Der Inhalt zusammengefasst:
  • Ab dem 2. August 2026 müssen Unternehmen offenlegen, wenn KI-generierte Inhalte, Chatbots oder Deepfakes im Spiel sind - Verstöße kosten bis zu 15 Millionen Euro.
  • Die größte Hürde ist nicht die Kennzeichnung selbst, sondern die Bestandsaufnahme - wer nicht weiß, wo KI läuft, kann weder steuern noch dokumentieren.
  • Übersetzungstool und Bewerbungsfilter fallen in unterschiedliche Risikoklassen - die richtige Einordnung entscheidet über den Compliance-Aufwand.

Laut der Bitkom-Studie „Künstliche Intelligenz 2025“ setzen 36 Prozent der deutschen Unternehmen bereits KI ein. Ab dem 2. August 2026 müssen sie das auch sichtbar machen. An diesem Tag treten die Transparenzpflichten des EU AI Act in Kraft – konkret Artikel 50 der KI-Verordnung (EU) 2024/1689. Wer einen Chatbot auf seiner Website betreibt, Produkttexte mit KI erstellt oder Bewerbungen automatisiert vorsortiert, muss ab dann offenlegen, dass KI im Spiel ist. Die Frist läuft – und sie läuft für alle.

Das klingt zunächst nach einem Thema für Juristen und Konzerne. Tatsächlich trifft die neue KI-Kennzeichnungspflicht aber vor allem den Mittelstand. Denn gerade dort wird KI pragmatisch eingesetzt – ein Übersetzungstool hier, ein Textgenerator dort, vielleicht ein Chatbot im Kundenservice. Oft ohne zentrale Steuerung, ohne Dokumentation und ohne die Frage, ob das regulatorische Konsequenzen hat.

KI-Kennzeichnung ab August 2026

Die Verordnung unterscheidet mehrere Szenarien, in denen Transparenz gegenüber den Nutzern Pflicht wird. Drei davon betreffen den typischen KMU-Alltag unmittelbar.

  1. Chatbots und KI-gestützte Interaktion. Wenn ein Mensch mit einem KI-System interagiert – etwa über einen Chatbot auf Ihrer Website oder ein automatisiertes Antwortsystem, muss erkennbar sein, dass keine echte Person antwortet. Das gilt unabhängig davon, ob das System selbst entwickelt oder eingekauft wurde.
  2. KI-generierte Inhalte. Texte, Bilder, Audio- oder Videoinhalte, die von KI erzeugt wurden und für echt gehalten werden könnten, müssen als solche gekennzeichnet werden. Das betrifft zum Beispiel Produktbeschreibungen, die ein Sprachmodell geschrieben hat, oder Bilder, die ein Bildgenerator erzeugt hat. Die Kennzeichnung muss sowohl für Menschen lesbar sein – etwa durch den Hinweis „KI-generiert“ – als auch maschinenlesbar über technische Metadaten.
  3. Deepfakes. Wer künstlich erzeugte oder manipulierte Bild-, Audio- oder Videoinhalte veröffentlicht, die realen Personen oder Ereignissen ähneln, muss diese eindeutig als künstlich kennzeichnen.

Es gibt eine wichtige Ausnahme: Wenn Inhalte redaktionell so überarbeitet wurden, dass ein Mensch die inhaltliche Verantwortung trägt, entfällt die Kennzeichnungspflicht. Das Sprachmodell als Entwurfshelfer zu nutzen und den Text anschließend selbst zu überarbeiten, zu prüfen und freizugeben, ist also weiterhin ohne Kennzeichnung möglich – vorausgesetzt, die menschliche Kontrolle ist tatsächlich gegeben.

Hochrisiko-KI

Neben den Transparenzpflichten benennt der EU AI Act eine zweite, deutlich strengere Kategorie: die sogenannte Hochrisiko-KI. Darunter fallen KI-Systeme, die in sensiblen Bereichen eingesetzt werden und erhebliche Auswirkungen auf Menschen haben können.

Für den Mittelstand ist vor allem ein Bereich relevant: automatisierte Personalentscheidungen. Wer KI-gestützte Tools einsetzt, um Bewerbungen vorzusortieren, Kandidaten zu bewerten oder Mitarbeiterleistungen zu analysieren, arbeitet möglicherweise mit einem Hochrisiko-KI-System im Sinne des Anhangs III der KI-Verordnung. Für solche Systeme gelten deutlich schärfere Pflichten: ein dokumentiertes Risikomanagement, technische Dokumentation, menschliche Aufsicht und eine Konformitätsbewertung.

Entscheidend ist: Ein Übersetzungstool hat andere Pflichten als ein Bewerbungsfilter. Wer seine KI-Anwendungen nicht sauber klassifiziert, riskiert entweder unnötigen Aufwand – oder empfindliche Bußgelder.

Bei Verstößen gegen die Transparenzpflichten drohen bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Bei Verstößen gegen die Hochrisiko-Regeln steigen die Beträge auf bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes.

Was Sie im Unternehmen tun sollten

Die Klassifizierung klingt zunächst komplex, lässt sich jedoch in vier einfache Schritte herunterbrechen.

  1. Eine KI-Inventur. Listen Sie alle Anwendungen auf, in denen KI zum Einsatz kommt – nicht nur die offensichtlichen wie ChatGPT oder ein Chatbot, sondern auch KI-Funktionen, die in Ihrer bestehenden Software eingebettet sind. Das Textvorschlags-Feature in Ihrem E-Mail-Programm, die automatische Kategorisierung in Ihrem CRM, der Bildgenerator, mit dem Ihre Marketingabteilung Social-Media-Grafiken erstellt. Gehen Sie abteilungsweise vor: Vertrieb, Marketing, Personal, IT, Kundenservice, Werkstatt und Produktion.
  2. Ordnen Sie jede Anwendung einer Risikoklasse zu. Die entscheidende Frage lautet: Hat das KI-System erhebliche Auswirkungen auf die Rechte oder die Sicherheit von Menschen? Ein Chatbot, der Produktfragen beantwortet, fällt unter die Transparenzpflichten – er braucht eine Kennzeichnung, aber kein Risikomanagement-System. Ein Tool, das Bewerbungen vorsortiert, kann dagegen als Hochrisiko-KI gelten. Die Bundesnetzagentur als zuständige nationale Aufsichtsbehörde bietet dazu Orientierungshilfen.
  3. Dann definieren Sie Kennzeichnungsstandards. Für die betroffenen Anwendungen legen Sie fest, wie die Kennzeichnung konkret aussieht: ein sichtbarer Hinweis für den Nutzer („Dieser Text wurde mit KI-Unterstützung erstellt“) und maschinenlesbare Metadaten in den erzeugten Dateien.
  4. Der vierte Schritt betrifft die Verantwortlichkeiten. Jemand im Unternehmen muss für die KI-Compliance zuständig sein. Das muss keine eigene Stelle sein, aber eine klare Zuordnung: Wer prüft neue KI-Tools vor der Einführung? Wer stellt sicher, dass Kennzeichnungen eingehalten werden? Wer beobachtet die regulatorische Entwicklung?

Warum jetzt reagieren?

Ein Detail, das die Lage zusätzlich verkompliziert: Die EU-Kommission diskutiert im Rahmen der digitalen Omnibus-Verordnung über mögliche Anpassungen des Rechtsrahmens – darunter auch Fristverlängerungen für bestimmte Pflichten. Das könnte dazu verführen, die Vorbereitung aufzuschieben.

Die grundsätzlichen Anforderungen – Transparenz, Kennzeichnung, Dokumentation – werden jedoch nicht verschwinden, selbst wenn einzelne Fristen verschoben werden. Und die KI-Inventur, die jedes Unternehmen ohnehin braucht, ist unabhängig von regulatorischen Zeitplänen sinnvoll.

Wer nicht weiß, wo in seinem Unternehmen KI zum Einsatz kommt, hat ein Steuerungsproblem – mit oder ohne EU AI Act.

In unserer eigenen Beratungspraxis sehen wir das regelmäßig: Unternehmen, die zum ersten Mal systematisch erfassen, welche KI-Tools in welchen Abteilungen laufen, sind überrascht, wie viel bereits im Einsatz ist. Die Inventur ist deshalb nicht nur Compliance-Pflicht, sondern auch eine strategische Aufgabe.

Was das konkret im Alltag bedeutet

Wenn Sie heute eine Website mit Chatbot betreiben, brauchen Sie bis August eine Kennzeichnung, die den Nutzer darauf hinweist, dass er mit einer KI spricht. Wenn Ihre Marketingabteilung Produkttexte oder Bilder mit KI-Tools erzeugt, brauchen diese Inhalte eine Kennzeichnung – es sei denn, ein Mensch hat sie so gründlich überarbeitet, dass die inhaltliche Verantwortung erkennbar bei ihm liegt.

Wenn Sie KI im Bewerbungsprozess einsetzen, sollten Sie jetzt prüfen, ob Ihr Tool unter die Hochrisiko-Kategorie fällt. Falls ja, ist der Aufwand deutlich größer: Sie brauchen eine technische Dokumentation, ein Risikomanagementsystem und nachweisbare menschliche Aufsicht.

Wir setzen in der Ideenfabrik selbst KI in zahlreichen Arbeitsbereichen ein – ob in Paul Pipeline, Toni Tool und andere oder in Softwareprodukten, bis zur internen Wissensorganisation und Datenrestrukturierung. Die Auseinandersetzung mit den Anforderungen des EU AI Act ist für uns deshalb keine theoretische Übung, sondern Tagesgeschäft. Was wir dabei gelernt haben: Die größte Hürde ist nicht die Umsetzung der Kennzeichnung selbst, sondern die Bestandsaufnahme davor. Zu wissen, welche KI-Systeme im Unternehmen laufen, wer sie verantwortet und welche Risikoklasse sie haben, ist die eigentliche Arbeit.

Die Frist läuft für alle

Der 2. August 2026 ist nicht mehr weit entfernt. Zehn Wochen Vorlauf reichen für ein Unternehmen, das seine KI-Landschaft kennt und nur noch Kennzeichnungen umsetzen muss. Für die meisten Mittelständler sind die Transparenzpflichten umsetzbar, wenn sie früh genug damit beginnen. Die Kennzeichnung eines Chatbots ist kein Großprojekt. Die systematische Erfassung aller KI-Anwendungen im Unternehmen dagegen schon – und genau deshalb sollte sie jetzt beginnen, nicht im Juli.

Weitere Inhalte zum Thema
  • CRM-Integration für den Mittelstand: Offene, selbst gehostete Lösungen mit DSGVO-konformer KI-Einbindung. Verbindet Website, Shop, E-Mail und Buchhaltung zu einem durchgängigen Vertriebssystem.
  • Strategische CRM-Beratung für den Mittelstand: Systemauswahl, Integration in bestehende Prozesse und DSGVO-konforme KI-Einbindung für intelligenten Vertrieb.
  • DSGVO-konformes WordPress: EU-Hosting, blockierendes Consent-Tool, Drittanbieter unter Kontrolle. Was Cookie-Banner nicht leisten und Plugins nicht ersetzen.
Produkte zum Thema
Weiterlesen im Magazin

0 Comments

Auf dieser Seite
Über diesen Beitrag