EU AI Act: Drei Pflichten laufen schon — die vierte trifft dich am 2. August

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Doch das bedeutet nicht, dass alle Pflichten sofort gelten: Sie treten gestaffelt über mehrere Jahre in Kraft. Der größte Teil wird am 2. August 2026 verbindlich.

Der Teil, der dich als Website-Betreiber am direktesten trifft, ist Artikel 50: die Transparenzpflichten. Im Kern bedeutet das eine einfache, harte Regel: Wenn ein Mensch mit deiner KI interagiert, muss er das wissen.

Jeder Chatbot, der ab dem 2. August 2026 mit Nutzern spricht, muss offenlegen, dass er eine KI ist — ganz gleich, wie lange er schon läuft. Einen Bestandsschutz gibt es nicht.

Das gilt nicht nur für Chatbots. Es gilt auch für KI-generierte Texte, Bilder, Audio und Video. Wer mit generativer KI Inhalte erzeugt, muss sie maschinenlesbar kennzeichnen; wer Deepfakes veröffentlicht, muss den künstlichen Ursprung für Menschen sichtbar machen. Vier Absätze, vier unterschiedliche Pflichten — und alle vier greifen am selben Tag.

Parallel werden am 2. August 2026 die Pflichten für Hochrisiko-KI nach Anhang III wirksam. Anhang III listet acht Bereiche, in denen KI als hochriskant gilt — darunter Personalauswahl, Kreditwürdigkeitsprüfung und Zugang zu Bildung. Setzt du KI ein, um Bewerber vorzusortieren oder Bonitäten zu bewerten, bist du unmittelbar betroffen: Du musst dann menschliche Aufsicht sicherstellen und die automatischen Protokolle mindestens sechs Monate aufbewahren. Eine Grundrechte-Folgenabschätzung (FRIA) kommt obendrauf — doch nur für bestimmte Betreiber: öffentliche Stellen, Erbringer öffentlicher Dienstleistungen sowie KI zur Kreditwürdigkeits- und Versicherungsrisiko-Prüfung.

Hier wird es unbequem, denn diesen Teil übersehen die meisten. Während sich alle auf den August konzentrieren, gelten drei Stufen des AI Act bereits:

Für dich als KMU ist die zweite die unbequemste, weil sie wirklich jeden trifft. Artikel 4 — die KI-Kompetenz — gilt nicht erst ab August, sondern bereits seit dem 2. Februar 2025.

Jedes Unternehmen, das KI-Systeme einsetzt, muss sicherstellen, dass die Mitarbeiter, die sie bedienen oder ihre Ergebnisse nutzen, über ausreichende KI-Kompetenz verfügen — unabhängig von der Risiko-Kategorie.

Das ist die niedrigschwelligste Pflichtverletzung des ganzen Gesetzes, und genau deshalb die gefährlichste: Sie betrifft jeden, der Copilot, ChatGPT oder irgendein KI-Tool im Betrieb nutzt. Kein Hochrisiko-System nötig, keine Ausnahme für kleine Teams.

Die gute Nachricht ist zugleich dein wirksamster Hebel: Wer seine Leute dokumentiert geschult hat, ist vor jeder Aufsichtsbehörde deutlich besser aufgestellt. Und „dokumentiert" heißt nichts Bürokratisches — ein einfaches Protokoll mit Datum, Teilnehmern und behandelten Themen genügt in der Regel. Die Schulung erfüllt damit nicht nur die Pflicht, sie schützt dich auch im Ernstfall.

An diesem Punkt machen viele einen Denkfehler, der unnötig Sorgen bereitet. Sie lesen „KI-Anbieter müssen X" und denken, alle Pflichten fielen auf sie.

Zwar gelten die strengsten Pflichten für Anbieter — also die, die ein KI-System entwickeln und auf den Markt bringen. Doch die allermeisten KMU sind keine Anbieter, sondern Betreiber: Sie kaufen ein fertiges Tool ein und nutzen es. Und Betreiber-Pflichten sind deutlich schlanker.

Für dich heißt das konkret: Du musst nicht den Algorithmus zertifizieren. Du musst wissen, was du einsetzt, deine Leute schulen, transparent kennzeichnen, und bei Hochrisiko-Anwendungen die Aufsicht plus Protokollierung sicherstellen. Das ist machbar — vorausgesetzt, du fängst nicht erst am 1. August damit an.

Sprechen wir über Zahlen — sie erklären, warum dieses Thema keine Nebensache ist. Der AI Act staffelt seine Bußgelder:

Ein fehlender KI-Hinweis am Chatbot ist kein Kavaliersdelikt. Er fällt in dieselbe Bußgeldklasse wie eine schwere DSGVO-Verletzung — bis zu 15 Millionen Euro.

Für KMU und Start-ups gibt es eine Entlastung: Artikel 99 räumt der Aufsichtsbehörde ausdrücklich Spielraum ein, niedrigere Sätze anzusetzen, und es gilt jeweils der niedrigere der beiden Werte. Doch verlass dich nicht darauf, dass „niedriger" gleich „harmlos" bedeutet. Bei der DSGVO sahen wir, wie ernst dieser Spielraum genommen wird.

Ein ehrlicher Hinweis zum Schluss dieses Abschnitts: Die EU verhandelt derzeit über einen sogenannten „Digital Omnibus", der einzelne Hochrisiko-Pflichten zeitlich strecken soll — im Gespräch ist etwa, die Frist für beschäftigungsbezogene Systeme nach hinten zu verschieben. Beschlossen ist davon nichts. Solange der Omnibus nicht förmlich vor dem 2. August 2026 verabschiedet ist, gilt der jetzige Fahrplan — Wort für Wort. Auf eine Verschiebung zu planen, die noch nicht beschlossen ist, ist kein Plan. Es ist eine Wette.

Drei Dinge, die ich jedem Unternehmen mit KI-Einsatz dringend empfehle:

Alle drei Schritte haben eines gemeinsam: Sie sind keine Spezialaufgabe, sondern eine Frage von Dokumentation, Kennzeichnung und Schulung. Wer sie ruhig und der Reihe nach angeht, ist auf den Stichtag vorbereitet — ohne Hektik und ohne externe Berater.

1. EU Artificial Intelligence Act — Artikel 50 (Transparenzpflichten)

2. EU Artificial Intelligence Act — Implementation Timeline

3. Europäische Kommission — Regulatory framework on AI

4. TÜV Rheinland Consulting — Transparenzpflichten im EU AI Act (Art. 50)

5. DLA Piper — Digital AI Omnibus: deferral of high-risk AI obligations