Regulierung

EU AI Act
Die neuen Transparenzpflichten ab Mai

Ab Mai 2026 greifen die nächsten Transparenzpflichten des EU AI Act. Was KMU jetzt konkret machen müssen — und was Panikmache ist. Eine nüchterne Einordnung.

ATLAS Consulting Redaktion

Samstag, 28. März 2026 · 7 Min Lesezeit

gavel

Am 2. Mai 2026 tritt die nächste Stufe des EU AI Act in Kraft. Für deutsche Mittelständler, die KI einsetzen, ändert sich dadurch weniger als viele Berater gerade behaupten — aber einige Punkte sind verbindlich und müssen bis zum Stichtag stehen.

Was genau ab 2. Mai gilt

Die Mai-Welle betrifft vor allem zwei Bereiche: Transparenzpflichten bei generativer KI und Kennzeichnungspflichten bei KI-erzeugten Inhalten. Konkret: Wer einen Chatbot, einen Voice-Agent oder ein System einsetzt, das Entscheidungen über Menschen trifft, muss die Betroffenen darüber informieren, dass sie mit einer KI interagieren.

Das klingt trivial, hat aber handfeste Konsequenzen: Jeder Telefonassistent braucht einen Standardsatz am Anfang jedes Gesprächs. Jede E-Mail, die komplett von einem KI-System verfasst wurde, muss als solche erkennbar sein. Jedes automatisierte Angebotssystem muss im Prozess offenlegen, dass ein Algorithmus beteiligt war.

Drei Dinge, die jetzt konkret zu tun sind

Wir haben in den letzten zwei Wochen sieben mittelständische Kunden durch den Compliance-Check geschickt. Die drei häufigsten Baustellen:

1. Telefonassistenten mit Disclaimer ausstatten

Wer einen Voice-Agent einsetzt, muss künftig im Begrüßungssatz offenlegen, dass es sich um eine KI handelt. Ein empfohlener Wortlaut: Guten Tag, Sie sprechen mit Clara, dem digitalen Assistenten von Firma XY. Das reicht juristisch aus und wirkt nicht aufdringlich.

2. Impressum und Datenschutz anpassen

Welche KI-Systeme werden eingesetzt? Zu welchem Zweck? Wer ist verantwortlich? Diese Fragen müssen in der Datenschutzerklärung beantwortet werden. Ein halbseitiger Absatz genügt — aber er muss da stehen.

3. Dokumentation der Systeme

Für jedes KI-System im Unternehmen sollten Sie wissen: Welches Modell? Welcher Anbieter? Welche Daten werden verarbeitet? Wo gespeichert? Bei einem Audit wird genau das gefragt. Eine Tabelle in Notion oder Excel reicht.

Was NICHT gilt (noch)

Viele Anwaltskanzleien und Compliance-Dienstleister verkaufen gerade Panik. Klarstellung: Die Hochrisiko-KI-Systeme des Anhangs III (zum Beispiel im Bereich Personalauswahl, Bonitätsprüfung, kritische Infrastruktur) unterliegen bereits strengeren Regeln, aber der Vollzug dieser Vorschriften ist bis August 2026 ausgesetzt.

Für typische Mittelstandsanwendungen — Kundensupport-Bots, interne Automatisierung, Marketing-Tools — reicht die Transparenzpflicht aus. Von einer Zertifizierung ist nicht die Rede.

Bußgelder: Die reale Gefahr

Verstöße gegen die Transparenzpflichten können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, was höher ist. Für einen Mittelständler mit 50 Millionen Umsatz also theoretisch 1,5 Millionen.

In der Praxis werden diese Summen kaum ausgeschöpft. Die Aufsichtsbehörden in Deutschland haben bereits signalisiert, dass sie im ersten Jahr auf Aufklärung statt auf Bestrafung setzen. Wer dokumentieren kann, dass er sich um Compliance bemüht hat, kommt mit einer Abmahnung davon.

„Die Transparenzpflicht ist kein Bürokratie-Monster — sie ist eine halbseitige Aufgabe für Ihre Rechtsabteilung. Wer sie ignoriert, riskiert trotzdem das Image.“

tips_and_updates

Praxis-TippErstellen Sie eine einfache KI-Bestandsliste: Modell, Anbieter, Use-Case, verarbeitete Datenarten, Standort der Verarbeitung. Wenn die Aufsicht anklopft, haben Sie binnen Minuten eine Antwort.

Pflicht	Ab wann	Aufwand für KMU
Transparenzhinweis bei Chat/Voice	2. Mai 2026	Gering — einmalig Wortlaut anpassen
Kennzeichnung KI-generierter Inhalte	2. Mai 2026	Gering — Footer / Disclaimer
Dokumentation eingesetzter Systeme	2. Mai 2026	Mittel — erstmalige Inventarisierung
Hochrisiko-Systeme (Zertifizierung)	2. August 2026	Hoch — nur bei spezifischen Use-Cases

Fazit

Der EU AI Act ist für die meisten deutschen Mittelständler keine existenzielle Bedrohung. Die Mai-Stufe lässt sich mit einem halben Arbeitstag Rechtsabteilung und einer aktualisierten Datenschutzerklärung erledigen — vorausgesetzt, Sie wissen, welche KI-Systeme bei Ihnen laufen.

Die eigentliche Arbeit liegt in der Inventarisierung: Viele Unternehmen setzen KI-Tools ein, ohne sie als solche zu erkennen (z.B. Spam-Filter, Übersetzungsdienste, Bildanalyse in Webshops). Ein internes KI-Audit vor dem 2. Mai zahlt sich aus.

ATLAS Consulting Redaktion

Wir kuratieren jede Woche die wichtigsten KI-News für Entscheider im deutschen Mittelstand — ohne Hype, immer auf Deutsch.

Diese Technologie in Ihrem Unternehmen nutzen?

ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.

Strategiegespräch buchen arrow_forward Mehr über Strategie

arrow_back Alle Ausgaben ansehen

On May 2, 2026 the next stage of the EU AI Act enters into force. For German SMEs using AI, less will change than many consultants are currently claiming — but a few points are binding and have to be in place by the deadline.

What exactly applies from May 2

The May wave affects two main areas: transparency obligations for generative AI and labeling obligations for AI-generated content. Concretely: anyone running a chatbot, a voice agent or a system that makes decisions about people must inform those affected that they are interacting with an AI.

This sounds trivial, but it has real consequences: every phone assistant needs a standard sentence at the start of each call. Every email written entirely by an AI system has to be recognizable as such. Every automated quoting system must disclose in its process that an algorithm was involved.

Three concrete things to do now

Over the past two weeks we've put seven mid-market clients through a compliance check. The three most common gaps:

1. Add a disclaimer to phone assistants

Anyone operating a voice agent must in future disclose in the greeting that it is an AI. A recommended wording: "Hello, you are speaking with Clara, the digital assistant of company XY." That's legally sufficient and doesn't feel intrusive.

2. Update imprint and privacy policy

Which AI systems are used? For what purpose? Who is responsible? These questions have to be answered in the privacy policy. Half a page is enough — but it has to be there.

3. Document the systems in use

For every AI system in the company, you should know: which model? Which provider? Which data is processed? Where is it stored? That is exactly what an audit will ask for. A table in Notion or Excel will do.

What does NOT apply (yet)

Many law firms and compliance providers are currently selling panic. Clarification: the high-risk AI systems listed in Annex III (for example HR screening, credit scoring, critical infrastructure) are already subject to stricter rules, but enforcement of these provisions is suspended until August 2026.

For typical SME applications — customer support bots, internal automation, marketing tools — the transparency obligation is sufficient. There is no talk of certification.

Fines: the real risk

Violations of the transparency obligations can be penalized with up to 15 million euros or 3 percent of global annual turnover — whichever is higher. For a mid-sized company with 50 million in revenue that's theoretically 1.5 million.

In practice, these figures will hardly be exhausted. The supervisory authorities in Germany have already signaled that in the first year they will focus on education rather than punishment. Anyone who can document that they made a compliance effort will likely get off with a warning.

"The transparency obligation is not a bureaucratic monster — it's a half-page task for your legal department. Those who ignore it still risk their reputation."

tips_and_updates

Practical tipCreate a simple AI inventory: model, provider, use case, data categories processed, location of processing. When the regulator knocks on the door, you'll have an answer within minutes.

Obligation	Effective from	Effort for SMEs
Transparency notice for chat/voice	May 2, 2026	Low — one-time wording change
Labeling of AI-generated content	May 2, 2026	Low — footer / disclaimer
Documentation of deployed systems	May 2, 2026	Medium — initial inventory
High-risk systems (certification)	August 2, 2026	High — only for specific use cases

Bottom line

For most German SMEs, the EU AI Act is not an existential threat. The May stage can be handled with half a day of legal work and an updated privacy policy — provided you know which AI systems are actually running in your company.

The real work lies in inventory: many companies use AI tools without recognizing them as such (spam filters, translation services, image analysis in webshops). An internal AI audit before May 2 pays off.

ATLAS Consulting Editorial Team

Every week we curate the most important AI news for decision-makers in the German mid-market — no hype, written for practitioners.

Bring this technology into your business?

ATLAS Consulting guides you from the first use case all the way to productive integration — no hype, no black box, clear numbers.

Book a strategy call arrow_forward More about strategy

arrow_back View all issues

EU AI ActDie neuen Transparenzpflichten ab Mai