WeCheck360 – zur Startseite

EU AI Act ab 2. August 2026: Was jetzt für Ihre Website gilt. Eine Checkliste für KMU.

Stand: Juli 2026 · Lesezeit ca. 6 Minuten · Keine Rechtsberatung

Am 2. August 2026 endet die Schonfrist. Ab diesem Tag gelten die Transparenzpflichten aus Artikel 50 des EU AI Act, und die Aufsichtsbehörden können Verstöße mit Bußgeldern belegen. Bisher war das KI-Gesetz für die meisten kleinen und mittleren Unternehmen ein Thema für Konzerne und KI-Hersteller. Das ändert sich jetzt, und zwar an einer Stelle, an die viele zuletzt denken: der eigenen Website.

Wer dort einen KI-Chatbot laufen hat, mit KI erzeugte Bilder zeigt oder Texte aus dem Generator veröffentlicht, sollte die folgenden Punkte vor dem Stichtag einmal durchgehen. Dauert etwa eine halbe Stunde.

Was am 2. August 2026 passiert

Der EU AI Act (Verordnung (EU) 2024/1689) ist schon seit August 2024 in Kraft, wird aber stufenweise scharfgestellt. Die Verbote bestimmter KI-Praktiken gelten seit Februar 2025, die Regeln für große KI-Basismodelle seit August 2025. Am 2. August 2026 folgt der Teil, der Website-Betreiber direkt trifft: die Transparenzpflichten des Artikel 50. Am selben Tag nehmen die nationalen Aufsichtsbehörden ihre Arbeit auf. Die Pflichten für Hochrisiko-Systeme nach Anhang III, ursprünglich ebenfalls für diesen Tag vorgesehen, wurden durch den Digital Omnibus auf den 2. Dezember 2027 verschoben (Anhang I auf den 2. August 2028); die Transparenzpflichten aus Artikel 50 bleiben davon unberührt.

Für eine normale Unternehmens-Website ist Artikel 50 der relevante Teil. Er regelt, wann Besucher über den Einsatz von KI informiert werden müssen.

Pflicht 1: Der Chatbot muss sich zu erkennen geben

Interagiert auf Ihrer Website ein KI-System direkt mit Menschen, müssen diese erfahren, dass sie mit einer KI kommunizieren (Art. 50 Abs. 1). Spätestens bei der ersten Interaktion, klar erkennbar. Ein Hinweis irgendwo in den AGB oder im Impressum reicht nicht.

Die Verordnung macht eine Ausnahme, wenn der KI-Einsatz aus Sicht eines verständigen Nutzers ohnehin offensichtlich ist. Darauf würden wir uns nicht verlassen. Ob ein Gericht Ihren Chatbot für „offensichtlich KI" hält, wollen Sie nicht ausprobieren. Ein Satz im Chat-Fenster („Sie chatten mit unserem KI-Assistenten") kostet nichts und erledigt die Frage.

Pflicht 2: KI-Inhalte. Hier wird gerade viel Unsinn erzählt.

Im Netz kursiert die Behauptung, ab August müsse jedes KI-Bild und jeder KI-Text gekennzeichnet werden. Das steht so nicht in der Verordnung. Artikel 50 unterscheidet sauber zwischen Anbietern, also den Herstellern der KI-Tools, und Betreibern, also Unternehmen wie Ihrem, die diese Tools nutzen.

Die viel zitierte maschinenlesbare Markierung von KI-Output (Art. 50 Abs. 2) ist eine Anbieter-Pflicht. Sie trifft die Hersteller der Bild- und Textgeneratoren, nicht deren Kunden.

Als Betreiber müssen Sie in zwei Fällen offenlegen (Art. 50 Abs. 4). Erstens bei Deepfakes: KI-erzeugten oder manipulierten Bild-, Audio- oder Videoinhalten, die echte Personen, Orte oder Ereignisse täuschend echt darstellen. Zweitens bei KI-generierten Texten, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren. Bei Texten gibt es allerdings eine Ausnahme, die für die meisten Unternehmen den Unterschied macht: Hat ein Mensch den Inhalt redaktionell geprüft und trägt eine natürliche oder juristische Person die redaktionelle Verantwortung, entfällt die Kennzeichnungspflicht.

Für die Praxis: Der KI-unterstützte Blogartikel, den Ihr Marketing redigiert hat, löst keine Kennzeichnungspflicht aus. Das täuschend echte KI-Foto einer realen Person schon. Die generische KI-Illustration im Header dazwischen fällt unter keine Betreiber-Pflicht.

Pflicht 3: Emotionserkennung und biometrische Kategorisierung

Wer Systeme zur Emotionserkennung oder biometrischen Kategorisierung einsetzt, muss die Betroffenen informieren (Art. 50 Abs. 3). Auf Unternehmens-Websites kommt das selten vor. Relevant wird es bei Tools, die Webcam-Daten oder Stimmen auswerten, etwa in manchen Video-Recruiting- oder Analyse-Anwendungen.

Was bei Verstößen droht

Verstöße gegen Artikel 50 können bis zu 15 Millionen Euro kosten oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 99). Zur Einordnung: Die DSGVO-Abmahnungen der letzten Jahre drehten sich meist um ein paar hundert Euro pro Fall. Wie hart die Behörden bei KMU tatsächlich durchgreifen werden, weiß heute niemand. Dass sie es ab dem 2. August dürfen, steht fest.

Daneben gilt die DSGVO unverändert weiter. Ein KI-Chatbot, der personenbezogene Daten verarbeitet, braucht weiterhin eine Rechtsgrundlage, einen Auftragsverarbeitungsvertrag mit dem Tool-Anbieter und einen Eintrag in der Datenschutzerklärung. Der AI Act kommt on top, er ersetzt nichts.

Und Schweizer Unternehmen?

Die Schweiz ist nicht EU-Mitglied, der AI Act ist kein Schweizer Recht. Er wirkt aber über die Grenze: Die Verordnung gilt auch für Unternehmen außerhalb der EU, wenn ihre KI-Systeme in der EU auf den Markt kommen oder der Output des Systems in der EU verwendet wird (Art. 2). Wer mit seiner Website gezielt Kunden in der EU anspricht, sollte die Pflichten oben deshalb nicht als reines EU-Thema ablegen. Bei der DSGVO ist das seit Langem so: Sie gilt über das Marktortprinzip auch für Unternehmen außerhalb der EU, die Waren oder Dienstleistungen an Personen in der EU anbieten. Und mit dem revidierten Schweizer DSG kommt eine eigene nationale Ebene dazu.

Die Checkliste: In 30 Minuten wissen, wo Sie stehen

  1. KI-Inventar der Website erstellen. Welche KI-Funktionen sind eingebunden? Chatbot, Empfehlungs-Widget, KI-Suche, automatische Übersetzung, KI-generierte Bilder oder Texte. Eingekaufte Tools zählen mit.
  2. Chatbot-Hinweis prüfen. Sagt Ihr Chat-Widget dem Nutzer bei der ersten Interaktion klar, dass er mit KI spricht?
  3. KI-Bilder durchgehen. Zeigt eines davon reale Personen, Orte oder Ereignisse täuschend echt? Dann kennzeichnen. Generische KI-Illustrationen können bleiben wie sie sind.
  4. KI-Texte einordnen. Veröffentlichen Sie KI-Texte zu Themen von öffentlichem Interesse? Dann redaktionelle Prüfung sicherstellen oder kennzeichnen.
  5. Datenschutzerklärung aktualisieren. Steht der KI-Einsatz drin? Gibt es AVVs mit den KI-Anbietern?
  6. Zuständigkeit klären. Jemand im Haus sollte KI-Einsatz und Rechtslage im Blick behalten. Der AI Act wird bis 2027 weiter ausgerollt.
  7. Wiederkehrend prüfen statt einmal. Websites ändern sich. Ein neues Plugin oder eine Kampagnen-Landingpage kann unbemerkt neue KI-Dienste oder Tracker einbinden.

Ehrlicherweise: Punkt 1 ist der Haken. Was Ihre Website wirklich lädt, sehen Sie von außen nicht.

Wissen, wo Ihre Website steht. Vor dem 2. August.

Der kostenlose WeCheck360-Teaser-Scan prüft Ihre Website in wenigen Minuten auf DSGVO und EU AI Act zusammen: erkannte KI-Dienste, Tracking, Cookie-Einwilligung, Transparenzpflichten. Sie sehen sofort Ihren Score und die Zahl der Findings. Nur URL und E-Mail, kein Abo.

Website jetzt kostenlos prüfen

Häufige Fragen

Gilt der AI Act auch für kleine Unternehmen?

Ja. Bei den Transparenzpflichten des Artikel 50 gibt es keine Ausnahme nach Unternehmensgröße. Entscheidend ist, ob ein betroffenes KI-System im Einsatz ist, nicht die Zahl der Mitarbeiter.

Muss ich ChatGPT-Texte auf meiner Website kennzeichnen?

Meistens nicht. Solange ein Mensch die Texte redaktionell prüft und Ihr Unternehmen die Verantwortung für die Veröffentlichung trägt, greift die Ausnahme aus Art. 50 Abs. 4. Heikel wird es erst, wenn KI-Texte ungeprüft zu Themen von öffentlichem Interesse erscheinen.

Reicht mein Cookie-Banner nicht aus?

Nein. Cookie-Einwilligung (DSGVO/TDDDG) und KI-Transparenz (AI Act) sind zwei getrennte Baustellen. Ein Cookie-Banner sagt nichts darüber, dass Ihr Chat mit KI läuft.

Woher weiß ich, welche KI-Dienste meine Website überhaupt lädt?

Oft gar nicht, und das ist das eigentliche Problem. Viele Websites laden KI- und Tracking-Dienste über Skripte von Drittanbietern, ohne dass der Betreiber davon weiß. Ein automatisierter Scan macht sichtbar, was tatsächlich geladen wird.

Stand: Juli 2026. Dieser Beitrag wurde redaktionell geprüft und ist keine Rechtsberatung. Für den Einzelfall wenden Sie sich an eine spezialisierte Kanzlei oder Ihren Datenschutzbeauftragten.

Quellen: