Der Aufschub als Falle – Was die Verschiebung des EU AI Act für den Mittelstand wirklich bedeutet
Zurück zum Blog
Strategie & Roadmapvon Transfora·5 Min. Lesezeit

Der Aufschub als Falle – Was die Verschiebung des EU AI Act für den Mittelstand wirklich bedeutet

Warum die Verschiebung des EU AI Act für den Mittelstand teurer werden kann als der ursprüngliche Zeitplan

Im März 2026 hat das Europäische Parlament die zentralen Pflichten des EU AI Act für Hochrisiko-Systeme um sechzehn Monate verschoben. In vielen Geschäftsführungsetagen wurde das als Entlastung gefeiert. Es ist das Gegenteil: Die neue Frist verlängert nicht den Spielraum, sondern verkürzt ihn – weil sich der Markt, die Käufer und die Aufsicht parallel weiterbewegen.

Was sich verschiebt – und was nicht

Am 26. März 2026 hat das Plenum des Europäischen Parlaments mit 569 zu 45 Stimmen das Digital-Omnibus-Paket bestätigt. Die Pflichten für Hochrisiko-KI-Systeme nach Anhang III – darunter KI im Personalwesen, im Kredit-Scoring und in der biometrischen Identifizierung – greifen nun erst ab dem 2. Dezember 2027 statt wie ursprünglich vorgesehen ab dem 2. August 2026. Für Sicherheitskomponenten in regulierten Produkten nach Anhang I gilt der 2. August 2028.

Was in vielen Berichten unterging: Die übrigen Bestimmungen des AI Act laufen unverändert weiter. Die Verbote nach Artikel 5 sind seit dem 2. Februar 2025 in Kraft. Die Pflichten für Anbieter allgemeiner KI-Modelle – also für OpenAI, Anthropic, Mistral und ihre europäischen Pendants – greifen seit dem 2. August 2025. Und die KI-Kompetenzpflicht nach Artikel 4, die jeden Arbeitgeber verpflichtet, Mitarbeitende im Umgang mit KI nachweislich zu qualifizieren, gilt ebenfalls seit Februar 2025 – unabhängig von Branche, Größe und Risikoklasse. Auch die Transparenzpflicht für KI-generierte Inhalte einschließlich Watermarking tritt am 2. November 2026 in Kraft.

Wer den Aufschub als generelle Entwarnung liest, hat das Paket missverstanden. Verschoben wurde der Kern – nicht der Rahmen.

Die deutsche Lücke

Für den Mittelstand kommt eine zweite Schicht hinzu, die in der öffentlichen Debatte kaum vorkommt: Deutschland hat die Frist zur nationalen Umsetzung bereits verpasst. Das KI-Marktüberwachungs- und Innovationsförderungsgesetz steckt noch im Gesetzgebungsverfahren. Eine zuständige nationale Aufsichtsbehörde, die Konformitätsbewertungen prüft oder Sandboxes bereitstellt, existiert bislang nicht. Andere Mitgliedstaaten – Finnland, Belgien, Polen – haben ihre Strukturen längst aufgebaut.

Das schafft eine paradoxe Situation. Der AI Act gilt als EU-Verordnung unmittelbar – Pflichten und Bußgelder greifen unabhängig davon, ob Berlin sein nationales Gesetz rechtzeitig verabschiedet. Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes bleiben bestehen. Für mittelständische Unternehmen heißt das: Sie müssen compliant werden, ohne dass im eigenen Land klar ist, wer sie prüft, wie sie zertifiziert werden und welche Auslegung im Streitfall maßgeblich ist.

Genau darin liegt das eigentliche Risiko des Aufschubs. Wer wartet, bis die nationale Lage geklärt ist, verliert die einzige Ressource, die Compliance braucht: Zeit für Inventur, Rollenklärung und Dokumentation.

Was Käufer und Investoren bereits heute durchsetzen

Der Markt hat den Zeitplan der Politik längst eingeholt. Eine im April 2026 veröffentlichte Analyse europäischer M&A-Transaktionen zeigt, dass AI-Act-Lücken im Targetportfolio bereits heute in Kaufpreise eingepreist werden. Bei mittelständischen Übernahmen werden Bewertungsabschläge von zwei bis fünf Prozent des Unternehmenswerts berichtet, in Einzelfällen mit Hochrisiko-Systemen ohne saubere Dokumentation bis zu fünfzehn Prozent. Eine DACH-HR-Analytics-Firma wurde Anfang 2026 vom Markt genommen, nachdem vier Bieter denselben Anhang-III-Compliance-Mangel identifiziert hatten. Im Gegenzug erzielte ein österreichischer Konsumentenkreditanbieter eine Bewertungsprämie, weil sein Kreditmodell seit Ende 2024 entlang Artikel 10 dokumentiert wurde.

Auch in B2B-Lieferketten kippt das Vorzeichen. SAP, Siemens, Deutsche Bank und Celonis nutzen ihre AI-Act-Vorbereitung inzwischen als Vertriebsargument. Wer als Mittelständler an diese Kunden liefert oder von ihnen einkauft, wird vertraglich in die Verantwortung gezogen – über Zusicherungen zur Datenqualität, zu Trainingsdaten, zu Risikoklassifizierung. Compliance ist damit kein Behördenthema mehr, sondern ein Einkaufskriterium.

Was bis Dezember 2027 wirklich aufgebaut werden muss

Die naheliegende Antwort lautet: Risikomanagementsystem, technische Dokumentation, menschliche Aufsicht, kontinuierliches Monitoring. Das ist richtig, aber es verfehlt den Punkt. Die Aufgabe ist nicht, einen Ordner zu füllen, sondern eine Organisation zu bauen, die ihre eigene KI-Nutzung kennt.

Der Einstieg ist banal und wird trotzdem in den meisten Häusern übersprungen: eine ehrliche KI-Inventur über alle Abteilungen hinweg. Welche Systeme sind im Einsatz? Welche davon enthalten KI-Funktionen, die niemand als KI wahrgenommen hat – Spam-Filter, Empfehlungslogiken im ERP, das Predictive-Analytics-Modul im CRM, das CV-Screening im Bewerbermanagement-Tool? Die meisten Mittelständler unterschätzen ihre eigene Exposition deutlich, weil eingebettete KI in Standardsoftware nicht im Lizenzvertrag steht.

Im zweiten Schritt ist die Rolle zu klären. Der AI Act unterscheidet zwischen Anbieter, Betreiber, Händler und Einführer. Für den Mittelstand ist meist die Betreiberrolle entscheidend – mit Pflichten zu Risikomanagement, Protokollaufbewahrung von sechs Monaten, menschlicher Aufsicht und Transparenz. Erst danach lohnt sich der Aufbau von Governance-Strukturen, idealerweise integriert in bestehende DSGVO-, NIS-2- und ISO-27001-Prozesse, statt parallel zu ihnen.

Transfora-Perspektive

In unseren Projekten sehen wir ein wiederkehrendes Muster: Die Verschiebung wird in den Geschäftsführungen positiv aufgenommen, in den Fachabteilungen führt sie zu Stillstand. Compliance-Projekte werden vertagt, KI-Inventuren auf das nächste Quartal geschoben, Schulungen aus dem Budget genommen. Sechzehn Monate später wird derselbe Aufwand unter Zeitdruck nachgeholt – mit dem Unterschied, dass dann die Käufer, die Versicherer und die Aufsichtsbehörden bereits genauer hinsehen.

Die produktivere Lesart der Verschiebung ist eine andere. Der zusätzliche Zeitraum ist die letzte Gelegenheit, KI-Governance ohne Krisendruck aufzubauen – als integrierten Teil der KI-Strategie, nicht als nachträglichen Compliance-Block. Wer die KI-Inventur jetzt mit der Use-Case-Priorisierung verbindet, schafft beides in einem Schritt: regulatorische Belastbarkeit und strategische Klarheit darüber, wo KI im eigenen Haus tatsächlich Wirkung entfaltet.

Fazit

Die Verschiebung des EU AI Act ist keine Atempause, sondern eine Verlagerung. Was nicht durch Behörden erzwungen wird, wird durch Käufer, Auftraggeber und Investoren erzwungen – nur mit härteren ökonomischen Konsequenzen. Mittelständler, die jetzt handeln, gewinnen drei Vorteile: belastbare Dokumentation für M&A- und Vertragsverhandlungen, integrierte Governance ohne Doppelaufwand, und vor allem die Klarheit darüber, wo KI im eigenen Unternehmen tatsächlich läuft.

Der konkrete erste Schritt ist nicht teuer und nicht riskant: eine zweiwöchige KI-Inventur über alle Abteilungen, mit klarer Verantwortlichkeit und einer einfachen Risikoklassifizierung pro System. Wer im Sommer 2026 weiß, was er an KI tatsächlich nutzt, hat bis Dezember 2027 ausreichend Zeit, daraus eine funktionierende Organisation zu machen. Wer es nicht weiß, hat bereits jetzt verloren.

Ähnliche Beiträge

Strategie & Roadmap

Vom Pilot zum Prozess: Warum KI-Projekte im Mittelstand nicht skalieren

·3 Min.
Strategie & Roadmap

EU AI Act: Was der Mittelstand bis August 2026 wirklich tun muss

·3 Min.
Strategie & Roadmap

Nur 12 Prozent bereit: Warum der deutsche Mittelstand bei KI in der Experimentierphase steckt

·5 Min.
Alle Beiträge