälle sehr unterschiedliche Konsequenzen hat. Wer als EPU Claude für E-Mail-Drafts nutzt, ist in einer anderen Situation als ein Unternehmen, das KI für Kreditbewertungen einsetzt. Das klingt offensichtlich, aber in der öffentlichen Diskussion wird das selten so klar getrennt.

Ich bin zertifizierter KI-Beauftragter nach ISO 42001 und habe den EU AI Act Practitioner-Kurs absolviert. Was ich hier schreibe, ist kein Rechtstext und ersetzt keine Rechtsberatung. Es ist eine praxisorientierte Einschätzung für Selbstständige und Kleinunternehmer, die wissen wollen, wo sie jetzt wirklich stehen.

Was der Digital Omnibus ist und warum er die Situation verändert

Der EU AI Act ist seit Sommer 2024 in Kraft. Er folgt einem gestaffelten Zeitplan: Manche Regeln gelten sofort, andere treten in Stufen in Kraft. Die ursprüngliche Logik war einfach: Ab August 2026 sollten alle Unternehmen, die Hochrisiko-KI-Systeme einsetzen (die sogenannten Annex-III-Systeme), voll compliant sein.

Das Problem: Die technischen Normen, die eigentlich als Orientierung für die Umsetzung dienen sollten, sind nicht rechtzeitig fertig geworden. CEN und CENELEC, die europäischen Normungsorganisationen, haben die harmonisierten Standards bis heute nicht veröffentlicht. Unternehmen hätten also nach Regeln compliant sein sollen, deren genaue Definition noch nicht existiert. Das ist objektiv unhaltbar.

Der Digital Omnibus, offiziell Teil des EU-Bürokratieabbaupakets der Kommission, reagiert darauf mit einer bedingten Verlängerung. „Bedingt“ ist dabei das entscheidende Wort.

Konkret bedeutet das:

  • Hochrisiko-KI nach Annex III (biometrische Systeme, HR-Screening, Kreditscoring, Bildungszugang): Die Durchsetzungsfrist verschiebt sich auf Dezember 2027.
  • Hochrisiko-KI nach Annex I (KI in Medizinprodukten, Maschinen, Fahrzeugen): Neue Backstop-Grenze ist August 2028.
  • Die Pflichten selbst haben sich nicht verändert. Es wurde kein Artikel gestrichen, keine Anforderung abgeschwächt. Es wurde nur mehr Zeit für die Durchsetzung bei den komplexen Fällen gegeben.

Das ist ein wichtiger Unterschied. Wer jetzt sagt „der EU AI Act wurde entschärft“, liegt falsch. Was entschärft wurde, ist der Zeitdruck für sehr spezifische, hochkomplexe Anwendungsfälle. Für die meisten EPU und KMU in Österreich ändert der Omnibus deshalb weniger, als sie vielleicht hoffen.

Was sich für EPU und KMU NICHT verschoben hat

Hier wird es konkret. Denn zwei zentrale Pflichten aus dem EU AI Act sind bereits geltendes Recht, und daran hat der Digital Omnibus nichts geändert.

Artikel 4: KI-Kompetenzpflicht (gilt seit Februar 2025)

Artikel 4 des EU AI Act verpflichtet alle Anbieter und Betreiber von KI-Systemen, dafür zu sorgen, dass ihre Mitarbeitenden ausreichend KI-Kompetenz haben. Das klingt nach einer Konzernregelung, ist es aber nicht. Die Pflicht gilt auch für EPU.

Was das in der Praxis bedeutet:

  • Unternehmen mit Mitarbeitenden müssen nachweisen können, dass diese im Umgang mit KI-Tools geschult wurden. Das muss kein zertifizierter Kurs sein. Ein internes Schulungsdokument mit Datum und Thema reicht als erster Schritt.
  • Als EPU ohne Mitarbeitende bist du formal weniger exponiert, aber auch hier empfehle ich, die genutzten Tools und deinen eigenen Lernpfad kurz zu dokumentieren. Wenn du morgen gefragt wirst, welche KI-Tools du nutzt und wie du sicherstellst, dass du sie kompetent einsetzt, solltest du eine Antwort haben.

Manche meiner Kunden fragen mich: „Welches Zertifikat brauche ich?“ Die ehrliche Antwort: Keines, zwingend. Aber ein nachvollziehbarer Nachweis ist sinnvoll. Das kann ein Datum mit Notiz sein: „03.03.2025, interne Schulung Claude-Nutzung für Texterstellung.“ Fertig.

Artikel 50: Transparenzpflichten (gelten seit August 2025)

Das ist die Regelung, die für die meisten EPU am unmittelbarsten relevant ist. Artikel 50 regelt, wann und wie du darauf hinweisen musst, dass KI im Spiel ist.

Was konkret gilt:

  • Wer einen Chatbot auf seiner Website betreibt, muss Nutzer aktiv darüber informieren, dass sie mit einem KI-System interagieren. Das gilt auch für einfache Chat-Widgets, die auf Sprachmodelle aufsetzen.
  • Wer KI-generierte Bilder, Videos oder Texte veröffentlicht, die täuschen könnten, muss diese kennzeichnen. Das gilt für Deepfakes explizit, aber die Regelung ist breiter formuliert.
  • Wer KI-generierte Texte veröffentlicht und dabei den Eindruck erweckt, sie seien von einem Menschen verfasst, bewegt sich in einem rechtlich unklaren Bereich.

Ein konkretes Praxisbeispiel: Ein EPU, der auf seiner Website ein Chat-Widget mit einem LLM-Backend betreibt und Interessenten automatisiert auf häufige Fragen antwortet, muss diesen Chatbot als KI kennzeichnen. Das ist kein aufwändiges Datenschutzgutachten, das ist ein kurzer Hinweis: „Dieser Chat wird von einem KI-System unterstützt.“ Wer das noch nicht hat: Jetzt ist ein guter Zeitpunkt.

Die 3 Maßnahmen, die jeder EPU bis August 2026 umsetzen sollte

Ich werde von Kunden manchmal nach einer langen Compliance-Checkliste gefragt. Die gibt es, aber für Standard-EPU ohne Hochrisiko-KI braucht es die nicht. Drei Dinge reichen für einen soliden Anfang.

1. KI-Inventur erstellen

Schreib auf, welche KI-Tools du beruflich nutzt. Das muss keine mehrseitige Analyse sein. Eine Tabelle oder eine simple Liste mit drei Spalten reicht: Tool-Name, wofür du es nutzt, welche Daten du dabei verarbeitest.

Beispiel: „Claude (Anthropic): E-Mail-Drafts, Blogtexte, keine Kundendaten“; „Gemini: Recherche, Zusammenfassungen, keine personenbezogenen Daten.“

Das ist die Grundlage für alles weitere. Und es ist ehrlich gesagt auch für dich selbst wertvoll. Viele EPU, denen ich das vorschlage, stellen beim Aufschreiben fest, dass sie mehr Tools nutzen, als sie gedacht haben.

2. Schulungsnachweis dokumentieren

Du brauchst keinen IHK-Kurs und kein ISO-Zertifikat. Aber du brauchst einen Nachweis, dass du dich mit dem Thema auseinandergesetzt hast. Das kann sein:

  • Ein Blogartikel, den du gelesen und mit Datum notiert hast
  • Ein Webinar, das du besucht hast
  • Eine kurze interne Notiz: „Beschäftigung mit EU AI Act, Pflichten nach Artikel 4, [Datum]“

Wenn du Mitarbeitende hast, muss das für sie ebenfalls dokumentiert werden. Auch hier gilt: Kein Konzernaufwand, aber ein nachvollziehbarer Nachweis.

3. Chatbot und KI-Kennzeichnung prüfen

Geh einmal durch alle deine öffentlichen Berührungspunkte mit Kunden:

  • Gibt es auf deiner Website ein Chat-Widget, das auf ein Sprachmodell aufbaut? Kennzeichne es.
  • Versendest du automatisierte E-Mails, die durch KI erstellt oder optimiert wurden, ohne dass der Empfänger das weiß? Prüfe, ob ein Hinweis sinnvoll ist.
  • Veröffentlichst du KI-generierte Bilder auf Social Media oder deiner Website? Überlege, ob eine Kennzeichnung angebracht ist.

Auch hier: Der Aufwand ist minimal. Ein Satz reicht. „Dieser Chat wird durch KI unterstützt.“ Oder im Impressum: „Wir nutzen KI-Tools zur Unterstützung unserer Kommunikation.“ Das ist kein juristischer Freifahrtschein, aber es zeigt Transparenz und ist im Geist des Gesetzes.

Was ich von meinen Kunden lerne

In meiner Beratungspraxis höre ich immer wieder dieselben drei Gedanken, wenn das Thema EU AI Act fällt. Alle drei sind verständlich. Und alle drei sind, zumindest teilweise, falsch.

„Ich bin zu klein für das Gesetz.“

Das stimmt nicht. Der EU AI Act kennt keine Größengrenze in dem Sinne, dass EPU generell ausgenommen sind. Was es gibt, sind abgestufte Anforderungen: Ein EPU, der Claude für Texte nutzt, hat deutlich weniger Compliance-Aufwand als ein Unternehmen, das KI für Einstellungsentscheidungen einsetzt. Aber „zu klein, um betroffen zu sein“ ist rechtlich keine belastbare Position.

„Das gilt nur für Konzerne und Tech-Unternehmen.“

Das ist eine hartnäckige Fehlannahme. Der EU AI Act unterscheidet nach Risikokategorien, nicht nach Unternehmensgrößen. Was ihn de facto für EPU weniger relevant macht, ist, dass die meisten EPU keine Hochrisiko-KI im Sinne des Gesetzes einsetzen. Wer aber einen KI-Chatbot auf seiner Website hat oder KI-generierte Inhalte veröffentlicht, fällt unter Artikel 50. Das ist keine Konzernregelung.

„Das kommt sicher noch später.“

Artikel 4 und Artikel 50 gelten seit Februar beziehungsweise August 2025. Sie sind keine Ankündigung, sie sind geltendes Recht. Der Digital Omnibus hat nichts daran geändert. Wer wartet, wartet auf etwas, das bereits eingetreten ist.

Die reale Risikoeinschätzung für Standard-EPU:

Wenn du als Selbstständiger Claude für E-Mails nutzt, Gemini für Recherchen und gelegentlich KI-generierte Bilder auf Instagram postest, ist dein Compliance-Risiko überschaubar. Niemand wird morgen an deine Tür klopfen. Aber „überschaubar“ ist nicht dasselbe wie „null“. Und die drei Maßnahmen oben umzusetzen, dauert zusammen vielleicht zwei Stunden. Das ist eine gute Investition.

Der Digital Omnibus gibt mehr Zeit für die komplexen Fälle. Für die Unternehmen, die KI für biometrische Analysen, Kreditscoring oder HR-Entscheidungen einsetzen, ist die Fristverlängerung eine echte Erleichterung, denn die Normen fehlen schlicht noch.

Für Standard-EPU, die Claude für E-Mails und Texte nutzen, bleibt der Aufwand minimal: eine KI-Inventur, ein Schulungsnachweis, eine Prüfung der Kennzeichnungspflichten. Wer das jetzt umsetzt, ist ruhig, gut aufgestellt und kann das Thema vorerst abhaken.

Was mich beim Recherchieren für diesen Artikel noch überrascht hat: Wie viele Unternehmen Artikel 50 gar nicht auf dem Schirm haben, obwohl er seit August 2025 gilt.

Nutzt du auf deiner Website oder in deinen Automations bereits irgendeine Form von KI-Kennzeichnung? Ich bin neugierig, wie das bei euch gelöst ist.

Hinweis zur KI-Nutzung: Themen und Thesen stammen von mir, KI hilft bei Struktur und Rechtschreibung. Redaktionelle Verantwortung bleibt vollständig bei mir. Wie dieser Blog entsteht →

Bitte bewerte meinen Blog! Danke vielmals!

about.me
Alex Januschewsky – Zertifizierter KI-Beauftragter und Werbefachmann
Alex Januschewsky
ISO 42001 Anthropic Claude Google Cloud AI Prompt Engineering Automatisierung MVP Alumni

Alex Januschewsky ist Werbefachmann, zertifizierter KI-Beauftragter (ISO 42001, EU AI Act-Konformität) und Microsoft MVP Alumni. Seit 1989 in Werbung und Design aktiv, spezialisiert auf den professionellen Einsatz von Generativer KI: kreativ, strategisch, praxisnah. Seit über 30 Jahren entwickle ich Kommunikation, die nicht auf Hype setzt, sondern auf echte Wirkung. Klar, klug und mit einem tiefen Verständnis für Technologie und Sprache. In diesem Blog teile ich Ideen, Impulse und erprobtes Wissen für Unternehmer, Entscheider und KI-Enthusiasten, die mehr wollen als Schlagwörter und bunte Versprechen.

LINKEDIN

LinkedIn Newsletter

Jeden Artikel direkt in deinem LinkedIn-Feed. Kein Extra-Abo, kein Spam. Einfach folgen und du bekommst neue Beiträge automatisch.

LinkedIn Newsletter folgen
NEWSLETTER
WHATSAPP

WhatsApp Channel

Was gerade wirklich in der KI passiert, bekommst du nicht im Feed, sondern im KI-Kompass. Ich kuratiere, teste, filtere. Du bekommst nur das, was es wert ist, gelesen zu werden.

Zum WhatsApp-Channel
COMMUNITY
Alex Januschewsky, Prompt Rocker, wohnhaft in Salzburg, tätig in Österreich
// let's talk

Lass uns reden.

Erstgespräch kostenlos. Immer.

Du weißt noch nicht genau, wo du anfangen sollst? Gut. Genau dafür ist das Erstgespräch da. Wir klären in 30 Minuten, ob und wie KI in deinem Betrieb wirklich Sinn macht.

Kein Pitch. Keine Agenda. Nur ein ehrliches Gespräch zwischen zwei Menschen, die wissen wollen, ob es passt.

Erstgespräch anfragen Wer ist Alex?
Derzeit verfügbar für neue Projekte in Österreich & DACH

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.

——— aktuelle zahlen

543
Artikel
zum Thema KI
79.2
Stunden
gesamte Lesezeit
55+
KI-Tools
für Kunden evaluiert
13
Zertifikate
KI-Qualifikationen

——— Die letzen Beiträge

——— Unterstütze mich

Dir gefällt digitalhandwerk?

Ich stecke sehr viel Zeit, Geld und Herzblut in meine Webseite. Wenn dir mein Blog weiterhilft, freue ich mich riesig über eine kurze Bewertung auf Google. Es dauert nur eine Minute und hilft mir sehr, mehr Menschen zu erreichen!

Jetzt auf Google bewerten