Ihre Informationsquelle erster Wahl für künstliche Intelligenz.

Veröffentlichen
Français English Español Italiano Deutsch Português Nederlands Polski Română Українська Türkçe العربية 中文 日本語 한국어
Mein Konto erstellen
Verabschiedetes Gesetz

AI Act: Der Countdown läuft für Unternehmen vor dem 2. August 2026

Die Verschiebung eines Teils der Pflichten für Hochrisiko-Systeme sollte Unternehmen nicht täuschen: Der AI Act gilt bereits schrittweise. Ab dem 2. August 2026 beginnt eine neue wichtige Frist, insbesondere für Transparenzpflichten. Chatbots, von KI generierte Inhalte, Deepfakes, HR-Tools, mit KI angereicherte SaaS-Lösungen und Conversational Agents: IntelligenceArtificielle.com erinnert in einer Referenznotiz daran, dass Organisationen nun von der regulatorischen Beobachtung zur operativen Inventarisierung übergehen müssen.

STStephane Nachez · · ·9 min
Verabschiedetes GesetzUnternehmenKundenbeziehungEthik der künstlichen IntelligenzEthik, Vertrauen & Regulierung
AI Act: Der Countdown läuft für Unternehmen vor dem 2. August 2026
Visuel d'illustration généré avec l'IA
Inhalt

Die Verschiebung eines Teils der Pflichten für Hochrisiko-Systeme sollte Unternehmen nicht täuschen: Der AI Act gilt bereits schrittweise. Ab dem 2. August 2026 beginnt eine neue wichtige Frist, insbesondere für Transparenzpflichten. Chatbots, von KI generierte Inhalte, Deepfakes, HR-Tools, mit KI angereicherte SaaS-Lösungen und Conversational Agents: IntelligenceArtificielle.com erinnert in einer Referenznotiz daran, dass Organisationen nun von der regulatorischen Beobachtung zur operativen Inventarisierung übergehen müssen.

In vielen Unternehmen wird der AI Act noch immer in den Schubladen „Recht“, „Compliance“ oder „später zu behandeln“ abgelegt. Das ist eine Fehlkalkulation.

Die europäische Verordnung über Künstliche Intelligenz ist kein fernes Regelwerk mehr. Sie ist am 1. August 2024 in Kraft getreten und wird schrittweise angewendet. Die Verbote bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz gelten seit dem 2. Februar 2025. Die Governance-Regeln und die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck gelten seit dem 2. August 2025. Der nächste große Schritt folgt am 2. August 2026 mit der allgemeinen Anwendung zahlreicher Bestimmungen, insbesondere der Transparenzpflichten nach Artikel 50.

Mit anderen Worten: Die Frage lautet nicht mehr: „Was sieht der AI Act vor?“ Sondern: „Wissen wir, wo, wie und warum wir KI bereits im Unternehmen einsetzen?“

Die Verschiebung des Hochrisikobereichs verschiebt den AI Act nicht

Das Digital Omnibus konnte den Eindruck einer Atempause vermitteln. Die für Hochrisiko-KI-Systeme geltenden Regeln sollen nun neu geordnet werden, mit einer Anwendung, die für autonome Systeme gemäß Anhang III für den 2. Dezember 2027 und für in Produkte integrierte Systeme, die einer sektoralen Regulierung unterliegen, für den 2. August 2028 vorgesehen ist. Das Europäische Parlament hat diese Vereinfachungsmaßnahmen am 16. Juni 2026 gebilligt, der Text muss jedoch vor seinem Inkrafttreten noch formell vom Rat angenommen werden.

Diese Verschiebung setzt den Rest der Verordnung jedoch nicht aus.

Sie verschiebt nicht die bereits geltenden verbotenen Praktiken. Sie verschiebt nicht die Pflicht zur KI-Kompetenz. Sie verschiebt nicht die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck. Und sie darf Unternehmen nicht dazu verleiten, die Frist vom 2. August 2026 zu ignorieren.

Genau darin liegt die Falle: zu glauben, der AI Act beginne erst mit Hochrisiko-Systemen. In Wirklichkeit betrifft die erste operative Welle viele deutlich alltäglichere Anwendungen: Assistenten, Kunden-Chatbots, von KI generierte Inhalte, mit Hilfe von KI veröffentlichte Texte, synthetische Bilder, künstliche Stimmen, Deepfakes und in Fachsoftware integrierte Generierungsfunktionen.

Was sich am 2. August 2026 ändert

Ab dem 2. August 2026 rücken die Transparenzpflichten in den Mittelpunkt. Sie sollen insbesondere verhindern, dass Personen mit einer KI interagieren, ohne es zu wissen, dass synthetische Inhalte ohne geeignete Kennzeichnung verbreitet werden oder dass Deepfakes und bestimmte von KI erzeugte Inhalte von öffentlichem Interesse so dargestellt werden, als wären sie vollständig menschlich erstellt worden.

Die Europäische Kommission hat am 10. Juni 2026 einen Code of Practice zur Transparenz von KI-generierten Inhalten veröffentlicht. Er soll Anbieter und Betreiber dabei unterstützen, die Kennzeichnungs-, Labeling- und Erkennungspflichten nach Artikel 50 zu erfüllen. Der Beitritt zum Code ist freiwillig, die Transparenzpflichten aus Artikel 50 sind jedoch gesetzliche Pflichten.

Für ein Unternehmen kann sich das in sehr konkreten Fragen niederschlagen:

  • weiß ein Kunde, dass er mit einem Chatbot spricht?
  • wurde ein Inhalt zu einem Thema von öffentlichem Interesse von KI erzeugt oder stark verändert?
  • wird ein Bild, ein Video oder eine synthetische Stimme als solche gekennzeichnet?
  • erzeugt ein internes Tool Texte, Empfehlungen oder Analysen, die menschliche Entscheidungen beeinflussen?
  • wissen die Teams aus Marketing, HR, Kundenservice oder Produkt, was sie angeben, archivieren oder prüfen müssen?

Der Digital Omnibus sieht außerdem eine Frist bis zum 2. Dezember 2026 für bestimmte Kennzeichnungspflichten bei KI-generierten Inhalten vor, die Systeme betreffen, die bereits vor dem 2. August 2026 in Verkehr gebracht wurden. Diese Übergangsregelung darf jedoch nicht als allgemeine Verschiebung der Transparenz verstanden werden: Sie betrifft einen spezifischen Geltungsbereich.

Das eigentliche Risiko: unsichtbare KI

Das größte Risiko für Unternehmen ist nicht immer das große KI-Projekt, das im Vorstand vorgestellt wird. Es liegt oft in der bereits vorhandenen KI.

KI-Funktionen, die in einem CRM aktiviert sind. Ein Scoring-Modul, das einem Marketing-Tool hinzugefügt wurde. Ein von einem Recruiting-Team getesteter HR-Assistent. Ein Content-Generator, der von der Kommunikationsabteilung genutzt wird. Ein Conversational Agent, der an eine Dokumentenbasis angebunden ist. Ein Büro-Copilot, der ohne präzise Kartierung der Nutzung eingeführt wurde. Ein Dienstleister, der KI in seinen Deliverables verwendet, ohne dies ausdrücklich offenzulegen.

Le Hub France IA betont genau deshalb die Notwendigkeit, die im Unternehmen vorhandenen KI-Systeme zu erfassen, einschließlich solcher, die in Marktlösungen integriert sind, in Entwicklung sind, produktiv eingesetzt werden oder bereits in der Ideenphase entstehen. Sein Leitfaden „Premiers pas vers l’IA de Confiance“ empfiehlt, ein Register der KI-Systeme mit Datenquellen, technischen Architekturen, fachlichen Anwendungsfällen, betroffenen Personengruppen, Bereitstellungskontext und vorangegangener Risikobewertung zu pflegen.

Dasselbe Dokument warnt vor Systemen von Dritten — Herstellern, Dienstleistern, Integratoren —, die immer häufiger KI-Komponenten enthalten, die für den Endnutzer mitunter unsichtbar sind. Außerdem hebt es das Phänomen „Shadow AI“ hervor: informelle Nutzung allgemeiner Tools, von Anbietern hinzugefügte KI-Optionen, kleine SaaS-Verträge außerhalb des Einkaufsprozesses und interne Experimente außerhalb des Sichtfelds der IT.

Genau hier wird AI-Act-Compliance zu einer Governance-Frage und nicht nur zu einer Rechtsfrage.

Compliance beginnt mit einem Register

Für viele Organisationen ist die erste sinnvolle Maßnahme nicht der Start eines großen juristischen Projekts. Es ist der Aufbau eines einfachen Registers der KI-Nutzungen.

Dieses Register muss am ersten Tag nicht perfekt sein. Es sollte helfen, einige grundlegende Fragen zu beantworten:

  • welches KI-Tool oder -System wird genutzt?
  • von welcher Abteilung?
  • für welchen fachlichen Zweck?
  • mit welchen Daten?
  • auf welche Personen oder Personengruppen kann sich die Nutzung auswirken?
  • handelt das Unternehmen als bloßer Nutzer, Betreiber, Integrator oder Anbieter?
  • unterliegt die Nutzung einer Transparenzpflicht?
  • kann die Nutzung Hochrisiko sein?
  • welche Nachweise werden aufbewahrt?
  • welcher Anbieter ist wofür verantwortlich?

Das Ziel ist nicht, Innovation zu blockieren. Es ist, die Kontrolle zurückzugewinnen.

Ein Unternehmen, das nicht weiß, wo es KI einsetzt, kann nicht belegen, dass es sie beherrscht. Und ein Unternehmen, das nicht weiß, wer was mit welchen Daten und zu welchem Zweck nutzt, wird große Schwierigkeiten haben, auf Anfragen von Kunden, Prüfern, Versicherern, Partnern, öffentlichen Auftraggebern oder Aufsichtsbehörden zu reagieren.

Die Checkliste, die jetzt gestartet werden sollte

Wenige Wochen vor der Frist am 2. August 2026 können Unternehmen bereits pragmatisch vorangehen.

1. Einen AI-Act-Verantwortlichen benennen.
Es muss nicht zwingend eine neue Stelle geschaffen werden. Aber es braucht eine klar benannte verantwortliche Person, die IT, Recht, Einkauf, Fachbereiche, HR, Compliance, Sicherheit und Kommunikation koordinieren kann.

2. Mit der Inventarisierung der KI-Nutzungen beginnen.
Mit den sichtbaren Tools starten: Chatbots, Content-Generatoren, Copilots, interne Agents, Modell-APIs, HR-Lösungen, Marketing-Tools, Scoring-Tools und Dokumentenanalyse-Tools.

3. Nach unsichtbarer KI suchen.
Fachbereiche, Einkauf und Dienstleister befragen. Kritische Nutzungen stehen nicht immer in offiziellen Projekten. Sie können in SaaS-Optionen, Einzelkonten oder lokalen Experimenten versteckt sein.

4. Ein Minimalregister erstellen.
Für jede Nutzung: Tool, Anbieter, Zweck, nutzende Abteilung, verarbeitete Daten, betroffene Personen, vermutetes Risikoniveau, eventuelle Transparenzpflicht, menschliche Aufsicht, verfügbare Nachweise.

5. Sensible Nutzungen identifizieren.
HR, Recruiting, Mitarbeiterbewertung, Bildung, Kredit, Versicherung, Gesundheit, Biometrie, Sicherheit, Zugang zu essenziellen Diensten: Diese Bereiche sollten vorrangig analysiert werden.

6. Transparenz vorbereiten.
Für Chatbots, Conversational Agents, generierte Inhalte, synthetische Bilder, künstliche Stimmen, Deepfakes oder Inhalte von öffentlichem Interesse muss das Unternehmen entscheiden, was, wo, mit welcher Formulierung, in welcher Benutzeroberfläche und mit welchem Nachweis offengelegt wird.

7. Lieferantenverträge überprüfen.
Einkäufer sollten von Herstellern und Dienstleistern die erforderlichen Informationen verlangen: Rolle in der Wertschöpfungskette, verfügbare Dokumentation, verwendetes Modell, genutzte Daten, Trainingsbedingungen, Logs, Sicherheit, Versionsänderungen, Service-Abschaltung und Subunternehmer.

8. Teams schulen.
KI-Kompetenz beschränkt sich nicht auf ein allgemeines Training. Ein Recruiter, ein Marketer, ein Jurist, ein Entwickler, ein Einkaufsverantwortlicher oder eine Führungskraft haben nicht die gleichen Risiken und nicht die gleichen Bedürfnisse.

9. Eine Aufsicht einrichten.
Für die wichtigsten Anwendungen muss festgelegt werden, wer kontrolliert, wann, mit welchen Schwellenwerten und mit welchen Korrekturmaßnahmen. Le Hub France IA empfiehlt insbesondere eine kontinuierliche Überwachung, menschliche Kontrolle, Logs, Alarme, Bias-Monitoring, ein Meldeprotokoll für Vorfälle und regelmäßige Aktualisierung der Dokumentation.

10. Ein Nachweisdossier anlegen.
Compliance bedeutet nicht nur, etwas zu tun. Sie bedeutet auch, zeigen zu können, was getan wurde: Register, Entscheidungen, Risikobewertungen, Schulungen, Lieferantenklauseln, Screenshots der Nutzerinformation, interne Verfahren, Logs und Protokolle von Reviews.

 

Teilbare Checkliste in komprimierter Form:

Die Sanktionen sind nur ein Teil des Themas

Der AI Act sieht erhebliche Sanktionen vor: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Millionen Euro oder 3 % für viele andere Verstöße, einschließlich der Transparenzpflichten, und bis zu 7,5 Millionen Euro oder 1 % für die Bereitstellung falscher, unvollständiger oder irreführender Informationen gegenüber den Behörden.

Für viele Unternehmen wird das unmittelbarste Risiko jedoch möglicherweise weniger spektakulär sein: eine Ausschreibung zu verlieren, nicht auf einen Lieferantenfragebogen antworten zu können, festzustellen, dass ein HR-Tool nicht qualifiziert wurde, zu erkennen, dass ein Kunden-Chatbot nicht gekennzeichnet ist, oder nicht nachweisen zu können, dass eine KI-gestützte Entscheidung tatsächlich von einem Menschen überwacht wird.

KI-Compliance wird damit auch zu einer Frage des kommerziellen Vertrauens.

In den kommenden Monaten werden große Unternehmen, öffentliche Auftraggeber, Versicherer, Investoren und Technologiepartner immer häufiger fragen: Welche KI-Systeme setzen Sie ein? Mit welchen Daten? Für welche Zwecke? Mit welcher Aufsicht? Mit welchen Lieferantengarantie? Mit welchen Nachweisen?

Nicht auf perfekte Compliance warten

Die Falle wäre, auf die endgültige Version aller Leitlinien, Normen und Marktpraktiken zu warten, bevor man beginnt. In dieser Phase geht es nicht darum, ein perfektes System zu haben. Es geht darum, eine erste Kartierung, ein erstes Register, eine erste Analyse sensibler Nutzungen und eine erste Antwortfähigkeit zu besitzen.

AI-Act-Compliance beginnt nicht mit einem juristischen Ordner. Sie beginnt mit einer operativen Frage: Wissen wir, was wir wo laufen lassen, wofür, mit welchen Daten, unter welcher Verantwortung und mit welchen Nachweisen?

Unternehmen, die darauf antworten können, werden einen Vorteil haben. Die anderen werden feststellen, dass KI, wenn sie ohne Kartierung eingesetzt wird, schnell unregierbar wird.

Dieser Artikel stützt sich auf die Referenznotiz zum operativen Countdown des AI Act im Unternehmen mit konsolidiertem Zeitplan, bereits geltenden Pflichten, Schwerpunkt auf KI-Modellen mit allgemeinem Verwendungszweck, Transparenz, Hochrisiko, Anbietern und KI-Register.

Dieser Artikel dient der allgemeinen Information und ersetzt keine auf die jeweilige Organisation zugeschnittene Rechtsberatung.

ST
Stephane Nachez

ActuIA-Redaktion — Nachrichten, Daten und Analysen zur künstlichen Intelligenz für Entscheidungsträger.

Genannte Akteure
INIntelligenceArtificielle.com
HUHub France IA
Zum gleichen Thema
Die USA kappen den Zugang zu Anthropic-Modelle Fable 5 und Mythos 5: ein Präzedenzfall für KI-Souveränität
15/06/2026
Anthropic gezwungen, Fable 5 und Mythos 5 nach einer Anordnung der US-Regierung auszusetzen
13/06/2026
Mit LARA wird das regulatorische Risiko von LLMs zu einem Audit-Baustein für DPOs
08/06/2026
Das ActuIA-Wochenmagazin

Anmeldung bestätigt, bis bald!