Zurück zum Blog
EU AI ActComplianceMittelstandRechtKI

EU AI Act für KMU: Was ab August 2026 wirklich gilt

Das AI-Omnibus-Paket hat im Mai 2026 vieles entschärft. Was am 2. August 2026 wirklich scharf wird, was verschoben wurde, was schon längst gilt — und fünf pragmatische Schritte für deutsche KMU.

16. Mai 2026KnowledgePilot Team6 Min. Lesezeit

Am 7. Mai 2026 hat Brüssel sich leise auf eine Verschiebung geeinigt. Im Mittelstand ist es kaum jemandem aufgefallen. Während die meisten Unternehmen seit Monaten den 2. August 2026 als Schreckenstermin im Kalender stehen haben, hat das „AI Omnibus"-Paket einige der härtesten Pflichten nach hinten geschoben — andere bleiben bestehen. Und ein paar wichtige Verpflichtungen sind ohnehin längst aktiv, ohne dass es viele KMU mitbekommen hätten.

Dieser Artikel sortiert: Was kommt im August 2026 wirklich auf deutsche KMU zu? Was wurde verschoben? Was gilt schon längst? Und welche fünf Schritte sind jetzt sinnvoll?

Stand der Dinge in drei Sätzen

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Seine Bestimmungen werden gestaffelt anwendbar, mit dem 2. August 2026 als zentralem Termin für den Großteil der Pflichten. Im Mai 2026 hat sich die EU auf eine Vereinfachung geeinigt — den sogenannten Digital Omnibus oder „AI Omnibus" — der einige Termine nach hinten schiebt.

Was ab August 2026 wirklich kommt

Trotz Omnibus bleibt der 2. August 2026 ein wichtiger Termin. Folgendes wird dann scharf:

Transparenzpflichten (Artikel 50). Chatbots und KI-Systeme, die mit Menschen interagieren, müssen sich als KI zu erkennen geben. Wer KI-generierte Inhalte veröffentlicht — etwa synthetische Bilder, Audio oder Texte zu Themen von öffentlichem Interesse — muss sie kennzeichnen. Deepfakes müssen explizit als solche ausgewiesen werden.

Governance und Strafrahmen. Die Aufsichtsstrukturen werden formell zuständig. Vor allem aber: Die Strafvorschriften werden vollstreckbar. Die Strafrahmen sind erheblich — bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes bei den schwersten Verstößen, je nachdem, welcher Betrag höher ist.

Pflichten für GPAI-Anbieter. Anbieter von Allzweck-KI-Modellen — OpenAI, Anthropic, Google, Mistral & Co. — müssen umfassende Dokumentations- und Risikomanagement-Pflichten erfüllen. Für deutsche KMU als Anwender nicht direkt relevant, aber: Diese Pflichten wirken sich indirekt aus, weil Anbieter ihre Dokumentation an Geschäftskunden weiterreichen werden.

Marktbeobachtungs-Rahmen. Die Strukturen für Markteingriffe, Beschwerden und Meldewege werden operativ.

Was verschoben wurde — und das ist die wichtigere Nachricht für KMU

Hier liegt der entscheidende Punkt: Die häufig zitierten „Hochrisiko-Pflichten" wurden im Mai 2026 nach hinten geschoben.

Standalone-Hochrisiko-Systeme: Anwendbar erst ab 2. Dezember 2027. Das betrifft KI-Systeme aus Annex III — etwa Biometrie, kritische Infrastruktur, Bildung, Beschäftigung (zum Beispiel automatisches Lebenslauf-Screening), Migration, Strafverfolgung, Justiz.

Eingebettete Hochrisiko-Systeme: Anwendbar erst ab 2. August 2028. Das betrifft KI in regulierten Produkten — Maschinen, Medizinprodukte, Spielzeug, Aufzüge.

Regulatorische Sandboxes: Die Frist zur Etablierung wurde von August 2026 auf August 2027 verschoben.

Warum die Verschiebung? Die für die Compliance nötigen harmonisierten Normen (EN-Standards) waren nicht rechtzeitig fertig. Ohne diese Normen wären Unternehmen mit Rechtsunsicherheit konfrontiert gewesen. Die EU hat reagiert.

Was schon längst gilt — und viele KMU übersehen haben

Hier wird es interessant. Drei Verpflichtungen sind bereits aktiv, und nicht jeder Geschäftsführer weiß das:

Verbotene Praktiken (seit 2. Februar 2025). Bestimmte KI-Anwendungen sind komplett verboten — Social Scoring, manipulative emotionsbasierte Werbung, ungezielte Gesichtsbild-Crawler. Für die meisten KMU nicht relevant, aber: Wer Bewerbungen mit Emotion-Recognition vorsortiert, ist betroffen.

AI Literacy (seit 2. Februar 2025). Artikel 4 verpflichtet jedes Unternehmen, das KI einsetzt, dafür zu sorgen, dass seine Mitarbeiter „ein ausreichendes Maß an KI-Kompetenz" haben. Das gilt seit über einem Jahr — und ist in vielen KMU schlicht nicht umgesetzt. Was „ausreichend" heißt, ist nicht abschließend definiert; sinnvoll ist eine dokumentierte interne Schulung mindestens einmal jährlich.

Pflichten für Allzweck-KI-Modelle (seit 2. August 2025). Wer GPAI-Modelle anbietet, hat seitdem Dokumentations- und Transparenzpflichten. Für KMU als Anwender bedeutet das vor allem: Ihre Anbieter müssen Ihnen die nötigen Informationen liefern. Wenn ein KI-Anbieter Ihnen keine Dokumentation zu seinen Modellen geben kann, ist das ein Warnsignal.

Anbieter oder Anwender? Diese Frage entscheidet fast alles

Die wichtigste Klärung für jeden Geschäftsführer: Die meisten deutschen KMU sind Anwender (Deployer) von KI, nicht Anbieter. Sie kaufen ein KI-Produkt ein und setzen es ein. Sie entwickeln keine eigenen KI-Modelle und bringen keine KI-Systeme in den Verkehr.

Für Anwender sind die Pflichten deutlich weniger umfangreich als für Anbieter. Im Kern bedeutet das:

  • Sie müssen das KI-System bestimmungsgemäß einsetzen — so, wie der Anbieter es vorgesehen hat. Wer einen Übersetzungs-Bot zur Risiko-Bewertung von Kreditanträgen zweckentfremdet, baut faktisch ein Hochrisiko-System.
  • Sie müssen menschliche Aufsicht sicherstellen — KI-Ausgaben müssen überprüfbar sein, bevor sie verbindliche Wirkung entfalten.
  • Bei Hochrisiko-Systemen müssen Protokolle sechs Monate aufbewahrt werden.
  • Wer mit KI Entscheidungen über Menschen trifft (Personalauswahl, Kreditvergabe, ähnliches), muss diese Personen informieren.
  • Wo KI mit Kunden interagiert, muss das nach Artikel 50 ab August 2026 offengelegt werden.

Die fünf Schritte für KMU jetzt

Pragmatisch, ohne juristische Schnörkel:

1. KI-Inventur. Verschaffen Sie sich einen Überblick: Welche KI-Tools nutzen wir wo im Unternehmen? Microsoft Copilot, ChatGPT, ein Chatbot auf der Website, eine KI-gestützte Buchhaltungssoftware — alles zählt. Auch die KI, die einzelne Mitarbeiter privat im Browser nutzen, sollte erfasst sein. Eine einfache Tabelle mit drei Spalten reicht zum Anfang: Tool, Einsatzfeld, Verantwortlicher.

2. Klassifizierung. Für jeden Einsatzfall: Fällt das unter Annex III (Hochrisiko)? In den allermeisten Fällen lautet die Antwort: nein. Interne Wissens-Assistenten, Übersetzungstools, Marketing-Texthilfen — kein Hochrisiko. Aber prüfen Sie ehrlich: Wenn KI Bewerbungen vorsortiert oder Kreditwürdigkeit beurteilt, sieht es anders aus.

3. AI Literacy nachholen. Wenn noch nicht geschehen: Mitarbeiterschulung organisieren. Das muss kein aufwändiges Programm sein, aber dokumentiert und nachweisbar. Eine zweistündige interne Sitzung mit klaren Regeln zum Einsatz („Was dürfen wir, was nicht?") reicht für den Einstieg. Wichtig ist die Dokumentation — Datum, Teilnehmer, Inhalt.

4. Transparenz prüfen. Wo interagiert KI bei Ihnen mit Kunden, Bewerbern oder Mitarbeitern? Diese Stellen brauchen ab August 2026 eine Kennzeichnung. Beispiele: Chatbot auf der Website, automatisch generierte Kundenmails, KI-Vorprüfung von Bewerbungen. Die Kennzeichnung muss verständlich sein — eine Fußnote im Impressum reicht nicht.

5. Datenhoheit und Nachvollziehbarkeit absichern. Wer KI einsetzt, sollte wissen: Wo werden die Daten verarbeitet? Auf wessen Cloud? Mit welchen Quellen arbeitet die KI? Eine KI, die nicht sagen kann, woher ihre Antwort kommt, ist im Unternehmenseinsatz immer ein Risiko — unabhängig vom AI Act.

Einordnung: Wer einen internen Wissens-Assistenten einsetzt, ist meistens kein Hochrisiko-Anbieter

Eine wichtige Beruhigung zum Schluss. Wer einen internen KI-Assistenten für Mitarbeiter einsetzt — um Fragen zu Dokumenten, Richtlinien oder Erfahrungswissen zu beantworten — ist in aller Regel kein Anbieter eines Hochrisiko-Systems. Diese Anwendungen fallen nicht unter Annex III. Es greifen die Anwenderpflichten, aber nicht der volle Hochrisiko-Katalog.

Was dennoch wichtig bleibt, gilt unabhängig vom AI Act: Datenhoheit, Quellenangaben in Antworten, klare Rollen und Zugriffsrechte. Bei KnowledgePilot bauen wir das nicht, weil ein Gesetz es vorschreibt — sondern weil ohne diese Eigenschaften KI im KMU schlicht nicht zuverlässig funktioniert. Der AI Act ist insofern weniger eine neue Hürde als eine Bestätigung dessen, was im Mittelstand ohnehin schon immer galt: Wer Verantwortung trägt, muss nachvollziehen können, worauf seine Entscheidungen beruhen.

Quellen und weiterführende Informationen:

Hinweis: Dieser Beitrag dient der Information und Orientierung. Er ersetzt keine individuelle Rechtsberatung. Im Zweifel konsultieren Sie eine im IT-Recht spezialisierte Kanzlei.

Erfahren Sie, wie KnowledgePilot Ihrem Unternehmen hilft, Wissen zu bewahren und produktiv zu nutzen.

Kontakt herstellen

Weitere Artikel

Mandanten-, Patienten- und Kundendaten gehören nicht in eine US-Cloud

Warum die Wahl des KI-Anbieters für Berufsgeheimnisträger keine Komfortfrage ist — sondern eine Rechtsfrage. § 203 StGB, CLOUD Act und DSGVO im Überblick.

Shadow AI im Unternehmen – das unterschätzte Risiko

Das unterschätzte Risiko in deutschen Unternehmen.

Warum Unternehmen keine Universal-KI brauchen

Die meisten KI-Projekte scheitern. Der Grund: Unternehmen brauchen maßgeschneiderte Lösungen, keine Universaltools.