Es gibt ein Datum, das gerade durch viele Posteingänge geistert: 2. August 2026.
Manche lesen es wie eine Drohung. Beratungsmails, Webinare, Whitepaper — alle mit demselben Unterton: Wenn du jetzt nichts tust, wird es teuer. Bis zu 35 Millionen Euro, heißt es dann. Sieben Prozent vom Jahresumsatz.
Das stimmt. Und es stimmt trotzdem nicht — nicht für dich. Lass mich dir den Unterschied erklären, ruhig, ohne Verkaufsdruck. Am Ende hast du eine Checkliste, die du an einem Nachmittag abarbeitest.
Eine Sache vorweg, damit wir ehrlich bleiben: Ich bin Entwickler, kein Anwalt. Was hier steht, ist die praktische Sicht von jemandem, der KI in Websites einbaut — keine Rechtsberatung. Bei echten Grenzfällen fragst du eine Juristin. Für den Normalfall reicht, was jetzt kommt.
Was am 2. August 2026 wirklich passiert
Der EU AI Act ist kein einzelnes Gesetz, das an einem Tag scharfgeschaltet wird. Er kommt in Stufen. Die verbotenen Praktiken — Social Scoring, manipulative Systeme — sind längst untersagt. Am 2. August 2026 greift die nächste Stufe — und die für dich wichtigste: die Transparenzregeln für alles, was mit Menschen spricht. Strengere Pflichten für Hochrisiko-Systeme laufen auf einem eigenen, teils späteren Zeitplan.
Das Wort, auf das es ankommt, ist Risiko. Der AI Act sortiert jedes System in eine von vier Stufen: verboten, hochriskant, begrenztes Risiko, minimales Risiko. Und die Stufe entscheidet, wie viel Arbeit auf dich zukommt.
Die meisten von euch sind gar nicht betroffen — fast
Hier ist die Nachricht, die in keiner Angst-Mail steht: Was ein typisches KMU an KI einsetzt, fällt fast immer in die unteren beiden Stufen.
Ein Chatbot, der Fragen beantwortet. Ein Tool, das Texte vorschlägt. Eine Automation, die Anfragen vorsortiert. Das ist begrenztes oder minimales Risiko. Keine Konformitätsbewertung, kein Audit, keine 35 Millionen.
Hochrisiko ist etwas anderes: KI, die über Kreditwürdigkeit entscheidet, über Bewerbungen, über Zugang zu Bildung oder medizinische Diagnosen. Wenn deine KI keine Entscheidung trifft, die das Leben eines Menschen ernsthaft formt, bist du nicht hochriskant. Die meisten Websites, die meisten Shops, die meisten Buchungssysteme — nicht betroffen.
Die hohen Strafen gelten für die schwersten Verstöße: den Einsatz verbotener Systeme. Nicht für einen Chatbot, der vergisst zu sagen, dass er ein Chatbot ist. Wer das durcheinanderwirft, verkauft dir Angst.
Die eine Pflicht, die fast jeden trifft
Es gibt trotzdem eine Regel, die dich fast sicher betrifft, sobald KI mit deinen Kunden spricht: Transparenz.
Wenn ein Mensch mit einer KI interagiert, muss er das wissen. Kein Versteckspiel, keine Bots, die so tun, als wären sie Mitarbeiter. Das ist die ganze Pflicht für begrenztes Risiko — und sie ist gut. Sie kostet dich einen Satz.
Konkret heißt das: Dein Chat-Widget braucht einen klaren Hinweis. Nicht im Kleingedruckten — sichtbar, bevor das Gespräch beginnt.
// Transparenz-Hinweis im Chat-Widget — AI-Act-konform, eine Komponente
function ChatDisclosure() {
return (
<p role="note" className="chat-disclosure">
Du schreibst mit einem KI-Assistenten. Für ein persönliches
Gespräch erreichst du mich jederzeit unter info@webmeon.at.
</p>
);
}
Das ist alles. Ein Hinweis, der vor dem ersten Bot-Satz erscheint. Wer ehrlich ist, hat hier nichts zu fürchten — im Gegenteil, Offenheit schafft Vertrauen statt es zu untergraben. (Wie KI-Automation für kleine Unternehmen überhaupt zum Vorteil wird, habe ich hier beschrieben.)
Die Checkliste für einen Nachmittag
Du brauchst keine Beratungsfirma. Du brauchst drei bis vier konzentrierte Stunden und diese fünf Schritte.
1. KI-Inventur — etwa 1 Stunde. Schreib auf, wo überall KI in deinem Betrieb steckt. Der Chatbot auf der Website. Das Schreib-Tool im Marketing. Die Automation, die Mails sortiert. Du kannst nichts einordnen, was du nicht kennst.
2. Risiko-Einstufung — etwa 30 Minuten. Geh die Liste durch und frag bei jedem Punkt: Trifft dieses System eine folgenschwere Entscheidung über einen Menschen? Fast immer lautet die Antwort nein — dann ist es begrenztes oder minimales Risiko. Notier die Einstufung. Das ist deine Dokumentation.
3. Transparenz-Hinweise — 1 bis 2 Stunden. Überall, wo KI mit Menschen spricht, kommt ein klarer Hinweis hin. Chat-Widget, automatische Antworten, KI-generierte Inhalte, die als solche erkennbar sein sollten. Der Schritt von oben.
4. Nutzungs-Richtlinie — etwa 2 Stunden. Ein kurzes internes Dokument: Welche KI-Tools darf dein Team nutzen, welche Daten dürfen rein, welche nicht. Eine Seite reicht. Sie schützt dich mehr als jedes Zertifikat.
5. Eine verantwortliche Person — 5 Minuten. Jemand ist zuständig. Bei einem Solo-Betrieb bist das du. Bei einem kleinen Team eine Person aus der Leitung. Kein Vollzeitjob — nur ein Name, der weiß, dass er hinschaut.
Fertig. Das ist die ehrliche Version dessen, was Beratungshäuser als monatelanges Projekt verkaufen.
Wo DSGVO und AI Act sich treffen
Ein Punkt, der oft untergeht: Sobald deine KI personenbezogene Daten verarbeitet, gelten beide Regelwerke gleichzeitig. Der AI Act fragt: Ist das System fair und transparent? Die DSGVO fragt: Sind die Daten geschützt?
Die praktische Konsequenz ist einfach: Hosting in der EU. Wer seine KI-Dienste in der EU oder im EWR betreibt, umgeht die heikelste Frage — den Datentransfer in Drittländer — von vornherein. Und für viele Standardfälle, etwa eine simple Anfrage-Vorsortierung, braucht es gar kein großes Sprachmodell. Ein schlankes, regelbasiertes System ist günstiger, datensparsamer und leichter zu erklären.
Was ich dir nicht verspreche
Ich verspreche dir nicht, dass du nie eine Juristin brauchst. Wenn deine KI über Menschen entscheidet, über Geld, über Chancen — dann ja, dann wird es ernster, und dann hol dir Rat.
Aber für den Normalfall — eine Website, ein Chatbot, eine Handvoll Automationen — ist der 2. August 2026 kein Abgrund. Er ist ein Anlass, einmal aufzuschreiben, was du ohnehin tust, und ehrlich zu sein über das, was im Hintergrund arbeitet.
Ein gutes Gesetz zwingt dich nur zu dem, was du einem Kunden sowieso ins Gesicht sagen würdest.
Sag es einfach vorher.
