Ab Mai 2026 greifen die nächsten Transparenzpflichten des EU AI Act. Was KMU jetzt konkret machen müssen — und was Panikmache ist. Eine nüchterne Einordnung.
Am 2. Mai 2026 tritt die nächste Stufe des EU AI Act in Kraft. Für deutsche Mittelständler, die KI einsetzen, ändert sich dadurch weniger als viele Berater gerade behaupten — aber einige Punkte sind verbindlich und müssen bis zum Stichtag stehen.
Die Mai-Welle betrifft vor allem zwei Bereiche: Transparenzpflichten bei generativer KI und Kennzeichnungspflichten bei KI-erzeugten Inhalten. Konkret: Wer einen Chatbot, einen Voice-Agent oder ein System einsetzt, das Entscheidungen über Menschen trifft, muss die Betroffenen darüber informieren, dass sie mit einer KI interagieren.
Das klingt trivial, hat aber handfeste Konsequenzen: Jeder Telefonassistent braucht einen Standardsatz am Anfang jedes Gesprächs. Jede E-Mail, die komplett von einem KI-System verfasst wurde, muss als solche erkennbar sein. Jedes automatisierte Angebotssystem muss im Prozess offenlegen, dass ein Algorithmus beteiligt war.
Wir haben in den letzten zwei Wochen sieben mittelständische Kunden durch den Compliance-Check geschickt. Die drei häufigsten Baustellen:
Wer einen Voice-Agent einsetzt, muss künftig im Begrüßungssatz offenlegen, dass es sich um eine KI handelt. Ein empfohlener Wortlaut: Guten Tag, Sie sprechen mit Clara, dem digitalen Assistenten von Firma XY. Das reicht juristisch aus und wirkt nicht aufdringlich.
Welche KI-Systeme werden eingesetzt? Zu welchem Zweck? Wer ist verantwortlich? Diese Fragen müssen in der Datenschutzerklärung beantwortet werden. Ein halbseitiger Absatz genügt — aber er muss da stehen.
Für jedes KI-System im Unternehmen sollten Sie wissen: Welches Modell? Welcher Anbieter? Welche Daten werden verarbeitet? Wo gespeichert? Bei einem Audit wird genau das gefragt. Eine Tabelle in Notion oder Excel reicht.
Viele Anwaltskanzleien und Compliance-Dienstleister verkaufen gerade Panik. Klarstellung: Die Hochrisiko-KI-Systeme des Anhangs III (zum Beispiel im Bereich Personalauswahl, Bonitätsprüfung, kritische Infrastruktur) unterliegen bereits strengeren Regeln, aber der Vollzug dieser Vorschriften ist bis August 2026 ausgesetzt.
Für typische Mittelstandsanwendungen — Kundensupport-Bots, interne Automatisierung, Marketing-Tools — reicht die Transparenzpflicht aus. Von einer Zertifizierung ist nicht die Rede.
Verstöße gegen die Transparenzpflichten können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, was höher ist. Für einen Mittelständler mit 50 Millionen Umsatz also theoretisch 1,5 Millionen.
In der Praxis werden diese Summen kaum ausgeschöpft. Die Aufsichtsbehörden in Deutschland haben bereits signalisiert, dass sie im ersten Jahr auf Aufklärung statt auf Bestrafung setzen. Wer dokumentieren kann, dass er sich um Compliance bemüht hat, kommt mit einer Abmahnung davon.
„Die Transparenzpflicht ist kein Bürokratie-Monster — sie ist eine halbseitige Aufgabe für Ihre Rechtsabteilung. Wer sie ignoriert, riskiert trotzdem das Image.“
Praxis-TippErstellen Sie eine einfache KI-Bestandsliste: Modell, Anbieter, Use-Case, verarbeitete Datenarten, Standort der Verarbeitung. Wenn die Aufsicht anklopft, haben Sie binnen Minuten eine Antwort.
| Pflicht | Ab wann | Aufwand für KMU |
|---|---|---|
| Transparenzhinweis bei Chat/Voice | 2. Mai 2026 | Gering — einmalig Wortlaut anpassen |
| Kennzeichnung KI-generierter Inhalte | 2. Mai 2026 | Gering — Footer / Disclaimer |
| Dokumentation eingesetzter Systeme | 2. Mai 2026 | Mittel — erstmalige Inventarisierung |
| Hochrisiko-Systeme (Zertifizierung) | 2. August 2026 | Hoch — nur bei spezifischen Use-Cases |
Der EU AI Act ist für die meisten deutschen Mittelständler keine existenzielle Bedrohung. Die Mai-Stufe lässt sich mit einem halben Arbeitstag Rechtsabteilung und einer aktualisierten Datenschutzerklärung erledigen — vorausgesetzt, Sie wissen, welche KI-Systeme bei Ihnen laufen.
Die eigentliche Arbeit liegt in der Inventarisierung: Viele Unternehmen setzen KI-Tools ein, ohne sie als solche zu erkennen (z.B. Spam-Filter, Übersetzungsdienste, Bildanalyse in Webshops). Ein internes KI-Audit vor dem 2. Mai zahlt sich aus.
ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.