Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er trat am 1. August 2024 in Kraft und gilt stufenweise: Einige KI-Praktiken werden vollständig verboten, „Hochrisiko“-Systeme erhalten strenge Pflichten, und Transparenz ist immer dann Pflicht, wenn Menschen mit KI interagieren oder KI-generierte Inhalte sehen. 2026 hat der „Digital Omnibus on AI“ mehrere Fristen verschoben — hier ist das aktuelle Bild: was die Verordnung abdeckt, wer bis wann die Pflichten erfüllen muss, die Bußgelder und was das für eine gewöhnliche Website bedeutet.
Der AI Act ist eine produktsicherheitsähnliche Verordnung für KI-Systeme, die in der EU in Verkehr gebracht werden oder deren Output in der EU verwendet wird. Er reguliert nicht „KI“ als Technologie — er reguliert konkrete Einsatzzwecke nach Risiko. Je höher das Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Die meiste Alltags-KI (Spamfilter, Empfehlungs-Widgets, Rechtschreibprüfungen, KI-Funktionen in Produktivitätstools) ist minimales Risiko und erhält überhaupt keine neuen Pflichten.
Alles in der Verordnung hängt an dieser Einstufung:
Die Verordnung trat am 1. August 2024 in Kraft und sollte ursprünglich am 2. August 2026 nahezu vollständig gelten. Im November 2025 schlug die Kommission den „Digital Omnibus on AI“ vor, um das zu vereinfachen und zu staffeln; das Parlament stimmte am 16. Juni 2026 zu, der Rat gab am 29. Juni 2026 die endgültige Zustimmung. Die wichtigsten Termine jetzt:
Die Pflichten knüpfen an Rollen in der Wertschöpfungskette an: Anbieter (die ein KI-System entwickeln oder unter eigenem Namen in der EU in Verkehr bringen), Betreiber (die ein KI-System beruflich nutzen) sowie Importeure und Händler. Die Reichweite ist extraterritorial — ein US- oder UK-SaaS, dessen KI-Output in der EU verwendet wird, fällt in den Anwendungsbereich. KMU erhalten Erleichterungen: vereinfachte Dokumentation, bevorzugten Zugang zu Reallaboren und Bußgelder, die auf den niedrigeren der beiden Beträge statt den höheren gedeckelt sind.
Für die meisten Unternehmen sind die ersten echten Berührungspunkte die Transparenzregeln, die ab August 2026 gelten — sie betreffen das, was Besucher auf Ihrer Website sehen:
Die Bußgeldstruktur ist bewusst an die DSGVO angelehnt: bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für verbotene Praktiken; bis zu 15 Millionen € oder 3 % für die meisten anderen Verstöße, einschließlich Hochrisiko- und GPAI-Pflichten; bis zu 7,5 Millionen € oder 1 % für falsche oder irreführende Angaben gegenüber Behörden. Für KMU gilt jeweils der niedrigere der beiden Beträge als Obergrenze. Die Durchsetzung teilen sich nationale Marktüberwachungsbehörden und — für GPAI-Modelle — das EU AI Office.
Beacon scannt bereits, was Suchmaschinen und KI-Crawler auf Ihrer Website tatsächlich sehen — robots.txt-Richtlinien, gerenderte Inhalte, strukturierte Daten und Offenlegungen. Auf dieser Grundlage bauen wir einen AI-Act-Readiness-Scan: eine automatisierte Prüfung der besucherseitigen Transparenzsignale Ihrer Website (Chatbot-Offenlegung, Kennzeichnung von KI-Inhalten, maschinenlesbare Markierung und zugehörige Metadaten) mit einer priorisierten Fix-Liste. Rechtsberatung ist das nicht — aber es zeigt Ihnen konkret, was Ihre Website heute preisgibt und was zuerst zu beheben ist.
Ja. Wie die DSGVO hat er extraterritoriale Reichweite: Wenn Sie ein KI-System in der EU in Verkehr bringen oder der Output des Systems in der EU verwendet wird, fallen Sie in den Anwendungsbereich — unabhängig davon, wo Ihr Unternehmen ansässig ist.
Verbote und KI-Kompetenz seit dem 2. Februar 2025; GPAI-Modellpflichten seit dem 2. August 2025; Transparenzpflichten und Sanktionen ab dem 2. August 2026. Nach dem Digital Omnibus von 2026 wurden die Hochrisiko-Pflichten auf den 2. Dezember 2027 (Anhang-III-Einsatzfelder) und den 2. August 2028 (in Produkte eingebettete KI nach Anhang I) verschoben.
Wenn Sie KI-generierte oder KI-manipulierte Bilder, Audio- oder Videoinhalte (Deepfakes) veröffentlichen, ja — sie müssen gekennzeichnet werden, und synthetische Medien sollten eine maschinenlesbare Markierung tragen. KI-Chatbots müssen offenlegen, dass sie KI sind. KI-geschriebene Texte zu Angelegenheiten von öffentlichem Interesse müssen offengelegt werden, sofern nicht ein menschlicher Redakteur die Verantwortung übernimmt.
Die Verantwortung ist nach Rollen aufgeteilt. Der Modellanbieter (z. B. OpenAI) trägt die GPAI-Anbieterpflichten; Sie als Betreiber, der einen Chatbot auf seiner Website einsetzt oder KI-Inhalte veröffentlicht, tragen die betreiberseitigen Transparenzpflichten gegenüber Ihren Besuchern.
Nein. Marketingtexte mit KI zu erstellen ist minimales/begrenztes Risiko — völlig legal. Die Verordnung verlangt Transparenz nur in bestimmten Fällen (Deepfakes, Texte von öffentlichem Interesse, Chatbots) und verbietet eine kurze Liste schädlicher Praktiken, die mit normalem Marketing nichts zu tun haben.
Inventarisieren Sie, wo KI Ihre Website berührt (Chatbot, generierte Bilder/Texte), fügen Sie klare KI-Hinweise und Kennzeichnungen hinzu, prüfen Sie Ihre Markierung synthetischer Medien und schulen Sie Ihr Team. Behalten Sie dann den 2. Dezember 2027 im Blick, falls Sie KI im Recruiting oder anderen Anhang-III-Bereichen einsetzen.
Sechs Aussagen — antworten Sie ehrlich. Ihre Antworten bleiben im Browser.
Starten Sie jetzt Beacons kostenlosen Visibility-Scan. AI-Act-Readiness-Checks kommen bald zu Beacon.