Was Marketing Verantwortliche bis zum 2. August 2026 zum EU AI Act wirklich tun müssen

Am 2. August 2026 endet die 24 monatige Übergangsphase für die zentralen Pflichten der EU KI Verordnung. Nach diesem Datum kann die Bundesnetzagentur als nationale Aufsichtsbehörde Verstöße gegen die Transparenzpflichten nach Artikel 50 mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes ahnden. Für KMU gilt jeweils der niedrigere Betrag, eine Erleichterung die im Verhältnis zum Konzernrahmen relevant ist.

Was viele Quellen falsch zitieren: Die oft genannten 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes gelten ausschließlich für Verstöße gegen Artikel 5 (verbotene KI Praktiken wie Social Scoring oder gezielte Manipulation). Für die Marketing relevanten Transparenzpflichten ist der Strafrahmen niedriger, aber immer noch existenzgefährdend für Mittelstandsunternehmen. Die Rechtsdurchsetzung beginnt nicht am Tag X mit Massenkontrollen, aber sie beginnt. Und die ersten Präzedenzfälle werden öffentlich diskutiert werden, was den Reputationsschaden weit über das Bußgeld hinaus reichen lässt.

Das Digital Omnibus Paket vom 19. November 2025 hat die Hochrisiko Pflichten nach Anhang III auf 2. Dezember 2027 verschoben. Das Europäische Parlament hat diese Verschiebung am 26. März 2026 mit 569 zu 45 Stimmen bestätigt, der Trilog mit Rat und Kommission läuft. Was viele aber übersehen: Die Artikel 50 Transparenzpflichten und die KI Kompetenzpflicht nach Artikel 4 wurden NICHT verschoben. Wer auf weitere Aufschiebungen wartet, wartet auf etwas das für Marketing nicht passieren wird.

Der 2. August 2026 ist auch deshalb ein harter Stichtag, weil sich das Suchverhalten und die Tool Nutzung im Marketing genau in diesem Zeitfenster fundamental verändern. Laut Bitkom Studie Marketing im digitalen Wandel 2026 (180 Unternehmen befragt zwischen KW 44 und KW 50 2025, veröffentlicht am 12. Februar 2026) sehen 84 Prozent der Unternehmen KI als wichtigsten Marketingtrend bis 2027. 51 Prozent setzen bereits generative KI für kreative Marketingarbeit ein. Diese Werkzeuge sind genau die, die unter Artikel 50 fallen und in den nächsten 16 Wochen kennzeichnungspflichtig werden.

Drei von vier Marketing Verantwortlichen mit denen wir 2026 sprechen wissen entweder gar nichts vom EU AI Act oder haben einen Beitrag gelesen ohne zu verstehen was konkret zu tun ist. Das ist kein Zeichen von Unprofessionalität. Es ist ein Zeichen davon wie schnell sich die regulatorische Landschaft in den letzten 18 Monaten verändert hat.

Die Dimension des Problems ist statistisch belegt. Eine ZEW Studie aus Mannheim vom März 2025 zeigt, dass nur 23 Prozent der befragten deutschen Unternehmen die Transparenzpflichten des EU AI Act bereits vollständig umgesetzt haben. 31 Prozent planen Regeln, ein relevanter Anteil hat das Thema bisher überhaupt nicht adressiert. Eine Umfrage des Bundesministeriums für Wirtschaft und Klimaschutz aus dem Herbst 2024 zeigt parallel, dass 68 Prozent der mittelständischen Unternehmen ihr DSGVO Verzeichnis der Verarbeitungstätigkeiten seit fünf Jahren nicht mehr grundlegend überarbeitet haben. Genau dieses Verzeichnis ist aber der natürliche Ort für die KI Einträge nach AI Act, da sich Marketing Use Cases zu großen Teilen mit DSGVO Pflichten überlappen.

Der Digitalverband Bitkom hat im ersten Quartal 2026 eine repräsentative Befragung von 604 deutschen Unternehmen ab 20 Beschäftigten durchgeführt, veröffentlicht am 11. März 2026. 51 Prozent berichten von Schwierigkeiten mit der Digitalisierung allgemein. 41 Prozent nutzen bereits KI im Unternehmen, 2025 waren es noch 17 Prozent. Diese rasante Adoption trifft jetzt auf einen regulatorischen Stichtag der genau die Tools und Workflows betrifft die im Marketing in den letzten zwei Jahren eingeführt wurden. Ihr seid in einer Welle, nicht in einem Einzelfall.

Was daran problematisch ist: Die meisten Beratungs- und Rechtspublikationen zum AI Act kommen aus der juristischen Ecke und reden über Risikoklassen, Konformitätsbewertungen und Audit Trails. Was Marketing Verantwortliche brauchen ist eine andere Sprache: Was bedeutet das für meine bestehenden Kampagnen? Was muss ich an meinem Chatbot ändern? Wie kennzeichne ich KI generierte Newsletter Inhalte ohne meine Conversion Rate zu zerstören? Diese praktischen Fragen werden in den meisten verfügbaren Quellen nicht beantwortet. Genau diese Lücke schließt dieser Guide. Und weil 87 Prozent der Bitkom befragten Unternehmen Vertrauensaufbau als Top Marketingziel nennen, ist die Art wie ihr KI Hinweise umsetzt nicht nur Compliance Frage, sondern aktiver Bestandteil eurer Markenarbeit. Mehr dazu in unserem Branding Kosten Guide.

Der EU AI Act unterscheidet vier Rollen, von denen für mittelständische Marketing Teams in der Praxis nur zwei relevant sind: Anbieter (Provider) und Betreiber (Deployer). Die korrekte Einordnung entscheidet darüber welche Pflichten euch treffen und wie umfangreich euer Setup sein muss.

Anbieter (Provider) ist wer ein KI System entwickelt oder entwickeln lässt und unter eigenem Namen oder eigener Marke auf den Markt bringt. Das sind OpenAI, Anthropic, Google, Microsoft, aber auch deutsche Unternehmen wie Aleph Alpha oder DeepL. Die Anbieterpflichten sind sehr umfangreich: technische Dokumentation, Konformitätsbewertung, CE Kennzeichnung bei Hochrisiko Systemen, Risikomanagement Systeme, Datenqualitätsanforderungen.

Betreiber (Deployer) ist wer ein KI System unter eigener Verantwortung einsetzt. Das sind die meisten mittelständischen Unternehmen die ChatGPT, Claude, Midjourney oder branchenspezifische KI Tools nutzen. Die Betreiberpflichten sind im Vergleich zu Anbietern deutlich reduziert, aber nicht null. Was euch trifft: KI Kompetenz im Team (Artikel 4, gilt schon seit Februar 2025), Transparenzpflichten gegenüber Nutzern (Artikel 50, ab August 2026), Protokollaufbewahrung über 6 Monate (bei Hochrisiko), menschliche Aufsicht und Risikomanagement (bei Hochrisiko).

Wichtige Sonderregelung: Wenn ihr ein KI System wesentlich verändert, mit eigener Marke vertreibt oder es einem anderen Verwendungszweck zuführt als vom Anbieter vorgesehen, werdet ihr selbst zum Anbieter. Beispiel aus der Praxis: Ihr nehmt die ChatGPT API, baut darum euren eigenen Customer Service Bot mit eurem Logo und verkauft das als ALVÉRA Support Agent an Kunden weiter. Damit wechselt ihr von der Betreiber- in die Anbieterrolle und es gelten die deutlich strengeren Anbieterpflichten.

Konkret heißt das: Die meisten mittelständischen Unternehmen sind ausschließlich Betreiber. Ihre AI Act Compliance besteht aus drei Hauptbausteinen: KI Inventur, Risikoklassifizierung der eingesetzten Systeme, Implementierung der Transparenzpflichten an den Touchpoints. Genau diese drei Bausteine bilden die Grundlage für unser AI Act Marketing Audit Setup, das wir im nächsten Kapitel detailliert vorstellen.

Auf LinkedIn und in Werbeanzeigen tauchen seit Anfang 2026 verstärkt Angebote für AI Act Compliance ab 499 Euro auf. Standardisierte Templates, automatisierte Checklisten, AI generierte Bewertungen. Was solche Angebote weglassen ist genau das was im Prüfungsfall der Bundesnetzagentur den Unterschied macht.

Was billige Anbieter weglassen: Die individuelle KI Inventur, also die echte Bestandsaufnahme welche KI Systeme tatsächlich in eurem Unternehmen laufen. Stattdessen bekommt ihr eine Liste typischer KI Tools mit Risikoklassifizierungen die für euch nicht zwangsläufig stimmen. Eingebettete KI in Microsoft 365, Salesforce oder DATEV wird oft komplett übersehen, obwohl sie nach AI Act ebenfalls Pflichten auslöst.

Was billige Anbieter weglassen: Die Anpassung an eure tatsächliche Situation. Ein Mittelständler mit zwei Chatbots auf der Website hat andere Pflichten als einer mit zwölf KI Tools im Vertrieb. Templates können diese Differenzierung nicht leisten. Die Bundesnetzagentur hat in ersten informellen Stellungnahmen klargestellt, dass sie generische Compliance Dokumentation nicht als ausreichenden Nachweis akzeptieren wird.

Was billige Anbieter weglassen: Die Schulung nach Artikel 4 Kompetenzpflicht. Diese Pflicht gilt schon seit 2. Februar 2025 und ist eine der häufigsten Lücken in vorhandenen Compliance Setups. Schulungen sind nicht beliebig delegierbar, sie müssen auf die konkreten Tools und Workflows in eurem Unternehmen zugeschnitten sein. Ein PDF mit allgemeinen Hinweisen reicht nicht aus.

Die ehrliche Untergrenze für ein seriöses AI Act Audit liegt bei etwa 2.500 Euro für ein kleines Unternehmen mit überschaubarer KI Nutzung. Darunter werdet ihr entweder ein Template Produkt bekommen das im Prüfungsfall nicht hält, oder ein junior geleitetes Projekt ohne ausreichende juristische Substanz. Die Reparatur einer mangelhaften Compliance Dokumentation nach einer Behördenanfrage kostet typischerweise zwischen 8.000 und 25.000 Euro plus den Reputationsschaden falls der Fall öffentlich wird.

Die häufigste Reaktion die wir bei Marketing Verantwortlichen auf den AI Act sehen ist Aufschub. Nicht aus Unwissen, sondern aus einer rationalen Kalkulation: Vor August 2026 wird wahrscheinlich nicht geprüft, also kann man die Compliance auf den Sommer schieben. Diese Rechnung übersieht zwei Dinge.

Erstens: Ein seriöses AI Act Setup braucht acht bis zwölf Wochen Vorlauf. Wer im Juni 2026 startet, ist nicht rechtzeitig fertig. Im Sommer 2026 werden alle Unternehmen die jetzt warten gleichzeitig nach Beratung suchen. Die Kapazitäten der seriösen Anbieter werden ausverkauft sein, die Preise werden um 30 bis 50 Prozent steigen. Das ist nicht Marketing Sprech, das ist der gleiche Effekt den wir 2018 vor dem DSGVO Stichtag gesehen haben.

Zweitens, die Konkreten Folgen: Ihr seht den Verlust der durch Aufschub entsteht nicht als Rechnung. Keine Abbuchung, kein roter Eintrag im Kassensystem. Nur das schleichende Gefühl, dass die Kalender voll werden und die Optionen knapper. Die Verhaltensökonomie nennt dieses Phänomen Loss Aversion, dokumentiert von Daniel Kahneman und Amos Tversky 1979 in der Prospect Theory, für die Kahneman 2002 den Nobelpreis für Wirtschaftswissenschaften erhielt. Verluste fühlen sich nur dann nach Verlust an, wenn sie als Rechnung erscheinen. Stille Verluste schmerzen psychologisch weniger und werden deshalb länger toleriert, obwohl sie objektiv gleich teuer sind.

Wir sind keine Kanzlei. Wenn ihr einen vor Gericht zitierfähigen Rechtsbeistand braucht, der bei einer Behördenanhörung neben euch sitzt, dann braucht ihr eine spezialisierte IT Rechts Kanzlei wie Schürmann Rosenthal Dreyer, GvW Graf von Westphalen oder Heuking Kühn Lüer Wojtek. Wir arbeiten regelmäßig mit Kanzleien zusammen und können euch passende Ansprechpartner empfehlen.

Wenn euer Unternehmen Hochrisiko KI Systeme nach Anhang III einsetzt (etwa KI im Recruiting, Kreditscoring, kritische Infrastrukturen) und ihr selbst Anbieter dieser Systeme seid, braucht ihr eine spezialisierte AI Compliance Beratung mit eigenen technischen Auditoren. Das ist nicht unser Kerngeschäft. Wir betreuen Marketing Use Cases mit begrenztem oder minimalem Risiko, also den Großteil dessen was Mittelstandsmarketing 2026 nutzt.

Wenn ihr ein internes Compliance Team mit drei oder mehr dedizierten AI Verantwortlichen habt, das bereits ein etabliertes ISO 27001 oder ISO 42001 Framework betreibt, sind wir wahrscheinlich nicht der richtige Partner. Solche Setups brauchen tieferes Compliance Tooling als wir anbieten.

Wenn ihr KI in eurem Marketing nicht oder nur sehr eingeschränkt nutzt (etwa nur klassische Email Tools ohne KI Personalisierung), dann ist der Aufwand für ein vollständiges AI Act Setup für euch übertrieben. In diesem Fall reicht eine kurze Bestätigungsdokumentation dass ihr keine relevanten KI Systeme einsetzt, die ihr selbst erstellen könnt. Spart euch das Geld und investiert es in eure DSGVO Hygiene, die ist mit hoher Wahrscheinlichkeit das größere offene Thema. Wenn ihr stattdessen über klassische Sichtbarkeit im DACH Raum nachdenkt, ist unser SEO und GEO Kosten Guide wahrscheinlich die bessere Anlaufstelle.

Was wir gut können: Marketing Use Cases bei DACH Mittelstandskunden mit begrenztem Risiko. ChatGPT, Claude, Midjourney, Personalisierungs Tools, Chatbots, KI gestützte Newsletter. Genau das was Bitkom 2026 als Mainstream der Marketing KI Nutzung beschreibt.