EU AI Act August 2026.
Was Makler jetzt erledigen müssen.
Seit dem 2. August 2026 gilt die EU-KI-Verordnung für die meisten KI-Systeme vollständig. Nur 11 % der Makler kennen die Anforderungen — Risikoklassen, Transparenzpflicht und Checkliste, was jetzt konkret zu tun ist.
Seit dem 2. August 2026 greift die EU-KI-Verordnung (VO (EU) 2024/1689) für die meisten KI-Systeme vollständig. Laut einer Asscompact-Umfrage wissen nur 11 % der Versicherungsmakler, welche Anforderungen damit verbunden sind. Das ist keine Wissenslücke — das ist ein offenes Haftungsrisiko.
DSGVO und EU AI Act: zwei getrennte Baustellen
Dein Auftragsverarbeitungsvertrag (AVV) mit Anthropic oder OpenAI — unterschrieben, abgehakt. Das deckt die DSGVO-Seite ab. Der EU AI Act ist eine separate Verordnung mit eigenen Pflichten und eigenen Bußgeldern. Beides gleichzeitig zu erfüllen ist Pflicht. Wer glaubt, der AVV reicht, liegt falsch.
Die DSGVO (VO (EU) 2016/679) regelt, was du mit personenbezogenen Daten tun darfst. Der EU AI Act (VO (EU) 2024/1689) regelt, wie KI-Systeme entwickelt, eingesetzt und überwacht werden müssen — unabhängig davon, ob personenbezogene Daten fließen oder nicht. Zwei Rechtsakte, zwei Prüfpfade, zwei Bußgeldregimes.
Für Makler, die einen KI-Chatbot auf der Website betreiben, LinkedIn-Posts mit Claude generieren oder KI-gestützte Analyse-Tools einsetzen, bedeutet das: zwei Compliance-Layer greifen gleichzeitig.
Fristen im Überblick:
- 2. Februar 2025 — Verbotene KI-Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4) in Kraft
- 2. August 2026 — Transparenzpflichten (Art. 50), Deployer-Pflichten für Hochrisiko-KI (Art. 26), vollständige Hochrisiko-Anforderungen (Kapitel III)
- 2. Dezember 2026 — Machine-Readable Watermarking für KI-generierte Inhalte (Art. 50 Abs. 2)
Konsequenz: Wenn du heute einen KI-Chatbot oder ein Content-Tool einsetzt, bist du ab August 2026 direkt betroffen.
Vier Risikoklassen — wo du als Makler typischerweise landest
Der EU AI Act stuft jedes KI-System in eine von vier Risikoklassen ein. Deine Compliance-Pflichten hängen vollständig davon ab. Wer seine Tools nicht einordnet, kann seine Pflichten nicht kennen.
Verbotene KI (Art. 5): Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung im öffentlichen Raum. Für Makler in der Regel irrelevant.
Hochrisiko-KI (Anhang III): Hier wird es für Makler konkret. Anhang III, Nr. 5 listet explizit: KI-Systeme zur Bonitätsprüfung, zur Risikoklassifizierung in der Lebens- und Krankenversicherung und zur Schadensbearbeitung. Wenn dein KI-Tool Prämien beeinflusst oder Risiken automatisiert bewertet — Hochrisiko. Vollständige Dokumentationspflicht, Konformitätsbewertung, Registrierung in der EU-KI-Datenbank.
Begrenztes Risiko (Art. 50): Chatbots, virtuelle Assistenten, KI-generierte Inhalte. Die meisten Makler-KI-Anwendungen landen hier. Transparenzpflicht ab 2. August 2026, aber keine vollständige Konformitätsbewertung nötig.
Minimales Risiko: KI-Spam-Filter, Rechtschreibkorrektur. Keine zusätzlichen EU AI Act-Pflichten.
Praktische Einordnung:
| KI-Anwendung | Risikoklasse | Hauptpflicht |
|---|---|---|
| KI-Chatbot auf Makler-Website | Begrenztes Risiko | Transparenzhinweis (Art. 50) |
| LinkedIn-Posts mit Claude generiert | Minimales Risiko | Keine |
| KI-Tool zur Prämienberechnung | Hochrisiko (Anhang III Nr. 5) | Dokumentation + Registrierung |
| KI-Risikoanalyse für Lebensversicherung | Hochrisiko (Anhang III Nr. 5) | Konformitätsbewertung |
Steuerkanzleien: KI in der Kreditwürdigkeitsprüfung fällt ebenfalls unter Anhang III, Nr. 5.
Transparenzpflicht (Art. 50): Was ab 2. August im Interface stehen muss
Art. 50 Abs. 1 ist eindeutig: Wer ein KI-System betreibt, das dazu bestimmt ist, mit Menschen zu interagieren — also einen Chatbot — muss sicherstellen, dass Nutzer spätestens zu Beginn der ersten Interaktion darüber informiert werden, dass sie mit einem KI-System sprechen.
Das ist nicht optional. Das ist Pflicht — für neu eingesetzte Systeme ab August 2026 sofort, für bereits laufende Systeme ebenfalls.
Was konkret im Interface stehen muss:
- Sichtbarer Hinweis am Gesprächsstart — z.B. "Du chattest gerade mit einem KI-Assistenten."
- Nicht im Kleingedruckten, nicht in der Datenschutzerklärung — im Chat-Interface selbst, vor der ersten Nutzerantwort
- Bei Voice-Assistenten: auditiver Hinweis
- Der Hinweis muss "klar und erkennbar" sein — kleiner grauer Text unterhalb des Chat-Fensters genügt wahrscheinlich nicht
Zusätzlich (Art. 50 Abs. 4): Wer KI-generierte Bilder, Audio oder Video-Inhalte veröffentlicht, die nicht offensichtlich künstlich wirken — z.B. synthetische Sprachaufnahmen oder KI-generierte Portraitfotos — muss diese als KI-generiert kennzeichnen. Deepfake-Kennzeichnungspflicht, auch für Werbematerialien.
Ausnahme: Wenn der Nutzer es bereits weiß und ausdrücklich eingewilligt hat, entfällt der Hinweis. Praktisch relevant bei internen Tools, wenn Mitarbeiter wissen, dass sie ein KI-System bedienen.
Bußgelder für Verstöße gegen Art. 50: bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes — je nachdem, was höher ist (Art. 99 Abs. 3 — Stand: Juni 2026, bitte rechtlich prüfen).
Technischer Aufwand: In einem Standard-Chatbot auf Basis der Claude API reicht ein statischer Eröffnungstext im Frontend. Das ist ein Tag Entwicklungsarbeit — wenn die Basis-Architektur steht.
KI-Kompetenzpflicht (Art. 4): Die Pflicht, die bereits gilt
Art. 4 ist seit dem 2. Februar 2025 in Kraft. Nicht August 2026 — bereits seit über einem Jahr.
Wortlaut: Anbieter und Betreiber von KI-Systemen treffen Maßnahmen, um sicherzustellen, dass ihr Personal und andere Personen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.
"Ausreichend" wird nicht als fester Standard definiert. Die Verordnung nennt als Faktoren: technische Kenntnisse, Erfahrung, Ausbildung und den konkreten Kontext des eingesetzten KI-Systems. Für einen Makler-Betrieb mit Website-Chatbot bedeutet das in der Praxis:
- Mindestens eine Person versteht, wie das System funktioniert, wo es versagt und wie man es hält
- Schulungsnachweis: Ein Protokoll eines 2-stündigen internen Workshops ist besser als nichts
- Neue Mitarbeiter, die KI-Tools nutzen, werden eingewiesen — dokumentiert
Kein Nachweis = Compliance-Gap seit Feb. 2025. Das ist jetzt Verspätung, keine Vorbereitung.
Deployer vs. Provider: Deine Rolle bestimmt deine Pflichten
Der EU AI Act trennt scharf zwischen Providern (Anbietern) und Deployern (Betreibern). Die Rollenzuordnung ist entscheidend.
Du bist Deployer, wenn du ein bestehendes KI-System eines Drittanbieters in eigener Verantwortung einsetzt — z.B. einen Chatbot auf Basis Claude (Anthropic), GPT-4o (OpenAI) oder Mistral Large. Das trifft auf fast alle Makler-Betriebe zu.
Deployer-Pflichten nach Art. 26 (für Hochrisiko-KI):
- Gebrauchsanweisung des Providers beachten und implementieren
- Menschliche Aufsicht während des Betriebs sicherstellen
- Eingabedaten kontrollieren, soweit möglich
- Automatisch generierte Log-Daten aufbewahren — typisch 6 Monate
- Schwerwiegende Vorfälle der Marktüberwachungsbehörde melden
Für Nicht-Hochrisiko-KI (begrenztes Risiko): Art. 50 Transparenzpflicht — kein vollständiges Konformitätsverfahren nötig.
Du wirst zum Provider, wenn du ein KI-System selbst entwickelst, wesentlich veränderst oder unter deinem Namen vertreibst. Betrifft Makler selten — außer du baust einen proprietären Fine-Tuned-Chatbot und lizenzierst ihn an Dritte.
Grauzone Dienstleister: Wenn du einen Chatbot durch einen externen Dienstleister bauen lässt, bleibst du Deployer. Der Dienstleister kann — je nach Konfigurationstiefe — als Provider eingestuft werden. Das klärt der Dienstleistungsvertrag. Fehlt diese Klärung, bleibt die Haftungsverteilung offen.
Bei Sehlmeyer Digital-Projekten wird die Rollenzuordnung im Projektvertrag explizit geregelt.
Checkliste: Was bis zum 2. August 2026 erledigt sein muss
Nicht jede Pflicht betrifft jeden Betrieb. Diese Punkte sind für Makler und Beratungsbüros mit KI im Einsatz relevant:
Sofort (längst fällig):
- KI-Inventar anlegen: Welche KI-Tools setzt du ein? Chatbot, Content-KI, Analyse-Tools — vollständige Liste
- KI-Kompetenz dokumentieren: Wer nutzt KI? Schulungsnachweis vorhanden? (seit Feb. 2025 Pflicht)
- Risikoklasse je Tool bestimmen: Begrenztes Risiko oder Hochrisiko?
Bis 2. August 2026:
- Transparenzhinweis im Chatbot aktivieren — sichtbar, am Gesprächsstart, im Interface selbst
- Eröffnungstext prüfen: "Du chattest mit einem KI-Assistenten" — nicht im Impressum, im Chat-UI
- KI-generierte Medien prüfen: Falls Bilder/Audio/Video nicht offensichtlich künstlich → Kennzeichnungspflicht
- Provider-Dokumentation anfordern: Hat dein KI-Anbieter Infos zu Hochrisiko-Einstufung bereitgestellt?
- Log-Aufbewahrung prüfen: Automatisierte Entscheidungslogs werden gespeichert?
Nur bei Hochrisiko-KI zusätzlich:
- Konformitätsbewertung durchführen oder Nachweis vom Provider anfordern
- Registrierung im EU-KI-Datenbank prüfen (Art. 49)
- Vorfallmeldungs-Prozess intern definieren
- Human-Oversight-Mechanismus dokumentieren
Diese Checkliste ersetzt keine Rechtsberatung. Bei Hochrisiko-Einstufungen: Fachanwalt für IT- oder Datenschutzrecht.
Art.-50-konform ausgeliefert.
KI-Chatbot mit Transparenzhinweis am Gesprächsstart, Claude-API EU-Region, deutsch gehostet. 14 Tage, Festpreis.
Fazit
Der EU AI Act ist seit August 2026 kein Zukunftsthema mehr — er gilt. Die Transparenzpflicht (Art. 50) ist der häufigste und behebbarste Compliance-Gap: Wer einen KI-Chatbot betreibt ohne Hinweis am Gesprächsstart, verstößt gegen Art. 50. Technischer Aufwand: ein Tag. Bußgeldrisiko: bis zu 15 Mio. EUR.
Komplexer wird es, wenn KI in Risikobewertung oder Prämiengestaltung steckt — dann greifen Hochrisiko-Anforderungen mit vollständiger Dokumentationspflicht. Der erste Schritt ist immer gleich: KI-Inventar anlegen, Risikoklasse bestimmen, Transparenzhinweis aktivieren.
Wenn du einen KI-Chatbot neu aufsetzen oder einen bestehenden EU AI Act-konform nachrüsten willst: Das KI-Chatbot-Modul bei Sehlmeyer Digital — 14-Tage-Sprint, Festpreis, DSGVO- und EU AI Act-konforme Konfiguration inklusive.