Zum Inhalt springen
← Alle Artikel KI

EU AI Act 2026: Was Unternehmen jetzt wissen und tun müssen

Der EU AI Act tritt stufenweise in Kraft. Ab August 2026 gelten Transparenz- und Kennzeichnungspflichten für KI-generierte Inhalte. Ein umfassender Überblick über Risikoklassen, Fristen, Deepfake-Regelungen und praktische Compliance-Schritte für Unternehmen.

Eric Menge · · 9 Min. Lesezeit

Die EU-Verordnung über Künstliche Intelligenz - der EU AI Act - ist das weltweit erste umfassende KI-Gesetz. Nach Jahren der Verhandlung tritt es nun schrittweise in Kraft und betrifft praktisch jedes Unternehmen, das KI-Systeme entwickelt, vertreibt oder einsetzt. Spätestens mit dem Stichtag 2. August 2026 für die Transparenzpflichten wird die Verordnung für den Unternehmensalltag konkret relevant.

Dieser Beitrag gibt einen aktuellen Überblick über den Stand der Umsetzung (Mai 2026), erklärt die Risikoklassen, listet die verbindlichen Fristen auf und zeigt, was insbesondere für kleine und mittlere Unternehmen praktisch zu tun ist.

Der EU AI Act: Überblick und aktueller Stand

Der EU AI Act (Verordnung (EU) 2024/1689) wurde am 13. Juni 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Die Umsetzung erfolgt gestaffelt über mehrere Jahre.

Eine wichtige aktuelle Entwicklung: Am 7. Mai 2026 haben Europäisches Parlament und Rat eine politische Einigung zum sogenannten “Digital Omnibus on AI” erzielt. Diese Einigung verschiebt bestimmte Fristen für Hochrisiko-KI-Systeme, verschärft aber gleichzeitig die Transparenzregeln. Die formelle Verabschiedung des Omnibus wird für Juli 2026 erwartet.

Der Grad der nationalen Umsetzung variiert erheblich: Während einige Mitgliedstaaten wie Finnland, Belgien und Polen bereits operative Aufsichtsstrukturen aufgebaut haben, fehlen in anderen Ländern noch die gesetzlichen Grundlagen oder die formelle Benennung der zuständigen Behörden. In Deutschland wird die Bundesnetzagentur (BNetzA) voraussichtlich die zentrale Aufsichtsrolle übernehmen.

Risikoklassen: Der risikobasierte Ansatz

Der EU AI Act klassifiziert KI-Systeme nach ihrem Gefährdungspotenzial in vier Risikostufen. Je höher das Risiko, desto strenger die Auflagen.

Unannehmbares Risiko (Verboten)

Diese KI-Praktiken sind seit Februar 2025 untersagt:

  • Social-Scoring-Systeme durch staatliche Stellen
  • Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (mit engen Ausnahmen für Strafverfolgung)
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  • Manipulative KI-Systeme, die unterbewusste Techniken einsetzen
  • Unterschwellige Beeinflussung, die Schaden verursachen kann
  • Ausnutzung von Schwächen bestimmter Personengruppen
  • “Nudifier”-Apps (Verbot greift ab Dezember 2026 laut Omnibus-Einigung)

Hochrisiko-KI

Systeme mit erheblichem Risiko für Gesundheit, Sicherheit oder Grundrechte. Dazu gehören KI in den Bereichen:

  • Biometrie und Kategorisierung von Personen
  • Kritische Infrastruktur (Energie, Wasser, Verkehr)
  • Bildung und berufliche Ausbildung
  • Beschäftigung, Personalmanagement, Zugang zu Selbstständigkeit
  • Zugang zu essenziellen Dienstleistungen (Kredit, Versicherung)
  • Strafverfolgung, Migration, Asyl und Grenzkontrolle
  • Justiz und demokratische Prozesse

Für diese Systeme gelten umfangreiche Pflichten: Risikomanagementsysteme, technische Dokumentation, Konformitätsbewertungen, menschliche Aufsicht und Post-Market-Monitoring.

Begrenztes Risiko (Transparenzpflichten)

KI-Systeme, die mit Menschen interagieren oder Inhalte generieren. Hier greifen die Transparenz- und Kennzeichnungspflichten nach Artikel 50 - der für die meisten Unternehmen relevanteste Bereich ab August 2026.

Minimales Risiko

Die Mehrheit aller KI-Anwendungen (Spamfilter, KI-gestützte Suchfunktionen, einfache Empfehlungssysteme). Für diese gelten keine spezifischen Pflichten, allerdings werden freiwillige Verhaltenskodizes empfohlen.

Der Stufenplan: Welche Pflichten gelten ab wann?

Die Umsetzung des EU AI Acts erfolgt in klar definierten Stufen. Durch die Omnibus-Einigung vom Mai 2026 haben sich einige Fristen verschoben:

DatumWas tritt in Kraft
2. Februar 2025Verbote (unannehmbares Risiko), KI-Kompetenzpflicht
2. August 2025Pflichten für Anbieter von General-Purpose AI (GPAI)
2. August 2026Transparenzpflichten (Art. 50), Kennzeichnung KI-generierter Inhalte, Governance-Strukturen für Hochrisiko-KI
2. Dezember 2026Verbot von Nudifier-Apps, Übergangsfrist für bestehende generative KI-Systeme endet
2. Dezember 2027Vollständige Compliance-Pflicht für Hochrisiko-KI (Annex III): Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration
2. August 2028Pflichten für KI in regulierten Produkten (Medizinprodukte, Aufzüge, Fahrzeugkomponenten)

Wichtig: Die Fristverlängerungen durch den Digital Omnibus betreffen ausschließlich Hochrisiko-KI. Die Transparenzpflichten für generative KI gelten unverändert ab August 2026.

KI-generierte Bilder: Kennzeichnungspflicht nach Artikel 50

Artikel 50 der KI-Verordnung etabliert verbindliche Transparenzpflichten. Für Anbieter von KI-Systemen, die synthetische Inhalte erzeugen, gilt ab dem 2. August 2026:

Technische Pflicht (Anbieter/Provider): KI-Systeme, die Bilder, Audio, Video oder Text generieren, müssen ihre Ausgaben in einem maschinenlesbaren Format kennzeichnen. Konkret bedeutet das die Implementierung von Wasserzeichen oder Metadaten, die eine automatisierte Erkennung als KI-generierter Inhalt ermöglichen.

Offenlegungspflicht (Nutzer/Deployer): Wer KI-generierte Inhalte veröffentlicht, muss diese als künstlich erzeugt oder manipuliert kennzeichnen - und zwar so, dass es für den Empfänger erkennbar ist.

Übergangsfrist durch Omnibus: Generative KI-Systeme, die vor dem 2. August 2026 bereits auf dem EU-Markt waren, erhalten eine Übergangsfrist bis zum 2. Dezember 2026, um ihre Systeme in Compliance zu bringen. Neue Systeme müssen ab dem 2. August 2026 sofort konform sein.

Code of Practice zur Kennzeichnung

Die EU-Kommission hat über das AI Office einen “Code of Practice on Transparency of AI-Generated Content” entwickelt. Der erste Entwurf wurde im Dezember 2025 veröffentlicht, die finale Version wird für Juni 2026 erwartet. Dieser Code konkretisiert die technischen Anforderungen an Wasserzeichen und Kennzeichnung.

Deepfake-Regelung und Transparenzpflichten

Deepfakes erfahren im EU AI Act eine besondere Behandlung. Die Verordnung definiert sie als KI-generierte oder manipulierte Bild-, Ton- oder Videoinhalte, die echten Personen, Gegenständen oder Ereignissen ähneln und den Eindruck von Authentizität erwecken könnten.

Verschärfte Pflichten bei Deepfakes

  • Deepfakes müssen immer als künstlich erzeugt oder manipuliert gekennzeichnet werden
  • Die Kennzeichnung muss klar und unmissverständlich sein
  • Im Gegensatz zu KI-generierten Texten gibt es bei Deepfakes keine “Redaktions-Ausnahme”

Ausnahme bei Texten - nicht bei Bildern und Videos

Eine wichtige Unterscheidung: Bei KI-generierten Texten entfällt die Kennzeichnungspflicht, wenn eine Person mit redaktioneller Verantwortung den Inhalt überprüft hat und die redaktionelle Kontrolle übernimmt. Diese Ausnahme gilt ausdrücklich nicht für Deepfakes in Bild, Audio oder Video. Hier bleibt die Kennzeichnungspflicht bestehen - unabhängig von einer redaktionellen Überprüfung.

Ausnahmen im Bereich Kunst und Satire

Bei offensichtlich künstlerischen, satirischen oder fiktionalen Werken kann die Kennzeichnung weniger prominent erfolgen - sie muss aber dennoch vorhanden sein (etwa in den Metadaten). Der Grundsatz bleibt: Es darf kein falscher Eindruck von Authentizität entstehen.

Was bedeutet das für KMU? Praktische Auswirkungen

Die EU hat bei der Gestaltung des AI Acts durchaus an kleine und mittlere Unternehmen gedacht. Dennoch kommen auf KMU konkrete Pflichten zu.

Erleichterungen für KMU und Start-ups

  • Proportionale Gebühren: Kosten für Konformitätsbewertungen werden an die Unternehmensgröße angepasst
  • Regulatory Sandboxes: Priorisierter und kostenloser Zugang zu regulatorischen Testumgebungen
  • Günstigere Bußgeld-Berechnung: KMU zahlen stets den niedrigeren Betrag (feste Obergrenze oder prozentualer Umsatzanteil)
  • Vereinfachte Anforderungen: Durch den Digital Omnibus gelten vereinfachte Regeln auch für kleine Midcaps

Was trotzdem gilt

Auch für KMU gelten ab August 2026 ohne Ausnahme:

  1. Transparenz bei KI-Interaktionen: Nutzer müssen wissen, wenn sie mit einer KI interagieren (etwa bei Chatbots auf der Website)
  2. Kennzeichnung von KI-Inhalten: Wer KI-generierte Bilder, Videos oder Texte veröffentlicht, muss diese kennzeichnen
  3. KI-Kompetenz: Mitarbeiter, die KI-Systeme bedienen, müssen angemessen geschult sein (gilt bereits seit Februar 2025)

Bußgelder bei Verstößen

Die Sanktionen sind abgestuft:

VerstoßMaximale Strafe
Einsatz verbotener KI35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
Verstöße bei Hochrisiko-KI15 Mio. EUR oder 3 % des Jahresumsatzes
Verstöße gegen Transparenzpflichten15 Mio. EUR oder 3 % des Jahresumsatzes
Falsche Angaben gegenüber Behörden7,5 Mio. EUR oder 1 % des Jahresumsatzes

Realistisch betrachtet: Die Durchsetzung wird erfahrungsgemäß mit Hinweisen und Aufforderungen beginnen. Wie bei der DSGVO 2018 werden die ersten empfindlichen Sanktionen voraussichtlich erst nach 18 bis 24 Monaten verhängt und zunächst größere Unternehmen betreffen.

Checkliste: Ist dein KI-Einsatz compliant?

Diese Checkliste hilft bei der Selbsteinschätzung. Sie ersetzt keine rechtliche Beratung, gibt aber eine erste Orientierung:

1. Bestandsaufnahme

  • Welche KI-Systeme setzen wir ein (Tools, Plugins, APIs)?
  • In welche Risikoklasse fallen unsere KI-Anwendungen?
  • Nutzen wir KI zur Content-Erstellung (Texte, Bilder, Videos)?

2. Verbotene Praktiken ausschließen

  • Kein Social Scoring, keine unterschwellige Manipulation
  • Keine biometrische Echtzeit-Fernidentifizierung
  • Keine Emotionserkennung in Beschäftigung oder Bildung

3. Transparenzpflichten prüfen (ab August 2026)

  • Sind KI-Chatbots als solche gekennzeichnet?
  • Werden KI-generierte Bilder und Videos mit Wasserzeichen oder Hinweisen versehen?
  • Sind Metadaten zur KI-Herkunft in generierten Inhalten eingebettet?
  • Gibt es einen klaren Prozess für die Kennzeichnung von Deepfakes?

4. KI-Kompetenz sicherstellen (gilt bereits)

  • Sind Mitarbeiter über die eingesetzten KI-Systeme informiert?
  • Gibt es Schulungen zum verantwortungsvollen KI-Einsatz?
  • Ist dokumentiert, wer welche KI-Systeme zu welchem Zweck nutzt?

5. Hochrisiko-KI bewerten (relevant ab Dezember 2027)

  • Falls vorhanden: Risikomanagementsystem aufsetzen
  • Technische Dokumentation erstellen
  • Menschliche Aufsicht sicherstellen
  • Post-Market-Monitoring planen

6. Governance-Struktur etablieren

  • Wer ist intern für KI-Compliance verantwortlich?
  • Gibt es einen Prozess für neue KI-Tools (Freigabe, Risikobewertung)?
  • Ist die DSGVO-Compliance der KI-Systeme dokumentiert?

7. Dokumentation und Nachweise

  • KI-Inventar führen (welche Systeme, welcher Zweck, welcher Anbieter)
  • Konformitätsnachweise der KI-Anbieter einfordern
  • Eigene Compliance-Maßnahmen dokumentieren

EMIT Solution: Wie wir DSGVO- und AI-Act-konform arbeiten

Als Webentwickler und KI-Spezialist setze ich mich intensiv mit den Anforderungen des EU AI Acts auseinander - nicht nur theoretisch, sondern ganz praktisch in der täglichen Arbeit mit KI-Tools.

Unser Ansatz zur KI-Compliance

Transparente KI-Nutzung: Wenn wir KI-generierte Inhalte in Kundenprojekten einsetzen, kommunizieren wir das offen. KI-generierte Bilder werden mit entsprechenden Metadaten versehen und als solche kenntlich gemacht.

Datenschutz-by-Design: Alle KI-Tools, die wir einsetzen, werden auf ihre DSGVO-Konformität geprüft. Personenbezogene Daten werden nicht in KI-Systeme ohne angemessene Rechtsgrundlage eingespeist.

Dokumentierter KI-Einsatz: Wir führen ein internes KI-Inventar und dokumentieren, welche Systeme zu welchem Zweck eingesetzt werden.

Kennzeichnung nach Art. 50: KI-generierte visuelle Inhalte erhalten technische Kennzeichnungen (Wasserzeichen, Metadaten), die eine automatisierte Erkennung ermöglichen. Das ist nicht nur eine rechtliche Pflicht - es schafft auch Vertrauen.

Beratung für Kunden

Wir unterstützen unsere Kunden dabei, ihre Web-Auftritte und digitalen Prozesse AI-Act-konform zu gestalten. Das umfasst:

  • Analyse bestehender KI-Einsatzfelder und Risikoklassifizierung
  • Implementierung technischer Kennzeichnungslösungen
  • Beratung zu Transparenzhinweisen auf Websites
  • Integration von Wasserzeichen-Systemen in Content-Workflows

Fazit: Jetzt handeln, nicht abwarten

Der EU AI Act ist keine ferne Zukunftsmusik mehr. Die Verbote gelten bereits, die Transparenzpflichten greifen in wenigen Monaten. Die Fristverlängerung für Hochrisiko-KI durch den Digital Omnibus sollte nicht als Einladung zum Abwarten missverstanden werden - sie gibt lediglich mehr Zeit für die komplexesten Anforderungen.

Für die meisten Unternehmen sind die unmittelbar relevanten Schritte überschaubar: KI-Inventar erstellen, Kennzeichnungsprozesse etablieren, Mitarbeiter schulen. Wer diese Grundlagen jetzt legt, ist für die kommenden Stufen gut aufgestellt.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die rechtliche Bewertung konkreter KI-Einsatzszenarien empfehlen wir die Konsultation spezialisierter Rechtsanwälte.

Qüllen und weiterführende Links:

Du willst mehr erfahren?

In einem kostenlosen Erstgespräch besprechen wir, wie du diese Themen für dein Unternehmen nutzen kannst. Kein Verkaufsgespräch, sondern eine ehrliche Einschätzung.

Kostenloses Erstgespräch vereinbaren