EU AI Act ab 2. August 2026: Was Sie betreiben, ohne es zu wissen
Ulrich Diedrichsen · 30. April 2026
EU AI Act ab 2. August 2026: Was Sie betreiben, ohne es zu wissen
Am 2. August 2026 wird der EU AI Act in seinen schaerfsten Schritten verbindlich. Drei Monate vorher fragen viele KMU-Inhaber dasselbe: “Betrifft mich das ueberhaupt?” — und meistens lautet die ehrliche Antwort: ja. Aber nicht so dramatisch, wie es klingt. Wer fuenf Dinge sauber durchgeht, ist durch.
Das Tueckische ist nicht das Gesetz selbst. Das Tueckische ist, dass die meisten KMU bereits KI einsetzen, ohne es bewusst wahrzunehmen.
Das Problem: KI ist schon laengst da, nur unsichtbar
Wenn ich KMU-Inhaber frage “setzen Sie KI ein?”, sagt die Mehrheit: nein. Wenn ich nachhaken: “Nutzen Sie ChatGPT? Haben Sie einen Chatbot auf der Website? Schreibt Ihnen Ihre Software Mailantworten vor? Sortiert irgendein Tool Ihre Bewerbungen?” — dann faellt schnell auf, dass an drei, vier Stellen schon Modelle mitarbeiten. Manchmal seit Jahren, manchmal seit dem letzten Software-Update.
Das ist kein Versagen, das ist die Realitaet. KI ist in den letzten zwei Jahren in fast jede Standardsoftware eingewandert. Hubspot, Lexware, sevDesk, das Bewerber-Tool, der Newsletter-Builder, das Office-Paket. Wer sich vorgenommen hat “wir haben damit nichts zu tun”, irrt sich oft.
Genau hier setzt der AI Act an. Er fragt nicht “haben Sie KI eingekauft”, sondern “betreiben Sie ein System, das mit KI arbeitet”. Der Unterschied entscheidet ueber Pflichten und Bussgelder.
Wer ist eigentlich betroffen?
Kurz: jeder, der KI im geschaeftlichen Kontext einsetzt. Es gibt keine Mindestgroesse, ab der die Pflichten erst greifen — Solo-Selbststaendige mit Chatbot fallen genauso darunter wie der 200-Mitarbeiter-Betrieb. Was sich nach Groesse unterscheidet: bei Hochrisiko-Anwendungen (Anhang III) bekommen Kleinst- und Kleinunternehmen erleichterte Vorgaben bei der Konformitaetsbewertung — die Grundpflichten (Risikomanagement, Doku, menschliche Aufsicht) bleiben aber bestehen. Ausnahme ist nur die rein private, nicht-berufliche Nutzung. Sobald KI im Geschaeft eingesetzt wird — auch nur ChatGPT fuer Kundenmails — gelten die Pflichten.
Quelle: Art. 2 EU AI Act (Anwendungsbereich) und Art. 62 (KMU-Erleichterungen).
Was am 2. August 2026 wirklich verbindlich wird
Der AI Act ist seit August 2024 in Kraft, aber stufenweise. Die scharfen Sachen kommen jetzt:
| Datum | Was | Status |
|---|---|---|
| 02.02.2025 | Verbotene Praktiken (Art. 5), KI-Kompetenz-Pflicht (Art. 4) | gilt seit einem Jahr |
| 02.08.2025 | GPAI-Anbieter-Pflichten (OpenAI, Anthropic, Google) | gilt |
| 02.08.2026 | Hochrisiko-Pflichten, Transparenz Art. 50, volle Bussgeldhoehe | ab dann scharf |
| 02.08.2027 | Hochrisiko in regulierten Produkten (Medizin, Maschinen) | spaeter |
Drei Pflicht-Klassen treffen den ueberwiegenden Teil der KMU. Die vierte — Hochrisiko — trifft seltener, aber wenn doch, dann hart.
1. KI-Kompetenz (seit 02.02.2025 schon Pflicht — Art. 4): Wer als Beschaeftigter mit einem KI-System arbeitet, muss verstehen, was er tut — Grenzen, Fehlerquellen, was darf, was nicht. Kein Zertifikat verlangt. Aber dokumentierte Unterweisung. Eine halbseitige interne Anleitung “Wie wir bei uns ChatGPT nutzen — und wie nicht” erfuellt das schon.
2. Transparenz (ab 02.08.2026 — Art. 50): Nutzer muessen erkennen, dass sie mit einer KI sprechen. Ein Website-Chatbot ohne Hinweis ist ab August nicht mehr zulaessig. Auch KI-generierte Marketing-Bilder oder -Texte muessen so gekennzeichnet sein, dass ein durchschnittlicher Empfaenger es erkennen kann. Deepfakes brauchen einen klaren Disclaimer.
3. Hochrisiko (ab 02.08.2026 — Anhang III i. V. m. Art. 6): Ein eigener Block. Wer KI in Personalauswahl, Mitarbeiter-Bewertung, Kreditscoring oder Bildungs-Bewertung einsetzt, hat die volle Pflichtenliste — Risikomanagement, technische Dokumentation, menschliche Aufsicht, Konformitaetsbewertung. Das ist deutlich aufwaendiger als die ersten zwei Klassen. Hypothese: viele Personalvermittler und HR-Software-Nutzer wissen heute nicht, dass ihre Bewerbungs-Vorauswahl unter Anhang III faellt.
4. Verbote (seit 02.02.2025 — Art. 5): Eng umrissen — Emotionserkennung am Arbeitsplatz, Social Scoring, biometrische Kategorisierung nach sensiblen Merkmalen. Trifft die meisten KMU nicht. Wenn doch: hart, kein Spielraum (Bussgelder bis 35 Mio. EUR oder 7 % Jahresumsatz).
Die Loesung: Fuenf Schritte, kein Anwalt fuer Schritt eins bis vier
Wer im April anfaengt, ist in zwei Wochen entspannter. Die Reihenfolge ist wichtig — Schritt zwei kann man nicht ohne Schritt eins machen.
Schritt 1 — KI-Inventar. Was laeuft eigentlich? Drei Listen reichen: (a) was wir bewusst eingekauft haben (ChatGPT-Abo, Copilot, Branchen-KI-Tool), (b) was in unserer Standardsoftware drin ist (Texterkennung, Empfehlungs-Engines, Mailantwort-Vorschlaege), (c) was die Beschaeftigten privat fuers Geschaeft nutzen (das uebersehen die meisten — und ist oft die groesste Liste). Eine Tabelle mit Tool-Name, Anbieter, Zweck, wer nutzt es.
Schritt 2 — Risiko-Klassifizierung pro System. Vier Eimer: niedrig (interne Schreibhilfe, Uebersetzung), transparenzpflichtig (Chatbot, KI-Marketing-Inhalte), hochrisiko (Personalauswahl, Bewertung), verboten (selten, siehe oben). Pro Tool eine Zeile, eine Klasse, ein Satz Begruendung. Keine Wissenschaft. Wer unsicher ist: in den hoeheren Eimer einsortieren — Sicherheitsmarge ist guenstiger als Korrektur.
Schritt 3 — KI-Kompetenz-Doku. Eine halbe bis eine Seite. “Wir nutzen X, Y, Z. Hier sind drei Dinge, auf die wir achten: keine personenbezogenen Daten in offene Chats, kritische Antworten nochmal pruefen, bei Unsicherheit beim Vorgesetzten nachfragen.” Datum drauf, Beschaeftigte unterzeichnen lassen, abheften. Bei Pruefung ist genau das gefragt.
Schritt 4 — Transparenz umsetzen. Konkret: Chatbot-Disclaimer sichtbar setzen (nicht im Footer versteckt). Datenschutzerklaerung um einen Absatz “Einsatz von KI-Systemen” erweitern. KI-generierte Marketing-Inhalte kennzeichnen — ein “(KI-unterstuetzt)” am Ende reicht meist. Generierte Profilbilder oder Stockfotos nicht als echte Personen ausgeben.
Schritt 5 — Lieferanten-Doku. Die GPAI-Anbieter (OpenAI, Anthropic, Google) sind Auftragsverarbeiter im DSGVO-Sinn. Wer ChatGPT nutzt und dabei Kundendaten verarbeitet, sollte sie in der Auftragsverarbeiter-Liste haben — mit Sub-Processor-Hinweis, dass dort wieder Modelle eingesetzt werden. Verträge der Tools pruefen: viele haben einen Enterprise- oder Business-Plan mit klarer Datenverarbeitung — der private ChatGPT-Plan eher nicht.
Was wir nicht sind: Anwaelte
Die Letztbewertung gehoert zum Datenschutzbeauftragten oder zu einer Fachanwaltskanzlei. Aber 80 Prozent der KMU sind heute nicht in der Phase “brauche eine zweite Rechtsmeinung”, sondern in der Phase “ich weiss nicht einmal, was ich ueberhaupt habe”. Die Bestandsaufnahme, die Klassifizierung, der Umsetzungsplan — das ist Handwerksarbeit, keine Rechtsberatung. Wer Schritt 1 bis 4 sauber gemacht hat, geht zum Anwalt mit konkreten Fragen, nicht mit einem leeren Blatt — und das spart Zeit auf beiden Seiten.
Fazit
Der 2. August ist keine Katastrophe, sondern ein Stichtag. Drei Pflicht-Klassen sind realistisch, eine kleine vierte fast immer irrelevant. Wer im Mai mit dem Inventar anfaengt, ist im Juni durch die Klassifizierung und im Juli mit den Transparenz-Hinweisen fertig. Eine Wochenend-Sache fuer einen kleinen Betrieb, eine Wochen-Sache fuer einen mittleren.
Wer pruefen will, was auf der eigenen Website schon sichtbar ist — Chatbot-Disclaimer, KI-Hinweise in der Datenschutzerklaerung, Kennzeichnung von KI-Inhalten — kann das demnaechst auch automatisch testen. Wir bauen einen /ai-act-check, der genau diese Aussensicht liefert. Bestandsaufnahme der bewusst eingekauften und der unsichtbar mitlaufenden KI bleibt eine Inhaber-Aufgabe — aber den Sichtbarkeitsteil koennen wir abnehmen.
Bis dahin: fangen Sie mit dem Inventar an. Ein Notizbuch, eine Stunde, drei Spalten. Das ist der Schritt, den niemand ueberspringen kann.
Quellen
- Verordnung (EU) 2024/1689 — offizieller Text DE (EUR-Lex)
- artificialintelligenceact.eu — Artikel-Browser DE (kompakte Per-Artikel-Ansichten, von Future of Life Institute gepflegt)
- Bundesnetzagentur — KI-Servicestelle (zustaendige Stelle in Deutschland)
Dieser Beitrag ist mit KI-Unterstuetzung entstanden, redaktionell geprueft. Keine Rechtsberatung — bei konkreten Fragen Datenschutzbeauftragte oder Fachanwaltskanzlei einbinden.