EU AI Act ab 2. August 2026: Was KMU im Marketing jetzt wirklich umsetzen müssen
Zurück Startseite
Compliance & KI 02. Mai 2026 15 min

EU AI Act ab 2. August 2026: Was KMU im Marketing jetzt wirklich umsetzen müssen

Am 2. August 2026 endet die 24-monatige Übergangsphase des EU AI Act für die meisten Bestimmungen. KMU bekommen Erleichterungen — die Kompetenz- und Transparenzpflichten gelten aber für jeden Betrieb, der KI im Marketing einsetzt. Hier liest du, was du jetzt konkret tun musst, ohne in Compliance-Theater zu verfallen.

Drei Monate. So lang ist es noch hin bis zum 2. August 2026. An diesem Datum endet die 24-monatige Übergangsphase des EU AI Act für die meisten Bestimmungen — inklusive der Pflichten für Hochrisiko-KI und der schon seit Februar 2025 wirksamen Kompetenzpflicht aus Artikel 4. Wer in Kärnten, Wien oder Salzburg ein KMU führt und KI im Marketing einsetzt, muss bis dahin sauber dokumentiert haben, dass er weiß, was er tut.

Die gute Nachricht zuerst: Für die allermeisten KMU geht es nicht um Hochrisiko-Anwendungen. Wer einen Chatbot auf seiner Website laufen hat, KI-gestützte Texterzeugung nutzt oder Kundenanfragen automatisiert beantwortet, fällt regelmäßig in die Kategorie "begrenztes Risiko" — und damit primär unter Transparenz- und Kompetenzpflichten. Die schlechte Nachricht: Genau diese Pflichten werden gerne übersehen, weil sie weniger spektakulär klingen als die Hochrisiko-Diskussion.

Drei Pflichten, die wirklich für jeden gelten

1. Kompetenzpflicht (Art. 4): Jeder, der KI einsetzt oder bereitstellt, muss nachweisen können, dass die involvierten Personen die Technologie verstehen.
2. Transparenzpflicht (Art. 50): Nutzer müssen erkennen, wenn sie mit einer KI sprechen oder KI-generierte Inhalte sehen.
3. Dokumentationspflicht: Wo, wozu und mit welchen Daten setzt du KI ein? Eine simple Liste reicht — aber sie muss existieren.

Was am 2. August 2026 wirklich passiert

Der EU AI Act ist seit dem 1. August 2024 formell in Kraft, aber die meisten Pflichten greifen gestaffelt. Die wichtigsten Stichtage in der Übersicht:

Februar 2025 (bereits aktiv)

Verbot & Kompetenzpflicht

Verbotene KI-Praktiken (Social Scoring, manipulative Systeme) und die KI-Kompetenzpflicht aus Artikel 4 gelten seit über einem Jahr.

August 2025

General Purpose AI

Pflichten für Anbieter von Foundation Models (GPT, Claude, Gemini, Llama). Für Anwender-KMU primär indirekt relevant.

2. August 2026 — der heiße Stichtag

Hochrisiko + Transparenz

Volle Pflichten für Hochrisiko-KI, Transparenzpflicht für Chatbots und KI-generierte Inhalte, Konformitätsbewertungen.

August 2027

Restpflichten

Pflichten für eingebettete Hochrisiko-KI in regulierten Produkten (Medizin, Maschinen, Spielzeug).

Für ein Marketing-KMU mit Chatbot, KI-Texten und automatisierten Kampagnen ist der relevante Stichtag damit klar: 2. August 2026. Bis dahin müssen Transparenzhinweise, Dokumentation und Schulung sitzen.

Die vier Risikostufen — und wo dein Marketing wirklich landet

Der AI Act denkt in Risiko-Kategorien. Für KMU ist die Verortung der Marketing-Anwendung der wichtigste erste Schritt:

KI-Marketing-Anwendungen nach Risikoklasse

Risiko-Stufe
Typische KMU-Anwendung
Unannehmbares Risiko (verboten)
Manipulative Personalisierung, Emotion Recognition zur Werbeentscheidung — Finger weg.
Hochrisiko
Bonitäts-Scoring, automatisierte Bewerbungsauswahl. Im klassischen KMU-Marketing fast nie.
Begrenztes Risiko (Transparenz)
Chatbots, KI-Content-Generatoren, Voicebots, Empfehlungssysteme. Hier landet 95% des KMU-Marketings.
Minimales Risiko
Spam-Filter, Recommender für interne Tools. Keine spezifischen Pflichten.

Konkret für einen typischen Kärntner Mittelständler heißt das: Dein Hermes-Agent auf der Website, der KI-Newsletter-Editor, das Lead-Scoring im CRM — alle drei sind "begrenztes Risiko". Dort gelten primär die Transparenzpflichten aus Artikel 50.

Kompetenzpflicht (Artikel 4) — die unterschätzte Falle

Diese Pflicht gilt seit dem 2. Februar 2025 — viele KMU haben sie schlicht übersehen. Sie verlangt, dass alle Personen, die KI-Systeme im Unternehmen einsetzen oder bereitstellen, ein angemessenes Maß an KI-Kompetenz haben. "Angemessen" ist dabei kontextabhängig: Wer eine KI-gestützte Texterstellung im Marketing-Team nutzt, braucht ein anderes Wissensniveau als jemand, der ein Bonitäts-Scoring-System bedient.

Was "angemessen" in der Praxis bedeutet, hat die EU-Kommission in ersten Leitlinien Anfang 2026 konkretisiert:

  • Grundverständnis, wie das eingesetzte Modell funktioniert — nicht auf Mathematik-Niveau, aber auf Funktions-Niveau (z.B. "Halluzination" verstehen).
  • Bewusstsein für Bias-Risiken in Trainings­daten und Outputs.
  • Fähigkeit, KI-Outputs kritisch zu prüfen, statt sie ungeprüft zu übernehmen.
  • Verständnis der Datenschutz-Implikationen (welche Eingaben gehen wohin?).

Praktisch heißt das: Eine 90-minütige interne Schulung mit Quiz und Teilnahmeprotokoll erfüllt die Pflicht für ein Marketing-Team komplett. Wer das nie dokumentiert hat, sollte das in den nächsten 60 Tagen nachholen.

Transparenz: Was deine Kunden wirklich wissen müssen

Ab 2. August 2026 greift Artikel 50 voll. Drei klare Anforderungen für KMU-Marketing:

1. Chatbots klar als KI deklarieren

Ein Hinweis bei Beginn der Konversation reicht — er muss aber unmissverständlich sein. "Ich bin ein KI-Assistent von [Firma]. Bei komplexen Anfragen leite ich an einen Mitarbeiter weiter." Das genügt. Was nicht reicht: Ein menschlicher Avatar mit Vornamen ohne Hinweis darauf, dass dahinter ein Sprachmodell steckt.

2. KI-generierte Inhalte kennzeichnen

Synthetische Bilder, Videos, Audio und längere Texte müssen als solche erkennbar sein — entweder sichtbar (Wasserzeichen, Hinweis) oder maschinenlesbar (C2PA-Metadaten). Für klassische Blog-Posts, die mit KI-Unterstützung geschrieben aber redaktionell überarbeitet wurden, ist die Rechtslage entspannter: Hier reicht in der Regel kein Hinweis, solange ein Mensch redaktionell verantwortet.

3. Deepfakes immer markieren

Wer eine Person nachstellt, die nicht real existiert, oder Stimmen klont, muss das offenlegen. Für KMU-Marketing eher selten relevant — aber der Stock-Foto-Bereich mit KI-generierten Models tangiert das.

Praxis-Hinweis aus unserem Hermes Agent

Wir haben unseren Hermes Agent von Anfang an mit einer transparenten Begrüßung konzipiert: "Hallo, ich bin Hermes — der KI-Assistent von NUR. Marketing." Die Conversion-Rate ist nicht niedriger als bei einem "humanisierten" Bot ohne Hinweis. Im Gegenteil: Klare Erwartung schlägt fake Authentizität.

AI Act × DSGVO — wo es sich überlappt

Eine der häufigsten Unsicherheiten in unseren Erstgesprächen: "Müssen wir jetzt zwei Compliance-Tracks parallel fahren?" Die Antwort ist erfreulich: Nein, der AI Act ergänzt die DSGVO, ersetzt sie nicht — und für die meisten KMU-Marketing-Use-Cases überlappen die Pflichten zu großen Teilen.

DSGVO vs. AI Act im Marketing-Alltag

DSGVO regelt
AI Act regelt zusätzlich
Verarbeitung personenbezogener Daten — Rechtsgrundlage, Zweckbindung, Speicherdauer
Den KI-Einsatz selbst — auch wenn keine personenbezogenen Daten dabei sind
Recht auf menschliche Überprüfung bei automatisierten Entscheidungen (Art. 22)
Pflicht zur Risikobewertung und Human-in-the-Loop bei Hochrisiko-KI
Auftragsverarbeiter-Verträge (AVV) mit KI-Anbietern
Anbieter-Pflichten der Foundation-Models (für KMU primär indirekt)
Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko
Konformitätsbewertung bei Hochrisiko-KI
Einwilligung bei sensiblen Daten
Transparenz-Hinweis bei Chatbots, KI-Content, Deepfakes

Wer eine saubere DSGVO-Dokumentation hat, ist beim AI Act schon zu 70% vorbereitet. Was fehlt, ist meist ein Stück KI-spezifische Ergänzung im Verarbeitungsverzeichnis: Welche KI-Systeme nutzen wir, wofür, mit welchen Inputs, mit welchem Anbieter?

Bußgelder realistisch eingeschätzt

Die Schlagzeilen-Zahl sind 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes für die schwersten Verstöße (verbotene Praktiken). Für KMU ist das pure Schreckbildschirm-Optik. Realistisch:

  • Bei verbotenen Praktiken: bis zu 35 Mio. EUR / 7% Umsatz — KMU sind hier praktisch nie betroffen.
  • Bei Hochrisiko-Verstößen: bis zu 15 Mio. EUR / 3% Umsatz — auch hier landet ein Marketing-KMU regelmäßig nicht.
  • Bei Transparenz- und Dokumentationsverstößen: bis zu 7,5 Mio. EUR / 1,5% Umsatz — das ist der realistische Bereich.

Wichtig: Die Behörden müssen die Größe und Marktposition bei der Bemessung berücksichtigen. KMU bekommen explizit Erleichterungen. Eine Kärntner GmbH mit 25 Mitarbeitern wird für eine fehlende Chatbot-Kennzeichnung nicht 7,5 Mio. EUR Strafe bekommen — realistisch sind im Erstverstoß eher Verwarnungen und Auflagen. Trotzdem: Das Reputations- und Rechtsrisiko ist real.

Fünf konkrete Schritte für die nächsten 90 Tage

Ein erprobter Mini-Plan, den wir mit Mandantinnen genau so durchgehen — keine Beratungssprache, sondern Häkchen-Liste:

Reduziertes Workflow-Motiv für den 90-Tage-Plan zur EU-AI-Act-Umsetzung in KMU
01

KI-Inventur erstellen

Eine simple Tabelle: Welches KI-System (Name, Anbieter), wofür eingesetzt, mit welchen Daten, wer ist verantwortlich? Eine Stunde Arbeit, die Compliance-Diskussionen für Jahre erspart.

02

Risikoklassifizierung pro System

Pro Eintrag in der Inventur: begrenztes Risiko / minimales Risiko / Hochrisiko? Für 95% der KMU-Marketing-Tools landet die Antwort bei "begrenztes Risiko".

03

KI-Kompetenz-Schulung dokumentieren

90-Minuten-Schulung mit allen, die KI-Tools nutzen. Inhalt: Wie funktionieren LLMs grundsätzlich, was ist Halluzination, wo sind Bias-Risiken, was darf in Prompts. Teilnahme protokollieren — Datum, Namen, Inhalte.

04

Transparenz-Hinweise einbauen

Chatbot-Begrüßung anpassen, KI-generierte Bilder kennzeichnen, AGB um KI-Klausel ergänzen. Maximal 2 Tage Aufwand für ein Mittelstands-Marketing.

05

AVV-Check mit Anbietern

Hat OpenAI, Anthropic, Google für deinen genutzten Plan einen DSGVO-konformen Auftragsverarbeitungsvertrag? Falls ja: ablegen, fertig. Falls nein: Anbieter wechseln oder Plan upgraden.

Wie wir bei NUR. Marketing damit umgehen

Wir entwickeln seit drei Jahren eigene KI-Systeme — Hermes Agent, OpenClaw, individuelle SaaS-Module für Mandant:innen. Die Compliance war für uns nie eine separate Spur, sondern Teil der Architektur. Konkret heißt das: Jedes Modul hat von Anfang an einen Transparenz-Layer, ein dokumentiertes Datenflussdiagramm und einen menschlichen Reviewer für kritische Outputs.

Für unsere Mandant:innen aus Kärnten, der Steiermark, Niederösterreich und Wien bedeutet das: Wenn wir gemeinsam eine Marketing-Automatisierung einbauen, ist die AI-Act-Compliance kein nachgelagerter Audit, sondern liegt schon vor. Du bekommst die Inventur-Tabelle, den Schulungsleitfaden und die Transparenz-Texte als Teil des Setups.

Was du nicht brauchst

Du brauchst keinen externen Compliance-Berater für 8.000 Euro, der dir ein 80-seitiges Audit-Dokument vorlegt. Für ein klassisches KMU-Marketing reicht eine saubere KI-Inventur, eine Schulungs-Doku, drei Transparenz-Hinweise — und Klarheit darüber, wo Hochrisiko-Themen wirklich beginnen würden.

Fazit: 90 Tage reichen, wenn du jetzt anfängst

Der EU AI Act ist kein Bürokratie-Monster für KMU — wenn man ihn pragmatisch angeht. Die meisten Pflichten sind eine logische Erweiterung der DSGVO-Routine, die ein gut geführter Betrieb ohnehin pflegt. Was es braucht: Inventur, Schulung, Transparenz. In Summe ein bis zwei Arbeitstage, verteilt über drei Monate.

Was es nicht braucht: Panik, Compliance-Theater oder ein Sechs-Wochen-Workshop. Wir helfen Kärntner Selbständigen und Mittelständlern dabei, das Thema in einem Vormittag durchzuziehen — pragmatisch, dokumentiert und so, dass am 2. August 2026 niemand mehr darüber nachdenken muss. Wer bis dahin auch noch eine smarte KI-Architektur im Marketing eingebaut hat, kommt aus der Übung doppelt gewinnend raus.

Bianca Willen
Geschrieben von
Bianca Willen

CEO & Founder von NUR. Marketing. Expertin für SEO, digitale Strategie und Skalierung von KMUs im DACH-Raum.

Deine Konkurrenz
schläft nicht.

Verschwende keine Zeit mehr mit Experimenten. Hol dir die Strategie, die funktioniert.

Jetzt durchstarten
© 2026 NUR. Marketing GmbH | Made in Kärnten