EU AI Act Pflichten 2026: Was ab dem 2. August gilt

Es ist Dienstag, der 14. Juli 2026, 9:40 Uhr, im Besprechungsraum eines mittelständischen Maschinenbauers bei Stuttgart. Geschäftsführer Markus Reinhardt hat einen Brief seines Verbands vor sich liegen. Darin steht ein Datum, das ihm seit Wochen im Kopf herumgeht: der 2. August 2026. Sein KI-System für die Vorauswahl von Bewerbungen läuft seit einem Jahr. Was an diesem Stichtag passiert, weiß er nicht genau. Genau hier setzen die EU AI Act Pflichten 2026 an, und sie betreffen seinen Betrieb direkter, als er dachte.

Reinhardt ist kein Einzelfall. Laut Bitkom (2024) haben sich erst 24 Prozent der Unternehmen mit dem AI Act beschäftigt, davon nur 3 Prozent intensiv. 69 Prozent geben an, Hilfe bei der Auseinandersetzung mit der Verordnung zu brauchen. Dieser Artikel ist der konkrete Pflichten- und Bußgeld-Fahrplan rund um den 2. August 2026, ohne die Grundlagen zu wiederholen. Eine Gesamtübersicht für KMU liefert unser Grundlagenartikel zum EU AI Act 2026.

EU AI Act Pflichten 2026: Warum am 2. August die Durchsetzung beginnt

Die EU AI Act Pflichten 2026 werden am 2. August scharf gestellt. Ab diesem Tag können Behörden Verstöße aktiv ahnden, weil die Sanktionsregeln und die nationale Marktüberwachung in Kraft treten. Laut Europäische Kommission (2026) greifen zum Stichtag die Transparenzregeln nach Artikel 50, die regulatorischen Sandboxes (mindestens eine pro Mitgliedstaat) sowie die nationale und EU-weite Durchsetzung.

Für Reinhardt heißt das: Das Datum ist kein abstrakter Meilenstein, sondern der Moment, in dem ein Aufsichtsbeamter klingeln darf. Bis dahin war der AI Act in weiten Teilen ein Versprechen auf dem Papier. Danach steht eine Behörde dahinter, die Bußgelder verhängen kann.

Was sich am Stichtag konkret aktiviert

Drei Dinge schalten sich am 2. August 2026 frei: die Bußgeldstaffel nach Artikel 99, die Befugnis des AI Office zur Durchsetzung der Pflichten für Allzweck-KI und die Kennzeichnungslogik für KI-Inhalte. Wer also bisher dachte, die Frist sei weit weg, sollte das Gegenteil annehmen. Wie Unternehmen Risiken aus solchen Vorgaben systematisch in den Griff bekommen, zeigen wir am Beispiel, wie KMU KI-Risiken systematisch managen.

Die Bußgeldstaffel nach Artikel 99 ist dreistufig, nicht pauschal

Der AI Act kennt keine Einheitsstrafe, sondern drei gestaffelte Rahmen je nach Schwere des Verstoßes. Laut secjur (2026) reicht die Spanne von bis zu 35 Millionen Euro oder 7 Prozent Jahresumsatz bei verbotenen Praktiken bis zu 7,5 Millionen Euro oder 1,5 Prozent bei falschen Auskünften. Maßgeblich ist jeweils der höhere Betrag.

Für einen Mittelständler wie Reinhardt ist das ein Weckruf. Selbst die niedrigste Stufe kann für einen Betrieb mit zweistelligem Millionenumsatz existenzbedrohend werden. Wichtig für kleinere Unternehmen: Laut secjur müssen die Geldbußen für KMU und Start-ups verhältnismäßig sein und ihre wirtschaftliche Leistungsfähigkeit berücksichtigen.

Der höhere Betrag zählt, nicht der niedrigere

Ein verbreiteter Irrtum: Viele rechnen mit dem Euro-Betrag und übersehen, dass bei großen Umsätzen der Prozentwert greift. Die Behörde wählt immer die höhere Zahl. Diese Logik macht den AI Act für Konzerne teuer und für den Mittelstand kalkulierbar, aber nie ungefährlich.

Was der Digital Omnibus auf 2027 und 2028 verschoben hat

Viele Verantwortliche atmen auf, weil Ende 2025 ein Aufschub vereinbart wurde. Dieser Aufschub ist real, aber er betrifft nur einen Teil der Pflichten. Laut Gibson Dunn (2026) verschiebt das Digital-Omnibus-Agreement die Hochrisiko-Pflichten für eigenständige Annex-III-Systeme vom 2. August 2026 auf den 2. Dezember 2027.

Für Reinhardts Bewerbungs-KI, die als Annex-III-Hochrisikofall gilt, bedeutet das eine Atempause bis Ende 2027. Doch genau hier liegt die Falle. Wer glaubt, damit sei alles vom Tisch, irrt: Bußgelder, Transparenzpflichten und die KI-Kompetenzpflicht bleiben am ursprünglichen Datum. Auch die Anwendung der Hochrisiko-Regeln ist laut Europäischer Kommission an verfügbare Unterstützungsinstrumente und harmonisierte Standards gekoppelt.

Die Verschiebung im Detail

In regulierte Produkte eingebettete Annex-I-Systeme rutschen laut Gibson Dunn vom 2. August 2027 auf den 2. August 2028. Die Transparenzpflichten nach Artikel 50 bleiben dagegen weitgehend am ursprünglichen Datum, für Wasserzeichen nach Artikel 50(2) gilt eine Schonfrist bis 2. Dezember 2026.

Die sieben Kernpflichten für Hochrisiko-KI bleiben anspruchsvoll

Wer ein Hochrisiko-System betreibt, kommt an einem festen Pflichtenkatalog nicht vorbei, auch wenn die Frist nun später liegt. Laut ADVISORI (2026) müssen Unternehmen sieben Kernpflichten erfüllen: Konformitätsbewertung, technische Dokumentation mit 10 Jahren Aufbewahrung, Risikomanagement über den gesamten Lebenszyklus, CE-Kennzeichnung, Registrierung in der öffentlichen EU-Datenbank, menschliche Aufsicht und Post-Market-Monitoring.

Für Reinhardt ist das ein Berg an Arbeit, der nichts mit seinem Kerngeschäft zu tun hat. Schwerwiegende Vorfälle muss er laut ADVISORI binnen 15 Tagen melden. Bei Verstößen drohen bis zu 35 Millionen Euro oder 7 Prozent Jahresumsatz. Wer hier die technische Umsetzung sauber aufstellen will, findet Orientierung in unserer Technik-Checkliste für KI-Ethik und Compliance.

Vom Pflichtenkatalog zur Praxis

Die sieben Pflichten klingen technisch, haben aber konkrete Konsequenzen im Tagesgeschäft. Die Dokumentationspflicht etwa zwingt dazu, jede Modellentscheidung nachvollziehbar zu halten. In unserer Praxis bei DigiRift sehen wir oft, dass gerade die menschliche Aufsicht und das laufende Monitoring unterschätzt werden, weil sie dauerhaft Ressourcen binden.

Diese EU AI Act Pflichten 2026 gelten unabhängig von der Risikoklasse

Zwei der EU AI Act Pflichten 2026 treffen praktisch jedes Unternehmen, das KI nutzt, ganz ohne Hochrisiko-Einstufung. Die erste ist die KI-Kompetenzpflicht nach Artikel 4, die bereits seit Februar 2025 gilt und verlangt, dass Mitarbeiter ein ausreichendes Verständnis für die eingesetzten Systeme haben. Die zweite ist die Transparenzpflicht nach Artikel 50.

Reinhardt nutzt außerdem einen Chatbot im Kundenservice. Auch der fällt unter die Transparenzpflicht: Nutzer müssen erkennen, dass sie mit einer Maschine sprechen. Die Schulungspflicht knüpft direkt daran an, Mitarbeiter mit einem Change-Plan auf KI vorbereiten zu müssen, sonst bleibt die Kompetenzpflicht ein leeres Versprechen.

GPAI: Allzweck-KI wird ab August 2026 durchsetzbar

Wer generative KI einsetzt, sollte die Allzweck-KI-Regeln kennen. Laut Latham & Watkins (2025) gelten die GPAI-Pflichten seit dem 2. August 2025, das AI Office kann sie aber erst ab dem 2. August 2026 durchsetzen und Bußgelder von bis zu 3 Prozent des weltweiten Jahresumsatzes oder 15 Millionen Euro verhängen. Anbieter älterer Modelle haben bis zum 2. August 2027 Zeit zur Anpassung.

Warum DigiRift den Pflichten-Fahrplan für Sie übernimmt

Für Reinhardt war der Wendepunkt der Moment, in dem er erkannte: Er muss das nicht selbst stemmen. Als Premium Full-Service KI-Agentur übernimmt DigiRift die komplette Einordnung seiner Systeme nach Risikoklasse, die Dokumentation, die Konformitätsbewertung und das laufende Monitoring. Reinhardt kümmert sich um seinen Maschinenbau, DigiRift erledigt den regulatorischen Rest.

Die Verzahnung mit der DSGVO ist dabei ein eigener Baustein, denn AI Act und Datenschutz greifen ineinander. Wer hier sauber aufgestellt sein will, profitiert von DSGVO-Konformität beim KI-Einsatz mit unserer 10-Punkte-Checkliste. Den größeren rechtlichen Rahmen, also Haftung, Urheberrecht und Arbeitsrecht, ordnen wir in unserem Überblick zu den zehn Rechtsbereichen, die KMU beim KI-Einsatz kennen müssen ein.

Was ein Erstgespräch konkret bringt

Ehrlich gesagt: Nicht jedes KI-System ist ein Hochrisikofall, und nicht jede Frist betrifft jeden Betrieb gleich. In rund 30 Minuten klären wir mit Ihnen, welche Ihrer KI-Systeme unter welche Risikoklasse fallen, welche Fristen für genau Ihren Betrieb gelten und mit welchem Umsetzungsaufwand Sie bis Ende 2027 realistisch planen sollten. Schreiben Sie uns dazu einfach über die Kontaktseite von DigiRift, und Sie gehen mit einer klaren Einschätzung statt mit offenen Fragen aus dem Gespräch.

Fazit: Aufschub ja, Entwarnung nein

Der 2. August 2026 ist der Tag, an dem der EU AI Act durchsetzbar wird. Die Hochrisiko-Pflichten für Annex-III-Systeme sind durch den Digital Omnibus auf Dezember 2027 verschoben, doch Bußgelder nach Artikel 99, die Transparenzpflicht nach Artikel 50, die GPAI-Durchsetzung und die KI-Kompetenzpflicht bleiben bestehen. Wer jetzt seine Systeme nach Risikoklasse einordnet, gewinnt die Zeit bis 2027, statt sie zu verlieren. Lassen Sie prüfen, welche EU AI Act Pflichten 2026 konkret auf Ihren Betrieb zukommen, bevor die Aufsicht es tut.

Quellen

1. Europäische Kommission, AI Act Service Desk (2026): Timeline der AI-Act-Umsetzung
2. Gibson Dunn (2026): EU AI Act Omnibus Agreement, Postponed High-Risk Deadlines
3. Bitkom (2024): Jedes vierte Unternehmen beschäftigt sich mit dem AI Act
4. ADVISORI (2026): EU AI Act High-Risk, What Companies Must Implement by August 2026
5. Latham & Watkins (2025): EU AI Act GPAI Model Obligations in Force
6. secjur (2026): EU AI Act Bußgeld, Sanktionen und Berechnung