Erinnerst Du Dich noch an unseren Grundlagen-Artikel zum EU AI Act? Ausgerechnet jetzt, kurz vor dem Stichtag 2. August 2026, hat die EU noch einmal an den Stellschrauben gedreht. Klingt nach Entwarnung? Nicht ganz! Wir holen Dich ab und fassen zusammen, was sich geändert hat und inwiefern Du weiterhin betroffen bist.
Die wichtigsten Änderungen in Kürze
Seit dem 29. Juni 2026 ist der „Digitale Omnibus zur KI“ beschlossen. Dahinter verbrigt sich ein Gesetzespaket, mit dem die EU den bestehenden AI Act nachträglich anpasst. Der überwiegende Teil davon betrifft eine Terminverschiebung für Anhang III (z. B. KI-gestütztes Bewerbermanagement-Tool im HR-Bereich) auf den 2. Dezember 2027 sowie für Anhang I (KI in regulierten Produkten wie Medizintechnik) auf den 2. August 2028. Betrifft Dich das überhaupt? Nur, wenn du tatsächlich ein solches System einsetzt. In diesem Fall hast Du jetzt spürbar mehr Zeit.
Nicht verschoben wurden jedoch die strengen Transparenzpflichten nach Art. 50, welche ab dem 2. August 2026 gelten und auch Dich als Website-Betreiber, Online-Händler oder ähnlicher Dienstleister betreffen. Dazu kommen ab 2. Dezember 2026 zwei neue, inhaltlich echte Verbote (u. a. sexualisierte Deepfakes, „Nudifier“ Apps).
Ein kleines Restrisiko
Ganz in Stein gemeißelt sind die letzten Änderungen noch nicht, da der neue Gesetztestext noch formal im EU-Amtsblatt veröffentlicht werden muss, bevor er offiziell greift. Bis dahin gilt technisch gesehen noch die alte Fassung des AI Act. Sollte der Digitale Omnibus (aktuell rein theoretisch) noch kippen, würden ab dem 2. August 2026 die ursprünglichen, unveränderten Hochrisiko-Pflichten in Kraft treten. Wir halten Dich hier weiter auf dem Laufenden.
„Dann bin ich ja gar nicht betroffen!“ – Mythos vs. Fakt
„Der AI Act ist komplett verschoben.“
Nein. Nur die Hochrisiko-Pflichten (Anhang III/I) wurden verschoben. Die Transparenzpflichten bleiben scharf.
„Uns betrifft das erst 2027 oder 2028.“
Falsch. Die KI-Kompetenzpflicht gilt bereits seit Februar 2025, die Transparenzpflicht ab August 2026.
„Wenn wir KI-Tools nur einkaufen, sind wir fein raus.“
Irrtum. Auch als Betreiber hast Du eigene Pflichten, die Dir der Anbieter nicht abnimmt.
„Kleine Unternehmen sind ausgenommen.“
Nein. Der AI Act gilt größenunabhängig. Relevant wird es überall dort, wo KI Entscheidungen trifft oder Inhalte aufbereitet.
Was heißt das konkret für Dich?
Kurz gesagt: „Der AI Act ist verschoben, ich hab noch Zeit“ ist genau der Trugschluss, vor dem wir Dich hier bewahren wollen. Vielmehr solltest Du Dich schon jetzt um Folgendes kümmern:
- Chatbots kennzeichnen – Setzt Du einen Chatbot auf Deiner Website ein? Dann muss für Besucher sofort klar sein, dass es sich hier um KI handelt und nicht um einen Menschen.
- KI-Inhalte ausweisen – Lässt Du Texte, Bilder oder Videos von KI erstellen? Dann müssen diese entsprechend gekennzeichnet werden. Die Kennzeichnungspflicht entfällt nur dann, wenn die inhaltliche Ausarbeitung/Überarbeitung und damit auch die redaktionelle Verantwortung der Veröffentlichung in menschlicher Hand liegt.
- Deepfakes deklarieren – Arbeitest Du mit Deepfakes oder ähnlichen synthetischen Inhalten? Auch dafür gelten eigene Kennzeichnungspflichten.
Sonderfall Bilder: Wann wird aus einem KI-Bild ein kennzeichnungspflichtiger Deepfake?
Bei Bildern, Audio und Video tickt der AI Act anders als bei Texten: Entscheidend ist nicht, ob „jemand draufgeschaut hat“, sondern die wesentliche Veränderung. Ein Bild gilt als kennzeichnungspflichtiger Deepfake, wenn es (1) Personen, Orte oder Ereignisse mit Bezug zur echten Welt zeigt und dieses (2) realistisch genug ist, um als echte Aufnahme durchzugehen.
Welcher Bildtyp erfordert also eine Kennzeichnungspflicht?
Die Faustformel hier: Könnte ein Betrachter beim schnellen Scrollen denken „Das ist ein echtes Foto“? Dann ist eine Kennzeichnung nötig.
Flache Icon-Illustration für einen Blogbeitrag
NeinComic-artige Grafik zur Auflockerung
NeinFotorealistisches KI-Bild einer Person am Laptop (Stockfoto-Stil)
JaFotorealistische Szene, die wie ein echtes Büro/Event aussieht
JaAbstraktes Muster/Hintergrundgrafik
NeinWas ist mit älteren Bildern, die schon länger auf Deiner Website liegen?
Hier besteht Entwarnung, denn es gibt keine rückwirkende Pflicht für Archivinhalte. Sobald Du jedoch ein altes Bild nach dem 2. August 2026 erneut veröffentlichst oder substanziell überarbeitest, dann gelten für dieses selbstverständlich die neuen Prüf- und Kennzeichnungspflichten.
Dein Praxis-Fahrplan in vier Schritten
KI-Inventur
Wo läuft KI im Unternehmen überall mit, vielleicht auch heimlich (z. B. privates ChatGPT) oder als KI-Funktion in einem Plug-in? Diese „Schatten-KI“ ist meistens die größte Lücke – nicht aus Absicht, sondern weil niemand hingeschaut hat.
Praxis-Tipp: Mit einem Blick in Deine Domainverwaltung siehst Du, welche externen Tools und APIs mit Deiner digitalen Identität verknüpft sind.
Risiko-Klassifizierung
Jedes gefundene Tool sollte einsortiert werden in: inakzeptables Risiko (verboten), hohes Risiko, begrenztes / transparenzpflichtiges Risiko, minimales Risiko. Dabei kann dieselbe KI je Einsatzzweck unterschiedlich eingestuft werden.
Praxis-Tipp: Beispielsweise kann ein Chatbot im Kundenservice in eine ganz andere Risikoklasse fallen als derselbe Chatbot im Recruiting.
AI Literacy
Die Pflicht zur KI-Kompetenz gilt schon seit Februar 2025. Trotzdem hinken hier viele Unternehmen hinterher, Skills und Awareness unter den Mitarbeitern zu fördern. Dabei genügt eigentlich oft eine gut strukturierte Schulung und Dokumentation.
Praxis-Tipp: Erstelle eine interne KI-Nutzungsrichtlinie mit kurzen Regeln, welche Infos in KI-Systeme dürfen, und welche nicht.
Anbieter-Pflichten
Als Anwender hast Du zwar weniger Pflichten als der Provider selbst, dennoch bleibt einiges an Dir hängen. Lass Dir daher schriftlich von Deinen Anbietern zusichern, wie es um Datenqualität, Nachweise und Haftung steht.
Praxis-Tipp: Setze auf klare Vertragsklauseln statt mündlicher Zusagen. Nur diese bieten Dir im Streitfall wirklich belastbare Nachweise.
Der EU AI Act verschwindet nicht, er wird nur realistischer getaktet. Während aufwendige Pflichten für echte Hochrisiko-Systeme um bis zu zwei Jahre nach hinten rücken, bleiben genau die Anforderungen, welche die meisten von uns betrifft (Transparenz, Kennzeichnung, KI-Kompetenz), unverändert scharf. Nutze also jetztden Moment, um Inventur, Klassifizierung und Schulung anzugehen.
Mehr Infos zum Thema findest Du hier:
Schreibe einen Kommentar