Kurze Antwort: Am 2. August 2026 wird der EU AI Act allgemein anwendbar. Ab diesem Stichtag greifen die Transparenzpflichten nach Art. 50 — Chatbots müssen sich als KI zu erkennen geben, Deepfakes und bestimmte KI-generierte Texte müssen gekennzeichnet sein. Für Verstöße drohen Bußgelder von bis zu 15 Mio. EUR oder 3 % des Jahresumsatzes. Verschoben wurden nur die Hochrisiko-Pflichten: auf Dezember 2027 (Anhang III) bzw. August 2028 (Anhang I). Die Verbote (Art. 5) und die KI-Kompetenzpflicht (Art. 4) gelten ohnehin schon seit Februar 2025.
Der 2. August 2026 ist der eigentliche Stichtag
Die Schlagzeilen zum AI Act drehten sich zuletzt fast nur um die Verschiebung: Die EU verlegt die Hochrisiko-Pflichten per Digital Omnibus auf Dezember 2027. Bei vielen Geschäftsführern ist davon hängen geblieben: „Der AI Act kommt später.“ Das stimmt nur für einen Teil der KI-Verordnung. Am 2. August 2026 wird der AI Act allgemein anwendbar – damit betrifft der Stichtag praktisch jedes Unternehmen, das KI einsetzt.
Wie groß die Lücke zwischen Rechtslage und Vorbereitung ist, zeigt die Bitkom-Studie zur KI-Nutzung 2026: 69 % der deutschen Unternehmen brauchen Hilfe bei der Umsetzung des AI Act, nur 24 % haben sich bisher überhaupt damit beschäftigt. Das war bislang vor allem ein organisatorisches Problem. Ab dem Stichtag kann es teuer werden: Für Verstöße gegen die Transparenzpflichten drohen Bußgelder von bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes, für verbotene Praktiken bis zu 35 Mio. EUR oder 7 %.
Was gilt wann? Die Timeline im Überblick
| Termin | Was | Status |
|---|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5), KI-Kompetenzpflicht für alle Unternehmen (Art. 4) | Gilt bereits |
| 2. August 2025 | Pflichten für Anbieter von General Purpose AI (GPAI) | Gilt bereits |
| 2. August 2026 | Transparenzpflichten (Art. 50): Chatbots, Deepfakes, KI-Texte. Durchsetzbare Bußgelder. KI-Reallabore in jedem Mitgliedstaat | Wird am 2. August 2026 verbindlich |
| 2. Dezember 2026 | Wasserzeichenpflicht für Anbieter generativer KI (Art. 50 Abs. 2) | Verschoben — ursprünglich 2. August 2026 (Digital Omnibus) |
| 2. Dezember 2027 | Hochrisiko-KI nach Anhang III: Konformitätsbewertung, Dokumentation | Verschoben — ursprünglich 2. August 2026 (Digital Omnibus) |
| 2. August 2028 | Hochrisiko-KI in regulierten Produkten (Anhang I) | Verschoben — ursprünglich 2. August 2027 (Digital Omnibus) |
Kurz gesagt: Die Verschiebung gibt Ihnen mehr Zeit für die Dokumentation von Hochrisiko-Systemen — aber keine zusätzliche Zeit für Transparenz, KI-Kompetenz und die Verbote.
Das wird am 2. August 2026 verbindlich
Transparenzpflichten (Art. 50): Kennzeichnen, was KI ist
Der wichtigste Praxisblock – und zugleich derjenige, der am häufigsten mit den verschobenen Hochrisiko-Regeln verwechselt wird. Ab dem 2. August 2026 wird Folgendes verbindlich (eine gute englischsprachige Übersicht liefert der Praxisleitfaden zu Art. 50 des AI Act Explorer):
- Chatbot-Offenlegung (Abs. 1): Unternehmen, die einen Chatbot oder Voicebot betreiben, müssen ihre Nutzer spätestens bei der ersten Interaktion klar darauf hinweisen, dass sie mit einer KI kommunizieren — außer es ist aus dem Kontext offensichtlich. Die EU-Leitlinien legen diese Ausnahme eng aus.
- Deepfake-Kennzeichnung (Abs. 4): KI-generierte oder KI-manipulierte Bilder, Audio- und Videoinhalte müssen als künstlich erzeugt gekennzeichnet werden.
- KI-Texte zu Themen von öffentlichem Interesse (Abs. 4): Veröffentlichte KI-Texte zu Themen wie Gesundheit, Sicherheit oder Verbraucherschutz brauchen eine Kennzeichnung — es sei denn, ein Mensch hat sie redaktionell geprüft und trägt erkennbar die Verantwortung.
- Emotionserkennung und biometrische Kategorisierung (Abs. 3): Betroffene Personen müssen über den Einsatz solcher Systeme informiert werden.
Wichtig für die Einordnung: Diese Pflichten treffen nicht nur Entwickler, sondern ausdrücklich auch Betreiber — also genau die Unternehmen, die KI-Tools einsetzen. Der Chatbot auf Ihrer Website, das KI-generierte Produktvideo, der automatisch erstellte Ratgeber-Text: alles Fälle für Art. 50.
Eine Teilpflicht wurde verschoben: Die maschinenlesbare Wasserzeichenpflicht für Anbieter generativer KI (Abs. 2) greift erst am 2. Dezember 2026. Sie betrifft die Modell-Anbieter, nicht die Anwender.
Bußgelder: gestaffelt, aber real
Mit der allgemeinen Anwendbarkeit wird auch das Sanktionsregime wirksam. Der oft zitierte Maximalrahmen von 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes greift nur bei verbotenen Praktiken nach Art. 5. Für Verstöße gegen die meisten übrigen Pflichten — darunter die Transparenzregeln des Art. 50 — sieht Art. 99 bis zu 15 Mio. EUR oder 3 % vor, jeweils der höhere Betrag. Das ist weniger, aber kein Kleingeld. Und anders als bisher stehen ab dem Stichtag Behörden bereit, die diese Regeln durchsetzen.
Aufsicht und KI-Reallabore
Bis zum 2. August 2026 muss jeder EU-Mitgliedstaat mindestens ein regulatorisches KI-Reallabor (Sandbox) eingerichtet haben, in dem Unternehmen KI-Systeme unter behördlicher Begleitung testen können. Außerdem kann die EU-Kommission ab dem Stichtag Bußgelder gegen Anbieter von General-Purpose-AI-Modellen verhängen — deren Pflichten bestehen schon seit August 2025, ab jetzt werden sie durchsetzbar.
Kurz gesagt: Ab dem 2. August 2026 muss jede KI, die mit Menschen interagiert oder Inhalte erzeugt, als KI erkennbar sein — und Verstöße können geahndet werden.
Das bleibt verschoben: die Hochrisiko-Pflichten
Der Digital Omnibus verschiebt die Pflichten für Hochrisiko-KI-Systeme: Konformitätsbewertung, CE-Kennzeichnung und detaillierte technische Dokumentation für eigenständige Hochrisiko-Systeme nach Anhang III greifen erst am 2. Dezember 2027. Für Hochrisiko-KI, die in regulierte Produkte eingebettet ist — etwa Medizingeräte oder Fahrzeuge (Anhang I) —, ist der 2. August 2028 maßgeblich.
Zum Verfahrensstand (Juli 2026): Rat und Parlament haben sich am 7. Mai 2026 auf den Omnibus geeinigt, das Parlament hat am 16. Juni zugestimmt, der Rat am 29. Juni. Formal fehlt nur noch die Veröffentlichung im EU-Amtsblatt, die vor dem 2. August erwartet wird — rechtlich wirksam wird die Verschiebung erst damit.
Eine Einordnung noch: 44 CEOs europäischer Konzerne — darunter Airbus, Philips und SAP — hatten 2025 ein vollständiges Moratorium gefordert. Die EU hat abgelehnt: Die Pflichten werden verschoben, aber nicht gestrichen.
Kurz gesagt: Verschoben sind nur die Hochrisiko-Pflichten — auf Dezember 2027 (Anhang III) bzw. August 2028 (Anhang I). Der Rest des Zeitplans steht.
Was schon länger gilt
Zwei Pflichtenblöcke sind bereits seit dem 2. Februar 2025 anzuwenden — unabhängig vom Stichtag im August:
Verbotene KI-Praktiken (Art. 5)
Bestimmte KI-Anwendungen sind in der EU komplett verboten:
- Social Scoring durch Behörden oder Unternehmen
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (mit eng definierten Ausnahmen für Strafverfolgung)
- Manipulative KI-Systeme, die das Verhalten von Personen unterschwellig beeinflussen
- Ausnutzung von Schwächen bestimmter Personengruppen (Alter, Behinderung, soziale Lage)
Für die meisten Mittelständler sind diese Verbote nicht direkt relevant. Aber wenn Sie KI im HR-Bereich einsetzen — etwa für Bewerbungs-Screening oder Mitarbeiter-Monitoring — sollten Sie genau prüfen, ob Ihre Systeme in eine verbotene Kategorie fallen.
KI-Kompetenzpflicht (Art. 4)
Das ist die Pflicht, die wirklich jeden betrifft. Art. 4 des AI Act verlangt: Alle Unternehmen, die KI-Systeme einsetzen oder bereitstellen, müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen.
Es gibt keine Ausnahmen nach Unternehmensgröße. Es gibt keine Übergangsfrist. Diese Pflicht besteht seit Februar 2025.
Konkret heißt das:
- Mitarbeiter, die mit KI-Systemen arbeiten, müssen verstehen, was diese Systeme tun und wo ihre Grenzen liegen
- Das Kompetenzniveau muss dem Risiko angemessen sein — wer KI für Personalentscheidungen nutzt, braucht mehr Schulung als jemand, der ChatGPT für E-Mail-Entwürfe verwendet
- Die Schulung muss dokumentiert sein
Kurz gesagt: Verbote und KI-Kompetenzpflicht sind seit Februar 2025 verbindlich — wer hier Lücken hat, schließt sie am besten vor dem Stichtag.
Das Durchführungsgesetz: Wo Deutschland steht
Deutschland hat sich mit den Zuständigkeiten Zeit gelassen — jetzt ist das Verfahren abgeschlossen. Am 11. Februar 2026 hat das Bundeskabinett das Durchführungsgesetz zur KI-Verordnung beschlossen, im Juni 2026 hat der Bundestag es verabschiedet. Am 10. Juli 2026 hat der Bundesrat es gebilligt; ein Antrag auf Anrufung des Vermittlungsausschusses fand keine Mehrheit (Stand: Juli 2026).
Die wichtigsten Punkte:
- Die Bundesnetzagentur wird zentrale KI-Aufsichtsbehörde — Marktüberwachung, Beschwerdestelle für Bürger und ein Koordinierungs- und Kompetenzzentrum, das KI-Expertise für andere Behörden und Unternehmen bündelt
- Datenschutzbehörden setzen Prüfungsschwerpunkte — insbesondere KI im HR-Bereich und im Marketing stehen im Fokus
- Bußgeldrahmen folgt der EU-Verordnung — bis zu 35 Mio. EUR oder 7 % bei verbotenen Praktiken, bis zu 15 Mio. EUR oder 3 % bei Verstößen gegen Pflichten wie die Transparenzregeln
Kurz gesagt: Deutschland bekommt mit der Bundesnetzagentur eine zentrale KI-Aufsicht. Die Durchsetzung ist kein theoretisches Szenario mehr — zum Stichtag steht die Behörde bereit.
KMU-Erleichterungen: Was der Mittelstand wissen muss
Die EU hat erkannt, dass der AI Act kleine und mittlere Unternehmen überproportional belasten könnte. Deshalb gibt es gezielte Erleichterungen:
- Vereinfachte Dokumentation: KMU müssen keine vollständigen technischen Dossiers erstellen, wenn sie KI-Systeme nur einsetzen (nicht entwickeln)
- KI-Reallabore: Bis zum 2. August 2026 muss jeder Mitgliedstaat mindestens ein regulatorisches Reallabor betreiben, in dem Unternehmen KI-Systeme unter behördlicher Begleitung testen können
- Erweiterte Small-Mid-Cap-Kategorie: Unternehmen mit bis zu 750 Mitarbeitern fallen in eine Kategorie mit reduzierten Anforderungen
Kurz gesagt: KMU müssen für Hochrisiko-Systeme deutlich weniger dokumentieren — von KI-Kompetenz- und Transparenzpflichten befreit sind sie nicht.
Checkliste: Was bis zum 2. August 2026 zu tun ist
Bis zum Stichtag:
- KI-Inventar erstellen: Welche KI-Systeme sind im Einsatz — auch die Tools, die Fachabteilungen ohne Freigabe der IT nutzen? Welche Anbieter, welche Daten?
- Chatbots und Voicebots kennzeichnen: Jede KI, die mit Kunden oder Nutzern interagiert, muss sich als KI zu erkennen geben
- KI-generierte Inhalte prüfen: Deepfakes und KI-Texte zu Themen von öffentlichem Interesse brauchen eine Kennzeichnung — legen Sie jetzt Prozesse fürs Marketing fest
- KI-Kompetenz dokumentieren: Die Schulungspflicht nach Art. 4 besteht seit Februar 2025 — wer sie aufgeschoben hat, holt sie am besten vor dem Stichtag nach
In den nächsten 6 Monaten:
- Risikobewertung durchführen: Welche Ihrer KI-Systeme könnten als Hochrisiko eingestuft werden?
- Anbieter prüfen: Stellen Ihre KI-Anbieter die nötige Dokumentation bereit? Sind sie DSGVO-konform?
- Verantwortlichkeiten klären: Wer ist in Ihrem Unternehmen für KI-Compliance zuständig?
- DSGVO-Synergien nutzen: Viele AI-Act-Anforderungen überschneiden sich mit bestehenden DSGVO-Pflichten
Bis Dezember 2027:
- Konformitätsbewertung für Hochrisiko-Systeme abschließen
- Technische Dokumentation erstellen
- Qualitätsmanagementsystem für KI implementieren
Worauf Sie bei KI-Anbietern achten sollten
Nicht nur Ihr eigenes Unternehmen muss compliant sein — auch die KI-Systeme, die Sie einsetzen. Fragen Sie Ihre Anbieter:
- Wo werden die Daten verarbeitet? EU-Hosting ist keine Garantie für Compliance, aber ein wichtiger Baustein
- Ist das System transparent? Können Sie nachvollziehen, wie Ergebnisse zustande kommen?
- Werden personenbezogene Daten verarbeitet? Wenn ja: Gibt es eine DSGVO-konforme Rechtsgrundlage?
- Gibt es eine technische Dokumentation? Seriöse Anbieter stellen diese bereit
- Wie deterministisch ist das System? Liefert es bei gleicher Eingabe das gleiche Ergebnis — oder rät es?
Transparenz und Nachvollziehbarkeit: der oneAgent-Ansatz
Bei der Entwicklung von oneAgent haben wir Compliance nicht nachträglich angeschraubt, sondern von Anfang an mitgedacht:
- Deterministisch: oneAgent übersetzt Ihre Fragen in präzise Datenbankabfragen. Es gibt keine Halluzinationen, weil keine generativen Modelle auf Ihre Geschäftsdaten losgelassen werden. Ein automatischer Prüf-Layer verifiziert jede Antwort gegen Ihre echten Daten.
- Transparent: Sie sehen bei jeder Antwort, welche Datenquellen abgefragt wurden und welche Schritte, Regeln und Filter zum Ergebnis geführt haben — nachvollziehbar statt Black Box.
- Keine Personendaten-Analyse: oneAgent analysiert Geschäftskennzahlen — Umsatz, Lagerbestände, Conversion Rates. Keine Mitarbeiter-Überwachung, kein Scoring, keine biometrischen Daten.
- DSGVO-konform: Hosting in Frankfurt, kein Training auf Ihren Daten. Mehr zu unserem Datenschutz-Ansatz.
- On-Premise möglich: Für Unternehmen mit besonders strengen Anforderungen kann oneAgent vollständig in Ihrer eigenen Infrastruktur betrieben werden.
Das bedeutet nicht, dass jedes KI-System auf diese Weise aufgebaut sein muss. Aber es zeigt, dass KI-Datenanalyse und volle Compliance kein Widerspruch sein müssen.
Fazit: Der Stichtag ist berechenbar — nutzen Sie das
Am 2. August 2026 passiert beides gleichzeitig: Der AI Act wird allgemein anwendbar, und die Hochrisiko-Pflichten bleiben verschoben. Wer diese beiden Dinge auseinanderhält, kann gelassen planen — Transparenzpflichten und Kennzeichnung jetzt umsetzen, KI-Kompetenz dokumentieren, die Hochrisiko-Dokumentation bis Ende 2027 vorbereiten.
Unternehmen, die jetzt handeln, vermeiden nicht nur Last-Minute-Hektik, sondern schaffen zugleich die Grundlage für einen sicheren und nachhaltigen KI-Einsatz.
Wenn Sie nach einer KI-Lösung für Ihre Datenanalyse suchen, die von Anfang an auf Transparenz und Datensicherheit setzt — testen Sie oneAgent kostenlos. Keine Kreditkarte nötig, keine versteckten Kosten. Wenn Sie zuerst den Markt sondieren wollen, lesen Sie unseren Vergleich der besten KI-Analytics-Tools für den Mittelstand 2026.
