EU AI Act ab 2. August 2026: Was für KMU wirklich gilt
Am 2. August 2026 wird der größte Teil der EU-KI-Verordnung anwendbar. Diese Frist steht seit 2024 im Kalender, und genau deshalb kursieren gerade viele halbgare Warnungen. Die Wahrheit ist nüchterner – und für kleine und mittlere Unternehmen besser, als die meisten Schlagzeilen behaupten. Denn kurz vor dem Stichtag hat die EU mit dem sogenannten Digital Omnibus zentrale Pflichten verschoben.
Dieser Beitrag ordnet ein, was am 2. August tatsächlich greift, was nach hinten gerückt ist und warum Sie trotzdem nicht abwarten sollten. Es ist der erste Teil einer dreiteiligen Serie für den Mittelstand.
Worum es bei der KI-Verordnung überhaupt geht
Die KI-Verordnung (AI Act) ist seit 1. August 2024 in Kraft. Sie reguliert nicht die Technik an sich, sondern den Einsatz von KI nach Risiko. Je höher das Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Ein Tool zur Rechtschreibkorrektur fällt unter die mildeste Stufe, ein KI-System für die Personalauswahl unter die schärfste.
Wichtig für die Einordnung: Die Verordnung gilt stufenweise. Manches ist längst aktiv, anderes kommt jetzt, und ein großer Block wurde erst kürzlich nach hinten geschoben. Wer alles in einen Topf wirft, baut entweder unnötige Panik auf oder unterschätzt die echten Aufgaben.
Was bereits seit Februar 2025 gilt
Zwei Dinge sind längst scharf gestellt – das geht im Trubel um den August oft unter.
Erstens: das Verbot bestimmter KI-Praktiken. Dazu zählen etwa Social Scoring, manipulative Systeme, die das Verhalten gezielt unterlaufen, oder Emotionserkennung am Arbeitsplatz. Für die allermeisten KMU sind diese Praktiken ohnehin kein Thema – aber sie sind verboten, nicht nur reguliert.
Zweitens: die KI-Kompetenzpflicht (Artikel 4). Unternehmen müssen sicherstellen, dass Mitarbeitende, die mit KI arbeiten, diese auch verstehen. Das ist keine Formalie für Großkonzerne. Wenn in Ihrem Team jemand ein KI-Tool für Angebote, Texte oder Auswertungen nutzt, fallen Sie darunter. Ein nachweisbares Grundverständnis im Team ist seit Februar 2025 Pflicht.
Was am 2. August 2026 wirklich greift
Am Stichtag wird der Großteil der Verordnung anwendbar – inklusive der Aufsichts- und Sanktionsstruktur. Für den Mittelstand ist davon vor allem ein Block praxisrelevant: die Transparenzpflichten nach Artikel 50.
Konkret bedeutet das:
- Wer einen Chatbot oder KI-Assistenten einsetzt, mit dem Kunden direkt schreiben, muss klar machen, dass es sich um KI handelt – nicht um einen Menschen.
- KI-generierte Inhalte wie Texte, Bilder oder Audio, die öffentlich verwendet werden, müssen als solche erkennbar sein.
- Deepfakes und realistisch wirkende künstliche Inhalte sind kennzeichnungspflichtig.
Diese Pflichten sind handfest und betreffen viele KMU, die heute beiläufig generative KI im Kundenkontakt nutzen. Eine technische Ausnahme: Die maschinenlesbare Markierung künstlicher Inhalte (Wasserzeichen, Artikel 50 Absatz 2) bekommt eine Schonfrist bis zum 2. Dezember 2026. Die grundsätzliche Offenlegungspflicht gilt aber ab August.
Dazu kommt: Ab diesem Datum steht die Durchsetzung. Bei Verstößen drohen empfindliche Bußgelder – bei verbotenen Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, bei Hochrisiko-Verstößen bis zu 15 Millionen Euro oder 3 Prozent. Für KMU gilt jeweils der niedrigere der beiden Beträge als Obergrenze. Das relativiert die Schlagzahlen, macht das Thema aber nicht harmlos.
Was der Digital Omnibus verschoben hat
Hier liegt die eigentliche Nachricht. Im Mai 2026 haben sich Rat, Parlament und Kommission auf den Digital Omnibus geeinigt – das erste Änderungspaket zur KI-Verordnung. Die formale Verabschiedung steht zum Zeitpunkt dieses Beitrags noch aus, soll aber vor dem 2. August erfolgen.
Der Kern für KMU: Die Pflichten für Hochrisiko-Systeme nach Anhang III – also etwa KI in Personalauswahl, Kreditvergabe oder kritischer Infrastruktur – wurden vom 2. August 2026 auf den 2. Dezember 2027 verschoben. KI, die in regulierte Produkte eingebettet ist (Anhang I), bekommt sogar bis 2. August 2028 Zeit.
Das ist eine spürbare Entlastung. Wer dachte, er müsse bis August ein komplettes Risikomanagement, technische Dokumentation und Konformitätsbewertung für ein Hochrisiko-System stemmen, hat nun über ein Jahr mehr. Entwarnung ist es trotzdem keine: Die Anforderungen kommen, sie sind nur terminlich gestreckt. Und die Frist greift erst, wenn der Omnibus offiziell im EU-Amtsblatt veröffentlicht ist.
Warum Abwarten der falsche Schluss wäre
Die verschobene Hochrisiko-Frist verleitet zum Nichtstun. Das wäre ein Fehler – aus zwei Gründen.
Erstens greifen die Transparenzpflichten und die Kompetenzpflicht unabhängig vom Omnibus. Wer KI im Kundenkontakt nutzt, hat im August konkrete Aufgaben, egal wie die Hochrisiko-Frist liegt.
Zweitens beginnt die eigentliche Arbeit nicht mit der Technik, sondern mit dem Überblick. Die meisten Mittelständler wissen gar nicht genau, wo überall KI im Unternehmen läuft – im Marketing-Tool, im Buchhaltungssystem, im Bewerbermanagement. Ohne diese Inventur lässt sich keine Frist sinnvoll planen. Genau das ist ein Prozessthema, kein Tool-Thema: Erst wenn klar ist, welche Anwendung wofür genutzt wird und wer dafür verantwortlich ist, wird Compliance steuerbar.
In den nächsten beiden Teilen dieser Serie gehen wir konkreter ins Detail. Teil 2 zeigt, welche KMU-Prozesse in welche Risikoklasse fallen. Teil 3 liefert die Handlungs-Checkliste bis zum Stichtag.
Der nächste Schritt
Sie müssen den AI Act nicht im Alleingang sortieren. Sinnvoll ist ein klarer erster Überblick: Welche KI nutzen Sie heute, welche Pflichten daraus greifen wann, und wo besteht echter Handlungsbedarf.
Genau dort setzen wir an. In einem kostenlosen Erstgespräch ordnen wir Ihre Ausgangslage ein und zeigen, welche Schritte für Ihr Unternehmen wirklich zählen. Termin vereinbaren unter process-vision.de.
Das könnte Sie auch interessieren: Teil 2 der Serie – „Welche KI-Prozesse im KMU vom AI Act betroffen sind".
Quellen: