EU AI Act 2026: Was deutsche KMU mit KI-Agenten jetzt wissen müssen

Am 2. August 2026 wird die Hauptanwendung des EU AI Act wirksam. Für deutsche Unternehmen, die Chatbots, Voice-Agenten oder KI-gestützte Workflow-Automatisierung einsetzen, endet damit die Schonfrist. Wer jetzt nicht handelt, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes.

Dieser Leitfaden erklärt praxisnah, welche Pflichten konkret auf Mittelstand und KMU zukommen, welche Risiko-Klasse Ihre KI-Agenten betrifft und wie Sie in den kommenden Wochen Compliance-Sicherheit herstellen.

Der EU AI Act im Schnellüberblick

Die Verordnung (EU) 2024/1689 – allgemein bekannt als EU AI Act – ist die weltweit erste umfassende KI-Regulierung. Sie ist am 1. August 2024 in Kraft getreten und wird stufenweise wirksam:

• 2. Februar 2025: Verbote inakzeptabler Praktiken + AI-Literacy-Pflicht (gilt bereits!)
• 2. August 2025: Pflichten für Anbieter von General-Purpose-AI-Modellen (GPAI)
• 2. August 2026: Hauptanwendung – Hochrisiko-Pflichten + Transparenzpflichten
• 2. August 2027: Vollständige Anwendung aller Hochrisiko-Bestimmungen

Der Ansatz ist risiko-basiert. KI-Systeme werden in vier Risikoklassen eingestuft:

| Risikoklasse | Beispiele | Pflichten | |---|---|---| | Inakzeptabel (verboten) | Social Scoring, manipulative Systeme, Emotionserkennung am Arbeitsplatz | Komplett verboten | | Hohes Risiko | Recruiting-Bots, Bonitäts-Scoring, Versicherungs-Risikobewertung | Konformitätsbewertung, Risk Management, technische Doku | | Begrenztes Risiko | Standard-Chatbots, Voice-Agenten, Deepfakes | Transparenzpflicht (Art. 50) | | Minimales Risiko | Spam-Filter, KI in Videospielen | Keine zusätzlichen Pflichten |

Der AI Act unterscheidet zwischen Anbietern (Provider – Entwickler des KI-Systems) und Betreibern (Deployer – Unternehmen, die KI einsetzen). Als KMU mit Chatbot oder Voice-Agent sind Sie typischerweise Betreiber – und damit pflichtenpflichtig.

Sind Ihre KI-Agenten betroffen?

In rund 95 Prozent aller B2B-Anwendungsfälle fallen KI-Agenten unter "Begrenztes Risiko". Dazu zählen:

• Sales-Chatbots auf Website, Instagram, WhatsApp Business
• Support-Bots für FAQ und Ticket-Triage
• Voice-Agenten für Hotline und Reservierungsannahme
• Workflow-Automatisierung mit LLM-basierter Dokumentenerstellung

Die Hauptpflicht hier ist die Transparenzpflicht nach Artikel 50. Sie ist überschaubar, aber muss ab August 2026 lückenlos eingehalten werden.

Vorsicht bei diesen Hochrisiko-Use-Cases, die Sie nur scheinbar harmlos einsetzen:

• KI bewertet Bewerbungen oder filtert Kandidaten vor → Hochrisiko
• KI berechnet Bonitäts- oder Versicherungs-Scores → Hochrisiko
• KI entscheidet über Zugang zu Bildung oder Berufsprüfungen → Hochrisiko
• KI klassifiziert Notrufe oder priorisiert medizinische Dringlichkeit → Hochrisiko

Strikt verboten sind hingegen:

• Manipulative Systeme, die psychologische Schwächen ausnutzen
• Social Scoring durch private Akteure oder Behörden
• Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (außer Sicherheit/Medizin)
• Biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit engen Ausnahmen)

Die 6 Pflichten für KMU mit KI-Agenten ab 2. August 2026

1. Transparenzpflicht (Art. 50)

Was vorgeschrieben ist: Nutzer müssen erkennen können, dass sie mit einer KI interagieren – nicht mit einem Menschen.

Konkret im Chatbot: Bereits in der ersten Bot-Nachricht muss ein Hinweis erscheinen, etwa: "Hallo, ich bin Max – der KI-Assistent von ArkeonTech. Wie kann ich helfen?" Der Hinweis muss in der Sprache des Nutzers, klar verständlich und ohne Marketingfloskeln formuliert sein.

Konkret im Voice-Bot: Direkt nach Annahme des Anrufs erfolgt ein Audio-Disclaimer, etwa: "Sie sprechen mit dem KI-Telefonassistenten von ArkeonTech. Auf Wunsch verbinde ich Sie jederzeit mit einer Mitarbeiterin oder einem Mitarbeiter."

Bei generierten Inhalten (Texte, Bilder, Audio, Video) muss zusätzlich kennzeichenbar sein, dass das Material maschinell erzeugt wurde – relevant etwa bei automatisch erstellten Newslettern oder Social-Media-Bildern.

2. AI-Literacy-Pflicht (Art. 4) – gilt bereits seit Februar 2025

Diese Pflicht wird am häufigsten übersehen, ist aber schon heute geltendes Recht. Wörtlich heißt es: "Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal […] über ein ausreichendes Maß an KI-Kompetenz verfügt."

Was das in der Praxis heißt:

• Geschäftsführung muss strategisches Verständnis aufbauen: Welche KI nutzen wir? Welche Risiken bestehen? Wie hoch ist die Abhängigkeit?
• Operative Mitarbeiter brauchen Wissen über die konkreten Systeme: Wie funktioniert unser Chatbot? Welche Limits hat er? Wann muss eskaliert werden?
• Datenschutz- und Compliance-Personal muss die rechtlichen Pflichten kennen.

Praktische Umsetzung: Eine bis zwei Schulungen pro Jahr, dokumentiert mit Inhalt, Teilnehmerliste und Datum. Bei Audits durch Aufsichtsbehörden ist diese Dokumentation der entscheidende Nachweis.

3. Dokumentationspflicht

Jedes KMU sollte ein KI-Inventar führen. Pro System mindestens festhalten:

• Anbieter und Modell (z. B. OpenAI GPT-5, Anthropic Claude 4.7, Eigenentwicklung)
• Use-Case und Geschäftsbereich
• Verarbeitete Datenarten (Kundenchats, E-Mail-Inhalte, Sprachdaten)
• Risiko-Klassifizierung nach AI Act
• Datenflüsse (woher kommen Daten, wohin gehen sie)
• Verantwortliche Person im Unternehmen

Bei Hochrisiko-Systemen kommt eine ausführliche Konformitätsbewertung hinzu – das ist deutlich aufwändiger und in den meisten Mittelstandsfällen aber nicht relevant.

4. Lieferanten-Due-Diligence

Nutzen Sie LLM-Anbieter wie OpenAI, Anthropic, Mistral, Aleph Alpha oder Google? Dann sind diese als GPAI-Anbieter seit dem 2. August 2025 pflichtig, technische Dokumentation und Compliance-Nachweise zu liefern. Sie als Betreiber müssen diese anfordern und bei sich vorhalten.

Vor Vertragsabschluss prüfen:

• Liegt eine AI-Act-Konformitätserklärung des Anbieters vor?
• Gibt es einen DSGVO-Auftragsverarbeitungsvertrag (AVV)?
• Wo liegen die Server (EU-Rechenzentren bevorzugt)?
• Werden Ihre Daten zum Modell-Training verwendet (Standardmäßig: Nein bei Enterprise-Tarifen)?

ArkeonTech setzt zum Beispiel ausschließlich auf europäische Anbieter oder Enterprise-Verträge mit ausgeschlossenem Trainings-Opt-Out – aus genau diesem Grund.

5. DSGVO-Synergie nutzen statt doppelt arbeiten

Eine gute Nachricht: Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Wer DSGVO bereits ernst nimmt, hat schätzungsweise 70 Prozent der AI-Act-Anforderungen schon erfüllt.

Was Sie zusätzlich zur DSGVO brauchen:

• Datenschutzerklärung um KI-Verarbeitung erweitern (welche Modelle, welche Anbieter, welche Datenflüsse)
• AVV mit allen LLM-Anbietern aktualisieren
• Risk Assessment dokumentieren – auch für Begrenztes-Risiko-Systeme empfehlenswert

6. Monitoring und Vorfallsmeldung

Operativ wichtig: KI-Systeme müssen überwacht werden. Konkret:

• Logging: Welche Bot-Konversationen werden wie lange gespeichert? Wer hat Zugriff?
• Voice-Aufzeichnungen: Aufbewahrungsfristen festlegen (typisch 30–90 Tage)
• Anomalie-Erkennung: Halluzinationen, falsche Auskünfte, beleidigende Antworten

Bei Hochrisiko-Systemen besteht eine zusätzliche Meldepflicht an die zuständige Aufsichtsbehörde – in Deutschland zunächst die Bundesnetzagentur (zentrale Marktüberwachungsbehörde) sowie das BSI für sicherheitsrelevante Aspekte.

Bußgelder: Was kostet ein Verstoß?

Der AI Act sieht abgestufte Sanktionen vor – jeweils der höhere Wert gilt:

| Verstoßart | Maximales Bußgeld | |---|---| | Verstoß gegen Verbote (Art. 5) | 35 Mio. € oder 7 % Jahresumsatz | | Hochrisiko-Pflichtverstöße | 15 Mio. € oder 3 % Jahresumsatz | | Falsche Auskünfte an Behörden | 7,5 Mio. € oder 1 % Jahresumsatz |

Erleichterung für KMU: Bei Unternehmen unter 250 Mitarbeitern und 50 Mio. € Jahresumsatz gilt jeweils der niedrigere der beiden Werte. Außerdem ist die Verhältnismäßigkeit obligatorisch zu prüfen.

Aber: Der Reputationsschaden durch öffentliche Verfahren wiegt für Mittelstandsunternehmen oft schwerer als das eigentliche Bußgeld.

Praktische Checkliste: Bin ich AI-Act-ready?

Gehen Sie diese 10 Punkte durch. Jedes "Nein" ist eine offene Aufgabe für die nächsten Wochen.

• [ ] Im Chatbot erscheint im ersten Statement ein KI-Disclaimer
• [ ] Im Voice-Bot wird zu Gesprächsbeginn auf KI hingewiesen
• [ ] Mitarbeiter sind in AI-Literacy geschult – und das ist dokumentiert
• [ ] Es existiert eine Liste aller eingesetzten KI-Systeme im Unternehmen
• [ ] Pro System gibt es eine Risiko-Klassifizierung und Datenfluss-Dokumentation
• [ ] Datenschutzerklärung erwähnt KI-Verarbeitung und LLM-Anbieter
• [ ] AVV liegt mit allen KI-Anbietern vor (OpenAI, Anthropic etc.)
• [ ] Konformitätserklärungen der GPAI-Anbieter wurden eingeholt
• [ ] Logging- und Aufbewahrungsfristen sind definiert und umgesetzt
• [ ] Eskalations-Workflow vom Bot zum Menschen ist dokumentiert

5 typische Fehler, die KMU jetzt machen

1. "Wir nutzen ja nur ChatGPT, das betrifft uns nicht." Falsch. Wenn Sie ChatGPT in einem geschäftlichen Kontext einsetzen – auch nur, um Texte zu generieren oder Kundenanfragen zu beantworten –, sind Sie Betreiber im Sinne des AI Act und unterliegen den Pflichten.

2. "Ich warte ab, was die anderen machen." Drei Monate sind nicht viel. AI-Literacy-Schulungen, Dokumentation und Disclaimer brauchen Vorlauf. Wer im Juli 2026 anfängt, schafft die Compliance bis August nicht mehr.

3. "Datenschutz reicht, AI Act ist quasi das Gleiche." AI Act ergänzt DSGVO – ersetzt sie nicht. Die Transparenzpflicht etwa hat keine Entsprechung in der DSGVO.

4. "Wir haben keinen Chatbot, nur Workflow-Automation." Auch automatisierte Entscheidungssysteme können betroffen sein – besonders, wenn sie Personalentscheidungen, Kundenpriorisierungen oder Bonitäts-Vorbewertungen treffen.

5. "Mein Anbieter kümmert sich darum." Falsch. Sie als Betreiber haften mit. Der Anbieter erfüllt seine Provider-Pflichten – Sie müssen die Deployer-Pflichten zusätzlich erfüllen.

Häufig gestellte Fragen (FAQ)

Wir nutzen einen Chatbot von einem externen Anbieter wie ArkeonTech. Bin ich vom AI Act betroffen? Ja. Sie sind Betreiber (Deployer). Der Anbieter erfüllt seine Provider-Pflichten – Sie müssen Transparenzpflicht, AI-Literacy-Schulungen und Dokumentationspflicht zusätzlich umsetzen.

Was ist mit ChatGPT, Claude oder Gemini – darf ich die im Kundenservice nutzen? Ja, der Einsatz ist erlaubt. Sie müssen aber sicherstellen, dass die Anbieter ihre GPAI-Pflichten erfüllen (Konformitätserklärung anfordern), einen AVV abschließen und Ihre Datenschutzerklärung entsprechend anpassen.

Brauche ich eine separate Einwilligung der Nutzer für KI-Verarbeitung? Nicht zwingend für die KI-Nutzung an sich – aber gegebenenfalls nach DSGVO für die Datenverarbeitung. Die AI-Act-Transparenzpflicht ist ein Hinweis, keine Einwilligung.

Mein Voice-Bot zeichnet Gespräche auf. Was muss ich beachten? Drei Ebenen: KI-Disclaimer am Gesprächsbeginn (AI Act), Hinweis auf Aufzeichnung mit Rechtsgrundlage (DSGVO), Aufbewahrungsfristen und Löschkonzept (DSGVO + AI Act).

Was ist der Unterschied zwischen DSGVO und AI Act? DSGVO regelt den Umgang mit personenbezogenen Daten. Der AI Act regelt den Umgang mit KI-Systemen – unabhängig davon, ob personenbezogene Daten verarbeitet werden. Beide gelten parallel.

Wann genau muss der Disclaimer erscheinen – vor oder nach der ersten Bot-Nachricht? Spätestens mit der ersten Bot-Nachricht. Best Practice: Direkt im Begrüßungstext einbauen, sodass Nutzer beim ersten Bot-Kontakt informiert sind.

Wer kontrolliert die Einhaltung in Deutschland? Die Bundesnetzagentur ist die zentrale Marktüberwachungsbehörde, das BSI verantwortet sicherheitsrelevante Aspekte und die Datenschutz-Aufsichtsbehörden behalten ihre DSGVO-Zuständigkeit. Die finale Behördenstruktur wird in den kommenden Monaten ausdifferenziert.

Was passiert, wenn ich mich nicht kümmere? Im ersten Schritt typischerweise Aufforderung zur Nachbesserung mit Frist. Bei Nicht-Reaktion oder schweren Verstößen folgen Bußgelder und im Extremfall Untersagungsverfügungen.

Fazit: Compliance als Wettbewerbsvorteil

Der EU AI Act ist kein Bürokratie-Monster, sondern ein realistischer Rahmen für den verantwortungsvollen KI-Einsatz. Für Mittelstandsunternehmen mit Chatbots und Voice-Agenten beschränkt sich der Aufwand in den meisten Fällen auf:

• Disclaimer einbauen (1 Tag Aufwand)
• Mitarbeiterschulung organisieren (2 Tage)
• Dokumentation erstellen (3–5 Tage)
• Anbieter-Due-Diligence durchführen (1–2 Tage)

Wer das jetzt angeht, hat im August 2026 keinen Stress – und kann "AI-Act-konform" als Qualitätssiegel im Vertrieb einsetzen. Genau das machen wir bei ArkeonTech: Unsere KI-Agenten sind von Tag eins an mit Transparenz-Disclaimer, EU-Hosting und vollständiger Dokumentation ausgeliefert.

Sie wollen sicher sein, dass Ihre KI-Lösungen ab August 2026 compliant sind? Vereinbaren Sie ein kostenloses Erstgespräch – wir prüfen Ihren Status und erstellen einen konkreten Maßnahmenplan.

---

Quellen

• Verordnung (EU) 2024/1689 (EU AI Act, deutsche Fassung) – EUR-Lex
• Bitkom-Leitfaden zum EU AI Act – Bitkom e.V.
• BMWK – Künstliche Intelligenz und der EU AI Act – Bundesministerium für Wirtschaft und Klimaschutz
• BSI – Sicherheit von KI-Systemen – Bundesamt für Sicherheit in der Informationstechnik