Blog · EU AI Act

EU AI Act ab August 2026: Was Mittelständler jetzt wirklich tun müssen

Die Verwirrung ist verständlich: Erst kam der EU AI Act, dann der Digital Omnibus, der Teile davon verschiebt. Viele Mittelständler haben daraus die falsche Schlussfolgerung gezogen — „gilt ja alles erst 2027“. Das ist ein teurer Irrtum. Dieser Artikel sortiert, was ab dem 2. August 2026 tatsächlich gilt, was verschoben wurde und welche fünf Schritte jetzt anstehen.

Was gilt ab dem 2. August 2026?

Ab dem 2. August 2026 greifen die Durchsetzung der Regeln für General-Purpose-AI-Modelle, Transparenzpflichten für KI-Systeme mit direktem Nutzerkontakt sowie die Sanktionsmechanismen. Die KI-Kompetenzpflicht für Unternehmen, die KI einsetzen, gilt bereits — ab August wird sie behördlich relevant.

Konkret bedeutet das für ein mittelständisches Unternehmen: Wer KI-Systeme einsetzt — und dazu zählt auch der ChatGPT-Zugang im Vertrieb oder der Copilot in der Verwaltung — muss nachweisen können, dass die eigenen Beschäftigten über ausreichende KI-Kompetenz verfügen. Wer KI-Systeme anbietet, die mit Menschen interagieren (Chatbots, Voice-Agenten), muss diese als KI kenntlich machen.

Was hat der Digital Omnibus verschoben?

Verschoben wurden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III: auf Dezember 2027 beziehungsweise August 2028, je nach Kategorie. Nicht verschoben wurden die Kompetenzpflicht, die Transparenzpflichten und die GPAI-Regeln — sie gelten ab August 2026.

Die Verschiebung betrifft also vor allem Anbieter und Betreiber von KI in sensiblen Einsatzfeldern wie Personalauswahl, Kreditvergabe oder kritischer Infrastruktur. Für die Mehrheit der KMU, die KI als Werkzeug im Tagesgeschäft nutzen, ändert der Omnibus wenig: Die Pflichten, die sie betreffen, kommen wie geplant.

Bin ich als KMU überhaupt betroffen?

Fast sicher ja. Der AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach Rolle (Anbieter, Betreiber) und Risikoklasse des Systems. Schon der geschäftliche Einsatz von ChatGPT, Copilot oder einem Chatbot auf der Website macht Sie zum Betreiber mit Pflichten.

Die gute Nachricht: Für die meisten KMU sind die Pflichten überschaubar — Kompetenznachweis, Transparenz, dokumentierter Umgang. Die schlechte: Über 80 Prozent der Unternehmen zeigen Shadow-AI-Aktivität, also KI-Nutzung außerhalb jeder Kontrolle. Was das Unternehmen nicht kennt, kann es nicht dokumentieren — und genau daraus wird ab August ein Compliance-Risiko.

Die fünf To-dos bis August 2026

  • 1. KI-Inventur: Erfassen Sie, welche KI-Werkzeuge im Unternehmen tatsächlich genutzt werden — offiziell und inoffiziell. Ohne Inventur keine Compliance.
  • 2. Risikoklassen zuordnen: Prüfen Sie jedes System gegen die AI-Act-Kategorien. Die meisten Werkzeuge sind minimal- oder begrenzt-riskant; entscheidend ist, es zu wissen und zu dokumentieren.
  • 3. KI-Kompetenz aufbauen und belegen: Schulen Sie die Beschäftigten, die mit KI arbeiten — zugeschnitten auf deren Rolle, nicht als Alibi-Webinar. Dokumentieren Sie die Maßnahmen.
  • 4. Transparenz herstellen: Kennzeichnen Sie KI-Kontaktpunkte gegenüber Kunden (Chatbot, Voice-Agent, KI-generierte Inhalte, wo vorgeschrieben).
  • 5. Verantwortung festlegen: Benennen Sie eine Person, die KI-Einsatz, Freigaben und Dokumentation verantwortet — in KMU meist keine Vollzeitrolle, aber eine klare.
Häufige Fragen

Drohen KMU wirklich Bußgelder?

Ja. Die Sanktionsmechanismen greifen ab August 2026. Die Höhe richtet sich nach Verstoß und Umsatz; auch unterhalb spektakulärer Summen ist das Risiko real — vor allem, weil Verstöße oft durch Beschwerden oder Datenschutzvorfälle sichtbar werden.

Reicht eine KI-Richtlinie als Dokument?

Nein. Eine Richtlinie ohne Inventur, Schulung und gelebte Freigabeprozesse ist ein Feigenblatt. Behörden und Gerichte fragen nach der Praxis, nicht nach dem PDF.

Was ist mit DSGVO — ist das nicht dasselbe?

Nein, beide gelten parallel. Die DSGVO regelt personenbezogene Daten, der AI Act das KI-System selbst. Ein DSGVO-konformer ChatGPT-Einsatz kann trotzdem AI-Act-Pflichten auslösen — und umgekehrt.

Wir nutzen nur Microsoft-Produkte. Sind wir damit automatisch konform?

Nein. Microsoft liefert Werkzeuge und Zusagen als Anbieter — die Betreiberpflichten (Kompetenz, Transparenz, interne Governance) bleiben bei Ihnen.

Fazit: Der Omnibus ist eine Gnadenfrist für Hochrisiko — nicht für Sie

Wer die Verschiebung der Hochrisiko-Fristen als Entwarnung liest, verwechselt die Baustelle. Die Pflichten, die den typischen Mittelständler treffen, kommen zum 2. August 2026 — und sie sind mit überschaubarem Aufwand erfüllbar, wenn man jetzt beginnt statt im Juli.

Wo steht Ihr Unternehmen? Im kostenfreien Erstgespräch (30 Minuten) klären wir, welche AI-Act-Pflichten Sie konkret betreffen.