EU AI Act: Was ab dem 2. August 2026 wirklich gilt – und was IT-Dienstleister jetzt tun müssen

Der 2. August 2026 rückt näher. Was wirklich Pflicht wird – und wo IT-Dienstleister beraten können.
April 11, 2026

Der Stichtag, der für viele zur Falle wird

Am 2. August 2026 wird es ernst.

An diesem Tag treten die meisten verbleibenden Bestimmungen des EU AI Act in Kraft – und zwar nicht als Empfehlung, sondern als verbindliches EU-Recht mit Bußgeldern, die an die DSGVO erinnern. Wer KI-Systeme im Unternehmen einsetzt, entwickelt oder vertreibt, muss ab diesem Datum nachweisen können, dass er die Regeln kennt und einhält.

Für viele Mittelständler ist das ein abstraktes Datum im Kalender. Für IT-Dienstleister und Systemhäuser ist es etwas anderes: eine der größten Beratungschancen der nächsten Monate – und gleichzeitig ein Haftungsrisiko, wenn man es selbst nicht sauber aufgestellt hat.

Dieser Artikel räumt mit den wichtigsten Unklarheiten auf: Was gilt ab August 2026 wirklich? Für wen? Und was bedeutet das konkret für das Geschäft eines IT-Dienstleisters?

Der risikobasierte Ansatz – die vier Klassen

Der EU AI Act folgt einer einfachen Grundlogik: Je höher das Risiko eines KI-Systems für Grundrechte, Sicherheit oder Demokratie, desto strenger die Pflichten. Daraus ergeben sich vier Risikoklassen:

  • Inakzeptables Risiko – verboten. Dazu zählen Social Scoring durch Behörden, manipulative Systeme, ungezielte Gesichtsbildersammlung aus dem Internet oder biometrische Massenüberwachung im öffentlichen Raum. Diese Verbote gelten bereits seit dem 2. Februar 2025.
  • Hohes Risiko – erlaubt, aber streng reguliert. Hier geht es um KI in sicherheits- oder grundrechtsrelevanten Anwendungen: Recruiting-Systeme, Kreditwürdigkeitsprüfung, Bildungszugang, bestimmte biometrische Systeme. Ab dem 2. August 2026 greifen die vollen Anforderungen.
  • Begrenztes Risiko – Transparenzpflichten. Chatbots, KI-Telefonassistenten, Deepfakes, KI-generierte Texte und Bilder fallen hier hinein. Sie müssen als KI erkennbar sein.
  • Minimales Risiko – keine spezifischen Pflichten. Das ist der Großteil der heute eingesetzten KI-Anwendungen: Spamfilter, Empfehlungssysteme, einfache Produktivitätstools.

Wichtig: Die Einstufung erfolgt nach dem Prinzip der Selbstklassifizierung. Das Unternehmen muss selbst bewerten und dokumentieren, in welche Klasse ein eingesetztes System fällt – auch wenn das Ergebnis lautet „nicht Hochrisiko“. Die Dokumentation der Entscheidung ist Pflicht.

EU AI ACT Risikoklassen
Infografik mit KI generiert

Was ab dem 2. August 2026 konkret gilt

Mit dem Stichtag werden mehrere Regelungsblöcke gleichzeitig scharfgeschaltet:

1. Volle Pflichten für Hochrisiko-KI-Systeme (Anhang III). Anbieter müssen Konformitätsbewertungen abgeschlossen, technische Dokumentationen finalisiert, Risikomanagementsysteme aufgesetzt und ihre Systeme in der EU-Datenbank registriert haben. Betreiber – also Unternehmen, die solche Systeme einsetzen – müssen menschliche Aufsicht sicherstellen, Eingabedaten prüfen, Protokolle mindestens sechs Monate aufbewahren und Vorfälle melden.

2. Transparenzpflichten nach Artikel 50. Wer Chatbots, KI-Telefonassistenten oder KI-generierte Inhalte einsetzt, muss das kenntlich machen. Nutzer müssen wissen, dass sie mit einer Maschine sprechen. Deepfakes und synthetische Medien müssen als solche gekennzeichnet sein. KI-erzeugte Texte, die die Öffentlichkeit zu Themen von öffentlichem Interesse informieren sollen, ebenfalls.

3. Sanktionen mit Zähnen. Verstöße gegen die Hochrisiko-Regeln können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Bei Einsatz verbotener KI-Praktiken steigt die Obergrenze auf 35 Millionen Euro oder 7 Prozent – je nachdem, welcher Betrag höher ist. Das ist mehr als bei DSGVO-Verstößen.

4. Governance-Strukturen. Mitgliedstaaten müssen bis zu diesem Datum mindestens eine nationale KI-Regulierungs-Sandbox betriebsbereit haben – eine kontrollierte Testumgebung für KI-Innovationen.

Eine wichtige Ausnahme: Für Hochrisiko-KI, die als Sicherheitskomponente in bereits regulierten Produkten steckt (z.B. Medizingeräte, Fahrzeuge), läuft die Frist bis 2. August 2027.

EU AI Act - maximale Strafen
Infografik mit KI generiert

Der Wackelkandidat: Kommt die Verschiebung auf Dezember 2027?

Und jetzt kommt der Teil, den viele Artikel übersehen: Das Datum 2. August 2026 steht im Moment unter Vorbehalt.

Am 19. November 2025 hat die Europäische Kommission einen Vorschlag zur Vereinfachung der KI-Verordnung vorgelegt – die sogenannte Digital-Omnibus-Verordnung. Ein zentrales Element: Die Anwendbarkeit der Hochrisiko-Vorschriften soll um rund 18 Monate auf den 2. Dezember 2027 verschoben werden. Der EU-Rat hat seine Position am 13. März 2026 beschlossen, das EU-Parlament am 26. März 2026. Aktuell laufen die Trilog-Verhandlungen.

Was heißt das praktisch? Solange die Novelle nicht in Kraft tritt – und das müsste vor dem 2. August 2026 passieren – gilt rechtlich weiterhin der ursprüngliche Fahrplan. Wer sich darauf verlässt, dass die Verschiebung kommt, geht ein Risiko ein, das sich nicht lohnt. Die Umsetzungsarbeit muss laufen. Kommt die Verschiebung, hat man mehr Luft. Kommt sie nicht, ist man im August 2026 trotzdem compliant.

Die Botschaft an Kunden und ins eigene Unternehmen sollte klar sein: Weiterarbeiten, nicht warten.

Was gilt für KMU – und was für alle?

Eine Frage, die in der Praxis ständig auftaucht: Gilt das alles für jedes Unternehmen gleich?

Nein. Der AI Act differenziert durchaus nach Größe und Rolle. Drei Dinge muss man auseinanderhalten:

Was für alle Unternehmen gilt, die KI einsetzen:

  • Die KI-Kompetenzpflicht nach Artikel 4 – bereits seit dem 2. Februar 2025 verbindlich. Jedes Unternehmen muss sicherstellen, dass Mitarbeitende, die KI-Systeme nutzen, über ausreichende KI-Kompetenz verfügen. Größe spielt keine Rolle. Wie genau Kompetenz nachgewiesen wird, ist nicht vorgeschrieben – aber dokumentiert muss es sein. Warum das für IT-Dienstleister eine strategische Frage ist und nicht nur eine Compliance-Übung, haben wir im Artikel KI wird Basiskompetenz bereits ausführlich eingeordnet.
  • Die Verbote nach Artikel 5 – ebenfalls seit Februar 2025. Social Scoring, manipulative Systeme, bestimmte biometrische Praktiken: verboten, unabhängig von der Unternehmensgröße.
  • Die Transparenzpflichten nach Artikel 50 ab August 2026 – auch für kleine Unternehmen, die Chatbots oder Deepfake-Technologien einsetzen.

Wo KMU entlastet werden:
Der AI Act sieht in Artikel 62 ausdrücklich Erleichterungen für KMU und Start-ups vor – etwa vereinfachte Dokumentationspflichten, bevorzugten Zugang zu KI-Sandboxen und angepasste Konformitätsbewertungen. Die geplante Digital-Omnibus-Novelle soll diese Erleichterungen zusätzlich erweitern.

Was Hochrisiko-KI betrifft:
Die harten Pflichten für Hochrisiko-Systeme – Konformitätsbewertung, technische Dokumentation, Risikomanagement – greifen unabhängig von der Unternehmensgröße. Wer ein Hochrisiko-System betreibt, muss liefern. Punkt. Ob als 10-Mann-Systemhaus oder als Konzern.

Der Trost: Die wenigsten KI-Anwendungen, die in typischen KMU heute laufen, sind Hochrisiko-Systeme. Microsoft Copilot, ChatGPT Enterprise, Claude for Work, ein intelligenter Kundenservice-Chatbot – das sind in aller Regel Systeme mit begrenztem oder minimalem Risiko. Die Belastung entsteht meist nicht durch die Hochrisiko-Regeln, sondern durch die Pflicht, das sauber zu dokumentieren und zu begründen.

Was das konkret für IT-Dienstleister bedeutet

Für IT-Dienstleister und Systemhäuser entsteht aus dem AI Act eine doppelte Baustelle – eine interne und eine am Kunden.

Intern: Die eigene Hausaufgabe.
Jeder IT-Dienstleister ist selbst Betreiber von KI-Systemen. Der eigene Ticket-System-Copilot, die KI im Helpdesk, das Marketing-Tool mit GPT-Integration, der Entwicklungsassistent im Code-Editor – all das sind KI-Systeme im Sinne des AI Act. Und alle Mitarbeiter, die damit arbeiten, fallen unter die Kompetenzpflicht nach Artikel 4. Wer hier nicht sauber aufgestellt ist, kann schlecht glaubwürdig Kunden beraten.

Am Kunden: Die Beratungschance.
Die meisten mittelständischen Kunden haben den AI Act noch nicht auf dem Radar – oder sie haben einen Beitrag gelesen, aber keine Ahnung, was konkret zu tun ist. Genau hier liegt der Hebel. Drei Leistungen, die sich jetzt aufbauen lassen:

  1. KI-Inventur als Einstiegsprojekt. Welche KI-Systeme werden im Unternehmen überhaupt eingesetzt? Inklusive der eingebetteten KI, die mit Microsoft 365, Salesforce, DATEV oder HR-Tools mitkommt. Eine strukturierte Inventarisierung ist in ein bis drei Tagen machbar – und der perfekte Türöffner.
  2. Risikoklassifizierung und Dokumentation. Für jedes gefundene System die Einstufung nach den vier Risikoklassen, mit dokumentierter Begründung. Das ist Pflicht – auch für Systeme, die nicht Hochrisiko sind.
  3. KI-Nutzungsrichtlinie und Kompetenznachweis. Interne Regeln, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen, wie Ergebnisse geprüft werden. Plus ein dokumentierbarer Nachweis, dass die Mitarbeitenden geschult wurden.

Und ein vierter Punkt, den man nicht unterschätzen sollte: Die Hochrisiko-Einstufung kann durch scheinbar harmlose Erweiterungen in agentische Richtung kippen. Wer mit Agent-Systemen experimentiert, die selbstständig Entscheidungen treffen und ausführen, bewegt sich schnell in Richtung Hochrisiko – mit ganz anderen Pflichten. Wie schmal der Grat zwischen Produktivitätsgewinn und Sicherheitsrisiko bei agentischen Systemen ist, zeigen wir am Beispiel OpenClaw und agentische KI.

Die Checkliste: Was bis August 2026 stehen muss

Wer heute startet, hat noch genug Zeit. Wer erst im Juli 2026 anfängt, hat ein Problem. Dieser Fahrplan funktioniert in der Praxis:

Jetzt – bis Sommer 2026:

  • KI-Inventar aufsetzen (alle eingesetzten Systeme, auch eingebettete)
  • Interne Verantwortlichkeit für KI-Compliance benennen
  • Alle Systeme den vier Risikoklassen zuordnen – mit dokumentierter Begründung
  • KI-Kompetenzpflicht umsetzen: Wer arbeitet mit KI? Wer braucht welche Schulung? (Das ist übrigens seit Februar 2025 bereits Pflicht – viele haben das noch nicht gemacht.)
  • KI-Nutzungsrichtlinie aufsetzen und an alle Mitarbeitenden kommunizieren

Bis August 2026:

  • Für Hochrisiko-Systeme: Konformitätsbewertung und technische Dokumentation abschließen
  • Transparenzpflichten nach Art. 50 umsetzen – Chatbots und KI-generierte Inhalte entsprechend kennzeichnen
  • Prozesse für Protokollierung, Monitoring und Vorfallmeldung etablieren
  • Verträge mit KI-Anbietern prüfen: Welche Pflichten übernimmt wer?

Wer diese Liste abarbeitet – oder seinen Kunden dabei hilft, sie abzuarbeiten – ist vorbereitet. Unabhängig davon, ob die Digital-Omnibus-Novelle am Ende eine Verschiebung bringt oder nicht.

Die unterschätzte Pflicht: KI-Kompetenz nachweisbar machen

Ein Punkt aus der Checkliste verdient eine eigene Betrachtung, weil er in der Praxis am häufigsten übersehen wird: die KI-Kompetenzpflicht nach Artikel 4. Sie gilt bereits seit dem 2. Februar 2025 – also nicht „ab August 2026“, sondern jetzt schon. Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass die betroffenen Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Und diese Kompetenz muss dokumentiert und nachweisbar sein.

Das ist genau der Punkt, an dem die meisten KMU ins Straucheln kommen. „Unsere Leute nutzen ChatGPT“ ist kein Nachweis. Ein einmaliger Workshop ohne Prüfung auch nicht. Gefragt ist ein strukturierter, dokumentierter Kompetenzaufbau – inklusive eines belastbaren Nachweises, den man im Zweifel vorlegen kann.

Genau dafür haben wir den KI-Kompetenznachweis der KI LEAGUE entwickelt: ein modularer Schulungskurs nach EU-Standard, der die Anforderungen aus Artikel 4 strukturiert abdeckt, mit begleitenden Assessments und einem dokumentierten Abschlussnachweis pro Mitarbeitendem. Halbjährliche Update-Module halten den Nachweis auch bei Änderungen am Rechtsrahmen aktuell. Der Kurs funktioniert sowohl für das eigene Systemhaus als auch als Leistung, die IT-Dienstleister ihren Kunden anbieten können – als klar positioniertes Compliance-Produkt in einem Markt, der gerade erst versteht, dass er etwas braucht.

Wer den KI-Kompetenznachweis für das eigene Unternehmen oder für Kunden einsetzen möchte, schreibt einfach eine kurze Mail an ingo.luecker@kileague.de – dann klären wir im direkten Gespräch, wie die Umsetzung konkret aussehen kann.

Einordnung: Kein Grund zur Panik, aber auch kein Grund zum Abwarten

Der EU AI Act ist keine DSGVO 2.0 – und gleichzeitig doch ein bisschen. Er ist keine 2.0, weil die harten Pflichten nur einen kleinen Teil der Unternehmen in ihrer vollen Wucht treffen: die Anbieter und Betreiber von Hochrisiko-KI. Für die große Masse der KMU läuft es auf drei Dinge hinaus: dokumentieren, wo KI eingesetzt wird, die Mitarbeiter schulen und Transparenz gegenüber den eigenen Kunden herstellen.

Er ist gleichzeitig ein bisschen DSGVO, weil die Unterschätzung genau das gleiche Muster hat: Man kennt das Datum, man verschiebt die Arbeit, und dann wird es im letzten Quartal hektisch. Wer früher anfängt, ist nicht nur rechtssicher – er hat auch ein Beratungsargument gegenüber Kunden, die später in Panik verfallen.

Für IT-Dienstleister ist der August 2026 daher weniger ein Risiko und mehr eine Frage: Bin ich die Anlaufstelle meiner Kunden, wenn es ernst wird? Oder muss mein Kunde jemand anderen fragen, weil ich selbst unsicher bin?

Einladung zum nächsten KI LEAGUE Live Talk

Der Live Talk richtet sich bewusst an IT-Dienstleister und Systemhäuser, die KI einordnen wollen. Die Teilnahme ist kostenlos – der Austausch ausdrücklich erwünscht.

Einladung zur KI LEAGUE

Die KI LEAGUE ist der Ort für IT-Dienstleister, die KI nicht hypen, sondern verstehen wollen. Als Plattform für Einordnung, Austausch und kritische Diskussion – jenseits von Buzzwords und Produktversprechen.

Jetzt informieren und dabei sein

Quellen

  1. Ventum Consulting: EU AI Act 2026 – Was Unternehmen jetzt wissen müssen (09.01.2026) – ventum-consulting.com
  2. Sage: EU AI Act 2026 für den Mittelstand – Fristen, Pflichten und Compliance (2026) – sage.com
  3. Advisori: EU AI Act Hochrisiko – Pflichten bis August 2026 (28.02.2026) – advisori.de
  4. Skill-Sprinters: EU AI Act – Pflichten, Fristen und Bußgelder für Unternehmen (2026) – skill-sprinters.de
  5. Artificial Intelligence Act – Artikel 50: Transparenzverpflichtungen (o.D.) – artificialintelligenceact.eu
  6. Wikipedia: Verordnung über künstliche Intelligenz – Stand 01.04.2026, inkl. Digital-Omnibus-Novelle – de.wikipedia.org
  7. Kanzlei Steinwachs: EU AI Act – Pflichten 2025/2026 (10.02.2026) – kanzlei-steinwachs.de

Weitere Blogartikel anzeigen

alle anzeigen
KI hat Ideen billig gemacht – und genau das ist das Problem
Mehr KI-Ideen, weniger Umsetzung. Warum Priorisierung die wichtigste Kompetenz 2026 ist.
Stundenabrechnung im KI-Zeitalter: Fünf Modelle – und die eine Frage, die IT-Dienstleister jetzt beantworten müssen
KI kollabiert die Zeit. Fünf Abrechnungsmodelle, die IT-Dienstleister jetzt auf den Tisch legen.
Microsoft setzt auf Multi-Modell-Intelligenz: Warum ein einziges KI-Modell für ernsthafte Recherche nicht mehr reicht
Microsoft kombiniert OpenAI und Anthropic im Copilot Researcher – mit messbaren Ergebnissen.
Made with love by ITleague.