Die Verschiebung der EU-KI-Verordnung (AI Act) ist real. Für Ihren Chatbot gilt trotzdem der 2. August.

Wichtigste Erkenntnisse
Die Verschiebung ist real — betrifft Sie aber vermutlich nicht
Die Einigung vom 7. Mai verschiebt eigenständige Hochrisiko-Systeme auf den 2. Dezember 2027 und KI in regulierten Produkten auf den 2. August 2028. Die Transparenzregeln waren nie Teil des Deals und gelten weiterhin ab dem 2. August 2026.
Chatbots müssen sich ab dem 2. August zu erkennen geben
Wenn Nutzer vernünftigerweise glauben könnten, mit einem Menschen zu sprechen, muss das Produkt offenlegen, dass es KI ist. Bußgelder für Transparenzverstöße reichen bis 15 Millionen Euro oder 3% des weltweiten Umsatzes.
Die Wasserzeichen-Schonfrist beträgt vier Monate — keine Verschiebung
Generative Systeme, die vor dem 2. August bereits auf dem EU-Markt sind, haben bis zum 2. Dezember 2026 Zeit, ihre Ausgaben als KI-generiert zu kennzeichnen. Alles, was nach dem 2. August startet, muss ab Tag eins konform sein.
Die DSGVO wartet nicht auf den AI Act
Europäische Datenschutzbehörden verhängen bereits Bußgelder gegen KI-Produkte nach bestehenden Datenregeln. Die Verschiebung ändert daran nichts — und Enterprise-Kunden fragen schon jetzt nach KI-Klassifizierungsmemos.
Zwei Jahre lang war der 2. August 2026 das Datum, das in jedem Erklärstück zur EU-KI-Verordnung (AI Act) rot angestrichen war. Dann sollte die schwere Maschinerie anrollen: Hochrisiko-Pflichten, Konformitätsbewertungen, die technische Dokumentation, die niemand schreiben wollte. Am 7. Mai einigten sich die EU-Gesetzgeber dann darauf, das meiste davon zu verschieben.
Die Erleichterungs-Schlagzeilen schrieben sich von selbst, und die meisten Gründer überflogen sie und machten weiter. Verständlich. Und trotzdem ein Fehler — denn der Teil der Verordnung, der ein typisches Softwareprodukt tatsächlich betrifft, wanderte nicht auf 2027. Das meiste davon landet weiterhin am 2. August, in vier Wochen.
Was verschoben wurde, was nicht — und was sich diesen Monat dagegen tun lässt.
Was sich tatsächlich verschoben hat
Die Einigung vom 7. Mai, formal Teil des Digital Omnibus — der EU-Anlauf, das eigene Digital-Regelwerk zu vereinfachen — schreibt den Kalender des AI Act an drei Stellen um.
- Eigenständige Hochrisiko-Systeme (Anhang III): Recruiting und Leistungsbewertung, Kreditscoring, Risikobepreisung in der Versicherung, Biometrie, kritische Infrastruktur. War der 2. August 2026. Jetzt der 2. Dezember 2027.
- KI in regulierten Produkten (Anhang I): Medizinprodukte, Spielzeug, Aufzüge, Fahrzeuge. Jetzt der 2. August 2028. Auch die Definition von „Sicherheitsbauteil“ wurde enger gefasst — ein KI-Feature, das den Nutzer lediglich unterstützt oder die Leistung optimiert, ohne ein Gesundheits- oder Sicherheitsrisiko zu schaffen, zieht das ganze Produkt nicht mehr in den Hochrisiko-Bereich.
- Nationale Regulierungs-Sandboxes: Die Mitgliedstaaten haben jetzt bis zum 2. August 2027 Zeit, sie aufzubauen.
Dazu kommt eine Bestandsschutzregel mit echtem Geld darin: Systeme, die vor diesen Daten bereits auf dem EU-Markt sind, bleiben komplett außerhalb des Hochrisiko-Regimes — es sei denn, Sie verändern sie später wesentlich. Und die KMU-Erleichterungen, darunter schlankere Dokumentation und verhältnismäßige Bußgelder, gelten jetzt für Unternehmen mit bis zu 750 Mitarbeitenden und 150 Millionen Euro Umsatz. Das deckt fast jedes Unternehmen ab, mit dem wir arbeiten.
Steht auf Ihrer Roadmap also KI-gestütztes Recruiting, Kreditentscheidungen oder ein Diagnose-Feature in einem Medizinprodukt, haben Sie gerade 16 bis 24 Monate extra bekommen. Dieser Teil der Entwarnung ist real.
Was weiterhin am 2. August landet
Artikel 50, die Transparenzregeln. Sie waren nie Teil der Verschiebungsverhandlung — und decken ausgerechnet die KI-Features ab, die die meisten Produkte tatsächlich ausliefern. Drei Pflichten, in klaren Worten:
- Wenn Menschen mit einem KI-System interagieren, müssen sie es wissen. Ein Support-Bot, ein Buchungsassistent, ein Sales-Agent auf WhatsApp: Könnte ein vernünftiger Nutzer glauben, mit einem Menschen zu sprechen, muss das Produkt das Gegenteil sagen.
- Generiert oder manipuliert Ihr Produkt Inhalte — ob Text, Bilder, Audio oder Video — muss die Ausgabe maschinenlesbar als KI-generiert gekennzeichnet werden. Das ist die Wasserzeichen-Pflicht.
- Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen sich gegenüber den Menschen offenlegen, auf die sie gerichtet sind.
Das eine Zugeständnis: Generative Systeme, die vor dem 2. August bereits auf dem Markt sind, haben bis zum 2. Dezember 2026 Zeit, das Wasserzeichen-Thema zu lösen. Alles, was nach dem 2. August startet, muss ab Tag eins konform sein. Das ist eine viermonatige Schonfrist, keine Verschiebung.
Strafen für Verstöße gegen Artikel 50 reichen bis 15 Millionen Euro oder 3% des weltweiten Umsatzes — je nachdem, was höher ist. Nicht die schlagzeilenträchtigen 35 Millionen; diese Stufe ist verbotenen Praktiken vorbehalten, die seit Februar 2025 gelten und im Dezember auf Nudification-Apps und KI-generiertes CSAM ausgeweitet werden. Aber 3% des Umsatzes für einen nicht gekennzeichneten Chatbot sind ein teurer Weg, eine Zeile UI-Text zu sparen.
Die Kommission hat außerdem Leitlinien-Entwürfe und einen Code of Practice dazu veröffentlicht, wie die Transparenzregeln in der Praxis umzusetzen sind. Die finalen Fassungen werden in wenigen Wochen erwartet und dürften kaum von den Entwürfen abweichen.
Was das für ein typisches Produkt bedeutet
Kaum ein Produkt ist abstrakt „ein KI-System“, deshalb eine schnelle Zuordnung:
- Support- oder Buchungs-Chatbot: Offenlegungspflicht, 2. August. Meist ein ehrlicher Satz im Interface. Die günstigste Compliance, die Sie dieses Jahr erledigen.
- KI-generierte Inhalte im Produkt: ein Beschreibungsgenerator für Listings, ein Bildgenerator, Marketing-Copy-Tools. Maschinenlesbare Kennzeichnung, mit dem 2. Dezember als Datum, wenn Sie vor dem 2. August live waren. Behalten Sie den finalen Code of Practice im Blick — er definiert, was als konforme Kennzeichnung zählt.
- Recruiting-, Scoring- und Versicherungs-Features: Dezember 2027. Aber die harmonisierten Normen, gegen die Sie bauen würden, sind womöglich erst kurz vor diesem Datum final — genau das ist bei der ursprünglichen Frist passiert. Teams, die auf die Normen warten, bauen am Ende wieder gegen die Uhr.
- Health-Produkte: Sitzt die KI in einem regulierten Gerät, wartet der AI Act jetzt bis 2028. MDR- und FDA-Regeln sind in der Zwischenzeit nicht verschwunden — sie bleiben die bindende Grenze.
Und eines pausiert die Verschiebung nicht: die DSGVO. Europäische Datenschutzbehörden haben bereits KI-Produkte mit Bußgeldern belegt und bestimmte Nutzungen von Modellen blockiert. Datenminimierung, Zweckbindung und Transparenz bei automatisierten Entscheidungen gelten heute, in voller Härte, für genau die Features, deren AI-Act-Frist gerade verschoben wurde. Eine verschobene Verordnung ist kein regulatorisches Vakuum.
Was sich im Juli lohnt
Kein Compliance-Programm. Vier Nachmittage Arbeit:
- Inventarisieren Sie Ihre KI-Features entlang der vier Kategorien der Verordnung: verboten, hochriskant, nur Transparenz, minimal. Für die meisten Produkte lautet die ehrliche Antwort: ein oder zwei Transparenz-Punkte und sonst nichts. Schreiben Sie es auf. Ein einseitiges Klassifizierungsmemo ist das Erste, wonach ein Regulierer — oder das Procurement-Team eines Enterprise-Kunden — fragt.
- Shippen Sie die Chatbot-Offenlegung. Ein Satz im UI, erledigt vor dem 2. August.
- Wenn Sie Inhalte generieren, wählen Sie jetzt einen Kennzeichnungsansatz und folgen Sie dem Entwurf des Code of Practice. Metadaten im November über Monate gespeicherter Ausgaben nachzurüsten tut erheblich mehr weh.
- Prüfen Sie, ob die erweiterte Mid-Cap-Erleichterung Sie abdeckt. Unter 750 Mitarbeitenden und 150 Millionen Euro Umsatz vermutlich ja — und das verändert sowohl Ihre Dokumentationslast als auch Ihr Bußgeldrisiko.
Ein Vorbehalt: Der Deal vom 7. Mai ist eine politische Einigung, noch kein Gesetz. Parlament und Rat sollen ihn bis Ende Juli formal annehmen, knapp vor der alten Frist. Die Daten gelten als gesetzt; das Kleingedruckte nicht. Ob etwa die allgemeine KI-Kompetenzpflicht bestehen bleibt, ist noch offen. Bauen Sie gegen die oben genannten Daten — und lassen Sie den finalen Text noch einmal gegenlesen, wenn er im Amtsblatt landet.
Häufig gestellte Fragen
Gilt der AI Act auch für Unternehmen außerhalb der EU?
Ja. Wie die DSGVO und der Cyber Resilience Act folgt der AI Act dem Produkt in den Markt, nicht dem Unternehmen. Ist Ihr KI-Feature für Nutzer in der EU verfügbar, tragen Sie die Pflichten — egal, wo Sie registriert sind. Ein US-Startup mit EU-Kunden fällt darunter.
Was genau gilt ab dem 2. August 2026?
Artikel 50, die Transparenzregeln: Menschen, die mit einem KI-System interagieren, müssen erfahren, dass es KI ist; KI-generierte oder manipulierte Inhalte müssen maschinenlesbar gekennzeichnet werden; und Systeme zur Emotionserkennung oder biometrischen Kategorisierung müssen sich zu erkennen geben. Generative Systeme, die vor diesem Datum bereits auf dem Markt sind, haben für die Inhalte-Kennzeichnung bis zum 2. Dezember 2026 Zeit. Die Hochrisiko-Pflichten wanderten auf Dezember 2027 (eigenständige Systeme) und August 2028 (KI in regulierten Produkten).
Wir bauen auf OpenAI- oder Anthropic-APIs. Sind das unsere Pflichten oder deren?
Beides, auf unterschiedlichen Ebenen. Die Modellanbieter tragen die GPAI-Pflichten, die seit August 2025 gelten. Aber das Unternehmen, das das Produkt vor die Nutzer bringt, trägt die Pflichten auf Produktebene. Präsentiert Ihre App einen Chatbot, gehört die Offenlegung Ihnen. Generiert Ihr Produkt Inhalte unter Ihrer Marke, liegt auch die Kennzeichnungspflicht faktisch bei Ihnen — auch wenn das Modell darunter gemietet ist.
Ist die Verschiebung wirklich final?
Nicht ganz. Der 7. Mai war eine politische Einigung zwischen den EU-Institutionen; die formale Annahme durch Parlament und Rat wird bis Ende Juli 2026 erwartet, knapp vor der alten Frist. Die Daten gelten als gesetzt, aber der finale Text ist noch nicht veröffentlicht, und einige Details — etwa, ob die KI-Kompetenzpflicht bestehen bleibt — sind noch offen.
Ähnliche Artikel
Der European Accessibility Act hat sein erstes Urteil. 71 Prozent barrierefrei zählten nicht.
Ein französisches Gericht verurteilte Carrefour wegen eines Onlineshops, den blinde Kunden nicht nutzen können: sechs Monate für die Nachbesserung, danach 500 Euro pro Tag. Was der EAA abdeckt, wer ausgenommen ist und warum das Übergangsfenster bis 2030 schwächer ist, als es aussieht.
Was ein KI-Agent 2026 wirklich kostet (der Build ist der billige Teil)
Agenturen verlangen für "einen KI-Agenten" zwischen 8.000 US-Dollar und einer halben Million, und die Spanne ist größtenteils ehrlich. Hier sind die echten Preisstufen für 2026, die Token-Rechnung und warum der Build nur etwa ein Drittel Ihrer Ausgaben ist.