EU AI Act Art. 50 für KMU — Die Pflichten-Checkliste zum 2. August 2026
Ab 2. August 2026 greift Art. 50 EU AI Act für jedes KMU mit Chatbot, KI-Telefonassistent oder KI-generierten Kundeninhalten. Vier Pflichten, sieben Schritte, Bußgelder bis 15 Mio. €.
Am 2. August 2026 greift Art. 50 der Verordnung (EU) 2024/1689 — des sogenannten EU AI Act — verbindlich. Betroffen sind nicht nur Großunternehmen, sondern jedes KMU, das einen Chatbot, einen KI-Telefonassistenten, automatisierte Mail-Antworten oder KI-generierte Kundenzusammenfassungen einsetzt. Dieser Leitfaden zeigt in vier Abschnitten, was Art. 50 für den Mittelstand konkret fordert, wie hoch die Bußgelder sind, welche sieben Schritte bis zum Stichtag zu erledigen sind und welche Fehler wir in laufenden Implementierungen am häufigsten sehen.
Was Art. 50 AI Act fordert — die kurze Fassung
Art. 50 regelt vier Transparenzpflichten für KI-Systeme, die als „limited risk“ eingestuft sind. „Limited risk“ ist die Risikoklasse, unter die so gut wie jede typische KMU-Anwendung fällt: Chatbots, Sprachassistenten, Systeme zur Erkennung von Emotionen, Generatoren synthetischer Inhalte (Text, Audio, Bild, Video). Im Kern sagt die Norm: Der betroffene Mensch muss wissen, dass er es mit einer KI zu tun hat — und zwar rechtzeitig, unmissverständlich und dokumentiert.
Für welche KMU gilt die Pflicht?
Für alle. Der AI Act kennt keine KMU-Ausnahme im Sinne einer Umsatz- oder Mitarbeiterschwelle. Kleine und mittlere Unternehmen erhalten an anderen Stellen Erleichterungen (reduzierte Gebühren bei Konformitätsbewertungen nach Art. 62, einfachere Dokumentation), von der Transparenzpflicht aus Art. 50 sind sie aber nicht befreit. Als „Betreiber“ im Sinne der Verordnung gilt, wer das KI-System in Ausübung einer beruflichen Tätigkeit einsetzt — das trifft praktisch jedes Unternehmen, das KI irgendwo im Kundenkontakt verwendet.
Die vier Transparenzpflichten im Detail
- Offenlegung der KI-Interaktion (Abs. 1). Bei jedem KI-System, das direkt mit natürlichen Personen interagiert, muss der Betreiber sicherstellen, dass die Person über die KI-Interaktion informiert wird. Ausnahme: Es ist aus dem Kontext offensichtlich (z. B. ein eindeutig als Chatbot gestaltetes Widget mit Bot-Avatar). Bei einem Telefonassistenten ist die Offenlegung in der Regel nicht offensichtlich — der Anrufer hört zunächst nur eine Stimme. Hier ist ein expliziter Eröffnungssatz Pflicht.
- Kennzeichnung KI-generierter Inhalte (Abs. 2). Erzeugt das System synthetische Inhalte — Texte, Audio, Bilder, Video — müssen diese maschinenlesbar als KI-generiert markiert sein. Für typische KMU-Einsätze betrifft das vor allem KI-verfasste Kunden-Mails, automatische SMS-Antworten, Website-FAQs aus einem RAG-System, Produktbeschreibungen im Shop. Der Marker muss nicht sichtbar sein, aber maschinenlesbar — ein Custom-Header im Mail-Versand reicht in der Regel.
- Offenlegung bei Emotions- und Biometriesystemen (Abs. 3). Greift, sobald ein System Stimm-, Gesichts- oder Verhaltensmerkmale auswertet, um Emotionen, Alter, Geschlecht oder Herkunft zu schätzen. In der Praxis betrifft das die „Caller-Sentiment“- oder „Emotion-Coaching“-Module mancher Voice-Plattformen. Reine Intent-Erkennung und Transkription fallen nicht darunter.
- Kennzeichnung von Deepfakes und öffentlich informierenden Texten (Abs. 4). Für KI-generierte Bilder, Videos oder Audios, die reale Personen oder Ereignisse darstellen („Deepfakes“), und für KI-generierte Texte zu Themen von öffentlichem Interesse besteht eine Kennzeichnungspflicht. Praktisch relevant für KMU, die Social-Media- oder Blogbeiträge mit KI erstellen: Kennzeichnen oder mit redaktioneller menschlicher Aufsicht veröffentlichen.
Pflicht, Deadline, Bußgeld — der Überblick für KMU
Die folgende Tabelle bündelt die vier Art.-50-Pflichten mit den parallel wirkenden deutschen Regelungen. Alle Stichtage und Bußgeldrahmen stammen aus dem EU-Rechtstext (Verordnung (EU) 2024/1689) sowie den deutschen Ausführungsvorschriften. Stand April 2026.
| Pflicht | Rechtsgrundlage | Deadline | Bußgeldrahmen |
|---|---|---|---|
| Offenlegung bei KI-Interaktion (Chat, Telefon, Avatar) | Art. 50 Abs. 1 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Maschinenlesbare Kennzeichnung KI-generierter Inhalte | Art. 50 Abs. 2 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Offenlegung Emotions- / Biometrieanalyse | Art. 50 Abs. 3 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Kennzeichnung Deepfakes / öffentlicher KI-Texte | Art. 50 Abs. 4 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Dokumentation der Offenlegung (Nachweispflicht) | Art. 50 i. V. m. Art. 26 Abs. 6 EU AI Act | 2. August 2026 | Indirekt — fehlender Nachweis = Verstoß gegen Abs. 1–4 |
| Auftragsverarbeitungsvertrag mit KI-Anbieter, TOMs, EU-Standort | DSGVO Art. 28, Art. 32 | geltendes Recht | Bis 20 Mio. € oder 4 % Jahresumsatz |
| Zweiparteieneinwilligung bei Gesprächsaufzeichnung | § 201 StGB, TTDSG § 3 | geltendes Recht | Geldstrafe / Freiheitsstrafe bis 3 Jahre |
Quellen: Verordnung (EU) 2024/1689 (EU AI Act), DSGVO, TTDSG, StGB. Zuständige Marktüberwachungsbehörde in Deutschland: Bundesnetzagentur (BNetzA). Kein Ersatz für anwaltliche Einzelfallberatung.
Die 7-Schritte-Checkliste bis zum Stichtag
Sieben Schritte. Einer pro Woche. Am Ende haben Sie einen Compliance-Ordner, der im Ernstfall die Nachweispflicht gegenüber der Bundesnetzagentur erfüllt. Kein Juristen-Honorar erforderlich — vorausgesetzt, Ihre KI-Einsätze sind Standard-KMU-Anwendungen.
- Woche 1 — KI-Inventar. Listen Sie jedes System auf, das in irgendeiner Form KI enthält. Auch scheinbar triviale Dinge: Mailbox-Transkription, automatische Antworten in der Telefonanlage, Diktat-Software, individuelle ChatGPT-Konten, KI-Features im CRM. Wenn Sie unsicher sind, fragen Sie den Anbieter direkt.
- Woche 2 — Risikoeinstufung. Sortieren Sie nach Art. 5 (verboten), Anhang III (hochrisikoreich), Art. 50 (limited risk) und Rest (minimal risk). Für KMU-Standardfälle landet der Großteil in der limited-risk-Kategorie. Tools wie der AI Act Self-Check führen in 4 Minuten durch diese Sortierung.
- Woche 3 — Anbieter-Check. Für jedes System: Hat der Anbieter ein Konformitätszeichen? Gibt es einen AVV? Wo liegen die Server? Wird auf meinen Daten trainiert? Anbieter, die diese Fragen nicht sauber beantworten können, sind nach dem 2. August 2026 ein Haftungsrisiko.
- Woche 4 — Offenlegungsformeln definieren. Pro System ein fixer Offenlegungssatz. Nicht „auch KI-gestützt“, sondern eindeutig: „Sie chatten / sprechen / lesen mit einer KI.“ Prägnant, am Anfang der Interaktion, in der richtigen Sprache.
- Woche 5 — Maschinenlesbare Kennzeichnung. Für alle ausgehenden KI-Inhalte: einen Marker ergänzen. Bei E-Mails genügt ein Custom-Header (z. B.
X-AI-Generated: true). Bei SMS ist der Marker oft im Footer-Text („Automatisiert versandt“) sauber umsetzbar. - Woche 6 — Mitarbeiter-Briefing. Jede Person, die KI einsetzt, braucht eine einseitige Anweisung: Wann offenlegen? Was darf nicht rein? Wer ist Ansprechpartner bei Beschwerden? Diese Anweisung ist gleichzeitig Schulungsnachweis.
- Woche 7 — Compliance-Ordner. Ordner („digital oder analog“) mit: Inventar, Risikoeinstufung, AVV-Sammlung, Offenlegungssätzen pro System, Schulungsnachweis, Screenshot der maschinenlesbaren Marker, Log-Ausschnitt. Das ist Ihre Nachweisgrundlage, falls die Bundesnetzagentur anfragt.
Drei Fehler, die wir in KMU am häufigsten sehen
- „Wir haben keine KI.“ Fast jedes KMU hat eine. Die Mail-Rechtschreibprüfung in M365 nutzt KI. Der Textbaustein- Assistent in Outlook nutzt KI. Der Salesforce-Einstein nutzt KI. Die Frage ist nicht, ob KI im Haus ist, sondern wo sie nach außen sichtbar wird — dort entsteht die Pflicht.
- „Der Anbieter kümmert sich darum.“ Der Anbieter trägt seine Herstellerpflichten, aber die Betreiberpflichten bleiben beim Unternehmen. Offenlegung gegenüber Ihrem Kunden, Dokumentation, Schulung des eigenen Personals — das kann der Anbieter technisch unterstützen, rechtlich aber nicht übernehmen.
- „DSGVO ist erledigt, also passt AI Act auch.“ Zwei getrennte Regime. Eine DSGVO-konforme Lösung ohne KI-Offenlegung ist AI-Act-widrig. Eine Art.-50-konforme Lösung ohne AVV ist DSGVO-widrig. Beide Prüfungen gehören nebeneinander, nicht nacheinander.
Branchenspezifika: wo Art. 50 nicht alleine reicht
In regulierten Berufen greifen zusätzlich Berufsrecht und Verschwiegenheit. Steuerberater, Rechtsanwälte, Ärzte, Physiotherapeuten, Psychologen müssen den AI Act mit dem jeweiligen Berufsrecht und § 203 StGB (Verletzung von Privatgeheimnissen) zusammen denken. Der dedizierte Leitfaden für Steuerkanzleien zeigt am Beispiel, wie dieses Zusammenspiel aussieht — das Muster überträgt sich auf andere regulierte Berufe mit kleinen Anpassungen der Rechtsgrundlage.
Weiterführende Werkzeuge
- EU AI Act Art. 50 Self-Check — 10 Fragen. 4 Minuten. Klare Einschätzung, ob Ihr Setup Art. 50 genügt.
- Art. 50 in Steuerkanzleien — Beispielhafte Anwendung: Was Kanzleien zusätzlich zu Art. 50 nach StBerG und § 203 StGB beachten müssen.
- AVV- / DSGVO-Art.-28-Check — Auftragsverarbeitungsverträge mit KI-Dienstleistern prüfen — in 10 Fragen.
Häufige Fragen
Fällt mein kleines Unternehmen überhaupt unter den EU AI Act?
Ja, wenn Sie KI-Systeme einsetzen, die direkt mit Kunden oder Mitarbeitenden interagieren — also Chatbots, Telefonassistenten, KI-generierte Mails, automatische Textzusammenfassungen. Der AI Act knüpft nicht an Mitarbeiterzahl oder Umsatz an, sondern an die konkrete Nutzung eines KI-Systems. Eine Bäckerei mit einem WhatsApp-Chatbot fällt ebenso unter Art. 50 wie ein 200-Mitarbeiter-Handwerksbetrieb mit KI-Telefonassistent.
Was ist der Unterschied zwischen Art. 5 und Art. 50 des AI Act?
Art. 5 verbietet bestimmte KI-Anwendungen (Social Scoring, biometrische Fernidentifikation im öffentlichen Raum u. a.) komplett. Art. 50 regelt dagegen Transparenzpflichten für ansonsten zulässige, als „limited risk“ eingestufte KI-Systeme. Für fast alle KMU-Anwendungen ist Art. 50 die relevante Norm — Art. 5 trifft reguläre KMU-Tätigkeiten in der Regel nicht.
Was genau passiert am 2. August 2026?
Die Transparenzpflichten aus Art. 50 EU AI Act werden an diesem Stichtag verbindlich anwendbar. Ab dann kann die zuständige Marktüberwachungsbehörde — in Deutschland die Bundesnetzagentur — Verstöße sanktionieren. Art. 99 der Verordnung sieht Bußgelder bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist.
Muss ich eine Offenlegung machen, wenn ich intern ChatGPT oder Claude einsetze?
Nur dann, wenn die KI-Ausgabe nach außen geht. Verfasst ein Mitarbeiter mit ChatGPT einen internen Aktenvermerk, greift Art. 50 nicht. Wird der Mail-Text an einen Kunden gesendet, geht die Ausgabe nach außen und muss als KI-generiert maschinenlesbar kennzeichenbar sein. Wichtig ist der Punkt der Auslieferung, nicht der Punkt der Erstellung.
Wer ist verantwortlich — mein KI-Anbieter oder mein Betrieb?
Beide, mit unterschiedlichen Rollen. Der Anbieter trägt die Herstellerpflichten (CE-Konformität, technische Dokumentation, Modell-Risikobewertung). Der Betreiber — also Ihr KMU — ist für den konkreten Einsatz verantwortlich: Offenlegung gegenüber dem Nutzer, Zweckbindung, Schulung des Personals. Diese Verantwortung lässt sich vertraglich nicht vollständig auf den Dienstleister abwälzen.
Reicht es, wenn wir DSGVO-konform sind?
Nein. DSGVO und AI Act sind parallele Pflichtsysteme mit unterschiedlicher Schutzrichtung. DSGVO schützt personenbezogene Daten. Der AI Act schützt die Transparenz und Sicherheit der KI-Nutzung als solche. Ein DSGVO-sauber implementierter Chatbot ohne KI-Offenlegung ist trotzdem AI-Act-widrig. Beide Regime sind separat abzuarbeiten.
Was ist die günstigste Variante, Art. 50 umzusetzen?
Für die meisten KMU-Anwendungen reichen drei Bausteine: (1) ein fester Offenlegungssatz am Beginn jeder KI-Interaktion, (2) ein maschinenlesbarer Marker (z. B. E-Mail-Header) in allen KI-generierten Ausgängen, (3) ein Protokoll, das bestätigt, dass 1 und 2 stattgefunden haben. Diese drei Maßnahmen sind technisch in wenigen Stunden umsetzbar und decken den Großteil der Transparenzpflicht ab.
Art. 50 in Ihrer Kanzlei sauber umgesetzt — in 1–2 Wochen.
30 Minuten am Telefon. Kostenlos. Wir zeigen Ihnen, was konkret zu tun ist, und welche Entscheidungen Sie vor August treffen müssen.