Skip to content
Go To Agency
Go To Agency
/Cybersicherheit
Cybersicherheit

AI Act 2. August 2026: Was deutsche Mittelständler jetzt zu GPAI-Verpflichtungen wissen müssen

Am 2. August 2026 wird der AI Act allgemein anwendbar - GPAI-Verstöße werden sanktionierbar. Was sich für deutsche Mittelständler ändert: Strafen, Governance, Konformität und praktische Checkliste.

Von Robin Monteiro27. Mai 20268 min · 1 791 mots
AI ActMittelstandComplianceDeutschlandGPAI
Artikel teilen
AI Act 2. August 2026: Was deutsche Mittelständler jetzt zu GPAI-Verpflichtungen wissen müssen

Der 2. August 2026 markiert eine Zäsur für jeden deutschen Mittelständler, der heute ChatGPT, Microsoft Copilot, Claude oder ein anderes KI-System produktiv einsetzt. Die Vorschriften der Verordnung (EU) 2024/1689 - umgangssprachlich AI Act genannt - für sogenannte General-Purpose-AI-Modelle (GPAI) gelten für neue Modelle bereits seit August 2025; ab diesem Stichtag wird die Verordnung allgemein anwendbar und Verstöße können wirksam sanktioniert werden. Wer die Pflichten ignoriert, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ausfällt. Für ein Maschinenbauunternehmen mit 80 Millionen Euro Umsatz wären das im schlimmsten Fall 5,6 Millionen Euro. Eine Summe, die nicht aus der Portokasse zu zahlen ist.

Die gute Nachricht: Anders als bei der DSGVO im Mai 2018 müssen Sie das Rad nicht neu erfinden. Wenn Sie Ihre Datenschutz-Folgenabschätzung, Ihr Verzeichnis von Verarbeitungstätigkeiten und Ihre technisch-organisatorischen Maßnahmen ordentlich pflegen, haben Sie bereits 60 % der AI-Act-Compliance vorweggenommen. Es geht jetzt darum, die verbleibenden 40 % bis Anfang August strukturiert anzugehen. Dieser Leitfaden zeigt Ihnen, was zu tun ist - ohne Marketingfloskeln, ohne Panikmache.

Was genau ändert sich am 2. August 2026?

Der AI Act ist seit dem 1. August 2024 in Kraft, wird aber stufenweise wirksam. Die erste Stufe griff am 2. Februar 2025 mit dem Verbot besonders riskanter Praktiken wie Social Scoring oder ungezielter Gesichtserkennung. Die zweite Stufe folgte am 2. August 2025, als die Pflichten für Anbieter neuer General-Purpose-AI-Modelle wirksam wurden. Der 2. August 2026 ist die dritte große Welle: Ab diesem Tag gilt die Verordnung allgemein - inklusive der Betreiberpflichten, der Regeln für Hochrisiko-Systeme nach Anhang III und der Sanktionsbefugnisse in voller Höhe.

Konkret bedeutet das für Sie als Mittelständler drei Dinge. Erstens: Sobald Sie ein KI-System in Ihrem Geschäftsbetrieb einsetzen - sei es ein Chatbot auf der Website, ein Tool zur Lebenslaufanalyse im Recruiting oder eine generative KI für Marketingtexte - gelten Sie als "Betreiber" (Deployer) im Sinne des Gesetzes. Zweitens: Wenn Sie ein bestehendes Modell wie GPT-4, Claude oder Mistral nutzen, sind die Anbieter selbst verpflichtet, technische Dokumentation, Trainingsdatenzusammenfassungen und Urheberrechts-Compliance bereitzustellen. Sie als Betreiber müssen diese Informationen sichten und für Ihre konkrete Anwendung bewerten. Drittens: Bei Hochrisiko-Anwendungen - etwa Personalentscheidungen, Bonitätsprüfungen oder kritische Infrastruktur - greifen zusätzliche Pflichten zur Risikobewertung, Aufsicht durch Menschen und Protokollierung.

Wichtig zu wissen: Auch klassische ERP- oder CRM-Module mit eingebetteter KI-Funktionalität - etwa eine automatische Lead-Scoring-Funktion in HubSpot oder Salesforce - können unter den AI Act fallen. Pauschal "Wir nutzen ja nur Standardsoftware" reicht als Verteidigungslinie nicht aus.

Strafen und Haftung: Was wirklich auf dem Spiel steht

Die Sanktionsstruktur ist in Artikel 99 des AI Acts geregelt und folgt dem Vorbild der DSGVO - mit deutlich höheren Maximalbeträgen. Drei Stufen sollten Sie kennen:

  • Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die verbotenen Praktiken aus Artikel 5 (Social Scoring, Manipulation, Echtzeit-Gesichtserkennung im öffentlichen Raum)
  • Bis zu 15 Mio. € oder 3 % des Jahresumsatzes bei Verstößen gegen GPAI-Pflichten, Pflichten für Anbieter von Hochrisiko-Systemen oder Transparenzpflichten
  • Bis zu 7,5 Mio. € oder 1 % des Jahresumsatzes bei falschen, irreführenden oder unvollständigen Auskünften gegenüber den zuständigen Behörden

Für KMU und Startups sieht der Gesetzgeber eine Deckelung auf den jeweils niedrigeren Betrag vor. Das ist ein bedeutender Unterschied zur DSGVO und sollte Ihnen Mut machen: Der europäische Gesetzgeber will kleine und mittlere Unternehmen nicht in den Ruin treiben, sondern zu sauberer Praxis erziehen. Trotzdem gilt: Selbst 7,5 Mio. € sind für die meisten Mittelständler existenzbedrohend.

Zuständig für die Durchsetzung in Deutschland ist nach derzeitigem Stand die Bundesnetzagentur (BNetzA) als zentrale Aufsichtsbehörde, ergänzt um die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Finanzsektor und die Datenschutzaufsichten der Länder bei datenschutzrelevanten KI-Anwendungen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat bereits angekündigt, eng mit der BNetzA zu kooperieren, wenn AI-Act- und DSGVO-Verstöße kumulativ auftreten - was bei datenintensiven KI-Systemen praktisch immer der Fall ist.

Die vier Säulen der GPAI-Verpflichtungen

General-Purpose-AI-Modelle sind Modelle, die für eine Vielzahl unterschiedlicher Aufgaben einsetzbar sind und meist auf großen Datenmengen trainiert wurden. Für Sie als Betreiber relevant sind vor allem vier Pflichtenkomplexe:

1. Transparenz gegenüber Nutzern

Wenn Ihre Kunden, Mitarbeiter oder Lieferanten mit einem KI-System interagieren, müssen sie das wissen. Ein Chatbot auf Ihrer Website muss zu Beginn des Gesprächs klar deklarieren, dass er eine KI ist. Generative Bilder, Texte oder Audios - sogenannte Deepfakes - müssen als künstlich gekennzeichnet sein. Diese Pflicht ist denkbar simpel umzusetzen, wird aber in der Praxis am häufigsten übersehen. Prüfen Sie konkret jeden Berührungspunkt zwischen Ihrer KI und externen Adressaten.

2. Dokumentationspflichten

Sie müssen ein Register aller eingesetzten KI-Systeme führen. Erfasst werden müssen: Bezeichnung des Modells, Anbieter, Anwendungszweck, betroffene Datenkategorien, eingesetzte Trainingsdaten (soweit bekannt), Verantwortlicher im Unternehmen, Risikoklassifizierung und Datum der letzten Überprüfung. Wer bereits ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO pflegt, kann darauf aufsetzen. Viele Industrie- und Handelskammern stellen Vorlagen für KMU bereit, die als Ausgangspunkt taugen.

3. Menschliche Aufsicht

Vollautomatisierte Entscheidungen, die rechtliche Wirkung haben oder Personen erheblich beeinträchtigen, sind problematisch - sowohl nach Artikel 22 DSGVO als auch nach AI Act. Im Recruiting heißt das: Eine KI darf Lebensläufe vorsortieren, aber die finale Absage oder Einladung muss durch einen Menschen verantwortet werden. In der Kreditvergabe gilt analog: Ein Scoring-Tool darf eine Empfehlung abgeben, die Entscheidung trifft der Sachbearbeiter. Dokumentieren Sie diese Entscheidungsketten lückenlos.

4. Incident Reporting

Schwerwiegende Vorfälle - etwa Fehlentscheidungen mit Schadensfolge oder Sicherheitslücken im KI-System - müssen Sie binnen 15 Tagen an die zuständige Behörde melden. Bei Vorfällen mit Todesfolge gilt eine Frist von zehn Tagen, bei schwerwiegenden Vorfällen mit weitreichenden Auswirkungen verkürzt sie sich auf zwei Tage. Etablieren Sie jetzt einen internen Meldeweg, ähnlich wie für Datenschutzvorfälle nach Artikel 33 DSGVO.

Governance-Template für Mittelständler

In der Praxis hat sich bewährt, die AI-Governance an drei Rollen aufzuhängen: einen AI Officer (oft gleichzeitig der Datenschutzbeauftragte), ein AI Review Board (Geschäftsführung, IT-Leitung, Datenschutz, ggf. Betriebsrat) und Fachverantwortliche pro KI-Anwendung. Für ein Unternehmen mit 50 bis 500 Mitarbeitern reicht das aus. Sie brauchen keine eigene Abteilung.

Das AI Review Board sollte sich vierteljährlich treffen, neue KI-Einsätze freigeben, bestehende Anwendungen erneut bewerten und ein zentrales Risikoregister pflegen. Die Sitzungsprotokolle sind Ihre wichtigste Verteidigungslinie gegenüber den Behörden. Wer nachweisen kann, dass er regelmäßig, strukturiert und nachvollziehbar entschieden hat, wird selbst bei einem Verstoß milder behandelt.

Eine pragmatische, gut strukturierte KI-Strategie ist dabei kein Selbstzweck, sondern Ihr operatives Fundament. Sie verbindet die Geschäftsziele mit den regulatorischen Anforderungen und legt fest, welche KI-Anwendungen welchen Risikolevel rechtfertigen.

Konformitäts-Checkliste bis zum 2. August

Wenn Sie die kommenden Wochen strukturiert nutzen, sind Sie pünktlich bereit. Folgende Schritte sollten Sie jetzt einplanen:

  1. Bestandsaufnahme aller KI-Systeme (8-12 Stunden Aufwand): Listen Sie sämtliche Tools auf, in denen KI direkt oder eingebettet zum Einsatz kommt. Vergessen Sie nicht Browser-Plugins, Excel-Add-ins und SaaS-Module mit eingebauten Smart-Features.
  2. Risikoklassifizierung (4-6 Stunden): Ordnen Sie jedes System einer der vier AI-Act-Kategorien zu (unzulässig, hochriskant, begrenzt risikoreich, minimal risikoreich). Die Mehrheit Ihrer Tools wird in die unteren beiden Kategorien fallen.
  3. Vertragsprüfung mit Anbietern (variable Dauer): Fordern Sie von jedem KI-Anbieter die Konformitätserklärung gemäß AI Act an. Seriöse Anbieter haben diese ab Juli 2026 standardmäßig im Angebot.
  4. Mitarbeiter-Schulung (Halbtag pro Team): Jeder Mitarbeiter, der mit KI arbeitet, muss verstehen, was er darf und was nicht. Eine zweistündige Online-Schulung mit Wissensabfrage reicht in den meisten Fällen aus.
  5. Aktualisierung der Datenschutzerklärung (2-4 Stunden): Ergänzen Sie konkrete Hinweise auf eingesetzte KI-Systeme und beschreiben Sie die Rechtsgrundlage der Verarbeitung.
  6. Incident-Response-Plan (4-8 Stunden): Definieren Sie, wer bei einem KI-Vorfall informiert wird, wer die Meldung an die Behörde formuliert und welche Eskalationsstufen es gibt.
  7. Erstes AI-Review-Board-Meeting (90 Minuten): Setzen Sie das Gremium auf, verabschieden Sie die interne KI-Richtlinie und legen Sie die jährliche Meeting-Kadenz fest.

Insgesamt sprechen wir von 30 bis 60 Personenstunden für ein typisches Mittelstandsunternehmen - verteilt auf zwei bis drei Monate machbar. Wenn Sie heute beginnen, sind Sie pünktlich am 2. August startklar.

Verbindung zu DSGVO und bestehenden Pflichten

Der AI Act lebt nicht im luftleeren Raum. Er greift ineinander mit der DSGVO, dem IT-Sicherheitsgesetz, dem Geschäftsgeheimnisgesetz und - je nach Branche - mit MaRisk, BAIT oder dem Lieferkettensorgfaltspflichtengesetz. In der Praxis bedeutet das: Wenn ein KI-System personenbezogene Daten verarbeitet (was praktisch immer der Fall ist), greifen DSGVO und AI Act parallel.

Ein Beispiel: Sie nutzen eine KI zur automatischen Auswertung von Kundenanfragen. Datenschutzrechtlich brauchen Sie eine Rechtsgrundlage (meist berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO), eine Information der Betroffenen, ggf. eine Datenschutz-Folgenabschätzung. AI-Act-rechtlich müssen Sie das System klassifizieren, transparent machen, dokumentieren und überwachen. Beide Regelwerke verlangen ähnliche Strukturen - bauen Sie sie nur einmal auf, aber sauber.

Der BfDI hat im Februar 2026 klargestellt, dass eine bestehende Datenschutz-Folgenabschätzung (DPIA) als Grundlage für die AI-Act-Risikobewertung dienen kann, sofern sie um KI-spezifische Aspekte ergänzt wird: Trainingsdaten, Modell-Bias, Reproduzierbarkeit, Erklärbarkeit. Wer hier strukturiert dokumentiert, vermeidet doppelte Arbeit.

Praktische Fehler, die Sie vermeiden sollten

In Beratungsprojekten der letzten Monate haben sich vier Muster gezeigt, die wir bei deutschen Mittelständlern immer wieder beobachten:

Erstens: Schatten-KI. Mitarbeiter nutzen private ChatGPT-Konten, kostenlose Online-Tools oder Browser-Plugins, ohne dass die IT davon weiß. In Industrieunternehmen sind erfahrungsgemäß oft Dutzende KI-Tools im Einsatz - die IT-Abteilung kennt davon nur einen Bruchteil. Beginnen Sie deshalb mit einer transparenten Bestandsaufnahme über alle Abteilungen hinweg, ohne Sanktionsdruck.

Zweitens: Falsche Risikoeinstufung. Viele Unternehmen klassifizieren ihre KI-Anwendungen zu niedrig, weil sie hoffen, damit Pflichten zu vermeiden. Das ist riskant. Eine zu niedrige Einstufung, die später korrigiert werden muss, sieht für die Behörde schlechter aus als eine konservative Einstufung von Anfang an.

Drittens: Vertragslücken mit Anbietern. Standardverträge von US-Anbietern enthalten oft keine AI-Act-Klauseln. Verhandeln Sie hier nach. Anbieter, die nicht kooperationsbereit sind, sollten Sie kritisch hinterfragen.

Viertens: Vernachlässigung der Belegschaft. Der AI Act verlangt explizit AI-Kompetenz bei den Anwendern (Artikel 4). Eine Compliance-Mappe ohne Schulung ist wertlos. Investieren Sie deshalb in praxisnahe, kurze Trainings statt in 100-seitige PDF-Richtlinien, die niemand liest.

Fazit und nächste Schritte

Der 2. August 2026 ist kein Untergangstag, sondern ein Stichtag, auf den Sie sich vorbereiten können. Mit 30 bis 60 Personenstunden, einem klaren Plan und einem funktionierenden AI Review Board sind Sie sauber aufgestellt. Die Bußgelddrohung von 35 Millionen Euro klingt einschüchternd, trifft in der Realität aber vor allem Anbieter, die wissentlich gegen die Vorschriften verstoßen - nicht den ehrlichen Mittelständler, der seine Hausaufgaben gemacht hat.

Wenn Sie unsicher sind, wo Sie stehen, machen Sie zunächst eine ehrliche Bestandsaufnahme. Ein zweistündiger Workshop mit Geschäftsführung, IT und Datenschutzbeauftragtem fördert in der Regel zutage, was bereits da ist und wo Lücken klaffen. Sprechen Sie auch mit Ihrer IHK - viele bieten kostenlose Erstberatungen für KMU an.

Wenn Sie strategisch tiefer einsteigen möchten, gerne über unser Briefing-Formular Kontakt aufnehmen. Wir begleiten Mittelständler durch die AI-Act-Konformität - pragmatisch, ohne Beraterfloskeln, mit Fokus auf das, was Sie konkret umsetzen müssen. Mehr über unsere Arbeitsweise erfahren Sie auf der Seite zur Agentur.

Der August kommt. Aber er kommt für vorbereitete Unternehmen.

RM

Über den Autor

Robin Monteiro

Co-fondateur de Go To Agency

Développeur full-stack et co-fondateur de Go To Agency, Robin conçoit des solutions web performantes avec Next.js, React et les dernières technologies.

Team kennenlernen

Benötigen Sie Hilfe bei Ihrem Projekt?

Lassen Sie uns kostenlos über Ihr Projekt sprechen. Audit, Beratung und personalisierte Empfehlungen in 15 Minuten.

Kostenloses Angebot anfordern
Artikel teilen

Questions fréquentes

Gilt der AI Act auch für Kleinunternehmen mit weniger als 50 Mitarbeitern?+

Ja, der AI Act gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU einsetzen, unabhängig von ihrer Größe. Allerdings sieht Artikel 99 für KMU und Startups eine Deckelung der Bußgelder auf den jeweils niedrigeren Betrag vor (z. B. 7,5 Mio. € oder 1 % statt 7 %). Zudem gelten erleichterte Dokumentationsanforderungen bei Hochrisiko-Systemen. Die Grundpflichten zu Transparenz und menschlicher Aufsicht bleiben aber bestehen.

Müssen wir ein internes AI Review Board einsetzen, wenn wir nur ChatGPT für Marketingtexte nutzen?+

Auch in diesem Fall empfehlen wir ein - wenn auch schlankes - Governance-Gremium. Es muss kein eigenes Komitee sein: Eine vierteljährliche Sitzung im Rahmen der Geschäftsführungsrunde mit Datenschutzbeauftragtem und IT-Leitung reicht in den meisten Fällen aus. Wichtig ist die strukturierte Dokumentation der Entscheidungen, damit Sie gegenüber den Behörden nachvollziehbar agieren.

Wie unterscheidet sich der AI Act konkret von der DSGVO bei KI-Anwendungen?+

Die DSGVO regelt den Umgang mit personenbezogenen Daten, der AI Act regelt das KI-System selbst - unabhängig davon, ob personenbezogene Daten verarbeitet werden. Bei datenintensiver KI greifen beide Regelwerke parallel. Eine bestehende Datenschutz-Folgenabschätzung kann nach Auffassung des BfDI als Grundlage für die AI-Act-Risikobewertung dienen, muss aber um KI-spezifische Aspekte wie Trainingsdaten, Modell-Bias und Erklärbarkeit ergänzt werden.

Welche Behörde ist in Deutschland für die Durchsetzung des AI Acts zuständig?+

Nach derzeitigem Stand wird die Bundesnetzagentur (BNetzA) die zentrale Aufsichtsbehörde, ergänzt um die BaFin im Finanzsektor und die Datenschutzaufsichten der Länder bei datenschutzrelevanten Anwendungen. Der BfDI kooperiert eng mit der BNetzA, wenn AI-Act- und DSGVO-Verstöße zusammenfallen. Konkrete Zuständigkeitsabgrenzungen werden voraussichtlich bis Mitte 2026 final geregelt.

Kostenloses Angebot
AI Act 2. August 2026: Mittelstand GPAI-Verpflichtungen | Go To Agency