Am 2. August 2026 tritt die nächste Stufe des EU AI Act in Kraft. Ab dann gelten verschärfte Transparenz- und Kennzeichnungspflichten für alle Unternehmen, die KI-Systeme in der EU anbieten oder nutzen. Die Uhr tickt — und viele deutsche Unternehmen sind noch nicht vorbereitet.
Was ab August 2026 gilt
Der EU AI Act teilt KI-Systeme in Risikokategorien ein. Ab August 2026 gelten für die meisten Anwendungen folgende Pflichten:
- Transparenzpflicht: Nutzer müssen informiert werden, wenn sie mit einer KI interagieren. Chatbots müssen sich als KI identifizieren.
- Kennzeichnungspflicht: KI-generierte Inhalte (Texte, Bilder, Audio, Video) müssen als solche gekennzeichnet werden — inklusive Wasserzeichen bei Deepfakes.
- Risikobewertung: Hochrisiko-KI-Systeme (z.B. in Personalauswahl, Kreditvergabe, Strafverfolgung) brauchen eine dokumentierte Risikobewertung.
- Menschliche Aufsicht: Bei Hochrisiko-Anwendungen muss ein Mensch die finale Entscheidung treffen können.
- KI-Chatbots auf Ihrer Website einsetzen (z.B. ChatGPT, Intercom)
- KI-Textgeneratoren für Marketing-Content nutzen (z.B. Jasper, neuroflash)
- KI-Bildgeneratoren für Produktbilder verwenden (z.B. Midjourney, DALL-E 3)
- KI-HR-Tools im Bewerbungsprozess einsetzen
- KI-Analysetools für Geschäftsentscheidungen verwenden
- KI-Inventar erstellen: Welche KI-Tools nutzt Ihr Unternehmen? Listen Sie alle auf — auch die, die Mitarbeiter eigenständig nutzen (Shadow IT).
- Risikokategorie bestimmen: Ist Ihr Einsatz „minimal risk" (Spam-Filter, Textvorschläge) oder „high risk" (Personalauswahl, Kreditprüfung)?
- Transparenzhinweise einbauen: Chatbots brauchen den Hinweis „Dies ist eine KI". KI-generierte Inhalte müssen gekennzeichnet werden.
- Datenschutz prüfen: Der EU AI Act ergänzt die DSGVO. Wo werden Daten verarbeitet? Gibt es einen AV-Vertrag? Unser DSGVO-Sicherheitsindex hilft bei der Einschätzung.
- Verantwortlichen benennen: Wer ist in Ihrem Unternehmen für KI-Compliance zuständig?
- Verbotene KI-Praktiken: bis 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes
- Hochrisiko-Verstöße: bis 15 Millionen Euro oder 3% des Umsatzes
- Falsche Angaben: bis 7,5 Millionen Euro oder 1,5% des Umsatzes
- Social Scoring: Bewertung von Menschen basierend auf Sozialverhalten (wie Chinas Sozialkreditsystem)
- Emotionserkennung am Arbeitsplatz: KI darf nicht die Emotionen von Mitarbeitern überwachen
- Biometrische Massenüberwachung: Gesichtserkennung in Echtzeit im öffentlichen Raum
- Manipulative KI: Systeme, die menschliche Schwächen gezielt ausnutzen
Wer betroffen ist — praktisch jedes Unternehmen
Der Irrglaube vieler Geschäftsführer: „Wir entwickeln keine KI, also betrifft uns das nicht." Falsch. Der EU AI Act gilt auch für Nutzer von KI-Systemen — sogenannte „Deployer".
Konkret betroffen sind Sie, wenn Sie:
In unserem Katalog mit über 1.700 KI-Tools können Sie prüfen, welche Tools Sie nutzen und wie deren DSGVO-Status aussieht.
Die 5 wichtigsten To-Dos bis August
Strafen: Bis zu 35 Millionen Euro
Der EU AI Act hat Zähne. Die maximalen Bußgelder:
Zum Vergleich: Die höchste DSGVO-Strafe in Deutschland betrug 35 Millionen Euro (H&M, 2020). Der EU AI Act kann ähnlich teuer werden.
Was bereits verboten ist
Seit Februar 2025 sind bestimmte KI-Anwendungen in der EU bereits verboten:
Lokale KI als Compliance-Vorteil
Ein unterschätzter Aspekt: Lokal betriebene KI-Modelle können die Compliance deutlich vereinfachen. Wenn die Daten das Unternehmen nie verlassen, entfallen viele DSGVO- und AI-Act-Sorgen. Modelle wie Llama 3.1 oder Mistral Large bieten mittlerweile Qualität auf ChatGPT-Niveau — ohne Cloud-Abhängigkeit.
55 Tage. Das klingt nach viel, ist aber für Compliance-Projekte knapp. Wer jetzt nicht anfängt, riskiert nicht nur Bußgelder — sondern auch das Vertrauen seiner Kunden.
Quellen: EU AI Act Volltext, BMWK, heise online