Der EU AI Act und KMU: Was ab August 2026 wirklich zählt

Was ist der EU AI Act überhaupt?

Stell dir vor, du betreibst ein Restaurant. Dann gibt es Hygienevorschriften die du beachten musst. Egal ob du 3 oder 300 Mitarbeitende hast. Der EU AI Act ist so ähnlich: ein Regelwerk für den Umgang mit KI, das für alle gilt. Das Gesetz unterscheidet dabei nach einem einfachen Prinzip:

Je mehr Schaden ein KI-System anrichten kann, desto strenger die Regeln.

Konkret gibt es vier Stufen:

Stufe Was fällt darunter Was gilt
Verboten KI zur Gesichtserkennung in der Öffentlichkeit, Social Scoring Komplett verboten seit Feb. 2025
Hohes Risiko KI in HR, Kreditvergabe, Bewerbungsprozessen Strenge Dokumentations- und Aufsichtspflichten
Begrenztes Risiko Chatbots, KI-generierte Bilder und Texte Transparenzpflichten – August-Stichtag
Minimales Risiko Spam-Filter, Suchvorschläge Kaum Auflagen

Die meisten Anwendungen die KMUs einsetzen sind in der dritten Kategorie. Das ist KI für Marketing, Kundenkommunikation, Texterstellung. Und genau für diese Kategorie gilt ab 2. August 2026 eine klare gesetzliche Pflicht: Transparenz.

Die Stufeneinführung: Wann gilt was

Der AI Act ist etwas umständlich. Verschiebungen, verschiedene Daten zur Einführung unterschiedlicher Regeln. Hier eine kurze Übersicht mit Fokus KMUs:

  • 2. Februar 2025: Verbote für riskante KI + Mitarbeitende müssen KI-Kompetenz nachweisen
  • 2. August 2025: Pflichten für Anbieter grosser KI-Modelle (OpenAI, Anthropic, etc.)
  • 2. August 2026: Transparenzpflichten (Art. 50)
  • 2. August 2027: Erweiterte Pflichten für KI in Medizinprodukten und ähnlichem

Bin ich «Hochrisiko»? Wie finde ich das raus?

Der Begriff klingt bedrohlicher, als er ist. «Hochrisiko» bedeutet im AI Act nicht unbedingt, dass das System gefährlich ist. Lass mich kurz ausholen: KI unterscheidet sich von bisherigen IT-Systemen so, dass sie autonom Entscheidungen treffen kann. Autonom bedeutet in diesem Kontext, dass keine programmierte Regel für das Treffen der Entscheidung existiert, sondern das System basierend auf einem trainierten «Erinnerungsvermögen» entscheidet. Ähnlich wie bei einem Menschen.

Hochrisiko ist ein KI-System, sobald erhebliche Folgen für Menschen eintreten können.

Praktische Beispiele, die KMUs tatsächlich betreffen können:

  • Du nutzt ein KI-Tool im Bewerbungsprozess, das Lebensläufe filtert und automatisiert ablehnt → Hochrisiko
  • Eine Bank verwendet ein KI-System zur Bonitätsprüfung → Hochrisiko
  • Du setzt KI zur Personaleinsatzplanung ein → Hochrisiko
  • Du nutzt KI für Zugangskontrolle oder Sicherheitsüberwachung → Hochrisiko

Was du in solchen Fällen tun musst: Protokollierung der Nutzung (mindestens 6 Monate), geschultes Personal, das die KI überwacht, und eine Risikoeinschätzung.

Faustregel: Wenn KI hilft, Entscheidungen über Menschen zu treffen → Hochrisiko. Wenn KI Inhalte erstellt oder Fragen beantwortet → begrenztes Risiko.

August 2026: Die Transparenzpflichten nach Artikel 50

Jetzt kommen wir zum Teil, der dich als KMU fast zu 100 % betrifft, sofern du KI irgendwo in deinem Unternehmen einsetzt. Die Grundidee ist dieselbe wie bei der Datenschutzerklärung aus der DSGVO:

Nutzer:innen Transparenz und Bewusstsein schaffen, um eine faktenbasierte Entscheidung über die eigenen Daten zu ermöglichen.

Hier ein paar Use Cases, die bereits eine große Verbreitung haben:

KI-basierte Chatbots

Wenn du auf deiner Website, in einer App oder im Kundenservice einen Chatbot oder Sprachassistenten betreibst, muss dieser den Nutzer:innen klar sagen, dass sie mit einer KI sprechen. Wichtig ist, dass die Person von Anfang an weiß, dass sie mit einer KI interagiert.

Eine kleine Fußzeile reicht nicht. Es braucht einen sichtbaren Hinweis beim Start der Konversation.

Kennzeichnung von KI-generierten Inhalten

KI-generierte Inhalte sind überall und müssen laut AI Act «maschinenlesbar» erkennbar sein. Was heißt in dem Kontext nun aber «maschinenlesbar» und wie machst du das als KMU? Keine Angst, es ist einfacher als es klingt.

Es gibt zwei verschiedene Pflichten:

  1. Pflicht für KI-Anbieter (OpenAI, Adobe, Midjourney, Anthropic, etc.): Diese Unternehmen müssen sicherstellen, dass ihre KI-Outputs technisch markiert sind. Dies geschieht durch sogenannte Metadaten oder Wasserzeichen (Fachbegriff: C2PA-Standard). Das passiert unsichtbar im Hintergrund, eingebettet in die Datei selbst. Eine KI-Maschine kann später erkennen: «Dieses Bild wurde von einer KI generiert.» Das ist die «maschinenlesbare» Kennzeichnung. Aufatmen: Das ist nicht deine Aufgabe als KMU.
  2. Pflicht für Betreiber und Nutzer:innen (also du als KMU): Wenn du KI-generierte Inhalte veröffentlichst, ob Bilder, Texte oder Videos, musst du sicherstellen, dass Menschen das erkennen können. Also sichtbare Kennzeichnung: ein Hinweis im Bildtext, eine Fußnote, ein kleines Label. Du darfst das nicht verstecken, sondern es muss für Lesende erkennbar sein.
 

Eine wichtige Ausnahme: Die Kennzeichnungspflicht für KI-generierte Texte entfällt, wenn die Inhalte einer menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und eine Person die redaktionelle Verantwortung trägt. Sprich ein Mensch übernimmt die inhaltliche Verantwortung. Dann muss die KI nicht erwähnt werden. Das ist insbesondere bei Blogs oft der Fall. Aber Tippfehler korrigieren reicht nicht. Es muss inhaltlich in großem Umfang gearbeitet und geprüft werden.

Deepfakes

Wenn du Bild-, Audio- oder Videoinhalte erstellst oder verbreitest, in denen eine reale Person täuschend echt dargestellt wird, ohne dass sie das wirklich gesagt oder getan hat, musst du das sichtbar offenlegen. Relevant ist das vor allem für Werbung mit synthetischen Testimonials, KI-Sprecher:innen in Videos oder manipulierte Aufnahmen. Klar erkennbare Satire oder Kunst ist ausgenommen.

KI-generierte Texte zu öffentlichen Themen

Wer automatisiert Texte erstellt und veröffentlicht, die gesellschaftlich relevante Themen behandeln (Nachrichten, politische Einschätzungen, Berichte), muss diese als KI-erzeugt kennzeichnen. Für normale Unternehmenskommunikation wie Blog, Newsletter oder LinkedIn-Posts gilt das nur, wenn die Texte klar zu Themen von öffentlichem Interesse verfasst sind.

Was du als KMU nun effektiv tun musst

Schritt 1: Verschaff dir einen Überblick (30 Minuten)

Geh einmal durch, welche KI-Tools du heute nutzt:

  • Habt ihr einen Chatbot auf der Website?
  • Erstellt ihr Bilder mit Midjourney, DALL-E oder Adobe Firefly?
  • Nutzt ihr ChatGPT oder ähnliche Tools für Marketingtexte, Newsletter, Social Media?
  • Habt ihr KI in HR-Prozessen, z. B. bei der Vorsortierung von Bewerbungen?

Schreib dir alles auf. Im Excel oder auf Papier, ist egal. Stuf kurz ein, in welcher Risikostufe deine Lösungen liegen. Die Einstufung hast du jetzt im Griff.

Schritt 2: Hinweise ergänzen

  • Chatbot: Welcome Message ergänzen: «Hallo, ich bin der KI-Assistent von [FIRMA]. Wie kann ich dir helfen?»
  • Bild mit KI erstellt: Bildunterschrift ergänzen: «Diese Visualisierung wurde mit KI-Unterstützung erstellt.»
  • Blogpost mit KI geschrieben: Fußnote ergänzen: «Dieser Text wurde mit KI-Unterstützung erstellt.» Sofern der Blogpost gesellschaftlich relevante Themen behandelt.
  • Video mit KI-Stimme: Hinweis in der Beschreibung: «Dieses Video wurde mit KI-Unterstützung erstellt.»

Wenn du als KMU ein Hochrisiko-System betreibst, musst du die Nutzung sauber dokumentieren, deine Mitarbeitenden schulen und sicherstellen, dass immer ein Mensch die finale Entscheidung trifft

Picture of Tom Röthlisberger
Tom Röthlisberger

LegalTech Experte

  • Zuletzt aktualisisert: 5. Juni 2026

Inhalte

PrivacyBee direkt ausprobieren

  • Jederzeit und einfach kündbar
  • Keine Kreditkarte für die Testphase
  • 14 Tage kostenlos testen

Schütze deine Website noch heute!

Starte jetzt und erlebe, wie einfach Datenschutz sein kann. Nutze unseren einfachen und individuellen Website-Scan und mache deine Webseite auch fortlaufend abmahnsicher.

Jetzt starten
Webseite absichern
Webseite absichern