EU AI Act im August 2026: Was KMU mit KI-Einsatz jetzt beachten sollten

Der EU AI Act ist nicht mehr nur ein Thema für große Tech-Anbieter. Für kleine und mittlere Unternehmen, die KI im Vertrieb, Support, HR, Marketing, in internen Workflows oder in Kundenprozessen einsetzen, rückt vor allem der 2. August 2026 in den Fokus. Ab diesem Datum greifen zentrale Teile der Verordnung, insbesondere Transparenzpflichten und die Durchsetzung durch Aufsichtsbehörden.

Gleichzeitig hat sich die Lage im Mai 2026 noch einmal verschoben: Rat und Parlament haben sich politisch auf Vereinfachungen im Rahmen des sogenannten Digital Omnibus geeinigt. Viele Hochrisiko-Pflichten sollen dadurch später anwendbar werden. Für KMU ist das keine Entwarnung, sondern ein guter Moment, die eigene KI-Nutzung sauber zu ordnen.

Was am 2. August 2026 wichtig wird

Nach dem offiziellen Zeitplan der EU treten am 2. August 2026 die meisten Regeln des AI Act in die Anwendung. Besonders relevant für Unternehmen, die KI nicht selbst als Modellanbieter entwickeln, sondern KI-Systeme einsetzen:

• Transparenzpflichten nach Artikel 50 werden anwendbar.
• Menschen müssen in bestimmten Fällen erkennen können, dass sie mit einem KI-System interagieren.
• KI-generierte oder manipulierte Inhalte müssen in bestimmten Szenarien erkennbar gemacht werden.
• Nationale und europäische Durchsetzung startet breiter.
• Innovationsmaßnahmen und regulatorische Sandboxes werden weiter aufgebaut.

Praktisch heißt das: Ein KMU, das einen Chatbot auf der Website nutzt, KI-generierte Texte veröffentlicht, synthetische Bilder in Kampagnen einsetzt oder KI-Funktionen in Kundenprozesse integriert, sollte prüfen, ob Nutzerinnen und Nutzer ausreichend informiert werden.

Hochrisiko-KI: Frist verschoben, Risiko nicht verschwunden

Ursprünglich sollten viele Regeln für Hochrisiko-KI ebenfalls ab dem 2. August 2026 greifen. Nach der politischen Einigung zum Digital Omnibus ist jedoch ein neuer Zeitplan vorgesehen: Stand-alone-Hochrisiko-Systeme, etwa in Bereichen wie Beschäftigung, Bildung, kritische Infrastruktur, biometrische Systeme oder Migration, sollen ab dem 2. Dezember 2027 erfasst werden. KI-Systeme, die in regulierte Produkte eingebettet sind, sollen ab dem 2. August 2028 folgen.

Wichtig ist die Einordnung: Diese Verschiebung betrifft vor allem die volle Anwendung der Hochrisiko-Anforderungen. Sie bedeutet nicht, dass Unternehmen bis dahin ohne Governance arbeiten sollten. Wer heute KI für Bewerberauswahl, Leistungsbewertung, Kreditentscheidungen, Sicherheitsprozesse oder andere sensible Entscheidungen nutzt, sollte bereits jetzt dokumentieren, welche Systeme eingesetzt werden, welche Daten verarbeitet werden und wer menschliche Kontrolle ausübt.

Was KMU konkret prüfen sollten

Für kleine und mittlere Unternehmen ist der erste Schritt keine große Compliance-Plattform, sondern ein belastbares KI-Inventar. Viele Risiken entstehen nicht durch ein einzelnes großes KI-Projekt, sondern durch viele kleine Tools, Browser-Erweiterungen, SaaS-Funktionen und Automatisierungen.

• Welche KI-Tools werden im Unternehmen genutzt?
• Werden personenbezogene oder vertrauliche Daten eingegeben?
• Wird KI nur intern genutzt oder wirkt sie direkt auf Kunden, Bewerber oder Mitarbeitende?
• Werden Inhalte veröffentlicht, die ganz oder teilweise KI-generiert sind?
• Gibt es menschliche Prüfung vor wichtigen Entscheidungen?
• Sind Verantwortlichkeiten für Freigabe, Monitoring und Datenqualität geklärt?

Dieses Inventar hilft nicht nur für den AI Act. Es verbessert auch Datenschutz, IT-Sicherheit, Lieferantenmanagement und interne Qualitätssicherung.

Transparenz wird zur operativen Aufgabe

Die Transparenzpflichten klingen zunächst einfach, werden in der Praxis aber schnell konkret. Ein Website-Chatbot braucht eine klare Kennzeichnung. KI-generierte Produktbilder oder Marketingmotive können Kennzeichnungspflichten auslösen. Bei Deepfakes, synthetischen Stimmen oder KI-generierten Veröffentlichungen zu Themen von öffentlichem Interesse steigen die Anforderungen.

Für KMU lohnt sich deshalb ein Standardprozess:

• KI-generierte Inhalte vor Veröffentlichung klassifizieren.
• Chatbots und KI-Assistenten sichtbar kennzeichnen.
• Vorlagen für Hinweise in Websites, E-Mails und Support-Prozessen erstellen.
• Bei sensiblen Anwendungsfällen eine kurze Risiko- und Freigabeprüfung durchführen.
• Lieferanten fragen, welche AI-Act-Funktionen sie bereitstellen, etwa Kennzeichnung, Logging oder Dokumentation.

Warum August 2026 trotzdem knapp ist

Auch wenn viele Hochrisiko-Pflichten später kommen sollen, bleibt bis August 2026 wenig Zeit für die Grundlagen. Die meisten KMU haben bereits KI im Einsatz, ohne dass sie zentral beschafft oder dokumentiert wurde. Genau dort entsteht die Lücke zwischen praktischer Nutzung und regulatorischer Nachweisbarkeit.

Ein pragmatischer Fahrplan bis August 2026 sieht so aus:

• KI-Inventar erstellen und Verantwortliche benennen.
• Tools nach Risiko einordnen: minimal, transparenzrelevant, potenziell hochriskant.
• Datenschutz- und Vertraulichkeitsregeln für Eingaben in KI-Systeme aktualisieren.
• Transparenzhinweise für Chatbots, generierte Inhalte und automatisierte Interaktionen umsetzen.
• Beschaffungsfragen für neue KI-Tools standardisieren.
• Mitarbeitende schulen, insbesondere zu Prompts, Daten, menschlicher Kontrolle und Grenzen von KI-Ergebnissen.

Was das für typische KMU-Szenarien bedeutet

Ein Support-Chatbot auf der Website ist meist kein Hochrisiko-System, benötigt aber klare Transparenz: Nutzer sollten wissen, dass sie mit KI interagieren. Ein internes KI-Tool zur Zusammenfassung von Tickets ist meist unkritischer, solange keine vertraulichen Daten unkontrolliert an externe Dienste fließen. Ein Tool zur Vorauswahl von Bewerbungen ist dagegen deutlich sensibler und kann in den Hochrisiko-Bereich fallen.

Marketing-Teams sollten zusätzlich darauf achten, ob Bilder, Stimmen oder Videos künstlich erzeugt oder manipuliert wurden. HR, Geschäftsführung und IT sollten gemeinsam prüfen, ob KI-Ergebnisse Entscheidungen nur vorbereiten oder faktisch automatisieren. Der Unterschied ist für Governance und Haftungsrisiken wesentlich.

Fazit

Der EU AI Act zwingt KMU nicht dazu, KI-Projekte zu stoppen. Er zwingt sie aber dazu, KI bewusster zu betreiben. Der 2. August 2026 ist vor allem ein Datum für Transparenz, Governance und Aufsicht. Die erwartete Verschiebung vieler Hochrisiko-Pflichten auf 2027 beziehungsweise 2028 verschafft Zeit, aber nur Unternehmen mit sauberem Überblick werden diese Zeit sinnvoll nutzen.

EU AI Act, KI-Regulierung, Compliance sind zentrale Konzepte, die Unternehmen im Jahr 2026 verstehen sollten, um wettbewerbsfähig zu bleiben.

• Riskobasierte Einstufung von KI-Systemen
• Dokumentationspflichten und Transparenzanforderungen
• Menschliche Aufsicht bei Hochrisiko-KI-Systemen
• Sanktionen bei Nichteinhaltung (bis zu 7 % des Umsatzes)

Wer heute ein KI-Inventar aufbaut, klare Transparenzregeln umsetzt und sensible Anwendungsfälle früh prüft, reduziert spätere Compliance-Kosten und gewinnt gleichzeitig bessere Kontrolle über Qualität, Datenschutz und Sicherheit.

Quellen und Hinweis

Dieser Beitrag ersetzt keine Rechtsberatung. Für Detailfragen sollten Unternehmen juristische Beratung einbeziehen.

• EU AI Act Service Desk: Timeline for the Implementation of the EU AI Act
• Europäische Kommission: AI Act
• Rat der EU: Provisional agreement on AI simplification rules vom 7. Mai 2026
• Europäische Kommission: Draft guidelines for AI transparency obligations vom 8. Mai 2026