Zeitleiste mit fünf Fristen des EU AI Act, die Marke zum 2. August für Artikel 50 ist hervorgehoben.

EU AI Act: Was am 2. August wirklich gilt und was verschoben wurde

Am 2. August greift die nächste Stufe des EU AI Act. In drei Wochen also. Wer in den vergangenen Monaten gelesen hat, Brüssel habe das Gesetz entschärft und alles verschoben, liegt zur Hälfte richtig. Verschoben wurde tatsächlich einiges, und zwar deutlich. Der Teil, der die meisten Mittelständler heute betrifft, ist aber genau da geblieben, wo er war.

Diese Verwechslung kostet gerade Zeit. Unternehmen, die in einer Fachzeitung von der Verschiebung gelesen haben, legen das Thema zur Seite. Und übersehen dabei, dass ihr Chatbot auf der Website in drei Wochen einen Hinweis braucht.

Was der Digital Omnibus wirklich geändert hat

Die EU hat im Sommer 2026 nachgebessert. Das Parlament stimmte am 16. Juni zu, der Rat gab am 29. Juni sein endgültiges Ja. Seitdem gilt: Hochrisiko-Systeme nach Anhang III, also etwa KI in der Bewerbervorauswahl oder bei der Kreditvergabe, müssen ihre Pflichten erst zum 2. Dezember 2027 erfüllen. Steckt die KI in einem Produkt, das ohnehin einer EU-Produktvorschrift unterliegt, wird es der 2. August 2028.

Das ist echte Luft. Aber der Omnibus hat einen Artikel nicht angefasst, und zwar den, der auf die meisten Websites, Kundenportale und Serviceabteilungen im Mittelstand zutrifft: Artikel 50, die Transparenzpflichten. Termin bleibt der 2. August 2026.

Zeitleiste

Was gilt wann

  • 2. Februar 2025 Verbotene Praktiken sind untersagt. Gleichzeitig gilt Artikel 4: Wer KI einsetzt, muss dafür sorgen, dass die Beschäftigten damit umgehen können. Diese Pflicht läuft seit anderthalb Jahren und wird trotzdem am häufigsten übersehen.
  • 2. August 2025 Pflichten für Anbieter allgemeiner KI-Modelle. Betrifft OpenAI, Google, Mistral und ähnliche Häuser, nicht Sie als Anwender.
  • 2. August 2026 Artikel 50 wird scharf. Chatbots, generierte Inhalte, Emotionserkennung: Alles, was ein Mensch für echt oder für menschlich halten könnte, muss offengelegt werden. Vom Digital Omnibus ausdrücklich nicht verschoben.
  • 2. Dezember 2026 Bestandssysteme, die vor August 2026 in Betrieb gingen, müssen die Transparenzregeln ebenfalls erfüllen.
  • 2. Dezember 2027 Hochrisiko nach Anhang III. Personalauswahl, Kreditwürdigkeit, kritische Infrastruktur. Ursprünglich für 2026 geplant, durch den Omnibus verschoben.
  • 2. August 2028 Hochrisiko in regulierten Produkten nach Anhang I, etwa KI als Sicherheitsbauteil in einer Maschine.

Artikel 50 in vier Sätzen

Der Gedanke hinter der Vorschrift ist simpel. Ein Mensch soll wissen, wann er es mit einer Maschine zu tun hat. Daraus folgen vier Pflichten.

Erstens, Chatbots. Wer mit Ihrem System interagiert, muss erkennen können, dass ihm eine KI antwortet. Der Hinweis gehört sichtbar in die Oberfläche, nicht in die Nutzungsbedingungen. Die Ausnahme gilt nur, wenn es für einen verständigen Menschen sowieso offensichtlich ist, und darauf sollten Sie sich nicht verlassen.

Zweitens, generierte Inhalte. Bilder, Audio, Video und Text, die eine KI erzeugt hat, brauchen eine maschinenlesbare Markierung. Diese Pflicht trifft zuerst den Anbieter des Generators. Als Betreiber kommen Sie dann ins Spiel, wenn Ihre Inhalte echte Personen oder Ereignisse zeigen, die verändert wurden, oder wenn ein weitgehend von KI geschriebener Text die Öffentlichkeit informieren soll.

Drittens, Emotionserkennung und biometrische Kategorisierung. Wer solche Systeme einsetzt, muss die betroffenen Personen informieren. Im Mittelstand selten, in der Zutrittskontrolle und im Handel aber durchaus anzutreffen.

Viertens, Deepfakes. Verändertes Bild- oder Tonmaterial, das echt wirkt, muss als solches gekennzeichnet werden. Klingt weit weg, trifft aber jede Marketingabteilung, die ein Produktfoto von einer KI aufhübschen lässt und dabei eine reale Person im Bild hat.

Der Bußgeldrahmen für Verstöße gegen Artikel 50 liegt bei bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Realistisch wird eine Aufsichtsbehörde einen fehlenden Chatbot-Hinweis nicht sofort mit dem Maximum belegen. Der Punkt ist ein anderer: Der Hinweis kostet Sie eine halbe Stunde. Die Diskussion darüber, warum er fehlte, kostet mehr.

Anbieter oder Betreiber, das ist die Frage

Das Gesetz unterscheidet scharf zwischen dem, der ein KI-System entwickelt und auf den Markt bringt, und dem, der es einsetzt. Fast jedes mittelständische Unternehmen ist Betreiber, nicht Anbieter. Das ist die gute Nachricht, denn die schwereren Pflichten liegen beim Anbieter.

Die Grenze ist allerdings durchlässiger, als viele denken. Wer ein zugekauftes Modell unter eigenem Namen anbietet oder es so weit umbaut, dass sich der Zweck ändert, rutscht in die Anbieterrolle. Ein Beispiel aus unserer Praxis: Ein Kunde stellt seinen Servicetechnikern einen Assistenten bereit, der auf seinen eigenen Handbüchern arbeitet. Solange das Modell zugekauft ist und der Zweck derselbe bleibt, ist er Betreiber. Würde er denselben Assistenten seinen Kunden als Produkt verkaufen, sähe die Sache anders aus.

Was betrifft Sie konkret?

Klicken Sie an, was bei Ihnen im Einsatz ist oder geplant wird. Sie bekommen die Pflichten mit Datum. Mehrfachauswahl ist möglich, und ehrlich gesagt trifft bei den meisten Unternehmen mehr als eine Karte zu.

Interaktiv

Pflichten-Check

Ihre Pflichten

Noch nichts ausgewählt

Der Check ersetzt keine Rechtsberatung. Er sortiert, worüber Sie mit Ihrem Anwalt oder Datenschutzbeauftragten sprechen sollten.

Der übersehene Artikel 4

Eine Pflicht läuft schon seit Februar 2025, und sie taucht in fast keiner Compliance-Liste auf, die uns Kunden zeigen. Artikel 4 verlangt KI-Kompetenz: Wer KI-Systeme betreibt, muss dafür sorgen, dass die Menschen, die damit arbeiten, sie auch verstehen. Risiken, Grenzen, typische Fehler.

Kein Zertifikat verlangt das Gesetz. Es verlangt Angemessenheit, gemessen an Rolle und Risiko. Für die Buchhaltung, die ein Sprachmodell zum Formulieren von Mahnungen nutzt, reicht eine Stunde mit klaren Regeln. Für jemanden, der eine KI in die Fertigungssteuerung einbindet, reicht das nicht. Wichtig ist, dass Sie nachweisen können, dass die Schulung stattgefunden hat. Ein Protokoll mit Datum, Teilnehmern und Inhalten genügt völlig.

Wie es bei uns gelöst ist

Unten rechts auf dieser Seite sitzt ein Chatbot. Er beantwortet Fragen zu unseren Leistungen und arbeitet auf unseren eigenen Inhalten, nach dem Prinzip, das wir im Beitrag zu RAG im Mittelstand beschrieben haben. Bevor die erste Nachricht möglich ist, erscheint ein Hinweis: Dieser Chat nutzt einen KI-Assistenten, Ihre Eingaben werden zur Beantwortung verarbeitet. Das Fenster selbst trägt die Überschrift „TC KI-Chat-Assistent“. Und in der Datenschutzerklärung steht, was mit den Eingaben passiert.

Nichts davon war teuer oder aufwendig. Ein Satz vor dem ersten Kontakt, eine ehrliche Überschrift, ein Absatz in der Datenschutzerklärung. Genau darin liegt der Punkt: Die Transparenzpflichten sind kein Projekt, sie sind eine Handvoll Handgriffe. Aufwendig wird es nur für die, die am 3. August damit anfangen.

Ihre nächsten drei Wochen

Fangen Sie mit einer Liste an. Welche KI läuft überhaupt im Haus? Der Chatbot auf der Website, der Übersetzungsdienst im Vertrieb, die Bildgenerierung im Marketing, das Sprachmodell, das jemand in der Konstruktion für Stücklisten nutzt. Erfahrungsgemäß ist diese Liste länger als erwartet, weil Abteilungen Werkzeuge einführen, ohne die IT zu fragen.

Dann sortieren Sie nach Kontakt: Berührt das System Menschen von außen, greift Artikel 50 in drei Wochen. Bleibt es intern, haben Sie mehr Zeit, aber Artikel 4 gilt trotzdem. Zuletzt prüfen Sie, ob eines der Systeme in Richtung Hochrisiko läuft. Das ist der Punkt, an dem Sie externe Hilfe brauchen, und zwar bevor Sie einen Vertrag unterschreiben, nicht danach.

Betrifft der AI Act auch kleine Unternehmen?

Ja. Artikel 50 kennt keine Ausnahme für Kleinunternehmen. Wer einen Chatbot betreibt, muss ihn kennzeichnen, unabhängig von der Mitarbeiterzahl. Erleichterungen gibt es bei den Hochrisiko-Pflichten, etwa bei der Dokumentation, und dort auch nur in begrenztem Umfang.

Reicht ein Satz in den Nutzungsbedingungen?

Nein. Die Information muss den Nutzer erreichen, bevor er mit dem System interagiert, klar und verständlich. In der Praxis heißt das: ein sichtbarer Hinweis im Chatfenster selbst. Ein Verweis auf ein Dokument, das niemand öffnet, erfüllt den Zweck der Vorschrift nicht.

Wir nutzen ChatGPT für Textentwürfe. Müssen wir das kennzeichnen?

Kommt darauf an, was mit dem Text passiert. Ein interner Entwurf braucht keine Kennzeichnung. Ein Text, der die Öffentlichkeit informieren soll und im Wesentlichen von der KI stammt, schon. Prüft ein Mensch den Text redaktionell und übernimmt die Verantwortung, entfällt die Pflicht. Halten Sie fest, wer das getan hat.

Unsere KI läuft komplett im eigenen Haus. Ändert das etwas?

Am AI Act nicht. Er knüpft an den Einsatz an, nicht an den Serverstandort. Beim Datenschutz sieht es anders aus, dort ist ein lokales Modell oft die einfachere Antwort. Wie Sie diese Frage entscheiden, haben wir im Beitrag zu lokaler KI im Mittelstand aufgeschrieben.

Woher weiß ich, ob mein System als Hochrisiko gilt?

Über den Anwendungsfall, nicht über die Technik. Anhang III listet die Bereiche auf: Beschäftigung, Bildung, Kreditwürdigkeit, kritische Infrastruktur, Strafverfolgung und einige mehr. Dasselbe Sprachmodell kann in der Angebotserstellung harmlos und in der Bewerbervorauswahl hochriskant sein.

Kurz gesagt

Verschoben wurde das Schwere, geblieben ist das Machbare. Wer bis zum 2. August seine KI-Systeme kennt, den Chatbot kennzeichnet und die Schulung dokumentiert, ist auf der sicheren Seite. Für den Rest bleibt bis Dezember 2027 Zeit, und die sollten Sie nutzen, statt sie zu vergessen.

Quellen: die Pressemitteilung des Rates vom 29. Juni 2026 zur endgültigen Annahme des Vereinfachungspakets und der Wortlaut von Artikel 50 samt Erläuterungen.

Unsicher, was bei Ihnen unter Artikel 50 fällt?

Wir gehen mit Ihnen die KI-Systeme in Ihrem Haus durch, sortieren sie nach Pflicht und Frist und sagen Ihnen, was bis zum 2. August erledigt sein muss. Kostenfrei und unverbindlich.

Mehr zu unserer AI-Act-Beratung

Passend dazu: unsere AI-Act-Beratung, Lokale KI im Mittelstand, RAG im Mittelstand und unsere KI-Beratung.

Fachliche Verantwortung

Frank Rose, Geschäftsführer der TerraCom GmbH. Zertifizierter KI-Spezialist (TÜV®) und Datenschutzbeauftragter (TÜV®) gemäß DSGVO und BDSG, beides geprüft von der TÜV NORD CERT GmbH. Seit über 25 Jahren baut TerraCom Schnittstellen, ERP-Lösungen und KI-Anwendungen für den Mittelstand.

Fragen zum Beitrag? Schreiben Sie uns.

Chat