top of page
Strip.png

Intensives 48-Stunden-Training,  Praxisnahes Lernen mit Experten,  Zertifizierung & Zugang zu Premium-Tools...

EU AI Act: Stichtag am 2. August 2026

  • 25. Juni
  • 4 Min. Lesezeit

Ein Maschinenbauer betreibt einen Service-Chatbot, sein Marketing postet KI-Bilder, der Vertrieb schreibt Angebote mit ChatGPT. Drei Alltagsszenen – drei Mal KI-Verordnung.


Viele Geschäftsführer glauben, die Pflichten kämen erst im August 2026 auf einen Schlag. So ist es aber nicht. Dieser Beitrag zeigt konkret, was jetzt zu tun ist – mit Checkliste zum Abhaken.


Was zum 2. August 2026 wirklich zählt


Die Frist, die fast jeden trifft, ist die Kennzeichnung. Ab dem 2. August 2026 müssen Menschen erkennen, wenn eine KI im Spiel ist – Kunden wie Mitarbeitende. Drei konkrete Fälle aus dem Mittelstand:


  • Der Service-Chatbot auf der Website braucht einen Hinweis: „Sie schreiben mit einem KI-Assistenten."

  • Ein KI-generiertes, realistisch wirkendes Bild auf LinkedIn muss als KI-Inhalt gekennzeichnet sein.

  • Ein interner HR-Bot, der Urlaubsfragen beantwortet, muss sich der Belegschaft als KI zu erkennen geben.


Die Bußgelder haben Zähne, große Zähne: bis zu 35 Millionen Euro sind fällig oder sieben Prozent vom weltweiten Jahresumsatz bei den schwersten Verstößen; bis zu 15 Millionen oder drei Prozent bei den meisten anderen Pflichten.


Die vier Risikoklassen – mit Beispielen


Der AI Act ordnet jede KI einer von vier Klassen zu. Hier gilt die Devise: je höher das Risiko, desto mehr Pflichten haben Sie als Unternehmen (Quelle: Europäische Kommission):


  1. Verboten: eine Software, die im Bewerbungsgespräch per Kamera die „emotionale Stabilität" misst. Untersagt seit Februar 2025.

  2. Hochrisiko: ein Tool, das Bewerbungen automatisch vorsortiert, oder eine KI zur Bonitätsprüfung. Voller Pflichtenkatalog, nach aktuellem Stand ab 2. Dezember 2027.

  3. Begrenztes Risiko: der Kundenservice-Chatbot oder KI-Texte im Newsletter. Kennzeichnungspflicht ab 2. August 2026.

  4. Minimal: der Spamfilter im Postfach. Keine Auflagen.


Dasselbe Werkzeug, zwei Welten: ChatGPT für einen Werbetext gilt als begrenztes Risiko. Dasselbe ChatGPT zur Vorauswahl von Bewerbern wird zu einer Hochrisiko-KI. Der Aufschub für Hochrisiko per „Digital Omnibus" verschafft dem Mittelstand rund 16 Monate mehr Zeit. Die Kennzeichnungspflicht aber bleibt im August.


Die unterschätzte Pflicht: die KI-Kompetenz


Eine Vorschrift läuft schon. Nach Artikel 4 müssen Unternehmen seit dem 2. Februar 2025 dafür sorgen, dass ihre Mitarbeitenden KI kompetent bedienen. Die Pflicht läuft also bereits – nicht erst ab August.


Ein Beispiel: Nutzen Ihre drei Vertriebsmitarbeiterinnen ChatGPT für Angebote, müssen sie wissen, was das Tool kann – und wo es Fehler macht. Den Nachweis dafür tragen Sie. Compliance-Jurist Niklas Hanitsch von secur warnt: „Wer bisher keine Schulungs-Spur dokumentiert hat, ist heute schon in der Pflichtverletzung."


Ihre Checkliste für den Start


  • KI-Inventar: Listen Sie alle KI-Werkzeuge auf – auch Schatten-KI. Beispiel: Die Designerin nutzt Midjourney über einen Privat-Account, der Vertrieb testet ein Recherche-Tool. Beides gehört auf die Liste.

  • Risiko einstufen: Ordnen Sie jede Anwendung einer der vier Klassen zu. Der Newsletter-Generator ist begrenztes Risiko, das CV-Screening Hochrisiko. Maßgeblich ist der Einsatzzweck, nicht das Modell.

  • Kompetenz aufbauen: Schulen Sie alle mit KI-Kontakt – vom Marketing bis zur Buchhaltung – und sichern Sie Teilnahmenachweise.

  • Inhalte kennzeichnen: Hinweis am Chatbot, KI-Label unter generierten Bildern. Konkrete Wege nennt der Kennzeichnungs-Kodex vom Juni 2026 – signierte Metadaten, Wasserzeichen, C2PA-Content-Credentials und kostenlose EU-Label-Icons.

  • Governance und Anbieter: Klären Sie, wer neue KI-Tools freigibt. Und prüfen Sie, ob Ihr Anbieter Daten in der EU verarbeitet.


Ein Modell allein ist ein Risiko


Der AI Act dreht sich um Kontrolle. Es empfiehlt sich aber auch, nicht nur auf ein KI-Modell zu setzen. Wer das tut, geht ebenfalls ein Risiko ein – allerdings in anderer Hinsicht. 


Im Juni 2026 wies die US-Regierung Anthropic an, Spitzenmodelle für ausländische Nutzer zu sperren – das Unternehmen schaltete sie für alle ab. Nahezu zeitgleich hatte OpenAI die Reihe GPT-5.2 abgekündigt und Gespräche auf GPT-5.5 umgeleitet – ein Bruch für bestehende Integrationen. Wer seinen Angebots-Workflow allein auf ein solches Modell gestützt hatte, stand still.


Dr. Toni Wagner, Geschäftsführer von vAudience, fasst es zusammen: „Ein Modell allein ist ein Risiko." Setzen Sie deshalb auf mehrere Modelle – sicher eingebunden und DSGVO-konform. Genau das leistet Nexus von vAudience: Die Plattform vereint viele KI-Modelle an einem Ort. 


Gut zu wissen: 

Bald gibt es einen eigenen Nexus-Agenten, einen Spezialisten für den EU AI Act. Nexus-Kunden stellen ihm dann einfach ihre Fragen. Praktisch, oder? Und falls Sie Ihre KI-Kompetenz aufbauen wollen: Wir bieten zahlreiche Weiterbildungen an.



Glossar


  • Artikel 4 (KI-Kompetenz): Pflicht, dafür zu sorgen, dass Mitarbeitende KI sachkundig einsetzen. Gilt seit dem 2. Februar 2025.

  • Betreiber (Deployer): Das Unternehmen, das eine KI in eigener Verantwortung einsetzt. Die meisten Mittelständler sind Betreiber – nicht Anbieter.

  • Digital Omnibus: Ein EU-Gesetzespaket, das einzelne Fristen des AI Act anpasst – unter anderem die für Hochrisiko-KI.

  • EU AI Act: Verordnung der EU, die KI nach vier Risikostufen regelt.

  • Hochrisiko-KI: KI mit hohem Schadenspotenzial, etwa im Recruiting. Für sie gelten besonders strenge Auflagen.

  • Schatten-KI: KI-Werkzeuge, die Mitarbeitende ohne offizielle Freigabe nutzen – meist aus Eigeninitiative, nicht aus böser Absicht.


Quellen


bottom of page