Komplettleitfaden → Den vollständigen Überblick über alle EU-AI-Act-Pflichten für KMU (Art. 4, 5, 26, 27, 50, Bußgelder, Anwendungsfahrplan) finden Sie in unserem Komplettleitfaden EU AI Act für KMU.
Am 7. Mai 2026 haben EU-Rat und Europäisches Parlament eine vorläufige politische Einigung auf ein Omnibus-Änderungspaket zum EU AI Act bekannt gegeben. Das Paket ist Teil der breiteren Initiative der Europäischen Kommission zur Vereinfachung digitaler Regulierung. Die formale Verabschiedung steht noch aus — die Richtung ist aber eindeutig gesetzt.
Auf X diskutieren Compliance-Experten und KI-Praktiker die Konsequenzen intensiv. Media-Analyst Franke-Media fasst das strukturelle Problem treffend zusammen: "compliance burden is a fixed cost that only giants can absorb" — und genau dort setzt lokale KI als strategische Antwort an.
Für KMU, die lokale LLM-Stacks betreiben oder planen, ist die Botschaft klar: mehr Zeit, größere Entlastungsschwellen, und ein deutlich pragmatischerer Weg zur dokumentierten Compliance.
Was das Omnibus-Paket konkret ändert
Gemäß unserem Verständnis der veröffentlichten Einigung umfasst das Paket vier wesentliche Änderungen:
1. Fristen für Hochrisiko-KI deutlich verschoben
Die ursprünglich für den 2. August 2026 geplante Anwendung der Vollpflichten für eigenständige Hochrisiko-KI-Systeme (Anhang III des AI Act) ist auf den 2. Dezember 2027 verschoben worden — rund 16 Monate mehr Vorlaufzeit. Für Hochrisiko-Systeme, die in regulierten Produkten eingebettet sind (Anhang I), gilt jetzt der 2. August 2028 als Deadline.
Wer bis August 2026 unter Zeitdruck stand, hat durch diese Verschiebung erheblichen Planungspuffer gewonnen.
2. KMU-Entlastung jetzt auch für Mid-Caps
Das vereinfachte Compliance-Rahmenwerk, das bisher nur für Kleinstunternehmen und klassische KMU galt, wird auf Unternehmen mit bis zu 750 Mitarbeitern und 150 Mio. € Jahresumsatz ausgeweitet. Damit sind deutlich mehr europäische Betriebe erfasst als bisher.
Konkrete Entlastungen für diesen Unternehmenskreis laut Einigung:
- Standardisierte Dokumentationsvorlagen statt eigenständiger Systemkarten von Grund auf
- Zugang zu nationalen regulatorischen Sandboxes für Tests
- Reduzierte Bußgeldobergrenzen gegenüber dem ursprünglichen Vollrahmen
- Vereinfachte Leitfäden, die speziell auf kleinere Betreiber ausgerichtet sind
3. DSGVO-Anpassung für KI-Bias-Erkennung
Die DSGVO wird dahingehend ergänzt, dass besondere Kategorien personenbezogener Daten zur Erkennung und Korrektur von Bias in KI-Modellen verarbeitet werden dürfen — jedoch nur soweit strikt notwendig, mit klarer Zweckbindung und Protokollpflicht. Für die meisten internen KMU-Anwendungen wie Dokumentensuche, HR-Assistenz oder Code-Generierung ändert das wenig, da diese Systeme selten auf Sonderkategorien zugreifen.
4. Kennzeichnungspflicht für KI-generierte Inhalte ab Dezember 2026
Ab 2. Dezember 2026 gilt eine Wasserzeichen- und Provenienz-Kennzeichnungspflicht für KI-generierte Inhalte. Unternehmen, die KI-Outputs ausschließlich intern verarbeiten, sind kaum betroffen. Wer KI-generierte Inhalte an Kunden oder die Öffentlichkeit kommuniziert, muss entsprechende Kennzeichnungsprozesse einrichten.
Was weiterhin gilt — und warum Vorbereitung trotzdem lohnt
Das Omnibus-Paket verschiebt und vereinfacht — es hebt die grundsätzlichen Betreiberpflichten nicht auf. Gemäß unserem Verständnis der aktuellen Rechtslage bleiben folgende Elemente bestehen:
Risikobewertung: Jeder Betreiber eines KI-Systems sollte dokumentieren können, warum sein System in eine bestimmte Risikokategorie fällt. Standardisierte Vorlagen erleichtern das erheblich, aber die Bewertung selbst ist weiterhin erforderlich.
Transparenzpflicht gegenüber Nutzern: Mitarbeiter und Kunden, die mit einem KI-System interagieren, müssen darüber informiert werden, dass KI im Einsatz ist.
Menschliche Aufsicht bei Hochrisiko-Entscheidungen: Wer KI in Personalentscheidungen, Kreditbewertung, medizinischen Kontexten oder sicherheitsrelevanten Bereichen einsetzt, bleibt an die Anforderungen zur menschlichen Kontrolle gebunden — auch nach der Verschiebung der Fristen.
Die praktische Konsequenz: Wer jetzt eine schlanke, dokumentierte Compliance-Grundlage aufbaut, steht bei formaler Ratifizierung der Einigung erheblich besser da als wer wartet.
Warum lokale LLMs strukturell im Vorteil sind
Die Debatte zeigt: Compliance-Kosten sind ein signifikanter Wettbewerbsnachteil für europäische Unternehmen gegenüber US-Hyperscalern. Lokale KI adressiert dieses Kostenproblem direkt — nicht durch Umgehung, sondern durch Architektur.
Wer Ollama auf einem Mac Studio M3 Ultra (ca. 5.000–6.500 €), einem selbst gehosteten NVIDIA-Server oder einem Cluster aus Mac Minis betreibt, hat folgende strukturelle Vorteile:
Modell-Transparenz: Sie wissen exakt, welches Modell in welcher Version läuft. Kein unangekündigtes Update durch den Anbieter. Die Systemkarte ist trivial auszufüllen, weil alle Parameter bekannt sind — Llama 3.3 70B Q4 per Ollama 0.9.x ist Llama 3.3 70B Q4, bis Sie es selbst ändern.
Datenschutz als Architektur: Anfragen und Antworten verlassen nie das eigene Netzwerk. Keine Drittlands-Übertragung nach DSGVO Kapitel V, keine Verarbeitung auf US-Infrastruktur. Das ist kein Vertragsversprechen — es ist eine physische Einschränkung. Der robusteste Compliance-Mechanismus, den es gibt.
Auditierbare Logs ohne Zusatzkosten: Lokal betriebene Systeme können vollständige Request-Response-Protokolle führen. Bei Cloud-APIs ist das teuer oder produktionsbedingt nicht möglich. Compliance-Audits werden damit erheblich einfacher.
Stabile, vorhersagbare Kosten: Keine Preiserhöhungen durch den Anbieter, keine API-Kostenexplosionen bei erhöhter Nutzung. Laut Community-Berechnungen amortisiert sich ein Mac-Studio-M3-Ultra-Stack bei mittlerer Nutzungsintensität innerhalb von 12–18 Monaten gegenüber äquivalenter Cloud-API-Nutzung.
Mehr zu datenschutzkonformer lokaler KI-Architektur finden Sie auf unserer Seite zu Datensouveränität.
Empfehlenswerte Modelle für compliance-relevante KMU-Setups
Auf Basis gemeinschaftlich berichteter Tests aus der Community eignen sich folgende Modelle:
Llama 3.3 70B (Meta, Apache 2.0): Stärken in Analyse, deutschsprachigen Texten, Reasoning. Benötigt 64–96 GB Unified Memory; läuft auf Mac Studio M3 Ultra (192 GB) flüssig. Berichtete Inferenzgeschwindigkeit: 20–35 Tokens/Sekunde.
Qwen2.5 32B (Alibaba, Apache 2.0): Exzellentes Verhältnis aus Qualität und Ressourcenbedarf. 32–48 GB RAM ausreichend; gut mehrsprachig inklusive Deutsch. Für KMU mit Mac Pro oder leistungsstärkeren Workstations geeignet.
DeepSeek-V3 (DeepSeek, MIT-Lizenz): Stärken bei strukturierten Ausgaben und Dokumentenextraktion. 128k-Kontextfenster, gut für Vertragsanalyse, FAQ-Generierung und Berichtserstellung.
Alle drei laufen per Ollama oder vLLM on-premise ohne externen API-Endpunkt und sind damit DSGVO-konform ohne Cloud-Abhängigkeit betreibbar.
Praxis-Checkliste für lokale LLM-Betreiber
Diese Liste gibt einen Anhaltspunkt gemäß unserem Verständnis der aktuellen Gesetzeslage; sie ersetzt keine individuelle Rechtsberatung:
- Systembestandsaufnahme: Welche KI-Systeme betreibt das Unternehmen, für welche Aufgaben?
- Risikoeinstufung: Fällt der Use-Case unter Hochrisiko (Personalentscheidungen, Kreditwesen, Medizin) oder bleibt er rein assistiv mit menschlicher Kontrolle?
- Systemkarte anlegen: Modellname und -version, Hardware, Deployment-Datum, Zweckbeschreibung
- Zugriffsrechte regeln: Wer darf Prompts senden? Open WebUI oder ähnliche Interfaces bieten rollenbasierte Zugriffskontrolle (RBAC)
- Review-Rhythmus festlegen: Halbjährliche Überprüfung der Dokumentation mit Protokoll der Änderungen
Für ein typisches KMU-Setup bedeutet das 2–4 Stunden Initialaufwand und 1–2 Stunden halbjährlich. Keine externe Kanzlei nötig, wenn der Use-Case klar eingegrenzt und assistiv ist.
Nächste Schritte
Die Omnibus-Einigung gibt deutschen und europäischen KMU erheblich mehr Zeit — aber die strategisch klügste Nutzung dieser Zeit ist Vorbereitung, nicht Abwarten. Ein lokaler KI-Stack, der von Anfang an dokumentiert und auditierbar aufgesetzt ist, macht die formale Compliance-Prüfung 2027 zu einer Routine.
Wenn Sie wissen möchten, welches lokale KI-Setup für Ihre Unternehmensgröße und Use-Cases geeignet ist — und wie Sie Dokumentation und Betrieb von Anfang an compliance-ready gestalten — sprechen Sie uns unverbindlich an. Wir begleiten Sie von der Modellauswahl bis zum laufenden Betrieb.