Grubaer - Professionelle Webentwicklung

Auszug: Mit dem 2. August 2026 wird die nächste Stufe des EU AI Act scharfgeschaltet — diesmal gehen die Transparenzpflichten nach Artikel 50 in den Echtbetrieb. Wer einen Chatbot betreibt, generative KI für Bilder oder Texte einsetzt oder KI in Kundenprozesse einbindet, ist betroffen. Gleichzeitig hat die EU im Mai 2026 mit dem „Digital Omnibus on AI" einige Fristen entzerrt und gerade für kleine Unternehmen spürbare Erleichterungen geschaffen.

Einleitung

Der EU AI Act ist seit 1. August 2024 in Kraft, wird aber in Etappen scharfgeschaltet. Die Aufmerksamkeit lag bisher vor allem bei den großen KI-Anbietern und bei Hochrisiko-Anwendungen — Themen, die für ein klassisches KMU mit Website, Webshop oder Online-Buchung wenig greifbar wirken. Mit der Anwendung von Artikel 50 ab August 2026 ändert sich das: Die Regeln treffen jetzt auch ganz normale Unternehmen, die KI im Kundenkontakt einsetzen.

Dieser Beitrag fasst zusammen, welche Pflichten heute schon gelten, was im August 2026 dazukommt und wo das Digital-Omnibus-Paket vom Mai 2026 KMU entlastet. Wichtig vorweg: Dies ist kein Rechtsrat, sondern eine technisch-praktische Einordnung aus Sicht der Webentwicklung.

1. Zeitstrahl: Was wann gilt

Die Verordnung wurde nicht in einem Schritt aktiviert, sondern in mehreren Wellen:

2. Februar 2025 — Verbot bestimmter KI-Praktiken (Social Scoring, manipulative Systeme, biometrische Massenüberwachung).
2. August 2025 — Pflichten für Anbieter von General-Purpose-AI-Modellen (Foundation Models wie GPT, Claude, Gemini, Llama).
2. August 2026 — Transparenzpflichten nach Artikel 50 (Chatbots, generative KI, Deepfakes).
2. Dezember 2026 — Übergangsfrist für bereits bestehende KI-Systeme zur Nachrüstung der Transparenzpflichten.
2. Dezember 2027 / 2028 — Hochrisiko-Anwendungen nach Anhang III. Diese Frist wurde durch den Digital Omnibus vom Mai 2026 nach hinten verschoben.

Für die meisten KMU ist die wichtigste Wegmarke jetzt der 2. August 2026.

2. Was Artikel 50 konkret verlangt

Artikel 50 regelt die Transparenz von KI-Systemen, die direkt mit Menschen interagieren oder Inhalte erzeugen. Die vier Kernpunkte:

Chatbots und virtuelle Assistenten müssen so gestaltet sein, dass Nutzerinnen und Nutzer spätestens beim ersten Kontakt erkennen, dass sie mit einer KI sprechen — nicht versteckt im Impressum, sondern direkt im Gesprächseinstieg.
Generative KI-Outputs (Texte, Bilder, Audio, Video) müssen in einem maschinenlesbaren Format als künstlich erzeugt markiert sein. Die EU-Kommission orientiert sich technisch an einer Kombination aus digital signierten Metadaten (C2PA) und unsichtbarem Watermarking.
Deepfakes — also KI-generierte Bilder, Audios oder Videos, die echten Personen, Orten oder Ereignissen täuschend ähnlich sehen — müssen sichtbar als solche gekennzeichnet werden.
Emotionserkennung und biometrische Kategorisierung lösen zusätzliche Hinweispflichten gegenüber den betroffenen Personen aus.

Wichtig: Die Pflicht trifft sowohl den Anbieter des KI-Systems als auch den Betreiber, der es einsetzt. Wer einen externen Chatbot in seine Website einbaut, kann sich also nicht darauf herausreden, dass der Hersteller schon irgendwo einen Hinweis platziert hat.

3. Was das für eine typische KMU-Website bedeutet

Für ein KMU, das eine Website, einen Webshop oder eine Buchungslösung betreibt, lassen sich die Pflichten auf wenige praktische Punkte herunterbrechen:

Chatbot oder KI-Support-Widget — eingebunden über Drittanbieter oder selbst gebaut: Beim Gesprächsstart eine klare Information einblenden („Sie chatten mit einem KI-Assistenten"). Reine Buttons im Footer reichen nicht.
KI-generierte Texte (Blogposts, Produktbeschreibungen, FAQ-Antworten): Eine Kennzeichnung ist nicht für jeden vollständig KI-generierten Marketingtext zwingend, aber empfehlenswert, wenn die KI ohne wesentliche redaktionelle Bearbeitung publiziert wird. Für textbasierte Inhalte von öffentlichem Interesse (Nachrichten, Berichte) gilt eine eigene Hinweispflicht.
KI-generierte Bilder oder Videos auf der Website oder in Social-Media-Kanälen: technische Markierung via Metadaten (C2PA) plus, wenn die Inhalte realistische Personen oder Orte darstellen, eine sichtbare Kennzeichnung.
Personalisierungs- oder Empfehlungs-Engines auf Basis von KI: Keine zwingende Kennzeichnungspflicht aus Artikel 50, aber Wechselwirkungen mit DSGVO und ePrivacy beachten.
Eingebundene Tools (AI-Chat für Support, automatische Antworten in Mailprogrammen, KI-gestützte Formularauswertung): jeweils prüfen, ob der Anbieter die nötigen Transparenzfeatures bereits liefert oder ob eigene Hinweise nachgerüstet werden müssen.

4. Was das Digital-Omnibus-Paket vom Mai 2026 ändert

Im Mai 2026 hat die EU mit dem „Digital Omnibus on AI" einige Schrauben gelockert. Die wichtigsten Punkte für kleine und mittlere Unternehmen:

Die Fristen für Hochrisiko-Anwendungen nach Anhang III sind nach hinten verschoben (Ende 2027 bzw. 2028 statt August 2026). Das verschafft Branchen wie Personalwesen, Bildung oder Finanzdienstleistung mehr Atempause.
Für KMU sind interne Self-Assessments als Konformitätsbewertung möglich, wo zuvor teure Audits durch externe benannte Stellen vorgeschrieben waren.
Dokumentationspflichten wurden für kleine Anbieter vereinfacht. Statt umfangreicher technischer Dossiers reichen oft schlankere, standardisierte Vorlagen.
Die Transparenzpflichten nach Artikel 50 bleiben aber unverändert beim 2. August 2026.

Die Botschaft: Die EU hat erkannt, dass die ursprünglichen Compliance-Anforderungen für kleine Anbieter unverhältnismäßig waren — die Kernpflichten zur Transparenz im Kundenkontakt bleiben aber bestehen.

5. Bußgelder: Was im Ernstfall droht

Der AI Act arbeitet mit gestaffelten Bußgeldern. Drei Größenordnungen sind relevant:

Verbotene Praktiken (z. B. manipulative oder sozial bewertende Systeme): bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
Verstöße gegen Pflichten für Hochrisiko-Systeme oder GPAI: bis zu 15 Mio. € oder 3 % des Jahresumsatzes.
Falsche oder unvollständige Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1 %.

Für KMU werden die Beträge in der Praxis am unteren Ende der Skala liegen, da die Verordnung Verhältnismäßigkeit vorsieht. Trotzdem: Ein unklarer Chatbot-Hinweis oder unmarkierte KI-Bilder können teuer werden — und das ist mit überschaubarem Aufwand zu vermeiden.

6. Eine pragmatische Checkliste bis August 2026

Wer im Sommer 2026 sauber aufgestellt sein will, kann mit fünf Schritten viel erreichen:

Bestandsaufnahme: Wo wird im Unternehmen KI eingesetzt — auf der Website, im Marketing, im Support, in internen Tools? Auch eingebettete Dienste mitzählen (Übersetzungs-Plugins, KI-Funktionen im CMS, Bildgeneratoren).
Chatbots prüfen: Wird beim Gesprächsstart klar kommuniziert, dass es sich um eine KI handelt? Falls nicht: Hinweis ergänzen, am besten direkt in der ersten Nachricht.
KI-generierte Medien kennzeichnen: Bei Bildern und Videos auf C2PA-fähige Tools setzen und realistische Darstellungen sichtbar markieren.
Dokumentation anlegen: Ein einfaches internes Register, welche KI-Systeme im Einsatz sind, welcher Anbieter dahintersteht und wer dafür intern zuständig ist. Reicht im Streitfall oft schon aus.
Verträge mit Anbietern checken: Wer Drittanbieter-KI einsetzt (z. B. OpenAI, Anthropic, ein Chatbot-SaaS), sollte sich vertraglich zusichern lassen, dass die nötigen Transparenzfunktionen unterstützt werden.

Fazit

Der EU AI Act ist 2026 keine abstrakte Regulierung für Tech-Konzerne mehr, sondern berührt auch KMU mit einer klassischen Website. Wer einen Chatbot betreibt, KI für Texte oder Bilder nutzt oder smarte Features im Webshop einbaut, sollte den 2. August 2026 im Kalender haben. Die gute Nachricht: Das Digital-Omnibus-Paket vom Mai 2026 nimmt vor allem kleineren Unternehmen viel Druck — Audits, schwere Dokumentationspflichten und die Hochrisiko-Fristen werden entzerrt. Was bleibt, sind die Transparenzpflichten — und die lassen sich mit überschaubarem technischem und organisatorischem Aufwand erfüllen.

Aus Webentwicklungs-Perspektive heißt das: Chatbot-Hinweise früh einbauen, generative Medien sauber kennzeichnen und ein kleines KI-Register pflegen. Wer dann noch die DSGVO im Griff hat, ist für den Sommer 2026 gut aufgestellt.

Dieser Beitrag ersetzt keine rechtliche Beratung. Für die konkrete Bewertung im eigenen Unternehmen empfiehlt sich eine Abstimmung mit einer auf IT- und Datenschutzrecht spezialisierten Kanzlei.

Einleitung

1. Zeitstrahl: Was wann gilt

Die Verordnung wurde nicht in einem Schritt aktiviert, sondern in mehreren Wellen:

2. Februar 2025 — Verbot bestimmter KI-Praktiken (Social Scoring, manipulative Systeme, biometrische Massenüberwachung).
2. August 2025 — Pflichten für Anbieter von General-Purpose-AI-Modellen (Foundation Models wie GPT, Claude, Gemini, Llama).
2. August 2026 — Transparenzpflichten nach Artikel 50 (Chatbots, generative KI, Deepfakes).
2. Dezember 2026 — Übergangsfrist für bereits bestehende KI-Systeme zur Nachrüstung der Transparenzpflichten.
2. Dezember 2027 / 2028 — Hochrisiko-Anwendungen nach Anhang III. Diese Frist wurde durch den Digital Omnibus vom Mai 2026 nach hinten verschoben.

Für die meisten KMU ist die wichtigste Wegmarke jetzt der 2. August 2026.

2. Was Artikel 50 konkret verlangt

Artikel 50 regelt die Transparenz von KI-Systemen, die direkt mit Menschen interagieren oder Inhalte erzeugen. Die vier Kernpunkte:

Chatbots und virtuelle Assistenten müssen so gestaltet sein, dass Nutzerinnen und Nutzer spätestens beim ersten Kontakt erkennen, dass sie mit einer KI sprechen — nicht versteckt im Impressum, sondern direkt im Gesprächseinstieg.
Generative KI-Outputs (Texte, Bilder, Audio, Video) müssen in einem maschinenlesbaren Format als künstlich erzeugt markiert sein. Die EU-Kommission orientiert sich technisch an einer Kombination aus digital signierten Metadaten (C2PA) und unsichtbarem Watermarking.
Deepfakes — also KI-generierte Bilder, Audios oder Videos, die echten Personen, Orten oder Ereignissen täuschend ähnlich sehen — müssen sichtbar als solche gekennzeichnet werden.
Emotionserkennung und biometrische Kategorisierung lösen zusätzliche Hinweispflichten gegenüber den betroffenen Personen aus.

3. Was das für eine typische KMU-Website bedeutet

Für ein KMU, das eine Website, einen Webshop oder eine Buchungslösung betreibt, lassen sich die Pflichten auf wenige praktische Punkte herunterbrechen:

Chatbot oder KI-Support-Widget — eingebunden über Drittanbieter oder selbst gebaut: Beim Gesprächsstart eine klare Information einblenden („Sie chatten mit einem KI-Assistenten"). Reine Buttons im Footer reichen nicht.
KI-generierte Texte (Blogposts, Produktbeschreibungen, FAQ-Antworten): Eine Kennzeichnung ist nicht für jeden vollständig KI-generierten Marketingtext zwingend, aber empfehlenswert, wenn die KI ohne wesentliche redaktionelle Bearbeitung publiziert wird. Für textbasierte Inhalte von öffentlichem Interesse (Nachrichten, Berichte) gilt eine eigene Hinweispflicht.
KI-generierte Bilder oder Videos auf der Website oder in Social-Media-Kanälen: technische Markierung via Metadaten (C2PA) plus, wenn die Inhalte realistische Personen oder Orte darstellen, eine sichtbare Kennzeichnung.
Personalisierungs- oder Empfehlungs-Engines auf Basis von KI: Keine zwingende Kennzeichnungspflicht aus Artikel 50, aber Wechselwirkungen mit DSGVO und ePrivacy beachten.
Eingebundene Tools (AI-Chat für Support, automatische Antworten in Mailprogrammen, KI-gestützte Formularauswertung): jeweils prüfen, ob der Anbieter die nötigen Transparenzfeatures bereits liefert oder ob eigene Hinweise nachgerüstet werden müssen.

4. Was das Digital-Omnibus-Paket vom Mai 2026 ändert

Im Mai 2026 hat die EU mit dem „Digital Omnibus on AI" einige Schrauben gelockert. Die wichtigsten Punkte für kleine und mittlere Unternehmen:

Die Fristen für Hochrisiko-Anwendungen nach Anhang III sind nach hinten verschoben (Ende 2027 bzw. 2028 statt August 2026). Das verschafft Branchen wie Personalwesen, Bildung oder Finanzdienstleistung mehr Atempause.
Für KMU sind interne Self-Assessments als Konformitätsbewertung möglich, wo zuvor teure Audits durch externe benannte Stellen vorgeschrieben waren.
Dokumentationspflichten wurden für kleine Anbieter vereinfacht. Statt umfangreicher technischer Dossiers reichen oft schlankere, standardisierte Vorlagen.
Die Transparenzpflichten nach Artikel 50 bleiben aber unverändert beim 2. August 2026.

5. Bußgelder: Was im Ernstfall droht

Der AI Act arbeitet mit gestaffelten Bußgeldern. Drei Größenordnungen sind relevant:

Verbotene Praktiken (z. B. manipulative oder sozial bewertende Systeme): bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
Verstöße gegen Pflichten für Hochrisiko-Systeme oder GPAI: bis zu 15 Mio. € oder 3 % des Jahresumsatzes.
Falsche oder unvollständige Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1 %.

6. Eine pragmatische Checkliste bis August 2026

Wer im Sommer 2026 sauber aufgestellt sein will, kann mit fünf Schritten viel erreichen:

Bestandsaufnahme: Wo wird im Unternehmen KI eingesetzt — auf der Website, im Marketing, im Support, in internen Tools? Auch eingebettete Dienste mitzählen (Übersetzungs-Plugins, KI-Funktionen im CMS, Bildgeneratoren).
Chatbots prüfen: Wird beim Gesprächsstart klar kommuniziert, dass es sich um eine KI handelt? Falls nicht: Hinweis ergänzen, am besten direkt in der ersten Nachricht.
KI-generierte Medien kennzeichnen: Bei Bildern und Videos auf C2PA-fähige Tools setzen und realistische Darstellungen sichtbar markieren.
Dokumentation anlegen: Ein einfaches internes Register, welche KI-Systeme im Einsatz sind, welcher Anbieter dahintersteht und wer dafür intern zuständig ist. Reicht im Streitfall oft schon aus.
Verträge mit Anbietern checken: Wer Drittanbieter-KI einsetzt (z. B. OpenAI, Anthropic, ein Chatbot-SaaS), sollte sich vertraglich zusichern lassen, dass die nötigen Transparenzfunktionen unterstützt werden.

Fazit

Dieser Beitrag ersetzt keine rechtliche Beratung. Für die konkrete Bewertung im eigenen Unternehmen empfiehlt sich eine Abstimmung mit einer auf IT- und Datenschutzrecht spezialisierten Kanzlei.

EU AI Act 2026: Was KMU mit Websites jetzt wissen müssen

Einleitung

1. Zeitstrahl: Was wann gilt

2. Was Artikel 50 konkret verlangt

3. Was das für eine typische KMU-Website bedeutet

4. Was das Digital-Omnibus-Paket vom Mai 2026 ändert

5. Bußgelder: Was im Ernstfall droht

6. Eine pragmatische Checkliste bis August 2026

Fazit

EU AI Act 2026: Was KMU mit Websites jetzt wissen müssen

Einleitung

1. Zeitstrahl: Was wann gilt

2. Was Artikel 50 konkret verlangt

3. Was das für eine typische KMU-Website bedeutet

4. Was das Digital-Omnibus-Paket vom Mai 2026 ändert

5. Bußgelder: Was im Ernstfall droht

6. Eine pragmatische Checkliste bis August 2026

Fazit