Brandon Agil, , 2 Min. Lesezeit

EU AI Act ab 2. August: Was für KMU wirklich gilt

Am 2. August 2026 endet die nächste Umsetzungsfrist des EU AI Act. Mein Posteingang ist deshalb voll mit Angeboten für „AI-Act-Readiness-Audits". Bevor ihr sowas bucht: Für die meisten kleinen und mittleren Betriebe ist die Lage deutlich entspannter, als diese Mails klingen. Hier ist der Stand Juli 2026, so wie ich ihn für meine eigenen Projekte aufgearbeitet habe.

Was ab dem 2. August wirklich gilt

Der Kern für KMU sind die Transparenzpflichten aus Artikel 50 der KI-Verordnung (EU) 2024/1689. Übersetzt heißen sie:

Wenn Kunden mit einer KI interagieren, müssen sie das erkennen können. Der Chatbot auf eurer Website darf sich nicht als Mensch ausgeben. Eine Mail, die eine KI vollautomatisch verschickt, muss als solche erkennbar sein, wenn der Empfänger sonst einen Menschen vermuten würde. KI-generierte Bilder und Audio brauchen eine Kennzeichnung.

Das war es im Wesentlichen für den typischen Anwendungsfall. Kein Audit-Marathon, keine Zertifizierung.

Was schon länger gilt und gern vergessen wird

Seit Februar 2025 verlangt Artikel 4, dass Mitarbeiter, die KI-Systeme bedienen oder mit deren Ergebnissen arbeiten, dafür ausreichend geschult sind. Das betrifft jedes Unternehmen, das überhaupt KI einsetzt, auch wenn es nur ChatGPT im Vertrieb ist.

In der Praxis reicht dafür kein Zertifikatskurs für 2.000 Euro. Eine dokumentierte interne Schulung, die erklärt, was das Werkzeug kann, wo es Fehler macht und was nicht hineingehört (Kundendaten, Geschäftsgeheimnisse), deckt das für die meisten Fälle ab.

Was verschoben wurde

Die strengen Pflichten für Hochrisiko-Systeme nach Anhang III (etwa KI im Recruiting oder bei der Kreditvergabe) sollten ursprünglich ebenfalls am 2. August 2026 greifen. Sie sind mit dem Digital-Omnibus-Paket auf Dezember 2027 verschoben worden. Wer euch heute mit Hochrisiko-Compliance-Fristen Druck macht, arbeitet mit einem veralteten Zeitplan.

Was das für Prozess-Automatisierung heißt

Jetzt der Teil, der mich direkt betrifft, weil ich solche Systeme baue: Interne Agenten, die Belege auslesen, Anfragen vorsortieren oder Antwortentwürfe schreiben, fallen in aller Regel in die niedrigste Risikoklasse. Es gibt dafür keine Zulassungspflicht und keine Registrierung.

Zwei Dinge solltet ihr trotzdem sauber halten:

  1. Menschliche Freigabe dokumentieren. Wenn der Agent Entwürfe vorbereitet und ein Mensch freigibt, seid ihr rechtlich und praktisch auf der sicheren Seite. So baue ich das standardmäßig.
  2. Kundenkontakt kennzeichnen. Sobald ein Agent vollautomatisch nach außen antwortet (etwa Standardfälle im Support), gehört ein Hinweis in die Mail, dass die Antwort automatisiert erstellt wurde. Ein Satz reicht.

Meine Einschätzung

Die unklare Gesetzeslage ist laut Bitkom-Studie „Künstliche Intelligenz in Deutschland" einer der meistgenannten Gründe, warum Mittelständler bei KI zögern. Verständlich, aber der AI Act ist für normale Automatisierung kein Grund zu warten. Die Pflichten sind überschaubar, und wer Freigabe-Workflows und Kennzeichnung von Anfang an mitbaut, hat sie nebenbei erledigt.

Wichtig zum Schluss: Ich bin Entwickler, kein Anwalt. Für den Sonderfall (Recruiting-KI, Bewertung von Personen, Medizinprodukte) gehört ein Fachanwalt an den Tisch. Für einen Beleg-Agenten nicht.