Am 2. August 2026 ist Schluss mit der Schonfrist. Mit diesem Datum treten die Transparenzpflichten des EU AI Act in Kraft – und sie betreffen nicht nur Großkonzerne, sondern jeden Entwickler und jedes Unternehmen, das KI-Systeme im direkten Kundenkontakt einsetzt. Wer jetzt nicht handelt, riskiert Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes – für Verstöße gegen Verbote unzulässiger KI-Praktiken sogar bis zu 35 Millionen Euro.

Was ab dem 2. August konkret gilt

Die Transparenzpflichten des EU AI Act sind klarer als viele befürchten – aber sie erfordern technische Umsetzungsarbeit, die nicht an einem Nachmittag erledigt ist. Drei Bereiche sind unmittelbar betroffen:

KI-Chatbots und virtuelle Assistenten

Jedes KI-System, das mit natürlichsprachlicher Interaktion direkten Kundenkontakt herstellt, muss sich als KI erkennbar machen – und zwar zu Beginn der Interaktion, nicht erst auf Nachfrage. Das betrifft Chatbots auf Websites, automatisierte E-Mail-Beantwortung und Voice-Assistenten. Ausnahme: Das Gegenüber weiß bereits, dass es mit einem KI-System kommuniziert, und hat dieser Interaktion zugestimmt.

KI-generierte Inhalte und Deepfakes

Text, Bilder, Audio und Video, die mit KI erzeugt oder erheblich verändert wurden, müssen als KI-generiert gekennzeichnet sein. Das gilt besonders für synthetische Medien, die reale Personen zeigen. Im Marketing bedeutet das: Jedes KI-generierte Bild in einer Kampagne, jeder KI-produzierte Produkttext braucht eine erkennbare Kennzeichnung. Die genaue Form schreibt der EU AI Act nicht vor – sie muss aber „klar und verständlich" sein.

Emotionale und biometrische KI-Systeme

Systeme, die Emotionen oder biometrische Merkmale von Personen erkennen und verarbeiten, müssen die betroffenen Personen aktiv darüber informieren. Das umfasst Emotionserkennung in HR-Prozessen und Gesichtserkennung an Zugangssystemen.

Die GPAI-Regelungen: Was Entwickler von Allzweck-KI-Modellen wissen müssen

Wer eigene Sprachmodelle entwickelt oder anbietet – auch als internes Werkzeug für andere Entwickler – fällt unter die GPAI-Regelungen (General Purpose AI). Ab einem bestimmten Schwellenwert an Trainingsaufwand gelten zusätzliche Anforderungen: technische Dokumentation, urheberrechtliche Compliance-Nachweise und eine Zusammenfassung der Trainingsdaten. Die meisten KMU entwickeln keine eigenen Grundmodelle – aber Finetuning auf Basis bestehender Modelle kann in bestimmten Konstellationen relevant werden.

Praktische Compliance-Checkliste für Entwickler

Nicht jedes Unternehmen muss alle Anforderungen des EU AI Act erfüllen – aber jedes Unternehmen mit KI-Einsatz im Kundenkontakt muss die Transparenzpflichten ab August 2026 einhalten.

Schritt 1: Bestandsaufnahme aller KI-Systeme

Zunächst eine vollständige Liste aller KI-Systeme im Unternehmen – inklusive eingebetteter KI in Drittanbieter-Software. Für jedes System: Was tut es? Interagiert es direkt mit Kunden oder Mitarbeitern? Erzeugt es Inhalte? Verarbeitet es biometrische oder emotionale Daten?

Schritt 2: Technische Umsetzung der Kennzeichnungspflicht

Für Chatbots: Implementierung eines Hinweises zu Beginn jeder Konversation – nicht als versteckter Footer-Text, sondern als deutlich erkennbare Information. Für generierte Inhalte: visuelle Kennzeichnung oder Metadaten im C2PA-Format. Emerging Best Practice ist der C2PA-Standard, der Provenienz-Metadaten direkt in Mediendateien einbettet.

Schritt 3: Dokumentation und Nachweispflichten

Hochrisiko-KI-Systeme – u.a. KI in der Kreditvergabe, Personalentscheidungen oder medizinischen Diagnosen – brauchen umfangreiche technische Dokumentation. Für die meisten Unternehmensanwendungen gilt: Dokumentieren Sie, welches KI-System Sie einsetzen, von wem es stammt, wofür es verwendet wird und welche menschliche Aufsicht existiert.

Was droht bei Nichtumsetzung?

Die EU AI Act-Aufsicht liegt in Deutschland bei einer noch zu benennenden nationalen Behörde. In der Anfangsphase ist mit Abmahnungen und Hinweisen zu rechnen, bevor Bußgelder verhängt werden – die Erfahrung mit der DSGVO zeigt jedoch, dass die Übergangsphase endet. Der Unterschied: Der EU AI Act hat klarere technische Anforderungen als die DSGVO, was die Durchsetzung vereinfacht.

Wer die Transparenzpflichten jetzt sauber implementiert, ist für die nächsten Compliance-Stufen des EU AI Act deutlich besser aufgestellt. Das ist keine Last, sondern eine Investition in einen rechtssicheren KI-Einsatz.