AI Act verschoben, Dokumentation bleibt: Was im August 2026 trotzdem auf Sie zukommt
Kurz gesagt: Am 7. Mai 2026 hat sich Brüssel auf den Digital Omnibus geeinigt und die schärfsten Pflichten des AI Act um rund 16 Monate verschoben — von August 2026 auf Dezember 2027. Viele Geschäftsführer atmen auf. Zu früh. Mehrere Pflichten greifen im August trotzdem, und der eigentliche Aufwand — die Dokumentation und Protokollierung von KI — wird durch den Aufschub kein bisschen kleiner.
Am Tag nach der Einigung, es war ein Freitag, rief mich ein IT-Leiter aus Bielefeld an. Erleichtert. „Das mit dem AI Act ist ja jetzt vom Tisch, oder?"
Ich musste ihn enttäuschen. Vom Tisch ist gar nichts. Der Termin ist verschoben — die Arbeit nicht. Und genau dieses Missverständnis wird gerade reihenweise teuer.
Was am 7. Mai wirklich beschlossen wurde
Der sogenannte Digital Omnibus ist ein Änderungspaket zur KI-Verordnung. Sein Kern: Die Pflichten für Hochrisiko-KI hängen nicht mehr daran, ob die technischen Normen fertig sind, sondern an festen Kalenderdaten. Das schafft Planungssicherheit — und schiebt die Fristen nach hinten.
- Annex-III-Systeme (eigenständige Hochrisiko-KI, etwa im Personalwesen): jetzt 2. Dezember 2027 statt August 2026.
- Annex-I-Systeme (KI eingebettet in regulierte Produkte wie Maschinen oder Medizingeräte): 2. August 2028.
Das sind grob 16 zusätzliche Monate. Die Begründung laut TÜV-Einordnung: Die harmonisierten Standards, an denen die Konformitätsbewertung hängt, sind schlicht noch nicht fertig. Den offiziellen Rahmen zur KI-Verordnung führt die EU-Kommission.
So weit die gute Nachricht. Jetzt die unbequeme.
Was der Aufschub nicht anfasst
Der Digital Omnibus verschiebt die Hochrisiko-Pflichten. Er räumt nicht den ganzen AI Act ab. Vier Dinge gelten unabhängig vom neuen Zeitplan weiter:
- KI-Kompetenz (Art. 4): Schon seit Februar 2025 müssen Sie sicherstellen, dass Mitarbeiter, die KI bedienen oder deren Ergebnisse nutzen, das nötige Grundverständnis haben. Keine Übergangsfrist, keine Verschiebung.
- Verbotene Praktiken (Art. 5): Seit August 2025 sanktionsbewehrt. Social Scoring, bestimmte Formen der Emotionserkennung am Arbeitsplatz — das ist nicht „bald verboten", das ist verboten.
- Transparenzpflichten (Art. 50): Gelten ab dem 2. August 2026, also wie ursprünglich geplant. Wer Chatbots oder KI-generierte Inhalte einsetzt, muss das offenlegen (Art. 50 AI Act).
- Pflichten für allgemeine KI-Modelle (Art. 53): Die Durchsetzung beginnt ebenfalls im August 2026.
Heißt: Der Aufschub betrifft den aufwendigsten, aber nicht den nächstfälligen Teil. Wer im August nichts vorbereitet hat, weil „ja alles verschoben" ist, liegt falsch.
Der Teil, über den keiner redet: Der AI Act ist eine Dokumentationsverordnung
Jetzt zu dem Punkt, der mich an diesem Gesetz aus DMS-Sicht überhaupt erst interessiert. Wenn man den AI Act auf das Wesentliche eindampft, ist er in weiten Teilen eine Aufbewahrungs- und Nachweisverordnung. Zwei Artikel zeigen das besonders deutlich.
Technische Dokumentation — zehn Jahre
Art. 11 verlangt für jedes Hochrisiko-System eine vollständige technische Dokumentation nach Anhang IV, erstellt bevor das System in Betrieb geht. Und Art. 18 schreibt vor, diese Unterlagen zehn Jahre lang vorzuhalten — bereit zur Vorlage bei der Behörde.
Zehn Jahre. Dieselbe Größenordnung wie bei steuerlichen Unterlagen. Nur dass kaum jemand eine Vorstellung davon hat, wo diese KI-Akte eigentlich liegen soll.
Protokollierung — die Logs sind Pflicht, nicht Kür
Art. 12 verlangt, dass Hochrisiko-Systeme automatisch Logs erzeugen, die den Betrieb nachvollziehbar machen. Als Betreiber müssen Sie diese Protokolle aufbewahren — in der Regel mindestens sechs Monate, sofern nichts anderes gilt.
Ein Log, das nach drei Wochen im Nirwana verschwindet, erfüllt diese Pflicht nicht. Ein Log auf einem Netzlaufwerk, das jeder überschreiben kann, auch nicht.
Der AI Act fragt im Ernstfall nicht, ob Ihre KI gut war. Er fragt, ob Sie belegen können, was sie wann getan hat. Das ist eine Frage der Ablage, nicht der Technik.
Das Muster kennen Sie, wenn Sie hier öfter mitlesen. Es ist dasselbe wie bei der E-Rechnung und bei der Arbeitszeiterfassung: Das Gesetz erzeugt ein Dokument. Wo dieses Dokument prüfungsfest liegt, ist Ihr Problem, nicht das des Gesetzgebers.
Die Annex-III-Falle: Sie sind „Betreiber", ohne es zu wissen
Hier wird es für den Mittelstand konkret. Annex III listet die Einsatzfelder auf, die als Hochrisiko gelten. Eines davon trifft fast jeden Betrieb: das Personalwesen.
Setzen Sie Software ein, die Bewerbungen vorsortiert, Lebensläufe bewertet oder Mitarbeiter nach Leistung einstuft? Dann sind Sie „Betreiber" eines Hochrisiko-Systems — auch wenn Sie die KI nicht selbst gebaut, sondern nur eingekauft haben. Ab Dezember 2027 hängen daran Pflichten, die Sie besser nicht erst im November 2027 entdecken.
Wo manche Anbieter Angst verkaufen
Und jetzt das, was Ihnen kein Vertriebler erzählt, der Ihnen gerade „AI-Act-Compliance" andrehen will: Nicht jede KI ist Hochrisiko. Die allermeiste KI im Büroalltag ist es ausdrücklich nicht.
Die Texterkennung und automatische Klassifizierung in einem DMS — also die KI, die eine eingehende Rechnung erkennt und dem richtigen Projekt zuordnet — fällt nicht unter Annex III. Sie verarbeitet Dokumente, sie entscheidet nicht über Menschen. Wer Ihnen einredet, jede OCR-Funktion mache Sie zum Hochrisiko-Betreiber, will Ihnen etwas verkaufen.
| KI-Einsatz | Hochrisiko nach Annex III? |
|---|---|
| Bewerber-Screening, Leistungsbewertung | ✅ ja |
| Bonitätsprüfung von Kunden | ✅ ja |
| Belegerkennung, Dokumenten-Klassifizierung im DMS | ❌ nein |
| Volltextsuche, Verschlagwortung | ❌ nein |
Der Unterschied ist nicht akademisch. Er entscheidet, ob auf Sie ein Konformitätsverfahren zukommt oder nicht.
Was ich Betrieben jetzt rate
Den gewonnenen 16 Monaten begegne ich mit einer simplen Haltung: nutzen, nicht verschlafen. Diese Reihenfolge hat sich bei den Projekten der letzten Wochen bewährt:
- Inventur machen. Listen Sie auf, wo in Ihrem Betrieb KI mitentscheidet — vom HR-Tool bis zum Modul im ERP. Die meisten unterschätzen, wie viel davon schon läuft.
- Annex III abgrenzen. Trennen Sie das Hochrisiko-Material (Personal, Bonität) vom harmlosen Rest. Nur Ersteres braucht den vollen Apparat.
- Art. 4 sofort erledigen. Die KI-Kompetenz-Pflicht gilt heute. Eine dokumentierte Schulung Ihrer Leute ist an einem Nachmittag aufgesetzt — und Sie können belegen, dass es sie gab.
- Den Ablageort klären. Technische Dokumentation, Konformitätsnachweise, Logs: All das braucht einen revisionssicheren Platz mit Berechtigungen und Aufbewahrungsfristen. Genau dafür ist ein DMS da — siehe Features.
- Beim Hosting hinschauen. Wenn Ihre KI-Logs personenbezogene Daten enthalten, gilt zusätzlich die DSGVO. Wo diese Protokolle liegen, sollten Sie wissen — wir hosten ausschließlich in deutschen Rechenzentren, mehr dazu unter Hosting.
Vier dieser fünf Punkte kosten Sie keine Lizenz und keinen Berater, nur ein paar Stunden Ordnung.
Fazit
Die Verschiebung ist ein Geschenk — aber nur für die, die es auspacken. Wer die 16 Monate nutzt, um die KI-Inventur zu machen, Annex III sauber abzugrenzen und einen festen Ablageort für Dokumentation und Logs einzurichten, geht 2027 entspannt in die Hochrisiko-Pflichten.
Wer den Aufschub als Erlaubnis zum Wegschauen liest, steht im Herbst 2027 vor demselben Berg — nur höher, und mit den Pflichten aus Art. 4, 5 und 50, die schon seit August 2026 längst gelten.
Wenn Sie wissen wollen, welche Ihrer KI-Anwendungen überhaupt unter den AI Act fallen und wo die Nachweise dazu prüfungsfest liegen, schauen wir uns das in einem Erstgespräch ohne Verkaufsdruck an — sprechen Sie uns an.
