In Deutschland wird die Bundesnetzagentur zentrale Marktaufsicht für den EU AI Act. Ab dem 2. August 2026 kann die EU-Kommission gegen Anbieter großer KI-Modelle vorgehen, mit Bußgeldern bis zu 3 Prozent des weltweiten Jahresumsatzes oder 15 Millionen Euro. Für die meisten KMU zählt aber etwas anderes: die Pflichten als Anwender, allen voran KI-Kompetenz und Transparenz.
Die KI-Verordnung der EU steht, aber lange war unklar, wer sie in Deutschland eigentlich durchsetzt. Diese Lücke schließt sich. Die Bundesnetzagentur übernimmt die Rolle der zentralen Marktaufsicht für den AI Act. Parallel rückt der 2. August 2026 näher, ab dem die EU-Kommission gegenüber Anbietern allgemeiner KI-Modelle echte Durchsetzungsbefugnisse hat. Was davon dich als Betrieb betrifft, ist überschaubar, aber wichtig.
Wer in Deutschland kontrolliert
Die Bundesnetzagentur ist künftig die zentrale Stelle für die Marktaufsicht über KI-Systeme. Für Hochrisiko-Anwendungen in Bereichen, in denen es noch keine eigene Aufsicht gibt, etwa kritische Infrastruktur oder Strafverfolgung, koordiniert die Behörde die Marktaufsicht. Damit bekommt die abstrakte Verordnung in Deutschland ein Gesicht und eine Adresse.
Bei den Hochrisiko-Pflichten lohnt eine Klarstellung, weil dazu falsche Daten kursieren. Durch den sogenannten Digital Omnibus wurden die Fristen für Hochrisiko-KI nach Anhang III auf den 2. Dezember 2027 verschoben, für Anhang I auf den 2. August 2028. Ältere Webseiten nennen teils noch August 2026. Für die Praxis gilt die verschobene Fassung.
Was am 2. August 2026 scharf wird
Der Termin im August betrifft vor allem die großen Modelle, im Amtsdeutsch die General-Purpose-AI oder GPAI. Deren Pflichten gelten zwar schon seit dem 2. August 2025. Aber erst ab dem 2. August 2026 kann die EU-Kommission diese Pflichten auch durchsetzen: Dokumente anfordern, Modelle bewerten, Maßnahmen verlangen, im Ernstfall einen Rückruf anordnen und Bußgelder verhängen.
Die Bußgelder für GPAI-Anbieter liegen bei bis zu 3 Prozent des weltweiten Jahresumsatzes oder 15 Millionen Euro, je nachdem, welcher Betrag höher ist. Das sind die speziellen Grenzen für Modellanbieter. Die allgemeinen Höchstbußgelder des AI Act, etwa gegen verbotene Praktiken, liegen darüber, bei bis zu 35 Millionen Euro oder 7 Prozent. Über die Einhaltung wacht das eigens geschaffene AI Office der Kommission.
Damit Anbieter wissen, was von ihnen erwartet wird, gibt es einen freiwilligen Verhaltenskodex, den GPAI Code of Practice. Rund zwei Dutzend Anbieter haben ihn unterzeichnet, darunter Anthropic, Google, IBM, Microsoft, Mistral, OpenAI und Cohere. Meta hat nicht unterzeichnet, xAI nur das Kapitel zu Sicherheit. Den finalen Kodex zur Kennzeichnung KI-generierter Inhalte erwartet die Kommission im Juni 2026.
Die Durchsetzung läuft erst an
Bei aller Strenge auf dem Papier: In der Praxis hakt es noch. Mehrere EU-Mitgliedstaaten haben ihre zuständigen Behörden bis heute nicht endgültig benannt. Fachleute sprechen von einer Durchsetzungslücke. Wer jetzt darauf wettet, dass schon nichts passiert, spielt allerdings ein riskantes Spiel, denn die Strukturen werden gerade aufgebaut, und Behörden arbeiten Rückstände erfahrungsgemäß ab.
Was davon KMU wirklich betrifft
Hier kommt die Entwarnung und zugleich die eigentliche Aufgabe. Die allermeisten kleinen und mittleren Betriebe sind keine GPAI-Anbieter. Du baust kein eigenes Sprachmodell, also bist du nicht Adressat der Millionen-Bußgelder gegen Modellanbieter. Diese Schlagzeile geht an dir vorbei.
Was dich betrifft, sind die Pflichten als Anwender. Zwei sind konkret. Erstens die KI-Kompetenzpflicht nach Artikel 4, die schon seit dem 2. Februar 2025 gilt: Wer KI im Betrieb einsetzt, muss dafür sorgen, dass die beteiligten Mitarbeiter ausreichend Kompetenz im Umgang damit haben. Zweitens die Transparenzpflichten nach Artikel 50, die ab August 2026 greifen, etwa der Hinweis, dass dein Chatbot eine KI ist, und die Kennzeichnung von Inhalten, die eine KI erzeugt hat.
Das ist kein bürokratisches Monster, sondern eine Frage der Vorbereitung. Wer KI einsetzt, braucht geschultes Personal und ein paar klare Kennzeichnungen, fertig. Wer das unterschätzt, merkt es spätestens, wenn ein Kunde oder ein Wettbewerber genau hinschaut. Der Aufwand für die Kompetenzpflicht ist überschaubar, das Risiko, sie zu ignorieren, wächst mit jedem Monat, in dem KI tiefer in den Alltag rückt.
Wie sieht das im Alltag aus? Wenn auf deiner Webseite ein Chatbot Kundenfragen beantwortet, gehört der Hinweis dazu, dass hier eine KI antwortet. Wenn du Texte oder Bilder mit KI erzeugst und veröffentlichst, kann eine Kennzeichnung fällig werden. Und wenn deine Mitarbeiter KI im Tagesgeschäft nutzen, sollten sie wissen, was das Werkzeug kann, wo es Fehler macht und welche Daten nichts darin verloren haben. Mehr verlangt der praktische Teil der Verordnung von einem normalen Betrieb nicht.
Was das für KMU bedeutet
Die gute Nachricht ist, dass der praktische Handlungsbedarf für KMU klein und gut planbar ist. Du musst nicht die ganze Verordnung studieren. Du musst sicherstellen, dass die Leute, die mit KI arbeiten, wissen, was sie tun, und dass du KI-Einsatz dort kennzeichnest, wo es vorgeschrieben ist.
Genau hier setzt eine geförderte Qualifizierung an. Sie deckt die KI-Kompetenzpflicht nach Artikel 4 ab und macht dein Team gleichzeitig produktiver. Für Beschäftigte läuft das über das Qualifizierungschancengesetz, für Arbeitssuchende über den Bildungsgutschein. Was im Detail für deinen Betrieb gilt, haben wir im Vollkurs Digitalisierungsmanager und im Compliance-Guide aufbereitet.
Häufige Fragen
Wer setzt den EU AI Act in Deutschland durch?
Die Bundesnetzagentur wird zentrale Marktaufsichtsbehörde für den EU AI Act. Für Hochrisiko-KI in Bereichen ohne eigene Aufsicht, etwa kritische Infrastruktur, koordiniert sie die Marktaufsicht. Mehrere EU-Staaten benennen ihre Behörden allerdings noch, die Durchsetzung läuft erst an.
Was passiert am 2. August 2026?
Ab dem 2. August 2026 kann die EU-Kommission ihre Aufsichtsbefugnisse gegen Anbieter großer KI-Modelle durchsetzen, inklusive Bußgeldern bis zu 3 Prozent des weltweiten Jahresumsatzes oder 15 Millionen Euro. Die GPAI-Pflichten selbst gelten schon seit dem 2. August 2025.
Sind kleine Unternehmen vom EU AI Act betroffen?
Die meisten KMU bauen keine eigenen Modelle und sind nicht Adressat der Bußgelder gegen Modellanbieter. Für sie zählen die Pflichten als Anwender: die KI-Kompetenzpflicht nach Artikel 4 seit dem 2. Februar 2025 und die Transparenzpflichten nach Artikel 50 ab August 2026.
Was muss ein KMU konkret tun?
Vor allem geschultes Personal und klare Kennzeichnungen. Wenn ein Chatbot antwortet, gehört der Hinweis dazu, dass hier eine KI spricht. KI-generierte Inhalte können kennzeichnungspflichtig werden. Und die Mitarbeiter sollten wissen, was das Werkzeug kann und welche Daten tabu sind.
Mehr über KI im Mittelstand lernen?
Im kostenlosen KI-Schnupperkurs zeigen wir in fünf Lektionen, wie kleine und mittlere Firmen KI praktisch einsetzen. Vollkurs Digitalisierungsmanager mit Bildungsgutschein. Förderwege: Bildungsgutschein, QCG und AFBG im Vergleich.
Für Geschäftsführer und HR: KI-Compliance-Pflichten für KMU als kostenloser Step-by-Step-Guide.
Zuletzt aktualisiert: 06.06.2026. Stand der Recherche: 06.06.2026.