Kurz vorweg — kein Rechtsrat: Dieser Artikel gibt Orientierung, er ersetzt keine Rechtsberatung. Für verbindliche Bewertungen Deines konkreten Falls zieh eine Fachanwältin oder einen Fachanwalt hinzu. Die kurze Antwort für die meisten Unternehmen: Ab dem 2. August 2026 gelten die Transparenzpflichten — Chatbots als KI kennzeichnen, KI-generierte Inhalte markieren, Deepfakes offenlegen. Die schweren Hochrisiko-Pflichten wurden auf Ende 2027 verschoben und betreffen ohnehin nur wenige.
Kaum ein Regelwerk hat in der KI-Welt so viel Verunsicherung ausgelöst wie der EU AI Act. Zwischen Schlagzeilen über Millionenstrafen und Berichten über verwässerte Fristen ist schwer zu erkennen, was für ein normales Unternehmen tatsächlich zählt. Dieser Beitrag trennt das Wesentliche vom Lärm: Was gilt bereits, was kommt im August 2026, was wurde verschoben — und was ist noch offen?
Was ist der EU AI Act — in einem Absatz
Der EU AI Act ist das erste umfassende KI-Gesetz der Welt. Sein Grundprinzip ist so einfach wie tragfähig: Er reguliert nicht die Technologie an sich, sondern das Risiko der Anwendung. Ein KI-Spamfilter wird anders behandelt als eine KI, die über Kreditwürdigkeit oder Bewerbungen entscheidet. Je höher das Risiko für Menschen und Grundrechte, desto strenger die Pflichten. Daraus ergeben sich vier Risikoklassen — und für Dein Unternehmen ist die entscheidende Frage: In welche Klasse fällt Deine KI-Nutzung?
Die vier Risikoklassen — einfach erklärt
| Risikoklasse | Beispiele | Was gilt |
|---|---|---|
| Verboten | Social Scoring, ungezieltes Abgreifen von Gesichtsbildern, manipulative Systeme | Komplett untersagt (in Kraft seit Feb. 2025) |
| Hochrisiko | KI in Bewerberauswahl, Kreditvergabe, kritischer Infrastruktur, bestimmten Medizinprodukten | Strenge Auflagen — aber verschoben (Dez. 2027 / Aug. 2028) |
| Begrenztes Risiko | Chatbots, KI-generierte Texte/Bilder/Videos, Deepfakes | Transparenz: kennzeichnen & offenlegen (ab Aug. 2026) |
| Minimales Risiko | Spamfilter, KI in Spielen, Produktempfehlungen | Keine besonderen Pflichten |
Die allermeisten Unternehmen, die KI im Alltag einsetzen — ein Chatbot auf der Website, generierte Texte und Bilder, automatisierte Support-Antworten — landen in der Klasse „begrenztes Risiko“. Und genau die wird jetzt relevant. (Eine Sonderrolle spielen die Regeln für große KI-Basismodelle, sogenannte GPAI — die gelten bereits seit August 2025, betreffen aber vor allem die Modell-Anbieter selbst, nicht den normalen Anwender.) Wo KI im Betrieb überhaupt sinnvoll ansetzt, zeigen unsere KI-Use-Cases für Unternehmen — dieser Artikel klärt die rechtliche Seite dazu.
Was ab August 2026 wirklich zählt: die Transparenzpflichten
Der 2. August 2026 ist das Datum, das für die breite Masse an Unternehmen zählt. Ab dann greifen die Transparenzpflichten aus Artikel 50 — und ab dann können Verstöße mit Bußgeldern geahndet werden. Die wichtigsten Stichtage im Überblick:
| Datum | Was passiert | Status |
|---|---|---|
| 2. Feb. 2025 | Verbotene Praktiken (Art. 5) untersagt | Gilt bereits |
| 2. Aug. 2025 | Regeln für KI-Basismodelle (GPAI) | Gilt bereits |
| 2. Aug. 2026 | Transparenzpflichten (Art. 50) + Bußgeld-Durchsetzung | Neu — nicht verschoben |
| 2. Dez. 2026 | Übergangsfrist für die Kennzeichnung von Bestands-Systemen läuft aus | Neu |
| 2. Dez. 2027 | Hochrisiko-Pflichten (Anhang III) | Verschoben |
| 2. Aug. 2028 | Hochrisiko in regulierten Produkten (Anhang I) | Verschoben |
Stand Juli 2026. Die verschobenen Fristen beruhen auf dem „Digital-Omnibus“-Paket, das im Juni 2026 formal verabschiedet wurde (Europäisches Parlament am 16. Juni, Rat der EU am 29. Juni 2026; siehe Abschnitt unten). Alle Angaben laut offiziellen EU-Quellen und Kanzlei-Analysen (siehe Quellen).
1. Chatbots & Voice als KI offenlegen
Nutzer müssen spätestens bei der ersten Interaktion erkennen, dass sie mit einer KI sprechen — nicht mit einem Menschen. Ein Website-Chatbot oder ein Telefon-Assistent braucht also einen klaren Hinweis („Du chattest mit einem KI-Assistenten“). Ausnahme: wenn es für einen aufmerksamen Menschen ohnehin offensichtlich ist. Das ist die praktisch häufigste Pflicht — und mit einem Satz umzusetzen.
2. KI-generierte Inhalte kennzeichnen
Anbieter generativer KI müssen ihre Ausgaben — Text, Bild, Audio, Video — maschinenlesbar als künstlich erzeugt markieren, etwa über ein technisches Wasserzeichen oder den Herkunfts-Standard C2PA. Für neu auf den Markt kommende Systeme gilt das ab dem Stichtag sofort; für bereits laufende Systeme gibt es eine Schonfrist bis zum 2. Dezember 2026. Diese Pflicht zielt primär auf die Anbieter der KI-Werkzeuge — relevant für Dich, wenn Du selbst ein generatives KI-Produkt anbietest.
3. Deepfakes & öffentliche Inhalte offenlegen
Wer KI-generierte oder -manipulierte Bilder, Audio oder Videos (Deepfakes) veröffentlicht, muss den künstlichen Ursprung offenlegen. Ähnliches gilt für KI-Texte zu Themen von öffentlichem Interesse — hier mit einer Ausnahme, wenn der Text redaktionell geprüft wurde. Für Marketing- und Social-Media-Teams ist das der Punkt, den man am ehesten aus Versehen übersieht.
4. KI-Kompetenz der Mitarbeiter („AI Literacy“)
Unternehmen, die KI einsetzen, müssen für ein Mindestmaß an KI-Kompetenz ihrer Belegschaft sorgen. Diese Pflicht (Art. 4) gilt formal schon seit Februar 2025; die behördliche Aufsicht dazu startet im August 2026. In der Praxis reicht als Einstieg eine interne Basisschulung: Was darf rein, was nicht, wo sind die Grenzen. Hinweis: Das im Juni 2026 verabschiedete Vereinfachungspaket (siehe unten) lockert einzelne Auflagen; für den exakten Wortlaut von Art. 4 gilt der konsolidierte Rechtstext.
Was verschoben wurde — und warum das die meisten entlastet
Ursprünglich sollten auch die schweren Hochrisiko-Pflichten im August 2026 greifen. Ein Vereinfachungspaket, der sogenannte „Digital Omnibus“, hat sie nach hinten geschoben: Anhang-III-Systeme auf den 2. Dezember 2027, in Produkte eingebettete KI (Anhang I) auf den 2. August 2028. Der Anlass war Druck aus der Industrie und die Sorge, Europa bremse seine eigene KI-Wirtschaft aus.
Wichtig zur Einordnung: Hochrisiko trifft nur bestimmte, klar definierte Einsätze — Personalauswahl, Kreditwürdigkeit, kritische Infrastruktur, bestimmte Medizinprodukte. Ein normaler Website-Chatbot oder KI-gestützte Texterstellung fällt nicht darunter. Für die meisten kleinen und mittleren Unternehmen heißt das: Entwarnung bei den aufwändigen Auflagen — die schlanken Transparenz-Regeln bleiben aber.
Frisch verabschiedet: Das Omnibus-Paket wurde im Juni 2026 formal beschlossen — das Europäische Parlament stimmte am 16. Juni zu, der Rat der EU gab am 29. Juni 2026 sein finales grünes Licht. Die Verschiebung der Hochrisiko-Fristen ist damit gesetzt; Veröffentlichung im EU-Amtsblatt und Inkrafttreten folgen kurz darauf. Verlass Dich umgekehrt nicht darauf, dass sich an den Transparenzpflichten noch etwas ändert — die wurden vom Omnibus ausdrücklich nicht angetastet und bleiben ein harter Stichtag zum 2. August 2026.
Bußgelder — der Rahmen
Der AI Act arbeitet mit gestaffelten Bußgeldern (Art. 99). Es gilt jeweils der höhere der beiden Werte:
- Verbotene Praktiken (Art. 5): bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes.
- Andere Verstöße, u.a. gegen die Transparenzpflichten (Art. 50): bis 15 Mio. Euro oder 3 %.
- Falsche oder irreführende Angaben gegenüber Behörden: bis 7,5 Mio. Euro oder 1 %.
Für kleine und mittlere Unternehmen sowie Start-ups gibt es eine Erleichterung: Hier wird der jeweils niedrigere der beiden Werte angesetzt — nicht der höhere. Die Durchsetzung, also die Befugnis zu solchen Bußgeldern, greift ab dem 2. August 2026.
Kein Grund zur Panik. Die Höchstbeträge sind Obergrenzen für schwere, vorsätzliche Verstöße großer Anbieter — nicht der Regelfall für einen fehlenden Chatbot-Hinweis. Wer die Transparenzpflichten ernst nimmt, sauber umsetzt und das dokumentiert, bewegt sich auf der sicheren Seite.
Deine Checkliste — was Du jetzt tun solltest
1. Bestandsaufnahme. Liste, wo überall KI im Einsatz ist — und ordne jeden Fall einer Risikoklasse zu. Das ist die Grundlage für alles Weitere. 2. Chatbot/Voice prüfen. Erkennt der Nutzer sofort, dass er mit KI spricht? Wenn nicht → Hinweis einbauen. 3. KI-Inhalte kennzeichnen. Veröffentlichst Du generierte Bilder, Videos oder Audio? → als KI-generiert kennzeichnen. 4. Deepfakes offenlegen. Realistische KI-Montagen immer als solche markieren. 5. Team schulen. Eine kurze interne KI-Basisschulung deckt den Einstieg in die AI-Literacy-Pflicht ab. 6. Nur bei Hochrisiko: Setzt Du KI in Personal, Kredit oder Medizin ein? Dann rechtlichen Rat einholen — aber Du hast Zeit bis Ende 2027.
Fazit: aufräumen statt aufregen
Der EU AI Act ist kein Grund zur Panik, aber ein guter Anlass, aufzuräumen: zu wissen, wo überall KI im Haus arbeitet, und die paar Transparenz-Regeln sauber umzusetzen. Der Aufwand dafür ist für die meisten Unternehmen überschaubar — die Wirkung auf das Vertrauen von Kunden und Partnern ist es nicht. Bei FORGE ist ehrliche Kennzeichnung ohnehin Standard: Wir legen KI-Chatbots offen, markieren KI-generierte Inhalte und bauen KI-Systeme DSGVO- und EU-konform.
Wenn Du KI-Agenten sauber und regelkonform einführen willst, zeigt unser Praxis-Playbook zu KI-Agenten die konkreten Schritte. Und welches KI-Modell sich für welche Aufgabe eignet, klärt unser Modell-Vergleich 2026. Regeln ändern sich — ein sauber aufgesetztes, transparentes KI-System überdauert sie.
Quellen
- Primär EU AI Act — Artikel 50 (Transparenzpflichten: Chatbot-Offenlegung, Kennzeichnung, Deepfakes): artificialintelligenceact.eu/article/50
- Primär EU AI Act — Artikel 99 (Bußgelder: 35 Mio./7 %, 15 Mio./3 %, 7,5 Mio./1 %, KMU-Deckelung): artificialintelligenceact.eu/article/99
- Offiziell Europäische Kommission — Code of Practice zur Kennzeichnung KI-generierter Inhalte: digital-strategy.ec.europa.eu
- Offiziell Rat der EU — finale Zustimmung zum Digital-Omnibus am 29. Juni 2026 (Parlament am 16. Juni): consilium.europa.eu
- Gibson Dunn — Digital-Omnibus-Einigung: Hochrisiko-Fristen verschoben (Anhang III → Dez. 2027, Anhang I → Aug. 2028): gibsondunn.com
- Latham & Watkins — AI Act Update: Regeländerungen und verlängerte Fristen: lw.com
- Travers Smith — Verschiebung der Fristen & Status der AI-Literacy-Pflicht (Art. 4): traverssmith.com
- ComplianceHub — Was am 2. August 2026 fällig wird (Art. 50 im Detail, Übergangsfrist Kennzeichnung bis Dez. 2026): compliancehub.wiki