- Nicht verschoben: Die Transparenzpflichten (Artikel 50) gelten ab dem 2. August 2026 — Chatbot-Hinweis, Kennzeichnung KI-generierter Inhalte, Deepfake-Kennzeichnung. Bußgeldrahmen: bis 15 Mio. € oder 3 % des Weltumsatzes.
- Verschoben (per „Digital Omnibus"): Die Hochrisiko-Pflichten nach Anhang III auf den 2. Dezember 2027, produktintegrierte Hochrisiko-KI (Anhang I) auf 2028.
- Gilt längst und wird übersehen: Die KI-Kompetenz-Pflicht (Artikel 4) läuft seit Februar 2025, die Verbote ebenso.
- Die meisten Mittelständler sind Betreiber, nicht Anbieter — ihre Pflichtenliste ist kurz. Sie sollte nur eben abgearbeitet sein, bevor die Aufsicht fragt.
Vorweg zur Einordnung: Wir sind KI-Umsetzer, keine Rechtsanwälte — dieser Beitrag ist eine Praxis-Orientierung, keine Rechtsberatung. Er basiert auf dem Verordnungstext, den offiziellen Terminen und der Berichterstattung zur Omnibus-Einigung, Stand 4. Juli 2026. Für die verbindliche Einzelfallprüfung gehört eine Kanzlei an den Tisch. Was wir hier leisten können: die Rechtslage in Betriebssprache übersetzen — damit du weißt, worüber du überhaupt mit wem sprechen musst.
Warum gerade alle durcheinanderreden
Die KI-Verordnung ist seit August 2024 in Kraft und wird gestaffelt anwendbar. Der ursprüngliche Fahrplan: Februar 2025 die Verbote und die KI-Kompetenz-Pflicht, August 2025 die Pflichten für Anbieter großer KI-Modelle, August 2026 dann „der Rest" — vor allem die umfangreichen Hochrisiko-Pflichten und die Transparenzregeln.
Dann kam die Entlastungsdebatte. Mit dem „Digital Omnibus" haben sich Rat und Parlament im Mai 2026 darauf geeinigt, die Hochrisiko-Pflichten zu verschieben; das Parlament hat am 16. Juni 2026 zugestimmt, der Rat am 29. Juni 2026 formal angenommen — es fehlt nur noch die Veröffentlichung im Amtsblatt. Seitdem titelt die eine Hälfte der Berichterstattung „AI Act verschoben", während die andere vor dem August-Stichtag warnt. Beide haben recht — sie reden nur über verschiedene Teile der Verordnung. Und ein Detail geht fast überall unter: Anfang Juli 2026 war der Omnibus noch nicht im EU-Amtsblatt veröffentlicht. Bis das passiert, gelten formal die alten Fristen weiter — die politische Einigung ist sehr wahrscheinlich das Endergebnis, aber eben noch nicht geltendes Recht.
Der Stand der Fristen — eine Tabelle statt zehn Schlagzeilen
| Pflicht | Stichtag | Status |
|---|---|---|
| Verbotene Praktiken (u. a. Social Scoring, manipulative KI) | 2. Februar 2025 | gilt bereits |
| KI-Kompetenz / Schulungspflicht (Art. 4) | 2. Februar 2025 | gilt bereits — oft übersehen |
| Pflichten für Anbieter großer KI-Modelle (GPAI) | 2. August 2025 | gilt bereits (betrifft Modell-Anbieter) |
| Transparenzpflichten (Art. 50: Chatbots, KI-Inhalte, Deepfakes) | 2. August 2026 | kommt — nicht verschoben |
| Maschinenlesbare Kennzeichnung / Watermarking | 2. Dezember 2026 | per Omnibus leicht verschoben |
| Hochrisiko-Pflichten (Anhang III, z. B. KI in HR, Kreditvergabe) | 2. Dezember 2027 | per Omnibus verschoben (vorher: Aug. 2026) |
| Hochrisiko-KI in regulierten Produkten (Anhang I) | August 2028 | per Omnibus verschoben |
Stand: 4. Juli 2026. Omnibus-Fristen vorbehaltlich Veröffentlichung im EU-Amtsblatt — bis dahin gelten formal die alten Termine.
Was ab dem 2. August 2026 konkret auf dich zukommt: Artikel 50
Die Transparenzpflichten sind der Teil der Verordnung, der die meisten Unternehmen betrifft — gerade weil er nicht auf exotische Hochrisiko-Fälle zielt, sondern auf den KI-Alltag:
- Chatbots und Voicebots: Wer einen KI-Assistenten im Kundenkontakt betreibt, muss erkennbar machen, dass Nutzer mit einer KI interagieren — außer es ist offensichtlich.
- KI-generierte Bilder, Audio und Video: Synthetische Inhalte — insbesondere Deepfakes — müssen als künstlich erzeugt oder manipuliert gekennzeichnet werden. Das betrifft auch KI-Bilder im Marketing.
- KI-Texte zu Themen von öffentlichem Interesse: Wer solche Texte KI-generiert veröffentlicht, muss das offenlegen — außer es gab eine menschliche redaktionelle Kontrolle mit Verantwortung.
- Emotionserkennung und biometrische Kategorisierung: Betroffene Personen müssen informiert werden — im Mittelstand seltener relevant, aber wer es einsetzt, sollte es wissen.
Der Bußgeldrahmen dafür: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Realistisch beginnt keine Aufsichtsbehörde beim Maximum — aber „wussten wir nicht" trägt ab August nicht mehr. Die gute Nachricht: Diese Pflichten sind mit überschaubarem Aufwand erfüllbar. Ein sauberer Hinweis im Chat-Fenster, ein Kennzeichnungsprozess für KI-Visuals, eine redaktionelle Freigabe für KI-Texte — das ist Prozessarbeit, kein Großprojekt.
Betreiber oder Anbieter? Die Weiche, die über deine Pflichten entscheidet
Die Verordnung unterscheidet konsequent zwischen Anbietern (die KI-Systeme entwickeln oder unter eigenem Namen auf den Markt bringen) und Betreibern (die sie beruflich einsetzen). Fast der gesamte Mittelstand ist Betreiber — und Betreiberpflichten sind deutlich schlanker: transparent einsetzen, Mitarbeitende schulen, Anweisungen des Anbieters beachten.
Aufpassen muss, wer die Grenze überschreitet: Wer ein KI-System wesentlich verändert oder eine KI-Lösung unter eigener Marke an Kunden gibt, kann rechtlich zum Anbieter werden — mit dem vollen Pflichtenprogramm. Diese Einordnung einmal sauber vorzunehmen ist die vielleicht wichtigste halbe Stunde der ganzen Compliance-Übung. Ausführlicher haben wir die Anwender-vs.-Anbieter-Logik im Build-vs-Buy-Leitfaden aufgeschlüsselt; wie Datenresidenz und EU-Betrieb zusammenspielen, steht im Local-LLM-Leitfaden.
Was fast alle übersehen: Die Schulungspflicht läuft seit Februar 2025
Während alle auf den August 2026 starren, ist Artikel 4 längst anwendbar: Unternehmen müssen seit dem 2. Februar 2025 für ausreichende KI-Kompetenz bei allen sorgen, die mit KI-Systemen arbeiten. Kein Zertifikats-Zwang, kein vorgeschriebenes Kursformat — aber die Erwartung, dass Mitarbeitende die Systeme, die sie nutzen, einschätzen können: Was kann das Werkzeug, was nicht, welche Daten dürfen hinein, wann muss ein Mensch prüfen?
Ein dokumentiertes, rollenbezogenes Schulungskonzept ist der übliche Weg — und nebenbei schlicht gutes Management: Die DIHK- und Bitkom-Zahlen zeigen seit Jahren, dass KI-Projekte im Mittelstand selten an der Technik scheitern, sondern daran, dass niemand sauber damit arbeiten kann.
Deine To-do-Liste bis August — fünf Punkte, kein Großprojekt
- 1. KI-Inventar machen. Welche KI-Systeme sind bei euch im Einsatz — offiziell und inoffiziell (Stichwort Schatten-KI)? Ohne Liste keine Compliance.
- 2. Rolle klären. Für jedes System: Sind wir Betreiber oder (versehentlich) Anbieter? Im Zweifel juristisch gegenprüfen lassen.
- 3. Transparenz umsetzen. Chatbot-Hinweis, Kennzeichnung von KI-Bildern/-Videos, Freigabeprozess für KI-Texte — bis zum 2. August 2026.
- 4. Schulungsnachweis aufsetzen. Rollenbezogenes KI-Kompetenz-Konzept dokumentieren — die Pflicht gilt seit Februar 2025.
- 5. Hochrisiko-Check terminieren, nicht dramatisieren. Falls ihr KI in HR-Entscheidungen, Kreditvergabe o. Ä. einsetzt: Die Pflichten kommen (voraussichtlich Dezember 2027) — Zeit für saubere Vorbereitung statt Panik, aber nicht für Verdrängung.
Und ein sechster Punkt, der keiner Verordnung bedarf: Wer KI-Lösungen von Dienstleistern einkauft, sollte die Compliance-Fragen gleich in die Anbieterauswahl einbauen — die fünf Prüffragen an jede KI-Agentur decken Datenresidenz und Verantwortlichkeiten bereits ab. Und wer die Regulierung grundsätzlich als Standortfrage diskutieren will: KI als Wachstumschance für Europa.
Quellen und Einordnung
Dieser Beitrag ist eine Praxis-Orientierung, keine Rechtsberatung. Grundlage sind die KI-Verordnung (EU) 2024/1689 mit ihrem gestaffelten Anwendungsfahrplan, die Transparenzpflichten nach Artikel 50 samt Bußgeldrahmen (bis 15 Mio. € / 3 % Weltumsatz) sowie die öffentliche Berichterstattung zur „Digital Omnibus"-Einigung (Einigung Mai 2026, Zustimmung des EU-Parlaments am 16. Juni 2026, formale Annahme durch den Rat am 29. Juni 2026; Verschiebung der Anhang-III-Hochrisiko-Pflichten auf den 2. Dezember 2027, Anhang I auf 2028, maschinenlesbare Kennzeichnung auf Dezember 2026). Stand aller Angaben: 4. Juli 2026 — die Omnibus-Änderungen waren zu diesem Zeitpunkt noch nicht im EU-Amtsblatt veröffentlicht; bis zur Veröffentlichung gelten formal die ursprünglichen Fristen. Bewertungen und Priorisierungen sind die Sicht von Digital Maker.
Häufige Fragen: EU AI Act im Mittelstand
Was gilt ab dem 2. August 2026 nach dem EU AI Act?
Ab dem 2. August 2026 greifen vor allem die Transparenzpflichten nach Artikel 50: Wer einen Chatbot betreibt, muss Nutzer über die KI-Interaktion informieren; KI-generierte bzw. manipulierte Bilder, Audio und Video (Deepfakes) müssen gekennzeichnet werden; dasselbe gilt für veröffentlichte KI-Texte zu Themen von öffentlichem Interesse. Die großen Hochrisiko-Pflichten (Anhang III) sollten ursprünglich ebenfalls ab diesem Datum gelten, wurden per „Digital Omnibus" aber auf Dezember 2027 verschoben.
Wurde der EU AI Act verschoben?
Teilweise — und genau das stiftet Verwirrung. Der „Digital Omnibus" (Einigung Mai 2026, Zustimmung des EU-Parlaments am 16. Juni 2026, formale Annahme durch den Rat am 29. Juni 2026) verschiebt die Pflichten für eigenständige Hochrisiko-Systeme (Anhang III) auf den 2. Dezember 2027 und für produktintegrierte Hochrisiko-KI (Anhang I) auf August 2028. NICHT verschoben sind die Transparenzpflichten nach Artikel 50 — sie gelten ab dem 2. August 2026. Zudem war der Omnibus Anfang Juli 2026 noch nicht im EU-Amtsblatt veröffentlicht; bis dahin gelten formal die alten Fristen.
Gilt der EU AI Act auch für kleine und mittlere Unternehmen?
Ja. Es gibt keine generelle Mittelstands-Ausnahme — nur einzelne Erleichterungen. Die gute Nachricht: Die meisten Mittelständler sind „Betreiber" (Anwender) von KI, nicht „Anbieter" — und Betreiberpflichten sind deutlich schlanker. Wer allerdings KI-Systeme wesentlich verändert oder unter eigenem Namen anbietet, kann in die strengeren Anbieterpflichten rutschen. Diese Einordnung sollte man einmal sauber vornehmen.
Was ist die KI-Schulungspflicht nach Artikel 4?
Artikel 4 verpflichtet Unternehmen seit dem 2. Februar 2025, für ausreichende KI-Kompetenz bei allen Mitarbeitenden zu sorgen, die mit KI-Systemen arbeiten. Diese Pflicht gilt also längst — sie wird nur oft übersehen, weil alle auf den August 2026 schauen. Ein dokumentiertes, rollenbezogenes Schulungskonzept ist der übliche Weg, sie zu erfüllen.
Welche Strafen drohen bei Verstößen gegen die Transparenzpflichten?
Verstöße gegen die Transparenzpflichten nach Artikel 50 können mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Für die verbotenen Praktiken gelten noch höhere Rahmen. Realistisch beginnt Aufsicht selten mit dem Maximalbußgeld — aber „wir wussten das nicht" ist ab August 2026 keine Verteidigung mehr.
Ist dein KI-Einsatz August-fest?
Im Discovery Call gehen wir dein KI-Inventar durch, klären die Betreiber-/Anbieter-Frage für deine Systeme und priorisieren, was bis August wirklich zu tun ist — nüchtern statt panisch. Vier Augen, dreißig Minuten, keine Folien.