01Start
02Über uns
03Dienstleistung
04Produkte
05Beratung
06Rechenzentrum
07Lösungen
08Blog
09Jobs
010Kontakt

Was zum 2. August 2026 gilt

Die Regeln des AI Act treten gestaffelt in Kraft. Die Pflichten für sogenannte GPAI-Modelle (General Purpose AI, also KI-Modelle für allgemeine Zwecke) gelten bereits seit dem 2. August 2025. Ab dem 2. August 2026 greifen zusätzlich die Aufsichts- und Durchsetzungsbefugnisse der EU-Kommission gegenüber GPAI-Anbietern.

Ab diesem Zeitpunkt gelten unter anderem Transparenzpflichten: KI-generierte Inhalte müssen gekennzeichnet werden. Außerdem muss jeder Mitgliedstaat bis zum 2. August 2026 mindestens ein KI-Reallabor, eine sogenannte Sandbox, einrichten, in der KI-Systeme unter Aufsicht erprobt werden können.

Zur Durchsetzung stehen der Kommission Auskunfts- und Dokumentationsverlangen, Evaluierungen und Bußgelder zur Verfügung. Für Alt-GPAI-Modelle, die bereits vor August 2025 im Markt waren, gilt eine längere Frist: Sie müssen bis zum 2. August 2027 konform sein.

Auch als Nutzer sind Sie in der Pflicht

Ein weit verbreitetes Missverständnis lautet: „Wir bauen keine KI, also betrifft uns die Verordnung nicht.“ Das stimmt so nicht. Der AI Act kennt verschiedene Rollen, und auch der sogenannte Deployer, also derjenige, der ein KI-System betrieblich einsetzt, hat Pflichten.

Für ein mittelständisches Unternehmen, das etwa einen KI-Chatbot auf der Website betreibt oder KI-Werkzeuge im Arbeitsalltag nutzt, ergeben sich daraus konkrete Aufgaben:

  • KI-Inventar erstellen: Welche KI-Systeme werden wo im Unternehmen eingesetzt?
  • Risikoklasse bestimmen: In welche Kategorie fällt der jeweilige Einsatz?
  • Kennzeichnen: KI-generierte Inhalte und Chatbots als solche erkennbar machen.
  • Anbieter-Sorgfalt: Prüfen, ob die eingesetzten Anbieter ihren Pflichten nachkommen.
  • Dokumentation: Entscheidungen und Maßnahmen nachvollziehbar festhalten.

Wichtiger Hinweis: Dieser Beitrag ist eine fachliche Einordnung, keine Rechtsberatung. Für die konkrete Bewertung Ihres Einzelfalls sollten Sie fachkundigen rechtlichen Rat einholen.

Parallelen zu NIS2 und Copilot

Wer sich in den vergangenen Monaten mit NIS2 beschäftigt hat, wird die Logik wiedererkennen: Es geht um Bestandsaufnahme, Risikobewertung und nachvollziehbare Dokumentation. Vieles, was für NIS2 aufgebaut wurde, lässt sich für den AI Act mitnutzen, etwa das Verständnis der eigenen IT-Landschaft und etablierte Governance-Prozesse.

Auch der Bezug zu KI-Werkzeugen im Alltag ist eng. Wer Microsoft 365 Copilot oder ähnliche Systeme einsetzt, berührt die Fragen des AI Act direkt. Welche Risiken dabei zu beachten sind, haben wir in unserem Beitrag zu den Copilot-Risiken beschrieben. Die Kennzeichnung KI-generierter Inhalte ist dabei nur ein Baustein von mehreren.

Unsere Empfehlung für den Mittelstand

Panik ist nicht angebracht, Nichtstun aber auch nicht. Wir empfehlen, das Thema jetzt strukturiert anzugehen: zunächst ein KI-Inventar aufbauen, dann die Einsatzszenarien nach Risiko einordnen und die notwendigen Kennzeichnungen und Dokumentationen etablieren. Vieles davon ist Fleißarbeit, aber überschaubar, wenn man früh beginnt.

Wir unterstützen Hamburger Unternehmen dabei, KI-Einsatz und IT-Compliance zusammenzudenken, von der Microsoft-365-Betreuung über die IT-Security bis zu laufenden Managed IT Services. So wird aus einer regulatorischen Anforderung ein geordneter Prozess statt einer Last-Minute-Aktion.

Das Wichtigste in Kürze

Der EU AI Act wird am 2. August 2026 weitgehend vollständig anwendbar, inklusive Durchsetzungsbefugnissen gegenüber GPAI-Anbietern und Transparenzpflichten für KI-generierte Inhalte. Auch Unternehmen, die KI nur einsetzen, sind als Deployer in der Pflicht: KI-Inventar, Risikoklassifizierung, Kennzeichnung und Dokumentation. Wer jetzt strukturiert beginnt, kommt entspannt durch. Dieser Beitrag ersetzt keine Rechtsberatung.

KIComplianceEU AI Act