EU AI Act ab August 2026: Was jetzt wirklich gilt (und was nicht)
Mein LinkedIn-Feed hat seit ein paar Wochen ein Lieblingsdatum: den 2. August 2026. Kaum ein Tag ohne einen Beitrag, der herunterzählt – „Noch 30 Tage, dann schlägt der EU AI Act zu!", gerne garniert mit einem Warndreieck und der Zahl 35 Millionen Euro. Und ich verstehe jeden, der bei dieser Dauerbeschallung entweder in Panik verfällt oder das Thema komplett wegschiebt. Beides ist übrigens die falsche Reaktion.
Ich beschäftige mich seit Anfang des Jahres intensiv mit Compliance und Sicherheit – nicht weil ich Regulierung so wahnsinnig spannend finde (finde ich ehrlich gesagt nur bedingt), sondern weil ich KI-Lösungen baue und irgendwann verstanden habe, dass ich die Regeln kennen muss, nach denen meine eigenen Systeme spielen. Und je tiefer ich in den AI Act eingestiegen bin, desto klarer wurde mir: Das größte Problem an diesem Gesetz ist nicht das Gesetz. Es ist die Berichterstattung darüber.
Wer von euch kennt diese Gemengelage auch:
- Ihr nutzt ChatGPT, Copilot oder einen Chatbot auf der Website und fragt euch, ob ihr ab August ein „Hochrisiko-Unternehmen" seid?
- Ein Berater hat euch ein AI-Act-Audit zum fünfstelligen Preis angeboten, konnte aber nicht sagen, welche Pflicht euch konkret trifft?
- Ihr habt die Schlagzeile „35 Millionen Euro Bußgeld drohen!" gelesen und danach beschlossen, erstmal gar nichts zu machen?
Dann lasst uns das gemeinsam entwirren. Versprochen: ohne Juristendeutsch und ohne Warndreieck.
Was längst gilt – und ihr vermutlich gar nicht gemerkt habt
Zuerst das, was in der Countdown-Rhetorik gerne untergeht: Der EU AI Act ist kein Gesetz, das am 2. August 2026 „in Kraft tritt". In Kraft ist er seit dem 1. August 2024. Er wird nur in Stufen scharf geschaltet – und zwei dieser Stufen sind längst aktiv.
Seit Februar 2025 gelten die Verbote. Das betrifft KI-Systeme mit unannehmbarem Risiko: Social Scoring nach chinesischem Vorbild, manipulative Systeme, solche Dinge. Wenn Sie so etwas betreiben, haben Sie ein Problem – aber dann wussten Sie das vermutlich auch schon vor dem AI Act. Für die allermeisten Unternehmen ist diese Stufe schlicht irrelevant. Und genau darin steckt eine gute Nachricht: Sie ist seit anderthalb Jahren aktiv, und die Welt ist nicht untergegangen.
Seit August 2025 gelten außerdem die Pflichten für Anbieter von GPAI-Modellen – also für die, die große Basismodelle entwickeln und auf den Markt bringen. Auch das betrifft Sie nur, wenn Sie zufällig OpenAI, Anthropic oder Google sind. (Falls ja: Grüße nach San Francisco, und danke fürs Lesen.)
Mit anderen Worten: Zwei Drittel des angeblichen Schreckgespensts laufen bereits – und die meisten von euch haben davon exakt nichts gespürt. Das sollte man im Kopf behalten, wenn jetzt wieder der Weltuntergang ausgerufen wird.
Was am 2. August 2026 tatsächlich passiert
Jetzt zum eigentlichen Stichtag. Ab dem 2. August 2026 wird der AI Act weitgehend voll anwendbar. Die zwei Bausteine, die dann für normale Unternehmen relevant werden, sind die Pflichten für Hochrisiko-KI-Systeme und die Transparenzpflichten.
Hochrisiko klingt dramatisch, ist aber präzise definiert. Anhang III des Gesetzes listet die Einsatzfelder auf, und die haben ein gemeinsames Muster: KI, die über Menschen entscheidet. KI in der Personalauswahl – wenn also ein System Bewerbungen vorsortiert oder bewertet. KI in der Kreditvergabe. KI in kritischer Infrastruktur. KI in der Bildung, etwa bei der Bewertung von Prüfungen. Wer solche Systeme anbietet oder einsetzt, bekommt ab August echte Hausaufgaben: Risikomanagement, Dokumentation, menschliche Aufsicht, saubere Datengrundlagen.
Und die Transparenzpflichten? Die sind deutlich breiter, aber auch deutlich harmloser: Wenn Menschen mit einer KI interagieren, müssen sie das wissen. Der Chatbot auf Ihrer Website darf also nicht so tun, als hieße er Sabine und sitze im Kundenservice in Hamburg. Ein ehrlicher Hinweis, dass man mit einem KI-Assistenten chattet – das ist der Kern. Ich finde das nicht nur zumutbar, sondern richtig. Ich habe meine eigene KI-Assistentin Lea von Anfang an als KI vorgestellt, und beschwert hat sich darüber noch niemand. Eher im Gegenteil: Ehrlichkeit schafft Vertrauen.
Die Frage, die kaum jemand stellt: Anbieter oder Betreiber?
Hier liegt das größte Missverständnis, das mir in Gesprächen immer wieder begegnet. Der AI Act unterscheidet zwischen denen, die ein KI-System entwickeln und auf den Markt bringen – den Anbietern – und denen, die es lediglich einsetzen – den Betreibern. Die schweren Pflichten liegen ganz überwiegend beim Anbieter. Wer als Unternehmen ein fertiges Werkzeug für unkritische Aufgaben nutzt, also E-Mails formulieren lässt, Protokolle zusammenfasst oder Texte übersetzt, ist von der Hochrisiko-Welt weit entfernt.
Anders gesagt: Dass Ihre Marketingabteilung mit einem Sprachmodell Newsletter-Entwürfe schreibt, macht Sie nicht zum Hochrisiko-Fall. Was Sie dagegen sehr wohl in diese Kategorie befördert: dasselbe Sprachmodell entscheiden zu lassen, welche Bewerber zum Gespräch eingeladen werden. Es kommt eben nicht darauf an, welche KI Sie nutzen – sondern wofür Sie sie nutzen.
Und genau da würde ich ansetzen, am besten vor August. Verschaffen Sie sich einen ehrlichen Überblick, wo in Ihrem Unternehmen überall KI im Einsatz ist. Nach meiner Erfahrung ist diese Liste immer länger als gedacht – Schatten-KI lässt grüßen, das private ChatGPT-Konto in der Buchhaltung zählt nämlich mit. Dann stellen Sie für jeden Eintrag die eine entscheidende Frage: Entscheidet oder bewertet dieses System Menschen – bei Jobs, Krediten, Noten, Versorgung? Wenn nein, sind Ihre Pflichten überschaubar: Transparenz herstellen, Mitarbeiter im Umgang mit KI schulen, dokumentieren, fertig. Wenn ja, haben Sie jetzt ein konkretes Projekt – aber eben ein planbares Projekt, keinen Grund zur Schockstarre.
Und die 35 Millionen?
Ja, die Bußgelder sind real: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Aber diese Maximalsätze gelten für die schwersten Verstöße – für verbotene Praktiken, nicht für den Mittelständler, dessen Chatbot-Hinweis zwei Wochen zu spät online ging. Die Logik kennen wir von der DSGVO: Auch dort standen 20 Millionen Euro im Gesetz, auch dort wurde 2018 das Ende des Mittelstands ausgerufen. Und dann zeigte sich, dass es zuallererst die trifft, die das Thema komplett ignoriert haben.
Womit ich ausdrücklich nicht sagen will: alles egal. Die Pflichten sind real, und wer Systeme aus Anhang III einsetzt, hat jetzt Arbeit vor sich. Aber zwischen „Weltuntergang" und „betrifft mich nicht" liegt ein weiter, sehr vernünftiger Mittelweg – und der beginnt mit einer nüchternen Bestandsaufnahme statt mit einem Panik-Audit.
Warum AI Act und DSGVO zusammengehören
Was mir in der ganzen Debatte fehlt: Der AI Act kommt nicht in ein leeres Regal. Wer seine KI-Systeme DSGVO-konform aufgebaut hat, hat einen Großteil der Vorarbeit schon geleistet. Die Bestandsaufnahme, welche Systeme welche Daten verarbeiten? Gibt es dann schon. Die Frage, wer die Verantwortung trägt? Beantwortet. Die Dokumentation? Angefangen. Beide Regelwerke verlangen im Kern dasselbe: dass Sie wissen, was Ihre Systeme tun, und dass Sie es belegen können.
Deshalb halte ich nichts davon, den AI Act als neues, isoliertes Schreckgespenst zu behandeln. Er ist eine zweite Ebene auf einem Fundament, das die meisten ohnehin bauen mussten. Und wie bei der DSGVO gilt: Die Entscheidungen, die wirklich zählen, sind Architektur-Entscheidungen, keine Papier-Entscheidungen. Wer sie am Anfang trifft, baut einmal und baut richtig.
Ich gebe ehrlich zu: Auch ich lese EU-Verordnungen nicht zum Vergnügen (mein Feierabend hat Besseres verdient). Aber ich habe in den letzten Monaten gelernt, dass ein Wochenende mit dem Gesetzestext deutlich entspannter ist als ein Jahr mit diffuser Angst davor. Und dass die Antwort auf „Betrifft mich das?" fast immer konkreter ausfällt, als die Schlagzeilen vermuten lassen.
Wenn ihr gerade sortiert, was der AI Act für euer Unternehmen bedeutet – oder wenn euch jemand ein teures Audit verkaufen will und ihr erstmal eine zweite Meinung wollt: Sprecht mich an, schreibt mir eine E-Mail oder ruft einfach an. Lasst uns gemeinsam herausfinden, was für euch wirklich gilt und was nur Lärm ist.
Artikel teilen
NIS2, DSGVO oder AI Act betrifft Sie?
Compliance, die funktioniert — weil wir die Technik verstehen, die wir prüfen.
Compliance-Check starten