KI & Recht

EU AI Act für KMU: Was ab 2. August 2026 wirklich gilt

Viel Panik, wenig Klarheit: Der 2. August 2026 ist ein wichtiger Stichtag im EU AI Act – aber längst nicht alles tritt dann in Kraft. Was für kleine und mittlere Unternehmen tatsächlich gilt, was der Digital Omnibus verschoben hat und wie Sie ohne Über-Compliance auf der sicheren Seite bleiben.

Point: Für die meisten KMU bedeutet der Stichtag 2. August 2026 vor allem Transparenzpflichten (Art. 50) – nicht den vollen Hochrisiko-Katalog.
Evidence: Der Digital Omnibus (politische Einigung Mai 2026) hat die Pflichten für eigenständige Hochrisiko-Systeme nach Anhang III auf den 2. Dezember 2027 verschoben. Die KI-Kompetenz-Pflicht (Art. 4) gilt bereits seit Februar 2025.
Impact: Wer Chatbots, KI-Agenten oder Textgeneratoren einsetzt, braucht kein Compliance-Großprojekt – sondern saubere Kennzeichnung, dokumentierte KI-Kompetenz und eine ehrliche Einordnung der eigenen Systeme.

Kurz zusammengefasst

  • Keine KMU-Ausnahme, aber Augenmaß: Es zählt die Risikoklasse Ihrer KI-Systeme, nicht Ihre Unternehmensgröße – die meisten KMU bewegen sich bei minimalem oder begrenztem Risiko.
  • 2. August 2026: Vor allem Transparenzpflichten (Art. 50) sowie Governance- und Bußgeldrahmen treten in Kraft – die maschinenlesbare Kennzeichnung synthetischer Inhalte erst ab 2. Dezember 2026.
  • Digital Omnibus: Die Pflichten für eigenständige Hochrisiko-Systeme (Anhang III) wurden auf den 2. Dezember 2027 verschoben.
  • Schon heute Pflicht: Verbotene Praktiken (Art. 5) und KI-Kompetenz (Art. 4) gelten bereits seit Februar 2025.
  • Pragmatischer Weg: KI-Inventar erstellen, Klassen einordnen, Chatbots kennzeichnen, Team schulen – kein Compliance-Großprojekt nötig.

Warum der EU AI Act jetzt auch kleine Unternehmen betrifft

Der EU AI Act ist die weltweit erste umfassende Regulierung für künstliche Intelligenz. Er ist seit August 2024 in Kraft und wird seitdem stufenweise wirksam. Der Stichtag, über den 2026 am meisten gesprochen wird, ist der 2. August 2026 – das Datum, an dem große Teile der Verordnung voll anwendbar werden.

Rund um diesen Termin kursiert viel Halbwissen. Die wichtigste Klarstellung vorab: Der AI Act regelt nicht Unternehmen nach ihrer Größe, sondern KI-Systeme nach ihrem Risiko. Es gibt keine pauschale Ausnahme für KMU – aber die Pflichten richten sich danach, was ein System tut, nicht danach, wie groß die Firma dahinter ist. Ein Handwerksbetrieb mit einem Website-Chatbot hat ganz andere Pflichten als ein Anbieter biometrischer Überwachungssysteme.

Dieser Artikel ordnet ein, was am 2. August 2026 für ein typisches KMU tatsächlich relevant wird – nüchtern, ohne Panikmache und ohne die Über-Compliance, die manche Beratungen verkaufen wollen. Er ist eine Orientierung, ersetzt aber keine individuelle Rechtsberatung.

Die vier Risikoklassen – und wo Ihr KI-Einsatz hineinfällt

Der gesamte AI Act baut auf einem risikobasierten Ansatz auf. Jedes KI-System fällt in eine von vier Klassen, und daran hängen die Pflichten. Für die Einordnung Ihres eigenen Einsatzes ist das der wichtigste Schritt:

Inakzeptables Risiko

Verboten. Dazu zählen etwa Social Scoring durch Behörden, manipulative Systeme und Emotionserkennung am Arbeitsplatz. Diese Verbote gelten bereits seit Februar 2025. Für normale KMU praktisch nie relevant – aber gut zu wissen, wo die rote Linie liegt.

Hohes Risiko

Voller Pflichtenkatalog (Risikomanagement, Dokumentation, menschliche Aufsicht). Betrifft z. B. KI in Personalauswahl, Kreditvergabe oder kritischer Infrastruktur. Die Pflichten für eigenständige Anhang-III-Systeme wurden auf Ende 2027 verschoben.

Begrenztes Risiko

Hier landen die meisten KMU-Anwendungen: Chatbots, KI-Assistenten, Text- und Bildgeneratoren. Es gelten Transparenzpflichten nach Art. 50 – Nutzer müssen wissen, dass eine KI im Spiel ist. Kein Risikomanagement-System, keine Zertifizierung.

Minimales Risiko

Der Großteil aller KI-Anwendungen: Spam-Filter, Rechtschreibhilfen, KI in Standardsoftware. Keine besonderen Pflichten aus dem AI Act – abgesehen von der allgemeinen KI-Kompetenz Ihrer Mitarbeiter.

Die ehrliche Einschätzung für die meisten Mittelständler: Sie bewegen sich bei minimalem oder begrenztem Risiko. Wer einen Chatbot mit eigenen Daten oder einen Textassistenten betreibt, hat es mit überschaubaren Transparenzpflichten zu tun – nicht mit dem gefürchteten Hochrisiko-Katalog.

Was am 2. August 2026 wirklich in Kraft tritt

Der AI Act wird nicht an einem Tag scharfgeschaltet, sondern in Stufen. Diese Zeitleiste zeigt, was wann gilt – inklusive der Verschiebungen durch den Digital Omnibus:

DatumWas giltKMU-Relevanz
seit 2. Feb 2025Verbotene Praktiken (Art. 5), KI-Kompetenz (Art. 4)hoch
seit 2. Aug 2025Pflichten für allgemeine KI-Modelle (GPAI), Governance-Strukturmittel
2. Aug 2026Transparenzpflichten (Art. 50), Bußgeldrahmen, volle GPAI-Durchsetzunghoch
2. Dez 2026Maschinenlesbare Kennzeichnung synthetischer Inhalte (Art. 50(2))mittel
2. Dez 2027Hochrisiko-Pflichten für eigenständige Anhang-III-Systeme (verschoben)je nach Einsatz

Die wichtigste Korrektur: der Digital Omnibus

Ursprünglich sollte am 2. August 2026 auch der volle Hochrisiko-Katalog greifen. Mit dem sogenannten Digital Omnibus – einem Paket zur Vereinfachung der KI-Regeln, zu dem im Mai 2026 eine politische Einigung erzielt wurde – wurden diese Pflichten für eigenständige Anhang-III-Systeme auf den 2. Dezember 2027 verschoben, für in regulierte Produkte eingebettete KI sogar auf 2028. Wer im Frühjahr 2026 für August ein Hochrisiko-Projekt geplant hatte, hat damit mehr Luft bekommen. Die Transparenz- und Kompetenzpflichten bleiben davon unberührt.

KI-Kompetenz (Art. 4): die Pflicht, die schon heute gilt

Die am häufigsten übersehene Pflicht ist nicht erst ab August 2026 aktiv, sondern bereits seit Februar 2025: Art. 4 verlangt von jedem Unternehmen, das KI-Systeme einsetzt, dass die damit befassten Mitarbeiter über ausreichende KI-Kompetenz verfügen. Diese Pflicht gilt unabhängig von der Risikoklasse – auch beim harmlosen Textassistenten.

Wichtig: Gemeint ist kein Zertifikat und keine teure externe Schulung. Verlangt wird ein angemessenes Verständnis davon, was die eingesetzten Systeme können, wo ihre Grenzen liegen und welche Risiken bestehen – etwa, dass ein Sprachmodell überzeugend klingende, aber falsche Antworten erzeugen kann. Für ein KMU heißt das praktisch:

  • Interne Leitlinie: eine kurze, schriftliche Richtlinie, welche KI-Tools für welche Zwecke genutzt werden dürfen – und welche Daten dort nichts zu suchen haben.
  • Kurze Einweisung: ein dokumentiertes Briefing der betroffenen Mitarbeiter zu Möglichkeiten, Grenzen und typischen Fehlern der genutzten Systeme.
  • Nachweisbarkeit: festhalten, wer wann eingewiesen wurde. Im Zweifel zählt, dass Sie die Kompetenz nachvollziehbar sichergestellt haben.

Diese eine Pflicht ist mit überschaubarem Aufwand erfüllbar – und sie ist der sinnvollste erste Schritt, weil sie ohnehin die Grundlage für jeden vernünftigen KI-Einsatz ist.

Transparenzpflichten (Art. 50): Chatbots, Deepfakes und KI-Texte kennzeichnen

Das ist die Pflicht, die am 2. August 2026 für die meisten KMU konkret wird. Art. 50 verlangt, dass Menschen erkennen können, wenn KI im Spiel ist. Praktisch betrifft das vier Konstellationen:

1. KI-Interaktion offenlegen

Chatbots und Sprachassistenten, die direkt mit Menschen kommunizieren, müssen so gestaltet sein, dass Nutzer wissen, dass sie mit einer KI sprechen – es sei denn, das ist offensichtlich. Ein klarer Hinweis am Chatfenster oder zu Beginn eines Telefonats mit einem KI-Telefonagenten genügt in der Regel.

2. Synthetische Inhalte markieren

KI-generierte Bilder, Audio, Video und Texte müssen als künstlich erzeugt maschinenlesbar gekennzeichnet werden. Diese Pflicht trifft primär die Anbieter der Systeme und gilt erst ab 2. Dezember 2026.

3. Emotionserkennung & Biometrie

Wer Systeme zur Emotionserkennung oder biometrischen Kategorisierung betreibt, muss die betroffenen Personen darüber informieren. Für die meisten KMU nicht relevant – aber eine klare Grenze.

4. Deepfakes & öffentliche Texte

Wer Deepfakes erzeugt oder KI-Texte zu Themen von öffentlichem Interesse veröffentlicht, muss die künstliche Erzeugung offenlegen. Relevant etwa für KI-gestützte Marketing- oder Redaktionsinhalte.

Für die Praxis am wichtigsten ist Punkt 1. Wenn Sie einen KI-Agenten oder Chatbot im Kundenkontakt einsetzen, sollte die Kennzeichnung von Anfang an Teil der Lösung sein – nicht nachträglich aufgesetzt. Wie KI-Systeme überhaupt produktionsreif und kontrolliert betrieben werden, beschreiben wir im Artikel Von POC zu Production. Am 10. Juni 2026 hat die EU-Kommission zudem einen Code of Practice veröffentlicht, der die Kennzeichnung KI-generierter Inhalte praktisch konkretisiert.

Bußgelder und KMU-Erleichterungen: was realistisch droht

Die hohen Zahlen aus den Schlagzeilen sorgen für Verunsicherung. Hier die Einordnung: Der AI Act kennt drei Bußgeld-Stufen, und die Höchstwerte zielen auf Großkonzerne und systematische Verstöße.

VerstoßObergrenze
Verbotene Praktiken (Art. 5)bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Die meisten Anbieter- und Betreiberpflichtenbis 15 Mio. € oder 3 %
Falsche Angaben gegenüber Behördenbis 7,5 Mio. € oder 1 %

Entscheidend für KMU: Für kleine und mittlere Unternehmen sowie Start-ups gilt jeweils der niedrigere der beiden Beträge als Obergrenze – nicht der höhere. Die Bußgelder sind als verhältnismäßig angelegt; ein vergessener Chatbot-Hinweis führt nicht zur Millionenstrafe, sondern lässt sich korrigieren. Wer KI-Einsatz dokumentiert und Transparenz herstellt, hat das Wesentliche getan.

Pragmatischer Fahrplan für KMU – in fünf Schritten

Statt eines Compliance-Großprojekts reicht für die allermeisten Mittelständler ein strukturierter, schlanker Ablauf:

  1. 1
    KI-Inventar erstellen: Listen Sie auf, welche KI-Systeme im Unternehmen genutzt werden – von ChatGPT über Chatbots bis zu KI-Funktionen in bestehender Software. Was man nicht kennt, kann man nicht einordnen.
  2. 2
    Risikoklassen zuordnen: Ordnen Sie jedes System einer der vier Klassen zu. In aller Regel landen Sie bei minimal oder begrenzt – dann ist die Lage entspannt.
  3. 3
    Transparenz herstellen: Kennzeichnen Sie Chatbots und KI-Interaktionen sichtbar. Prüfen Sie, wo KI-generierte Inhalte veröffentlicht werden und ob ein Hinweis nötig ist.
  4. 4
    KI-Kompetenz dokumentieren: Erstellen Sie eine kurze interne Leitlinie und weisen Sie Ihr Team nachvollziehbar ein – das erfüllt Art. 4.
  5. 5
    Bei Hochrisiko: früh planen: Falls Sie tatsächlich ein Hochrisiko-System einsetzen wollen (etwa KI in der Personalauswahl), nutzen Sie die verlängerte Frist bis Ende 2027 – aber planen Sie Dokumentation und menschliche Aufsicht von Anfang an mit ein.

Unsere Haltung dazu

Wir bauen KI-Lösungen so, dass Transparenz und Datenschutz von Anfang an mitgedacht sind – Chatbots mit klarer Kennzeichnung, EU- oder Self-Hosting für sensible Daten und nachvollziehbarer Dokumentation. Compliance ist dann kein nachträgliches Aufräumen, sondern Teil eines sauber gebauten Systems.

Häufige Fragen (FAQ)

Gilt der EU AI Act auch für kleine und mittlere Unternehmen?

Ja. Der EU AI Act kennt keine generelle Ausnahme für KMU. Entscheidend ist nicht Ihre Unternehmensgröße, sondern welche KI-Systeme Sie einsetzen und in welche Risikoklasse diese fallen. Die allermeisten KMU bewegen sich bei minimalem oder begrenztem Risiko – etwa beim Einsatz von Chatbots oder Textgeneratoren. Dort gelten überschaubare Transparenzpflichten, nicht der volle Hochrisiko-Katalog. KMU erhalten zudem Erleichterungen, etwa niedrigere Bußgeld-Obergrenzen nach Art. 99.

Was ändert sich konkret am 2. August 2026?

Ab dem 2. August 2026 werden große Teile des EU AI Act voll anwendbar – für die meisten KMU vor allem die Transparenzpflichten nach Art. 50: Nutzer müssen erkennen können, dass sie mit einer KI sprechen, und KI-generierte Inhalte sind offenzulegen. Auch der Governance- und Bußgeldrahmen sowie die vollen Durchsetzungsbefugnisse für allgemeine KI-Modelle (GPAI) greifen ab diesem Datum. Die maschinenlesbare Kennzeichnung synthetischer Inhalte nach Art. 50(2) gilt erst ab 2. Dezember 2026.

Müssen wir unseren Website-Chatbot als KI kennzeichnen?

Ja. Ein KI-System, das direkt mit Menschen interagiert, muss so gestaltet sein, dass Nutzer erkennen, dass sie mit einer Maschine kommunizieren – es sei denn, das ist aus dem Kontext offensichtlich. In der Praxis genügt meist ein klarer Hinweis am Chat-Fenster, etwa „Sie chatten mit einem KI-Assistenten“. Das ist keine große Hürde, sollte aber von Anfang an mitgedacht werden, wenn Sie einen Chatbot oder KI-Agenten einführen.

Was bedeutet die KI-Kompetenz-Pflicht aus Art. 4 für mein Team?

Art. 4 verpflichtet jedes Unternehmen, das KI einsetzt, dafür zu sorgen, dass die damit befassten Mitarbeiter über ausreichende KI-Kompetenz verfügen – unabhängig von der Risikoklasse und bereits seit Februar 2025 in Kraft. Gemeint ist kein Zertifikat, sondern ein angemessenes Verständnis von Möglichkeiten, Grenzen und Risiken der eingesetzten Systeme. Für KMU heißt das praktisch: dokumentierte interne Schulungen oder Leitlinien für den Umgang mit KI-Tools.

Wie hoch sind die Bußgelder – und gibt es Erleichterungen für KMU?

Der EU AI Act sieht drei Stufen vor: bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken (Art. 5), bis 15 Mio. Euro oder 3 % für die meisten anderen Anbieter- und Betreiberpflichten und bis 7,5 Mio. Euro oder 1 % für falsche Angaben gegenüber Behörden. Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge als Obergrenze. Die Höchstwerte zielen auf Großkonzerne und systematische Verstöße, nicht auf den durchschnittlichen Mittelständler.

Wurde die Frist für Hochrisiko-KI wirklich verschoben?

Ja. Mit dem sogenannten Digital Omnibus (politische Einigung im Mai 2026) wurden die Pflichten für eigenständige Hochrisiko-Systeme nach Anhang III vom ursprünglichen Termin August 2026 auf den 2. Dezember 2027 verschoben; für KI, die in regulierte Produkte nach Anhang I eingebettet ist, auf den 2. August 2028. Die Transparenzpflichten nach Art. 50 und die KI-Kompetenz-Pflicht aus Art. 4 sind davon ausdrücklich nicht betroffen und gelten weiterhin.

KI einsetzen, ohne Compliance-Bauchschmerzen?

Wir setzen KI-Agenten und Chatbots so um, dass Transparenz und Datenschutz von Anfang an passen – und sagen Ihnen ehrlich, welche Pflichten für Ihren konkreten Fall gelten. Kostenlos und unverbindlich im Erstgespräch.