Zum Inhalt springen
← Alle Beiträge
· 4 Min. Lesezeit·Emre Yurtbay

EU AI Act ab August 2026 – was KMU bei ChatGPT, Copilot & Co. jetzt tun müssen

Ab 2. August 2026 greifen neue Pflichten aus dem EU AI Act. Was kleine Unternehmen wirklich beachten müssen – und was reine Panikmache ist.

KIEU AI ActComplianceDSGVOKMURecht

Kaum ein Betrieb arbeitet heute noch ohne KI: ChatGPT formuliert Angebote, Microsoft Copilot fasst Mails zusammen, ein Chatbot beantwortet Kundenfragen auf der Website. Und jetzt kommt mit dem EU AI Act das erste große KI-Gesetz der Welt – mit einem wichtigen Stichtag am 2. August 2026. Viele Unternehmerinnen und Unternehmer fragen sich: Muss ich jetzt etwas tun, oder ist das nur etwas für Tech-Konzerne?

Die kurze Antwort: Etwas Handeln ist sinnvoll, aber für die meisten kleinen Unternehmen ist die Pflichtenliste überschaubar. Dieser Beitrag ordnet ein, was auf den Mittelstand zukommt – nüchtern und ohne Panik.

Hinweis: Dieser Beitrag ist keine Rechtsberatung. Er gibt einen Überblick zum Stand Mitte 2026. Einzelne Fristen werden derzeit auf EU-Ebene noch nachjustiert (Stichwort „Digital Omnibus"). Im Zweifel sollten Sie Ihre konkrete Situation rechtlich prüfen lassen.

Der Fahrplan in Kürze

Der AI Act ist bereits am 1. August 2024 in Kraft getreten, gilt aber schrittweise:

  • 2. Februar 2025: Verbotene KI-Praktiken und die KI-Kompetenzpflicht (Artikel 4) gelten bereits.
  • 2. August 2025: Regeln für KI-Basismodelle (GPAI) und die Aufsicht starten.
  • 2. August 2026: Der Großteil der Pflichten greift – darunter die Transparenzpflichten (Artikel 50) und die meisten Hochrisiko-Anwendungen.
  • 2. August 2027: Letzte Hochrisiko-Kategorien folgen.

Der 2. August 2026 ist also der Termin, an dem das Gesetz für normale Anwender spürbar wird.

Erst einmal Entwarnung: Anbieter vs. Anwender

Der entscheidende Punkt, der in der Aufregung oft untergeht: Der AI Act unterscheidet zwischen Anbietern (wer ein KI-System entwickelt und auf den Markt bringt) und Betreibern bzw. Anwendern (wer es einfach nutzt).

Die schweren Pflichten – also ein KI-System gesetzeskonform zu bauen, KI-Ausgaben technisch zu kennzeichnen, umfangreiche Dokumentation zu führen – treffen die Anbieter: OpenAI, Microsoft, Google und Co. Ein typischer Handwerksbetrieb, eine Agentur oder eine Arztpraxis aus Recklinghausen ist dagegen Anwender. Damit ist die Liste der eigenen Pflichten deutlich kürzer. „Wir nutzen nur ChatGPT" heißt also nicht: nichts zu tun – aber eben auch nicht: alles neu.

Was kleine Unternehmen konkret beachten müssen

Für KMU als Anwender bleiben im Wesentlichen drei Themen:

1. KI-Kompetenz im Team (Artikel 4)

Schon seit Februar 2025 gilt: Wer KI im Betrieb einsetzt, muss für eine ausreichende KI-Kompetenz der beteiligten Mitarbeiterinnen und Mitarbeiter sorgen. Das ist keine Zertifizierung und kein teures Programm, sondern die Pflicht, dass Ihr Team weiß, was es tut: Wie funktionieren die Werkzeuge grundsätzlich, wo liegen die Grenzen, welche Daten dürfen hinein – und welche auf keinen Fall?

Konkret heißt das: eine kurze interne KI-Nutzungsrichtlinie und eine Sensibilisierung des Teams. Die Aufsicht über diese Pflicht beginnt ab August 2026 – jetzt ist der richtige Zeitpunkt, das sauber aufzusetzen.

2. Transparenz und Kennzeichnung (Artikel 50)

Ab 2. August 2026 müssen Anwender offenlegen, wenn Menschen es mit KI zu tun haben:

  • Chatbots: Wer auf seiner Website einen KI-Chatbot einsetzt, muss Besucher darüber informieren, dass sie mit einer KI sprechen – nicht mit einem Menschen.
  • KI-generierte Inhalte: Sogenannte Deepfakes (künstlich erzeugte oder manipulierte Bilder, Audios, Videos) müssen als solche gekennzeichnet werden.
  • Veröffentlichte KI-Texte: Texte zu Themen von öffentlichem Interesse, die KI-generiert veröffentlicht werden, müssen entsprechend ausgewiesen werden.

Für die meisten Betriebe ist Punkt eins der relevante: Ein Hinweis „Sie chatten mit einem KI-Assistenten" am Chatbot genügt der Pflicht in der Praxis.

3. Datenschutz bleibt Pflicht (DSGVO)

Der AI Act ersetzt nicht die DSGVO – er kommt obendrauf. Wer personenbezogene Daten in KI-Tools eingibt (Kundennamen, Gesundheitsdaten, Bewerberunterlagen), braucht weiterhin eine Rechtsgrundlage, einen Auftragsverarbeitungsvertrag mit dem Anbieter und sollte sensible Daten im Zweifel gar nicht erst eingeben. Das ist oft der größere Hebel als der AI Act selbst.

Was Sie jetzt sinnvoll tun können

  1. Bestandsaufnahme: Welche KI-Tools nutzt Ihr Betrieb tatsächlich – auch inoffiziell auf privaten Accounts?
  2. KI-Nutzungsrichtlinie aufsetzen: Eine Seite genügt: erlaubte Tools, Tabu-Daten, Verantwortliche, kurze Schulung. Damit erfüllen Sie Artikel 4.
  3. Chatbot und KI-Inhalte kennzeichnen: Wo KI sichtbar nach außen wirkt, einen klaren Hinweis ergänzen.
  4. DSGVO prüfen: Verträge und Datenflüsse Ihrer KI-Tools einmal sauber durchgehen.

Ein Wort zu den Fristen

Auf EU-Ebene wird der Zeitplan derzeit überarbeitet (das sogenannte „Digital Omnibus"-Paket). Diskutiert werden vor allem Verschiebungen bei den Hochrisiko-Anwendungen – die Transparenzpflichten aus Artikel 50 sind davon nach aktuellem Stand nicht betroffen und bleiben beim August-2026-Termin. Wir behalten die Entwicklung im Blick; an der Grundausrichtung für KMU ändert sich dadurch wenig.

Fazit

Der EU AI Act ist kein Grund, KI im Betrieb abzuschaffen – im Gegenteil. Für kleine Unternehmen läuft alles auf drei vernünftige Schritte hinaus: das Team schulen, KI transparent kennzeichnen und beim Datenschutz sauber bleiben. Das ist weniger eine Compliance-Last als gute Praxis, die Vertrauen schafft.

Sie sind unsicher, welche KI-Pflichten konkret für Ihren Betrieb gelten? In einem kostenlosen Erstgespräch sortieren wir Ihre Tools, Ihre Richtlinie und Ihren Datenschutz – pragmatisch und auf Augenhöhe.

Projekt besprechen