Kaum ein Thema sorgt im Mittelstand gerade für so viel Verunsicherung wie der EU AI Act. Die einen hören „ab August 2026 wird alles streng reguliert" und bekommen Panik. Die anderen lesen „die EU hat die Regeln verschoben" und haken das Thema ab. Beide liegen falsch. Der Panik-Macher verbrennt Zeit mit Pflichten, die ihn gar nicht treffen – der Abwinker übersieht zwei, die ihn sehr wohl treffen.

In diesem Beitrag bekommst du einen klaren, aktuellen Überblick: Was der EU AI Act überhaupt regelt, was sich durch den sogenannten Digital Omnibus Ende 2025 geändert hat, welche Pflichten für kleine Unternehmen 2026 tatsächlich gelten und was du konkret tun solltest. Ohne Juristen-Kauderwelsch, dafür mit Tabellen, einer Checkliste und einem klaren Blick darauf, was für dich wirklich relevant ist.

Kurz gesagt: Der EU AI Act (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft und wird am 2. August 2026 weitgehend voll anwendbar. Zwei Pflichten betreffen praktisch jedes Unternehmen, das KI nutzt: die KI-Kompetenzpflicht (seit Februar 2025) und die Transparenzpflicht (ab August 2026) – also die Kennzeichnung von Chatbots, Deepfakes und teils KI-Texten. Der Digital Omnibus hat die strengen Pflichten für Hochrisiko-KI auf den 2. Dezember 2027 verschoben, die Grundpflichten aber nicht abgeschafft. Für die meisten kleinen Unternehmen heißt das: kein Grund zur Panik, aber Handlungsbedarf bei Schulung, Tool-Übersicht und Kennzeichnung. Verstöße können je nach Fall mit Bußgeldern bis zu 35 Mio. € geahndet werden.

Was ist der EU AI Act – und ab wann gilt er?

Der EU AI Act ist die weltweit erste umfassende gesetzliche Regelung für künstliche Intelligenz. Offiziell heißt er Verordnung (EU) 2024/1689. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedstaaten, also auch in Deutschland, ohne dass ein nationales Gesetz nötig wäre.

Das Grundprinzip ist ein risikobasierter Ansatz: Nicht jede KI wird gleich behandelt. Je höher das Risiko einer Anwendung für Sicherheit, Gesundheit oder Grundrechte, desto strenger die Pflichten. Eine KI, die Spam filtert oder Produktbeschreibungen schreibt, wird also völlig anders behandelt als eine KI, die über Kreditvergaben oder Bewerbungen entscheidet.

Der Zeitplan ist gestaffelt. Die Verordnung trat am 1. August 2024 in Kraft und wird zwei Jahre später, am 2. August 2026, weitgehend voll anwendbar. Einige Teile gelten aber schon länger, andere wurden nach hinten verschoben:

  • Seit 2. Februar 2025: Verbotene KI-Praktiken (z. B. Social Scoring, manipulative Systeme) und die KI-Kompetenzpflicht.
  • Seit 2. August 2025: Pflichten für Anbieter universeller KI-Modelle (GPAI) und die Governance-Regeln.
  • Ab 2. August 2026: Transparenzpflichten und die volle Anwendbarkeit der Verordnung.
  • Ab 2. Dezember 2027: Pflichten für Hochrisiko-KI in bestimmten Bereichen (verschoben durch den Digital Omnibus).
  • Ab 2. August 2028: Pflichten für Hochrisiko-KI, die in regulierte Produkte eingebettet ist (z. B. Aufzüge, Spielzeug).

Zeitplan des EU AI Act: KI-Kompetenzpflicht ab Februar 2025, GPAI-Pflichten ab August 2025, Transparenzpflicht ab August 2026, Hochrisiko-KI ab Dezember 2027 und August 2028

„Verschoben" heißt nicht „abgesagt": Was der Digital Omnibus geändert hat

Im November 2025 hat die EU-Kommission ein Vereinfachungspaket vorgelegt, das in der Praxis „Digital Omnibus" oder „AI Omnibus" genannt wird. Es wurde am 19. November 2025 angenommen, eine politische Einigung folgte am 7. Mai 2026. Ziel: die Regeln einfacher und innovationsfreundlicher machen, gerade für kleinere Unternehmen.

Die wichtigste Änderung: Die strengen Pflichten für Hochrisiko-KI starten nicht wie ursprünglich geplant im August 2026, sondern erst am 2. Dezember 2027. Für Hochrisiko-KI, die in Produkte eingebaut ist, gilt sogar der 2. August 2028. Der Gedanke dahinter: Die nötigen technischen Standards und Hilfsmittel liegen bis zum ursprünglichen Termin schlicht noch nicht vor.

Hier liegt das große Missverständnis. „Verschoben" betrifft nur die Hochrisiko-Anforderungen. Die Pflichten, die fast jedes Unternehmen treffen – KI-Kompetenz und Transparenz – bleiben unverändert bestehen. Wer aus der Schlagzeile „AI Act verschoben" ableitet, dass 2026 nichts zu tun ist, irrt. Die folgende Tabelle trennt das, was bleibt, von dem, was später kommt:

Gilt 2026 (unverändert) Verschoben / später
KI-Kompetenzpflicht – seit Februar 2025 Hochrisiko-KI (Biometrie, Personal, Bildung u. a.) → 2. Dezember 2027
Verbot bestimmter KI-Praktiken – seit Februar 2025 Hochrisiko-KI in Produkten (z. B. Maschinen) → 2. August 2028
Transparenzpflicht (Chatbots, Deepfakes) – ab August 2026 Maschinenlesbare Kennzeichnung (Watermarking) → teils Dezember 2026
Pflichten für KI-Modell-Anbieter (GPAI) – seit August 2025

Zusätzlich brachte der Omnibus ein paar Erleichterungen für kleine und mittlere Unternehmen, etwa vereinfachte Dokumentationsanforderungen, sowie ein neues Verbot von KI-„Nudification"-Apps, die ohne Einwilligung intime Bilder erzeugen.

Die vier Risikoklassen – wo steht dein Unternehmen?

Um einzuschätzen, was der AI Act für dich bedeutet, musst du zuerst wissen, in welche Risikoklasse deine KI-Nutzung fällt. Der AI Act kennt vier Stufen. Die gute Nachricht vorweg: Die allermeisten Anwendungen in kleinen Unternehmen landen in den unteren beiden Klassen.

Risikoklasse Beispiele Was gilt für dich
Inakzeptabel (verboten) Social Scoring, manipulative KI, ungezieltes Gesichtsdaten-Scraping Komplett verboten – seit Februar 2025
Hoch KI für Personalauswahl, Kreditvergabe, kritische Infrastruktur Strenge Pflichten ab 2. Dezember 2027
Begrenzt (Transparenz) Chatbots, KI-generierte Texte und Bilder, Deepfakes Kennzeichnungspflicht ab August 2026
Minimal / kein Risiko Spamfilter, Rechtschreibhilfe, Produkttext-Generator, Bildbearbeitung Keine besonderen Pflichten

Die vier Risikoklassen des EU AI Act als Pyramide: inakzeptabel (verboten), hoch, begrenzt (Transparenzpflicht) und minimal – die meisten Tools fallen in die unteren Klassen

Wenn du ChatGPT zum Texten nutzt, einen Chatbot auf der Website hast oder mit KI Bilder erstellst, bewegst du dich typischerweise im Bereich „begrenztes Risiko" oder „minimales Risiko". Hochrisiko-KI setzen die wenigsten kleinen Betriebe ein – das wird vor allem dann relevant, wenn KI automatisiert über Menschen entscheidet, etwa bei Bewerbungen oder Krediten.

Die KI-Kompetenzpflicht (Artikel 4): die Regel, die fast jeden betrifft

Dies ist die Pflicht, die am häufigsten übersehen wird – und die für dein Unternehmen mit großer Wahrscheinlichkeit gilt. Artikel 4 des AI Act verlangt: Wer KI-Systeme einsetzt, muss sicherstellen, dass die Mitarbeitenden, die diese Systeme bedienen oder deren Ergebnisse nutzen, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Wichtig: Diese Pflicht gilt unabhängig von der Risikoklasse und unabhängig von der Unternehmensgröße. Sie ist bereits seit dem 2. Februar 2025 anwendbar. Sobald in deinem Betrieb jemand ChatGPT, einen KI-Chatbot oder ein KI-Tool im Marketing nutzt, bist du in der Pflicht.

Was „ausreichende Kompetenz" bedeutet, ist nicht starr definiert – es hängt vom Kontext ab. Gemeint ist ein Grundverständnis davon, wie KI funktioniert, wo ihre Grenzen liegen, welche Risiken bestehen (etwa Falschinformationen oder Datenschutz) und wie man Ergebnisse kritisch prüft. Eine Marketingmitarbeiterin, die KI für Texte nutzt, braucht ein anderes Niveau als ein Entwickler, der KI-Systeme einbindet. Entscheidend ist am Ende ein Satz: Kannst du belegen, dass deine Leute geschult wurden? Eine kurze interne Schulung plus eine schriftliche Richtlinie zum KI-Einsatz reichen vielen kleinen Betrieben als solide Basis.

Transparenzpflicht ab August 2026: Chatbots, Deepfakes und KI-Texte kennzeichnen

Die zweite Pflicht, die kleine Unternehmen direkt betrifft, ist die Transparenzpflicht. Sie wird am 2. August 2026 wirksam und wurde durch den Digital Omnibus nicht verschoben. Der Grundgedanke: Menschen sollen wissen, wann sie es mit KI zu tun haben.

Konkret heißt das:

  • Chatbots und Voicebots: Wenn Kunden mit einem KI-System chatten oder sprechen, müssen sie erkennen können, dass sie nicht mit einem Menschen reden. Ein simpler Hinweis wie „Du chattest mit unserem KI-Assistenten" genügt in der Regel.
  • Deepfakes: Bild-, Audio- oder Videoinhalte, die eine reale Person oder reale Ereignisse täuschend echt nachbilden, müssen als künstlich erzeugt gekennzeichnet werden.
  • KI-generierte Texte: Texte, die die Öffentlichkeit zu gesellschaftlich relevanten Themen informieren sollen, müssen ebenfalls als KI-erzeugt gekennzeichnet werden. Für normale Produktbeschreibungen oder interne Texte gilt das nicht.

Eine technische Detailregel: Die Pflicht zur maschinenlesbaren Kennzeichnung KI-generierter Inhalte (Stichwort Watermarking) für die Anbieter generativer KI wurde teilweise um vier Monate auf Dezember 2026 verschoben. Die sichtbare Kennzeichnungspflicht für dich als Nutzer bleibt aber beim August-Termin.

Was bedeutet das konkret für kleine Unternehmen?

Übersetzt auf deinen Alltag: Wenn du einen typischen kleinen Betrieb führst – Handwerk, Handel, Dienstleistung, lokale Agentur – und KI vor allem für Texte, Bilder, Kundenkommunikation oder Recherche nutzt, dann gilt für dich realistisch betrachtet:

Du musst keine aufwendige Hochrisiko-Dokumentation erstellen. Du musst aber zwei Dinge ernst nehmen: deine Mitarbeitenden im Umgang mit KI fit machen (Kompetenzpflicht) und überall dort kennzeichnen, wo Kunden mit KI interagieren oder KI-Inhalte sehen (Transparenzpflicht). Beides ist mit überschaubarem Aufwand machbar.

Spannend wird es nur, wenn du KI für Entscheidungen über Menschen einsetzt – etwa eine Software, die Bewerbungen automatisch vorsortiert. Dann kann eine Hochrisiko-Einstufung greifen, und du hast bis Dezember 2027 Zeit, die strengeren Pflichten umzusetzen. Im Zweifel lohnt sich hier eine fachliche Einschätzung, bevor du ein solches Tool einführst. Wer ohnehin gerade prüft, welche KI-Werkzeuge sich rechnen, findet in unserem Vergleich zu kostenlosen und bezahlten KI-Tools einen guten Einstieg.

AI Act und Datenschutz: zwei Themen, die zusammengehören

Und es gibt eine Falle, die viele übersehen – und die für kleine Betriebe oft gefährlicher ist als der AI Act selbst: der Datenschutz. Denn der AI Act ersetzt die DSGVO nicht, er kommt obendrauf. Die DSGVO gilt für KI genauso wie für jede andere Datenverarbeitung. Gerade bei kleinen Unternehmen entsteht das größere Risiko häufig hier.

Das klassische Beispiel: Eine Mitarbeiterin kopiert Kundendaten, Angebote oder interne Dokumente in ein kostenloses KI-Tool, dessen Server in den USA stehen. Damit werden personenbezogene Daten an einen Dienst übermittelt, ohne dass ein Auftragsverarbeitungsvertrag besteht oder geprüft wurde, ob das Datenschutzniveau ausreicht. Das ist ein DSGVO-Problem, lange bevor der AI Act ins Spiel kommt.

Deshalb gehören beide Themen in dieselbe interne KI-Richtlinie. Lege fest, welche Tools freigegeben sind, welche Daten hineingegeben werden dürfen und welche niemals – etwa Klarnamen, Gesundheitsdaten oder vertrauliche Geschäftsunterlagen. Wer das sauber regelt, erfüllt nicht nur einen Teil der KI-Kompetenzpflicht, sondern senkt zugleich sein Datenschutzrisiko deutlich.

Was droht bei Verstößen?

Der AI Act sieht spürbare Bußgelder vor, gestaffelt nach Schwere des Verstoßes. Für kleine und mittlere Unternehmen gilt dabei eine Erleichterung: Pro Verstoß sind jeweils ein fester Höchstbetrag und ein Prozentsatz vom Umsatz als Obergrenze möglich – bei KMU wird der niedrigere der beiden Werte angesetzt.

Verstoß Bußgeld (Maximum)
Verbotene KI-Praktiken bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Verstoß gegen Hochrisiko- oder Transparenzpflichten bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behörden bis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes

Mal ehrlich: 35 Millionen Euro zielen auf Tech-Konzerne, nicht auf deinen Drei-Mann-Betrieb. Dein realistisches Risiko heißt eher abgemahnter Chatbot ohne Hinweis, verärgerter Kunde, Unsicherheit im Team. Ärgerlich und vermeidbar. Trotzdem gilt: Die Pflichten sind verbindlich, und die einfachen Grundregeln einzuhalten ist deutlich günstiger als jeder Streit darum.

Dein Handlungsplan in 6 Schritten

Statt das Thema vor dir herzuschieben, kannst du den AI Act mit wenigen, klaren Schritten abhaken. Für die meisten kleinen Unternehmen reicht dieser pragmatische Fahrplan:

  1. Bestandsaufnahme machen. Liste alle KI-Tools auf, die im Betrieb genutzt werden – auch die inoffiziellen, die einzelne Mitarbeitende auf eigene Faust verwenden.
  2. Risiko einordnen. Prüfe für jedes Tool die Risikoklasse. Trifft die KI automatisierte Entscheidungen über Menschen? Dann schau genauer hin. Andernfalls bist du in den allermeisten Fällen auf der sicheren Seite.
  3. Mitarbeitende schulen. Sorge für ein Grundverständnis von KI, ihren Grenzen und Risiken. Das erfüllt die Kompetenzpflicht und verbessert ganz nebenbei die Qualität der Ergebnisse.
  4. Kennzeichnung umsetzen. Versieh Chatbots mit einem KI-Hinweis und kennzeichne KI-Inhalte dort, wo es nötig ist. Bis August 2026 sollte das stehen.
  5. KI-Richtlinie aufschreiben. Eine einfache interne Richtlinie regelt, welche Tools erlaubt sind, welche Daten hineingegeben werden dürfen und worauf zu achten ist. Das schützt dich auch beim Datenschutz.
  6. Dokumentieren. Halte schriftlich fest, dass du diese Schritte gegangen bist. Im Ernstfall zählt, dass du die Pflichten nachweisbar erfüllt hast.

So unterstützen wir dich beim AI Act

Du musst das nicht allein stemmen. Bei 2fox4 begleiten wir kleine und mittlere Unternehmen dabei, KI rechtssicher und sinnvoll einzusetzen: Tools sichten, Risiko einordnen, Team schulen, Richtlinie aufsetzen. Wir übersetzen die Verordnung in konkrete, umsetzbare Schritte für deinen Betrieb, ohne Überregulierung und ohne Panikmache.

Das gehört bei uns zur KI- und Digitalisierungsberatung, die unter bestimmten Voraussetzungen mit bis zu 80 % gefördert werden kann. Wenn du KI nicht nur compliant, sondern auch für mehr Sichtbarkeit nutzen willst, lies auch, wie du mit Generative Engine Optimization in ChatGPT und Co. sichtbar wirst. Und wenn du einfach nur wissen willst, wo du stehst: Schreib uns kurz, wir machen mit dir eine ehrliche Ersteinschätzung – ohne Verpflichtung.

Hinweis: Dieser Beitrag gibt den Stand vom 22.06.2026 wieder und dient der allgemeinen Information. Er ist keine Rechtsberatung. Der EU AI Act und seine Umsetzung entwickeln sich weiter; für die rechtssichere Beurteilung im Einzelfall solltest du fachlichen oder anwaltlichen Rat einholen. Den offiziellen Überblick bietet die Europäische Kommission, eine praxisnahe Einordnung für Betriebe die IHK München.

Fazit: ruhig bleiben, aber handeln

Der EU AI Act ist kein Grund zur Panik – aber auch kein Thema zum Aussitzen. Die Hochrisiko-Pflichten wurden auf Dezember 2027 verschoben, die Grundpflichten gelten jedoch jetzt: KI-Kompetenz seit Februar 2025, Transparenz ab August 2026. Für die meisten kleinen Unternehmen ist das mit ein paar konkreten Schritten erledigt: Tools erfassen, Risiko einordnen, Team schulen, KI kennzeichnen, Richtlinie schreiben, dokumentieren. Wer das jetzt angeht, hat Rechtssicherheit und kann KI mit gutem Gewissen für sein Wachstum nutzen. Der AI Act belohnt am Ende die, die ihn nicht ignoriert, aber auch nicht überdramatisiert haben – sondern einfach drangegangen sind.

Häufige Fragen (FAQ)

Gilt der EU AI Act auch für mein kleines Unternehmen?

Ja. Der AI Act gilt unabhängig von der Unternehmensgröße. Sobald in deinem Betrieb KI-Systeme genutzt werden – etwa ChatGPT, ein Website-Chatbot oder ein KI-Tool im Marketing – greifen zumindest die KI-Kompetenzpflicht und ab August 2026 die Transparenzpflicht. Strenge Hochrisiko-Pflichten betreffen die wenigsten kleinen Betriebe.

Wurde der EU AI Act nicht verschoben?

Nur teilweise. Der Digital Omnibus hat die Pflichten für Hochrisiko-KI auf den 2. Dezember 2027 verschoben. Die Grundpflichten – KI-Kompetenz (seit Februar 2025) und Transparenz (ab August 2026) – bleiben bestehen. „Verschoben" heißt also nicht „abgeschafft".

Was ist die KI-Kompetenzpflicht nach Artikel 4?

Sie verlangt, dass Mitarbeitende, die KI-Systeme bedienen oder deren Ergebnisse nutzen, ein ausreichendes Verständnis von KI haben – inklusive ihrer Grenzen und Risiken. Diese Pflicht gilt seit Februar 2025 für alle Unternehmen, die KI einsetzen. In der Praxis empfiehlt sich eine kurze Schulung plus eine dokumentierte interne Richtlinie.

Muss ich meinen Website-Chatbot kennzeichnen?

Ja, ab dem 2. August 2026. Kunden müssen erkennen können, dass sie mit einem KI-System und nicht mit einem Menschen kommunizieren. Ein klarer Hinweis wie „Du chattest mit unserem KI-Assistenten" reicht in den meisten Fällen aus.

Muss ich mit KI erstellte Texte und Bilder kennzeichnen?

Es kommt darauf an. Deepfakes – täuschend echte KI-Darstellungen realer Personen oder Ereignisse – müssen gekennzeichnet werden. KI-Texte müssen gekennzeichnet werden, wenn sie der Information der Öffentlichkeit zu Themen von öffentlichem Interesse dienen. Normale Produktbeschreibungen oder interne Texte sind davon nicht betroffen.

Was passiert bei Verstößen gegen den AI Act?

Es drohen gestaffelte Bußgelder: bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis 15 Mio. € oder 3 % bei Verstößen gegen Hochrisiko- oder Transparenzpflichten und bis 7,5 Mio. € oder 1 % bei falschen Angaben. Für KMU gilt jeweils der niedrigere der beiden Werte. Für kleine Betriebe sind in der Praxis Abmahnungen und Imageschäden das näherliegende Risiko.

Was sollte ich als Erstes tun?

Mach eine Bestandsaufnahme aller genutzten KI-Tools, ordne ihr Risiko ein, schule dein Team, setze die Kennzeichnung um, schreibe eine einfache KI-Richtlinie und dokumentiere alles. Diese sechs Schritte decken für die meisten kleinen Unternehmen die wesentlichen Pflichten ab.