EU AI Act: Fünfzehn Millionen Bußgeld. Stimmt zur Hälfte.

Frau steht inmitten von Dokumenten und fragt sich, was die Richtlinien des EU AI Act bedeuten

Ein Post macht auf LinkedIn die Runde: ab August drohen 15 Millionen Euro Bußgeld beim EU AI Act, wacht auf. Das stimmt, aber nur zur Hälfte. Die andere Hälfte hat die EU im Juni entschieden: Die Hochrisiko-Pflichten, vor denen der Post warnt, wurden auf Dezember 2027 verschoben. Was im August wirklich kommt, ist kleiner, trifft aber fast jedes Unternehmen, das KI einsetzt. Wer das sauber auseinanderhält, hat einen Glaubwürdigkeits-Vorsprung, der im August nicht mehr zu kaufen ist.

Ein Post auf LinkedIn. Sie kennen die Sorte. Fett geschrieben, ein Screenshot aus der Verordnung, die Zahl prominent gesetzt: 15 Millionen Euro Bußgeld, ab August. Der Tenor: wacht auf, wer nicht handelt, zahlt. Ein paar hundert Likes, ein paar Dutzend Kommentare, alle sind aufgeregt.

Der Post stimmt. Zur Hälfte.

Die Zahl stimmt, die Frist nicht

Fünfzehn Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, das ist tatsächlich das maximale Bußgeld, das der EU AI Act für Verstöße gegen die sonstigen Pflichten vorsieht (Art. 99). Das steht so in der Verordnung, in dieser Hinsicht hat der Autor recht.

Was er nicht erzählt: Die Pflichten, auf die diese Sanktion im August eigentlich abzielte, wurden verschoben. Der Digital Omnibus, ein Änderungspaket der EU, hat die Hochrisiko-Pflichten nach Anhang III vom 2. August 2026 auf den 2. Dezember 2027 verschoben. (TÜV Rheinland, April 2026, RSM Ebner Stolz, März 2026) Das EU-Parlament hat am 16. Juni zugestimmt, der Rat am 29. Juni. In Kraft tritt das Paket mit der Veröffentlichung im EU-Amtsblatt, die vor dem 2. August erwartet wird. Im August kommt also nicht das dicke Hochrisiko-Paket. Im August kommt etwas anderes.

Was im August wirklich kommt

Drei Dinge greifen am 2. August 2026, und sie treffen fast jedes Unternehmen, das KI einsetzt:

Transparenzpflichten nach Art. 50. Wer ein KI-System betreibt, das direkt mit Menschen interagiert (Chatbot auf der Website, KI-Vorzimmer in der Praxis), muss kennzeichnen, dass der Nutzer mit KI spricht. Wer KI-generierte Bilder, Audio oder Video veröffentlicht, muss diese maschinenlesbar markieren, nicht nur mit einem sichtbaren Wasserzeichen. Deepfakes müssen als künstlich gekennzeichnet werden. KI-generierte Texte zu Themen von öffentlichem Interesse müssen gekennzeichnet werden, ausgenommen redaktionell geprüfte Inhalte mit menschlicher Verantwortung. (EUR-Lex, Verordnungstext)

Eine Übergangsfrist gibt es nur für die maschinenlesbare Markierung: Systeme, die vor dem 2. August 2026 auf dem Markt waren, haben für diesen Teil bis zum 2. Dezember 2026 Zeit. Die Pflicht, Chatbots und KI-Interaktionen zu kennzeichnen, greift ohne Übergang am 2. August.

KI-Kompetenz nach Art. 4. Wer KI im beruflichen Kontext einsetzt oder anbietet, muss sein Personal auf einem angemessenen Kompetenzstand halten. Diese Pflicht gilt seit Februar 2025, ist also nicht neu. Neu ist, dass jetzt eine Institution feststeht, die verantwortlich dafür ist und die Einhaltung prüft.

Eine Aufsicht, die prüft. Der Bundestag hat am 11. Juni 2026 das KI-Durchführungsgesetz beschlossen. Die Bundesnetzagentur wird zentrale Marktüberwachungsbehörde, dazu entsteht bei ihr das Koordinierungs- und Kompetenzzentrum (KoKIVO). Die Bundesnetzagentur wird Beschwerdestelle für Bürger, die vermutete Verstöße melden. Seit Juni gibt es eine konkrete Adresse, die KI-Verstöße prüfen kann. (Bundestag, heise)

Was im August nicht kommt

Die Hochrisiko-Pflichten nach Anhang III waren ursprünglich für den 2. August 2026 geplant. Anhang III listet Bereiche, in denen KI eine wesentliche Entscheidungsrolle hat: Biometrie, kritische Infrastruktur, Bildung und Berufsbildung, Beschäftigung (Personalauswahl, Leistungsbewertung), wesentliche private und öffentliche Dienste (Kreditwürdigkeit, Versicherungsprämien), Strafverfolgung, Migration, Justiz.

Das ist das Paket mit den schwersten Pflichten: Risikomanagement-System, technische Dokumentation nach Anhang IV, Konformitätsbewertung, CE-Kennzeichnung, Registrierung in der EU-Datenbank. Dieses Paket wurde auf den 2. Dezember 2027 verschoben.

Wer Ihnen heute erzählt, Sie müssten bis August ein Hochrisiko-Compliance-System aufbauen, liegt falsch. Wer Ihnen erzählt, Sie hätten entspannt Zeit, liegt auch nicht ganz richtig. Ein Compliance-System für Hochrisiko-KI baut sich nicht in drei Monaten. Wer betroffen ist, sollte die verbleibende Zeit nutzen, nicht abwarten.

Was Sie jetzt brauchen

Für die meisten Unternehmen, die KI nutzen (Chatbot, KI-Texte, Übersetzungs-Tools, KI-Features in Canva, Notion oder Microsoft 365), ist die Nachricht einfach: Im August kommt keine Hochrisiko-Prüfung auf Sie zu. Im August kommt die Frage, ob Sie Ihre KI-Nutzung sauber kennzeichnen und ob Ihr Team weiß, was es da eigentlich tut. Das ist weniger dramatisch als 15 Millionen Bußgeld. Aber es ist die Pflicht, die tatsächlich greift.

Was Sie jetzt brauchen, ist eine Liste. Welche KI-Tools laufen bei Ihnen, offiziell und inoffiziell? Der private ChatGPT-Account im Vertrieb, das Übersetzungs-Tool der Azubine, die KI-Features in Ihrer bestehenden Software. Die Pflicht nach Art. 4 trifft auch Tools, von denen die Geschäftsführung nichts weiß. Ein aufgeräumter Stack macht diese Liste trivial. Ein wildwüchsiger macht sie zum Projekt.

Ein halber Tag, und Sie haben eine Übersicht, die viele Unternehmen aktuell noch nicht haben. Schreiben Sie uns über Kontakt. Kein Verkaufstermin, ein fachlicher Blick auf Ihren konkreten Fall.



Das könnte Sie auch interessieren