Am 2. August 2026 endet die Übergangsfrist für die zentralen Pflichten des EU AI Act. Ab diesem Tag können nationale Aufsichtsbehörden Verstöße sanktionieren — mit Bußgeldern, die theoretisch bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes erreichen.
Gleichzeitig hat die EU im Mai 2026 mit dem sogenannten Digital Omnibus wichtige Fristen verschoben. Das Ergebnis: maximale Verwirrung. Viele Geschäftsführer wissen nicht, ob sie betroffen sind, was noch gilt und was nicht mehr — und schwanken zwischen Panik und Ignorieren.
Beides ist falsch. Dieser Artikel sortiert, was für mittelständische Unternehmen ab August wirklich gilt — in klarer Sprache, ohne Juristendeutsch. Vorab die gute Nachricht: Für die meisten KMU ist der Aufwand überschaubar. Aber null ist er nicht.
Hinweis: Ich bin Softwareentwickler, kein Anwalt. Dieser Artikel ist eine praxisorientierte Einordnung aus der Perspektive eines KI-Umsetzers — keine Rechtsberatung. Bei konkreten rechtlichen Fragen sprechen Sie mit einer Kanzlei für IT-Recht.
Warum der 2. August 2026 der eigentliche Stichtag ist
Der EU AI Act ist bereits seit August 2024 in Kraft — aber er wird stufenweise anwendbar. Die ersten Stufen betrafen vor allem KI-Anbieter wie OpenAI oder Google. Der 2. August 2026 ist der Tag, an dem die Verordnung in der Breite ankommt: bei jedem Unternehmen, das KI nutzt.
Drei Dinge passieren an diesem Tag gleichzeitig: Die KI-Kompetenzpflicht (Artikel 4) wird durchsetzbar. Die Transparenzpflichten (Artikel 50) greifen. Und die nationalen Aufsichtsbehörden nehmen ihre Arbeit auf — erst ab dann gibt es eine Instanz, die Verstöße tatsächlich verfolgen und Bußgelder verhängen kann.
Das Thema betrifft längst nicht mehr nur Tech-Firmen: Laut Bitkom nutzen 2026 bereits 41 % der deutschen Unternehmen aktiv KI, weitere 48 % planen den Einsatz. Wer ChatGPT im Marketing, Copilot in der Entwicklung oder einen Chatbot auf der Webseite hat, ist im Geltungsbereich.
Betrifft mich das überhaupt? Die Rollenfrage
Die wichtigste Weiche im AI Act ist Ihre Rolle. Das Gesetz unterscheidet im Kern zwischen Anbietern (die KI-Systeme entwickeln und auf den Markt bringen) und Betreibern (die KI-Systeme beruflich nutzen). Die schweren Pflichten — technische Dokumentation, Konformitätsbewertung, Risikomanagement — treffen Anbieter. Betreiber haben ein deutlich kleineres Paket.
Sie sind Betreiber, wenn …
Der Normalfall im Mittelstand
- Ihre Teams ChatGPT, Claude oder Copilot im Arbeitsalltag nutzen
- Ihr CRM oder ERP KI-Features mitbringt
- ein Chatbot auf Ihrer Webseite Kundenfragen beantwortet
- Sie KI-gestützte Automatisierung intern einsetzen
Ihre Pflichten: KI-Kompetenz der Mitarbeitenden sicherstellen, Transparenz gegenüber Kunden, KI-Einsatz im Blick behalten.
Sie sind (auch) Anbieter, wenn …
Software mit KI-Features
- Ihre eigene Software KI-Funktionen für Kunden enthält
- Sie ein KI-System unter eigenem Namen vermarkten
- Sie ein bestehendes KI-System wesentlich verändern
Ihre Pflichten: zusätzlich Kennzeichnungs- und Dokumentationspflichten — abhängig von der Risikoklasse des Systems. Hier lohnt eine genaue Prüfung.
Für SaaS-Unternehmen mit KI-Features ist die Abgrenzung entscheidend: Wer GPT-4 oder Claude per API in sein Produkt integriert, wird dadurch nicht automatisch zum Anbieter eines Hochrisiko-Systems — aber die Transparenzpflichten gelten, und die Architektur sollte das von Anfang an berücksichtigen. Genau das ist eine Frage der sauberen KI-Implementierung, nicht der Nachrüstung.
Alle Fristen im Überblick — nach dem Digital Omnibus
Im Mai 2026 hat die EU mit dem Digital Omnibus zentrale Fristen entschärft. Verschoben wurden aber nur die Pflichten für Hochrisiko-Systeme — nicht die Basics, die jeden treffen. Hier der aktuelle Stand:
Verbotene Praktiken & KI-Kompetenz
Verbot von Social Scoring, manipulativer KI und biometrischer Massenüberwachung. Die KI-Kompetenzpflicht (Art. 4) gilt seitdem — sanktionierbar wird sie ab August 2026.
Pflichten für KI-Modell-Anbieter
Anbieter von General-Purpose-AI (OpenAI, Google, Anthropic & Co.) müssen Transparenz- und Dokumentationspflichten erfüllen. Betrifft Anbieter, nicht Nutzer.
Der Stichtag für alle Unternehmen
KI-Kompetenzpflicht wird durchsetzbar. Transparenzpflichten (Art. 50) greifen: Chatbots und KI-Interaktionen müssen erkennbar sein. Nationale Aufsichtsbehörden nehmen die Arbeit auf, Bußgelder können verhängt werden.
Kennzeichnung KI-generierter Inhalte
Anbieter generativer KI müssen Inhalte technisch als KI-generiert erkennbar machen (Watermarking). Bestehende Systeme müssen nachgerüstet sein.
Hochrisiko-KI (Anhang III) — verschoben
KI im Personalwesen, bei Kreditvergabe oder kritischer Infrastruktur: volle Anforderungen ab 2. Dezember 2027 statt August 2026 (Digital Omnibus, Mai 2026).
Eingebettete Hochrisiko-KI (Anhang I)
KI-Komponenten in regulierten Produkten wie Maschinen oder Medizinprodukten — ebenfalls per Digital Omnibus verschoben.
Die wichtigste Erkenntnis aus dieser Tabelle: Wer auf die Verschiebung der Hochrisiko-Fristen schaut und daraus „der AI Act wurde verschoben" macht, liegt falsch. Die Pflichten, die 95 % des Mittelstands betreffen — Kompetenz und Transparenz — kommen pünktlich am 2. August.
Die 3 Pflichten, die ab August wirklich zählen
Wenn Sie nur drei Dinge aus diesem Artikel mitnehmen, dann diese. Für den typischen Mittelständler — KI-Tools im Einsatz, kein Hochrisiko-System — reduziert sich der AI Act auf drei konkrete Aufgaben:
1. KI-Kompetenz nachweisen (Artikel 4)
Alle Mitarbeitenden, die mit KI-Systemen arbeiten, müssen über „ausreichende KI-Kompetenz" verfügen. Was das heißt, dürfen Sie selbst rollengerecht definieren — eine zertifizierte Schulung ist nicht vorgeschrieben. Was zählt, ist die Dokumentation: Wer wurde wann zu welchen Inhalten geschult? Eine zweistündige interne Schulung mit Teilnehmerliste ist mehr wert als ein teures Zertifikat ohne Bezug zum Arbeitsalltag. Sinnvolle Inhalte: Was können die eingesetzten Tools, wo liegen ihre Grenzen (Stichwort Halluzinationen), welche Daten dürfen hinein, wer prüft die Ergebnisse.
2. Transparenz herstellen (Artikel 50)
Menschen müssen erkennen können, wenn sie mit einer KI interagieren. Konkret: Ihr Webseiten-Chatbot muss sich als KI zu erkennen geben. KI-generierte Inhalte in der Außenkommunikation — Bilder, Texte, Videos — müssen als solche erkennbar sein, besonders wenn sie täuschend echt wirken. Für die technische Kennzeichnung (Watermarking) sind primär die Anbieter generativer KI verantwortlich, mit Frist Dezember 2026. Ihre Aufgabe als Nutzer ist die sichtbare Ebene: der Hinweis im Chat-Fenster, die Kennzeichnung der KI-Kampagne.
3. Verbotene Praktiken ausschließen (Artikel 5)
Bestimmte KI-Anwendungen sind seit Februar 2025 komplett verboten: Social Scoring, manipulative KI, die Schwächen von Personen ausnutzt, Emotionserkennung am Arbeitsplatz und biometrische Massenüberwachung. Für die meisten Unternehmen ist das schnell geprüft — relevant wird es bei Tools, die Mitarbeitende bewerten oder überwachen. Hier liegen die höchsten Bußgelder, und hier gibt es keine Übergangsfrist mehr.
Bußgelder: Was wirklich droht — und was nicht
Die Schlagzeilen-Zahl kennen Sie: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Diese Maximalstrafe gilt für verbotene Praktiken nach Artikel 5. Verstöße gegen die übrigen Pflichten — etwa Transparenz — liegen bei bis zu 15 Millionen Euro oder 3 %. Für KMU gilt jeweils der niedrigere der beiden Werte, das hat die EU explizit so geregelt.
Realistisch ist für den Mittelstand ein anderes Szenario als die Millionenstrafe: Eine Beschwerde — vom Wettbewerber, von einem Kunden, von einem ehemaligen Mitarbeiter — landet bei der Aufsichtsbehörde, und die stellt Fragen. Wer dann ein KI-Inventar, dokumentierte Schulungen und eine KI-Richtlinie vorlegen kann, ist in einer komplett anderen Position als jemand, der bei null anfängt. Es ist dieselbe Logik wie bei der DSGVO 2018: Die Behörden suchen keine perfekten Unternehmen, sondern sanktionieren die, die erkennbar nichts getan haben.
Das unterschätzte Risiko: Schatten-KI
Das größte Compliance-Risiko im Mittelstand ist nicht der offizielle Chatbot — es sind die KI-Tools, von denen die Geschäftsführung nichts weiß. Wenn Mitarbeitende ohne Regeln Kundendaten in kostenlose KI-Tools kopieren, entsteht gleichzeitig ein AI-Act-, DSGVO- und Geschäftsgeheimnisproblem. Eine klare KI-Richtlinie löst alle drei auf einmal.
Die 6-Punkte-Checkliste bis zum 2. August
Hier ist das konkrete Arbeitsprogramm. Für ein typisches mittelständisches Unternehmen ohne Hochrisiko-Systeme ist das in ein bis zwei Wochen nebenher erledigt — der größte Teil ist Bestandsaufnahme und Dokumentation, nicht Technik:
KI-Inventar erstellen
Listen Sie auf, wo in Ihrem Unternehmen KI im Einsatz ist — auch die inoffiziellen Fälle: ChatGPT im Marketing, Copilot in der Entwicklung, KI-Features im CRM. Ohne Inventar keine Compliance. Dauer: ein Nachmittag.
Rollen klären: Betreiber oder Anbieter?
Nutzen Sie KI nur (Betreiber) oder bieten Sie KI-Funktionen in eigenen Produkten an (Anbieter)? Als Betreiber sind Ihre Pflichten überschaubar. Sobald Ihre Software KI-Features für Kunden enthält, kommen Anbieterpflichten dazu.
Risikoklassen zuordnen
Prüfen Sie jeden Eintrag im Inventar: Ist das minimales Risiko (z. B. Rechtschreibkorrektur), begrenztes Risiko (Chatbots — Transparenzpflicht) oder Hochrisiko (Recruiting-Scoring, Kreditentscheidungen)? Die meisten Mittelständler haben ausschließlich die ersten beiden Klassen.
KI-Schulung durchführen und dokumentieren
Artikel 4 verlangt "ausreichende KI-Kompetenz" — ab 2. August 2026 durchsetzbar. Eine dokumentierte interne Schulung (wer, wann, welche Inhalte) ist der sicherste Nachweis. Kein Zertifikat nötig.
Transparenz herstellen
Webseiten-Chatbot? Muss sich als KI zu erkennen geben. KI-generierte Bilder oder Texte in der Außenkommunikation? Kennzeichnen. Das ist meist in wenigen Stunden umgesetzt — ein Hinweis im Chat-Fenster, eine Zeile im Impressum der Kampagne.
KI-Richtlinie verabschieden
Eine kurze interne Richtlinie (2–3 Seiten reichen): Welche Tools sind erlaubt, welche Daten dürfen hinein, wer prüft Ergebnisse? Das schützt nicht nur rechtlich — es verhindert auch, dass Kundendaten unkontrolliert in öffentliche KI-Tools fließen.
Wer tiefer einsteigen will: Die offizielle AI-Act-Übersicht der EU bietet einen Compliance-Checker, mit dem Sie Ihre Systeme den Risikoklassen zuordnen können.
Compliance als Vorteil: Warum sauber gebaute KI jetzt doppelt zählt
Man kann den AI Act als Bürokratie sehen. Oder als das, was er für gut aufgestellte Unternehmen ist: ein Wettbewerbsvorteil. Denn während Ihre Konkurrenz noch diskutiert, ob KI „rechtlich zu heikel" ist, können Sie mit einer dokumentierten, konformen KI-Strategie genau das Gegenteil signalisieren — gegenüber Kunden, die zunehmend fragen, wie ihre Daten verarbeitet werden, und gegenüber Auftraggebern, die Compliance-Nachweise in Ausschreibungen verlangen.
In der Praxis heißt das: KI-Lösungen von Anfang an so bauen, dass Compliance kein Nachrüstprojekt wird. Human-in-the-Loop für kritische Entscheidungen, Logging aller KI-Aktionen, klare Datengrenzen, EU-Hosting wo nötig — das sind dieselben Prinzipien, die ich in jedem KI-Agenten-Projekt umsetze, AI Act hin oder her. Gut gebaute KI-Systeme waren schon immer transparent und kontrollierbar. Das Gesetz macht aus guter Ingenieurspraxis jetzt eine Pflicht.
Und für alle, die den KI-Einstieg bisher aufgeschoben haben, ist der AI Act paradoxerweise ein guter Anlass: Wer jetzt ohnehin sein KI-Inventar erstellt und Regeln definiert, kann im selben Schritt klären, wo KI im eigenen Unternehmen den größten Hebel hat.
Fazit: Kein Grund zur Panik — aber zum Handeln
Der 2. August 2026 ist kein Weltuntergang. Für die meisten mittelständischen Unternehmen besteht die AI-Act-Compliance aus einem KI-Inventar, einer dokumentierten Schulung, sichtbarer Transparenz und einer kurzen Richtlinie. Das ist machbar — aber es passiert nicht von allein, und ab August gibt es Behörden, die nachfragen können.
Die Unternehmen, die jetzt zwei Wochen investieren, haben das Thema dauerhaft vom Tisch und können KI mit ruhigem Gewissen ausbauen. Die, die es aussitzen, tragen ein vermeidbares Risiko mit sich herum — und zögern im Zweifel genau die KI-Projekte hinaus, die ihnen den größten Produktivitätsgewinn bringen würden.
Wenn Sie KI-Lösungen einführen oder bestehende Systeme AI-Act-konform aufsetzen wollen — von der Prozessautomatisierung bis zur individuellen KI-Lösung — sprechen Sie mich an. Compliance ist bei mir kein Aufpreis, sondern Standardarchitektur.
Häufig gestellte Fragen
Ja. Der EU AI Act kennt keine Ausnahme nach Unternehmensgröße. Die Pflichten richten sich nach dem Risiko des konkreten KI-Einsatzes, nicht nach Mitarbeiterzahl oder Umsatz. Ein 10-Personen-Betrieb, der einen Chatbot auf der Webseite einsetzt, fällt genauso unter die Transparenzpflichten wie ein Konzern. Der Umfang der Pflichten ist für reine Nutzer allerdings deutlich kleiner als für KI-Anbieter.
Ja, aber überschaubar. Als reiner Nutzer (im Gesetz: "Betreiber") müssen Sie vor allem zwei Dinge sicherstellen: Erstens, dass Ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen (Artikel 4) — dokumentierte Schulungen sind der sicherste Nachweis. Zweitens, dass KI-Interaktionen gegenüber Kunden transparent sind, etwa wenn ein Chatbot antwortet oder KI-generierte Inhalte veröffentlicht werden. Die umfangreichen technischen Pflichten treffen die Anbieter der Modelle, nicht Sie.
Nein. Das Gesetz schreibt keine zertifizierte Pflichtschulung vor — es verlangt "ausreichende KI-Kompetenz" passend zur Rolle der Mitarbeitenden. Eine interne Schulung, die dokumentiert, wer wann was gelernt hat, gilt als solider Nachweis. Wichtig sind drei Ebenen: Grundverständnis für alle, vertiefte Kenntnisse für Anwender von KI-Tools und klares Risikobewusstsein für Entscheider.
Der Digital Omnibus (Mai 2026) hat die Fristen für Hochrisiko-KI-Systeme verschoben: Eigenständige Hochrisiko-Systeme nach Anhang III (z. B. KI im Recruiting oder bei der Kreditvergabe) müssen erst ab 2. Dezember 2027 die vollen Anforderungen erfüllen, in Produkte eingebettete Hochrisiko-KI ab 2. August 2028. Nicht verschoben wurden die KI-Kompetenzpflicht und die Transparenzpflichten — die werden ab 2. August 2026 durchsetzbar.
Die Bußgelder sind gestaffelt: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken (z. B. Social Scoring oder manipulative KI). Bis zu 15 Millionen Euro oder 3 % für Verstöße gegen andere Pflichten. Für KMU gilt jeweils der niedrigere der beiden Werte. Ab dem 2. August 2026 sind die nationalen Aufsichtsbehörden im Einsatz und können Verstöße sanktionieren.