EU AI Act ab August 2026: Was Unternehmen bei Cloud-KI jetzt beachten müssen
Am 2. August 2026 wird ein zentraler Teil des EU AI Act anwendbar. Was das für Unternehmen bedeutet, die KI aus der Cloud nutzen - von Transparenzpflichten über die Deployer-Rolle und das Zusammenspiel mit der DSGVO bis zu konkreten Handlungsschritten und der verschobenen Hochrisiko-Frist.
Der 2. August 2026 ist im Kalender vieler Compliance-Verantwortlicher rot markiert. An diesem Tag wird ein weiterer, besonders praxisrelevanter Teil des EU AI Act anwendbar - und anders als bei den vorherigen Stufen trifft es diesmal nahezu jedes Unternehmen, das KI im Alltag einsetzt. Das gilt vor allem für die große Mehrheit, die KI nicht selbst entwickelt, sondern fertig aus der Cloud bezieht: ChatGPT für Texte, Azure OpenAI im Kundenservice, KI-Funktionen in HR- oder CRM-Software, ein Chatbot auf der Website.
Dieser Beitrag konzentriert sich bewusst auf diese Perspektive. Er erklärt, was am 2. August 2026 konkret in Kraft tritt, warum die Rolle als “Betreiber” (Deployer) entscheidend ist, wie EU AI Act und DSGVO bei Cloud-KI zusammenspielen - und warum die viel diskutierte Fristverschiebung für Hochrisiko-KI kein Grund zum Abwarten ist. Wer den allgemeinen Überblick über Risikoklassen und Deepfake-Regeln sucht, findet ihn im Beitrag EU AI Act 2026: Was Unternehmen jetzt wissen müssen.
Warum gerade der 2. August 2026 wichtig ist
Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten und wird stufenweise anwendbar. Die bisherigen Stufen betrafen entweder Spezialfälle (die seit Februar 2025 geltenden Verbote) oder Hersteller großer KI-Modelle (die GPAI-Pflichten seit August 2025). Der 2. August 2026 ist der erste Stichtag, der den normalen betrieblichen KI-Einsatz im Mittelstand direkt berührt.
Konkret werden zu diesem Datum unter anderem wirksam:
- die Transparenzpflichten nach Artikel 50 - die für KI-nutzende Unternehmen wichtigste Neuerung
- die vollen Durchsetzungs- und Sanktionsbefugnisse der zuständigen Behörden
- die aktive Marktüberwachung durch die nationalen Aufsichtsbehörden
- der vollständige Anlauf der Governance-Struktur auf EU- und nationaler Ebene
Anders gesagt: Pflichten, die formal teils schon früher galten (etwa die KI-Kompetenz nach Art. 4), bekommen ab diesem Datum einen Apparat, der sie auch durchsetzen kann.
Anbieter oder Betreiber? Die entscheidende Weichenstellung
Bevor ein Unternehmen irgendeine Pflicht ableiten kann, muss es seine Rolle kennen. Der AI Act unterscheidet mehrere Rollen entlang der Wertschöpfungskette. Für die Praxis sind zwei davon entscheidend.
Anbieter (Provider) entwickeln ein KI-System und bringen es unter eigenem Namen auf den Markt. Sie tragen die umfassendsten Pflichten: Risiko- und Qualitätsmanagement, technische Dokumentation, Konformitätsbewertung, bei Hochrisiko-Systemen die CE-Kennzeichnung und die Registrierung in einer EU-Datenbank.
Betreiber (Deployer) setzen ein KI-System im beruflichen Kontext ein. Und genau hier liegt der Punkt, den viele unterschätzen: Schon der Einsatz von ChatGPT für Geschäfts-E-Mails macht ein Unternehmen zum Betreiber. Die allermeisten KMU fallen in diese Kategorie. Ihre Pflichten sind geringer als die der Anbieter, aber nicht null:
- die Nutzungsvorgaben des Anbieters einhalten
- Mitarbeitende ausreichend schulen (KI-Kompetenz)
- bei bestimmten Systemen Betroffene über den KI-Einsatz informieren
- bei Hochrisiko-Systemen zusätzlich: menschliche Aufsicht sicherstellen, Nutzung protokollieren
Die Deployer-Falle bei Cloud-Anbietern
Eine gefährliche Fehlannahme verdient besondere Erwähnung: Das “AI-Act-Compliance-Paket” eines Cloud-Anbieters deckt nicht die eigenen Betreiberpflichten ab. Wenn Microsoft, Google oder OpenAI ihre Provider-Pflichten erfüllen, ist das deren Compliance - nicht die Ihres Unternehmens. Die Schulung Ihrer Mitarbeiter, die Information Ihrer Kunden und die Kennzeichnung Ihrer KI-Inhalte bleiben Ihre Aufgabe. Ein Häkchen im Vertrag des Anbieters entbindet Sie nicht.
Transparenzpflichten nach Artikel 50 - der Kern ab August 2026
Artikel 50 ist für KI-nutzende Unternehmen der relevanteste Teil des gesamten Gesetzes. Er verlangt Transparenz in drei Bereichen.
1. KI-Chatbots und Assistenten kennzeichnen
Systeme, die direkt mit Menschen interagieren - der Chatbot auf der Website, ein WhatsApp-Bot, ein Voice-Assistent in der Telefonannahme - müssen den Nutzer zu Beginn der Interaktion klar darüber informieren, dass er mit einer KI kommuniziert. Eine Ausnahme greift nur, wenn das aus dem Zusammenhang ohnehin offensichtlich ist. Für die Praxis heißt das: ein deutlicher Hinweis wie “Sie chatten mit einem KI-Assistenten” beim Öffnen des Chatfensters.
2. KI-generierte Bilder, Audio und Video offenlegen
Wer synthetische Medien veröffentlicht, die echten Personen, Orten oder Ereignissen täuschend ähnlich sehen (Deepfakes), muss offenlegen, dass sie künstlich erzeugt wurden. Das betrifft auch ganz alltägliche Fälle: KI-generierte Marketingbilder, ein synthetisch erzeugter Produktclip, eine KI-Stimme im Erklärvideo.
3. KI-Texte zu öffentlichen Themen markieren
Veröffentlichte, rein KI-erzeugte Texte zu Themen von öffentlichem Interesse müssen als maschinell erstellt gekennzeichnet werden. Eine Ausnahme besteht, wenn eine Person die redaktionelle Verantwortung übernommen und den Text geprüft hat - diese Redaktions-Ausnahme gilt allerdings ausdrücklich nicht für Deepfakes in Bild, Ton und Video.
Maschinenlesbare Kennzeichnung: der C2PA-Standard
Über den sichtbaren Hinweis hinaus verlangt der AI Act bei generierten Medien eine maschinenlesbare Markierung. Als technischer De-facto-Standard hat sich dafür C2PA (Coalition for Content Provenance and Authenticity) etabliert, das Herkunftsinformationen direkt in die Metadaten der Datei einbettet. Für reine Texte genügt ein sichtbarer Hinweis.
Cloud-KI im Fokus: AI Act trifft DSGVO
Die meisten Unternehmen beziehen KI über US-Hyperscaler - OpenAI, Microsoft Azure, Google Cloud. Damit greifen zwei Regelwerke gleichzeitig, und beide müssen erfüllt sein.
Der CLOUD-Act-Konflikt
Der US CLOUD Act verpflichtet US-Unternehmen, Daten an US-Behörden herauszugeben - auch dann, wenn die Daten physisch auf Servern in der EU liegen. Microsoft hat im Verlauf eines Gerichtsverfahrens Anfang 2026 eingeräumt, dass auch europäische Azure-Kunden vor solchen Anfragen nicht vollständig geschützt sind. Die DSGVO wiederum untersagt die Übermittlung personenbezogener Daten in Drittstaaten ohne angemessenes Schutzniveau. Daraus ergibt sich ein latenter Rechtskonflikt, den jedes Unternehmen kennen sollte, das personenbezogene Daten durch Cloud-KI verarbeiten lässt.
Zwei Regelwerke, kumulative Pflichten
| Regelwerk | Was bei Cloud-KI zu beachten ist |
|---|---|
| DSGVO | Auftragsverarbeitungsvertrag (AVV), Zweckbindung, Datensparsamkeit, ggf. Transfer Impact Assessment bei US-Transfer |
| EU AI Act | Betreiberpflichten (Art. 26), Transparenz (Art. 50), KI-Kompetenz (Art. 4) |
Die gute Nachricht: Wer seine DSGVO-Hausaufgaben gemacht hat, hat die halbe Strecke geschafft. Viele AI-Act-Anforderungen bauen organisatorisch auf bestehenden Datenschutzstrukturen auf - das Verarbeitungsverzeichnis lässt sich etwa zu einem KI-Inventar erweitern.
Praktische Optionen für EU-Datenresidenz
Wer personenbezogene Daten mit KI verarbeitet, sollte EU-Datenresidenz sicherstellen und sich diese vom Anbieter schriftlich bestätigen lassen. Realistische Wege:
- Azure OpenAI mit EU Data Zone - Deployment-Typ “Data Zone Standard (EUR)”, Regionen wie Sweden Central oder Germany West Central
- OpenAI API mit EU-Datenresidenz - seit Anfang 2025 für neue Projekte verfügbar
- Mistral AI - französischer Anbieter, datenschutzrechtlich näher an EU-Anforderungen
- Aleph Alpha - deutscher Anbieter, BSI-C5-zertifiziert, Datenhaltung in Deutschland
Passend dazu lohnt ein Blick auf die grundsätzliche Hosting-Frage im Beitrag Hetzner Cloud vs. AWS und Azure.
KI-Kompetenz (Art. 4): die unterschätzte Pflicht
Seit dem 2. Februar 2025 verlangt Artikel 4, dass Anbieter und Betreiber für ausreichende KI-Kompetenz ihres Personals sorgen. Es gibt keine vorgeschriebene Stundenzahl und kein Pflichtzertifikat - aber eine klare organisatorische Verantwortung.
Wichtig: Schon die gelegentliche Nutzung von ChatGPT oder Copilot im Arbeitsalltag löst die Schulungspflicht für die betreffenden Mitarbeiter aus. Sinnvolle Inhalte sind Grundlagen, rechtliche Rahmenbedingungen, Datenschutz, Umgang mit Halluzinationen und der konkrete praktische Einsatz. Die Maßnahmen sollten dokumentiert werden - ab August 2026 können die Behörden aktiv prüfen.
Hochrisiko-KI: die Frist hat sich verschoben - aber nicht der Handlungsbedarf
Ursprünglich sollten am 2. August 2026 auch die strengen Pflichten für Hochrisiko-KI nach Annex III greifen. Das hat sich geändert.
Am 7. Mai 2026 haben sich EU-Parlament und Rat politisch auf den sogenannten “Digital Omnibus on AI” geeinigt - ein Vereinfachungspaket, das unter anderem die Hochrisiko-Fristen verschiebt:
| Bereich | Ursprünglich | Nach Digital Omnibus |
|---|---|---|
| Hochrisiko-KI Annex III (eigenständig) | 2. August 2026 | 2. Dezember 2027 |
| Hochrisiko-KI Annex I (in Produkten) | 2. August 2027 | 2. August 2028 |
| Transparenzpflichten Art. 50 | 2. August 2026 | unverändert 2. August 2026 |
Zwei Dinge sind hier entscheidend. Erstens: Die Verschiebung betrifft ausschließlich Hochrisiko-KI. Die Transparenzpflichten aus Art. 50 - der für die meisten Unternehmen relevante Teil - gelten unverändert ab August 2026. Zweitens, und das ist der formale Vorbehalt: Stand Juni 2026 ist der Digital Omnibus eine politische Einigung, noch kein im EU-Amtsblatt veröffentlichtes Gesetz. Für das Inkrafttreten fehlen noch die formellen Abstimmungen in Parlament und Rat sowie die Veröffentlichung. Gelingt das nicht rechtzeitig vor dem 2. August 2026, könnten die ursprünglichen Fristen greifen. Den finalen Stand sollte man daher kurz vor dem Stichtag auf eur-lex.europa.eu prüfen.
Welche Hochrisiko-Fälle den Mittelstand betreffen
Auch wenn die Frist erst Ende 2027 greift - wer betroffen ist, sollte jetzt planen. Mit besonderer Relevanz für KMU:
- Personal und Recruiting: KI, die Bewerbungen filtert, rankt oder Kandidaten mit Stellen matched; KI zur Mitarbeiterbewertung oder Leistungsüberwachung. Viele HR-SaaS-Tools mit KI-Add-on fallen darunter.
- Bonität und Versicherung: KI zur Kreditwürdigkeitsprüfung natürlicher Personen oder zur Risikoeinstufung bei Versicherungen.
- Bildung: KI zur Bewertung von Prüfungen oder zur Zulassungsentscheidung.
Wer solche Systeme einsetzt, sollte beim Anbieter frühzeitig die Konformitätsnachweise und die technische Dokumentation einfordern.
Bußgelder: der Rahmen wird ab August 2026 scharf
Mit den vollen Durchsetzungsbefugnissen wird auch der Sanktionsrahmen wirksam. Er ist nach Schwere gestaffelt:
| Verstoß | Maximale Geldbuße |
|---|---|
| Verbotene Praktiken (Art. 5) | 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes |
| Verstöße gegen Hochrisiko- oder GPAI-Pflichten, sonstige Verstöße | 15 Mio. EUR oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. EUR oder 1 % des Jahresumsatzes |
Für KMU und Start-ups sieht Art. 99 ausdrücklich vor, dass Behörden den jeweils niedrigeren Betrag und einen Ermessensspielraum nach unten anwenden. Eine Befreiung ist das nicht. Realistisch wird die Durchsetzung - wie schon bei der DSGVO 2018 - zunächst mit Hinweisen beginnen und sich auf größere Akteure konzentrieren; Verlassen sollte man sich darauf nicht.
Deutsche Umsetzung: KI-MIG und die Bundesnetzagentur
Deutschland hat mit dem KI-Maßnahmen- und Innovationsgesetz (KI-MIG) sein nationales Durchführungsgesetz auf den Weg gebracht. Zentrale Marktüberwachungs- und Koordinierungsbehörde wird die Bundesnetzagentur (BNetzA), ergänzt um eine Koordinierungsstelle für die KI-Verordnung. Bestehende Fachaufsichten bleiben in ihren Bereichen zuständig (etwa die BaFin im Finanzsektor), das BSI ist im Sicherheitsbereich eingebunden. Für KMU wichtig: Die Behörden müssen kostenlose Beratungsangebote und regulatorische Sandboxes bereitstellen.
Handlungsplan: Was Sie bis August 2026 erledigen sollten
Die folgende Reihenfolge hat sich in der Praxis bewährt - vom sofort Fälligen bis zur mittelfristigen Vorbereitung.
Sofort
- KI-Inventar erstellen. Alle eingesetzten KI-Tools erfassen - inklusive der “versteckten” KI in bestehender SaaS-Software (CRM, HR, Marketing, Support). Ohne diese Übersicht ist keine Compliance möglich.
- Risikoklasse je System bestimmen. Verboten, hochriskant, transparenzpflichtig oder minimal?
- Mitarbeiter schulen und dokumentieren (Art. 4, bereits Pflicht).
Bis zum 2. August 2026
- Chatbots kennzeichnen. Klarer KI-Hinweis zu Beginn jeder Interaktion.
- KI-Inhalte markieren. Sichtbarer Hinweis plus maschinenlesbare Kennzeichnung (C2PA) bei generierten Bildern, Audio und Video.
- Cloud-Verträge prüfen. AVV vorhanden? EU-Datenresidenz schriftlich bestätigt? Liefert der Anbieter eine Risikoklassifizierung und technische Dokumentation?
- Zuständigkeit festlegen. Wer verantwortet KI-Compliance intern, und nach welchem Prozess werden neue KI-Tools freigegeben?
Mit Blick auf Dezember 2027 (Hochrisiko)
- Hochrisiko-Systeme identifizieren - vor allem im HR- und Bonitätsbereich.
- Beim Anbieter Nachweise einfordern: Konformitätsbewertung, technische Dokumentation, EU-Datenbankregistrierung.
- Betreiberpflichten umsetzen: Logging, menschliche Aufsicht, Information Betroffener.
Fazit: Der 2. August 2026 ist ein Anfang, kein Endpunkt
Für Unternehmen, die KI aus der Cloud nutzen, bringt der August 2026 vor allem drei greifbare Aufgaben: Chatbots und KI-Inhalte transparent machen, Mitarbeiter nachweislich schulen und die Verträge mit den Cloud-Anbietern auf DSGVO- und AI-Act-Tauglichkeit prüfen. Das ist machbar - und es baut auf Strukturen auf, die viele aus der DSGVO bereits kennen.
Die Verschiebung der Hochrisiko-Fristen auf Ende 2027 ist eine willkommene Atempause für die komplexesten Anforderungen, kein Freibrief zum Abwarten. Wer jetzt das KI-Inventar aufsetzt, die Kennzeichnung etabliert und die Cloud-Verträge ordnet, ist nicht nur am Stichtag sauber aufgestellt, sondern auch für die nächsten Stufen vorbereitet.
Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die rechtliche Bewertung konkreter KI-Einsatzszenarien empfehlen wir die Konsultation spezialisierter Rechtsanwälte. Der Stand des Digital Omnibus on AI sollte vor dem Stichtag auf der offiziellen EU-Quelle verifiziert werden.
Quellen und weiterführende Links:
Du willst mehr erfahren?
In einem kostenlosen Erstgespräch besprechen wir, wie du diese Themen für dein Unternehmen nutzen kannst. Kein Verkaufsgespräch, sondern eine ehrliche Einschätzung.
Kostenloses Erstgespräch vereinbaren