EU AI Act ab August 2026: Was KMU jetzt regeln sollten

Ein Datum, das fast jeden betrifft

Am 2. August 2026 beginnt die aktive Durchsetzung des EU AI Act. Bis dahin stand das KI-Gesetz vor allem auf dem Papier — ab diesem Stichtag können die zuständigen Behörden seine Einhaltung tatsächlich kontrollieren und durchsetzen. In Deutschland ist als zentrale Marktaufsichtsbehörde die Bundesnetzagentur vorgesehen; geregelt wird das über das nationale Umsetzungsgesetz, das sich noch im Gesetzgebungsverfahren befindet.

Viele Inhaberinnen und Geschäftsführer gehen davon aus, dass sie das nichts angeht: „Wir entwickeln doch keine KI." Das stimmt — und trifft den Punkt trotzdem nicht. Denn die Pflichten, die ab August greifen, knüpfen nicht am Entwickeln an, sondern am Nutzen. Wer im Arbeitsalltag ChatGPT, Microsoft Copilot, Google Gemini oder KI-Funktionen in der eigenen Branchensoftware einsetzt, gilt als Betreiber eines KI-Systems — und damit gelten Pflichten.

Die gute Nachricht vorweg: Die schweren Anforderungen sollen verschoben werden, und die Dinge, die jetzt zählen, sind in wenigen Wochen machbar. Dieser Beitrag ordnet ein, was ab dem 2. August konkret gilt, und nennt die drei Schritte, die ein KMU in den nächsten Wochen praktisch angeht. Er ersetzt keine Rechtsberatung, gibt Ihnen aber einen klaren Ausgangspunkt.

Auf einen Blick

• Ab 2. August 2026: Der EU AI Act wird durchsetzbar. In Deutschland soll die Bundesnetzagentur die zentrale Marktaufsicht übernehmen — vorgesehen über das nationale Umsetzungsgesetz, das noch im Gesetzgebungsverfahren ist.
• Was jetzt gilt: die Pflicht zur KI-Kompetenz (Artikel 4) und die Transparenzpflichten — beide betreffen auch die alltägliche Nutzung von Standard-Werkzeugen.
• Was verschoben werden soll: Die strengen Pflichten für Hochrisiko-KI nach Anhang III sollen erst ab Dezember 2027 greifen. Für die meisten KMU heißt das: die aufwendigen Anforderungen kommen später.
• Der gesetzliche Rahmen: Bei schweren Verstößen sieht das Gesetz empfindliche Bußgelder vor. Diese Obergrenzen zielen auf gravierende Fälle, nicht auf die alltägliche KI-Nutzung eines kleinen Betriebs.
• Was zu tun ist: ein KI-Inventar anlegen, die KI-Kompetenz der Mitarbeitenden dokumentieren und Transparenz-Hinweise ergänzen.

Was „Durchsetzung" konkret bedeutet

Ein Gesetz und seine Durchsetzung sind zweierlei. Der EU AI Act ist seit 2024 in Kraft, seine Vorgaben greifen jedoch gestaffelt. Der 2. August 2026 ist der Termin, ab dem die Marktaufsicht ihre Befugnisse ausüben kann: Behörden können die Einhaltung prüfen, bei Verstößen Maßnahmen anordnen und im Ernstfall den Betrieb eines KI-Systems untersagen. In Deutschland soll diese Aufsicht bei der Bundesnetzagentur liegen, die das nationale Umsetzungsgesetz als zentrale Stelle vorsieht.

Für ein typisches KMU bedeutet das keinen Grund zur Sorge, aber einen Anlass, die eigene KI-Nutzung sauber aufzustellen. Es geht nicht darum, dass nun Kontrolleure vor der Tür stehen. Es geht darum, dass die Pflichten ab diesem Datum verbindlich sind — und dass es einfacher und günstiger ist, sie jetzt geordnet zu erfüllen, als sie später unter Druck nachzuholen.

Den Bußgeldrahmen nennt das Gesetz ausdrücklich, und er fällt hoch aus. Wichtig ist die Einordnung: Diese Obergrenzen sind für schwerwiegende Verstöße gedacht — etwa für verbotene Praktiken oder für Anbieter großer KI-Modelle, die zentrale Pflichten missachten. Für ein Einzelunternehmen oder einen kleinen Betrieb, der ChatGPT im Büro nutzt, sind solche Maximalbeträge kein realistisches Szenario. Der eigentliche Punkt ist nicht die Strafhöhe, sondern der überschaubare Handlungsbedarf, den Sie ohnehin im eigenen Interesse abdecken sollten.

Warum auch kleine KI-Nutzung zählt

Der EU AI Act unterscheidet zwischen denen, die KI-Systeme bereitstellen — den Anbietern —, und denen, die sie einsetzen — den Betreibern. Die wenigsten KMU sind Anbieter. Aber sobald in Ihrem Unternehmen jemand ein KI-Werkzeug für die Arbeit verwendet, sind Sie Betreiber, und zwei Pflichten betreffen Sie unmittelbar.

Die Pflicht zur KI-Kompetenz. Artikel 4 des AI Act verlangt, dass Betreiber für eine ausreichende KI-Kompetenz der Personen sorgen, die KI in ihrem Auftrag einsetzen. Gemeint ist ein praxistaugliches Grundverständnis: Was kann das Werkzeug, wo liegen seine Grenzen, welche Eingaben sind heikel, wie ordnet man die Ergebnisse ein. Diese Pflicht besteht formal bereits seit Februar 2025, blieb bislang aber ohne Durchsetzung. Ab August wird sie durchsetzbar — und in der Praxis wird sie am häufigsten übersehen.

Die Transparenzpflichten. Wo Menschen mit KI in Berührung kommen, ohne es zu merken, verlangt das Gesetz Klarheit. Ein Chatbot auf Ihrer Website muss als KI-System erkennbar sein. KI-generierte oder KI-veränderte Inhalte — etwa künstlich erzeugte Bilder oder sogenannte Deepfakes — müssen als solche gekennzeichnet werden. Es geht darum, dass niemand über die Herkunft eines Inhalts oder die Natur seines Gegenübers getäuscht wird.

Was verschoben wurde — und was nicht

In der Berichterstattung wird gern von einer Entlastung gesprochen, und es gibt sie tatsächlich. Mit einer politischen Einigung vom Mai 2026 wurde beschlossen, die Fristen für Hochrisiko-KI nach Anhang III des AI Act auf Dezember 2027 zu verschieben; die förmliche Verabschiedung und Veröffentlichung im EU-Amtsblatt steht noch aus, wird aber vor dem 2. August 2026 erwartet. Anhang III benennt besonders sensible Einsatzfelder, etwa Biometrie, kritische Infrastruktur oder den Einsatz von KI im Personalwesen. Wer ein solches System betreibt, bekommt mehr Zeit, die anspruchsvollen Vorgaben sauber umzusetzen.

Entscheidend ist die Abgrenzung, die in vielen Schlagzeilen untergeht: Die Verschiebung betrifft ausschließlich das Hochrisiko-Regime. Die Pflicht zur KI-Kompetenz und die Transparenzpflichten sind davon nicht erfasst — sie werden ab dem 2. August durchsetzbar. Wer „verschoben" mit „erledigt sich von selbst" übersetzt, sitzt einem Missverständnis auf. Für die meisten KMU lautet die richtige Lesart: Die aufwendigen Pflichten kommen später, die Basis-Pflichten gelten jetzt.

Was Sie jetzt tun sollten

Die gute Nachricht aus dem Erklärteil lässt sich in drei konkrete Schritte übersetzen. Keiner davon erfordert externe Gutachten oder großen Aufwand — sie schaffen Ordnung im eigenen Haus.

1. Ein KI-Inventar anlegen. Verschaffen Sie sich einen Überblick, welche KI-Werkzeuge in Ihrem Unternehmen tatsächlich genutzt werden — und wo. Dazu zählen offizielle Lösungen wie ein Copilot-Abonnement ebenso wie KI-Funktionen, die in vorhandener Software stecken, und Werkzeuge, die einzelne Mitarbeitende auf eigene Faust verwenden. Eine einfache Liste genügt: Werkzeug, Einsatzzweck, wer es nutzt. Dieser Überblick ist die Grundlage für alles Weitere — und hilft Ihnen zugleich, einen unkontrollierten Wildwuchs zu erkennen.

2. Die KI-Kompetenz dokumentieren. Sorgen Sie dafür, dass die Mitarbeitenden, die KI einsetzen, die Werkzeuge verstehen — und halten Sie das schriftlich fest. Das muss keine aufwendige Schulung sein: Eine kurze Einweisung, eine knappe interne Leitlinie zum Umgang mit KI und eine Teilnehmerliste reichen für den Anfang. Wichtig ist, dass nachvollziehbar ist, dass Sie Ihrer Pflicht aus Artikel 4 nachkommen. Eine sinnvolle Leitlinie klärt nebenbei eine Frage, die ohnehin im Raum steht: Welche Daten dürfen in ein KI-Werkzeug eingegeben werden — und welche nicht.

3. Transparenz-Hinweise ergänzen. Prüfen Sie, an welchen Stellen Ihr Unternehmen nach außen mit KI arbeitet, und machen Sie es kenntlich. Betreiben Sie einen Chatbot auf Ihrer Website, weisen Sie darauf hin, dass die Antworten von einem KI-System stammen. Setzen Sie KI ein, um Bilder oder Texte für die Öffentlichkeit zu erzeugen, sorgen Sie für eine angemessene Kennzeichnung. In den meisten Fällen ist das mit wenigen Ergänzungen erledigt.

Fazit

Der 2. August 2026 ist kein Grund zur Aufregung, aber ein guter Anlass, die eigene KI-Nutzung einmal bewusst zu betrachten. Die schweren Hochrisiko-Pflichten sollen auf Dezember 2027 verschoben werden — die KI-Kompetenz- und Transparenzpflichten gelten ab August. Beides lässt sich für ein KMU mit überschaubarem Aufwand erfüllen, wenn man es jetzt angeht statt es vor sich herzuschieben.

Wir helfen Ihnen, den Einstieg zu finden: ein KI-Inventar aufzusetzen, eine knappe Einweisung samt Leitlinie zu erstellen und die nötigen Transparenz-Hinweise an den richtigen Stellen zu ergänzen — pragmatisch und auf Ihren Betrieb zugeschnitten. Die konkrete rechtliche Einstufung im Einzelfall, etwa ob ein bestimmtes Werkzeug in den Hochrisiko-Bereich fällt, klären Sie am besten mit einer Rechtsberatung. So wird aus einer gesetzlichen Anforderung ein geordneter Umgang mit KI, der im Alltag trägt.