EU AI Act: Was Kundenservice-Teams 2026 und bis Dezember 2027 erledigt haben müssen
Drei Stichtage. Zwei Anforderungsebenen. Für Kundenservice-Teams, die seit zwei Jahren KI-Tools einführen, kommen die relevanten Termine näher als gedacht.
Ab 2. August 2026 greift Art. 50 des EU AI Acts — die Transparenzpflicht. Jedes Unternehmen, das Kunden mit einem KI-System interagieren lässt, muss das offenlegen: Chatbot, virtueller Assistent, automatisierte E-Mail, Stimmungsanalyse im Kundengespräch. Diese Pflicht gilt für alle KI-Systeme im Kundenkontakt, unabhängig von der Risikoeinstufung.
Synthetische Inhalte haben eine eigene Frist. Nach der Digital-Omnibus-Einigung vom Mai 2026 haben Anbieter bis 2. Dezember 2026 Zeit, Transparenzlösungen für künstlich erzeugte Inhalte umzusetzen. Die Offenlegung von KI-Interaktionen im Kundenkontakt und die Kennzeichnung synthetischer Inhalte sollten deshalb nicht in einem einzigen August-Meilenstein zusammenfallen.
Die weitergehenden Hochrisiko-Compliance-Pflichten — Konformitätsbewertung, technische Dokumentation, EU-Registrierung — greifen für eigenständige Hochrisiko-Systeme nach Annex III ab 2. Dezember 2027. Das ist das Ergebnis der Digital-Omnibus-Einigung vom Mai 2026. Mehr Vorlaufzeit, ja. Aber eine Konformitätsbewertung braucht erfahrungsgemäß mehrere Monate Vorlauf — und die Pflichten kommen trotzdem.
Dieser Post zeigt, was jetzt gilt, was bis Dezember 2027 vorbereitet sein muss — und welche acht Schritte dabei nicht warten sollten.
Was der EU AI Act für Kundenservice bedeutet
Der EU AI Act unterscheidet drei Kategorien: verbotene KI-Systeme, Hochrisiko-Systeme und Standard-Systeme mit Transparenzpflichten. Im Kundenservice sind alle drei relevant.
Verboten — seit Februar 2025
KI-Systeme, die unterbewusstes Verhalten manipulieren oder Personen nach sozialem Verhalten bewerten (Social Scoring). Für den klassischen Kundenservice selten direkt relevant — aber wer Kundendaten für Verhaltensprofile oder dynamisches Pricing nutzt, sollte den Grenzbereich prüfen. Verstöße gegen diese verbotenen Praktiken können mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes geahndet werden — das ist die schwerste Bußgeldstufe im Gesetz.
Hochrisiko — ab 2. Dezember 2027
Systeme aus Anhang III der Verordnung. Im Kundenservice betrifft das vor allem KI, die in Entscheidungen über Kreditwürdigkeit oder Bonität eingebunden ist — also Systeme, die bei Ratenzahlungen, Versicherungsleistungen oder Vertragsanpassungen mit Kredit- oder Bonitätsbezug mitentscheiden. Bei Verstößen gegen die Hochrisiko-Anforderungen drohen Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des globalen Jahresumsatzes.
Transparenzpflichten — ab 2. August und 2. Dezember 2026
Chatbots und virtuelle Assistenten müssen Kunden ab 2. August 2026 klar darüber informieren, dass sie mit einem KI-System interagieren. Anbieter-seitige Transparenzlösungen für künstlich erzeugte Inhalte folgen zum 2. Dezember 2026. Emotionserkennungssysteme unterliegen eigenen Pflichten. Diese Kategorie betrifft die meisten Kundenservice-Teams — unabhängig davon, ob ihre Systeme als hochriskant einzustufen sind.
Der häufigste Irrtum: „Unser Chatbot ist doch nur FAQ.” Das stimmt für einfache regelbasierte Systeme — keine Entscheidung, nur Informationsabruf. Sobald ein System jedoch Tickets routet, Kunden kategorisiert, Eskalationen steuert oder Entscheidungen vorbereitet, ist die Frage nach der Risikostufe offen und muss beantwortet werden.
Welche Systeme betroffen sind — eine schnelle Einordnung
| System-Typ | Typisches Beispiel | Risikostufe (EU AI Act) |
|---|---|---|
| Regelbasierter FAQ-Bot | Öffnungszeiten, Standard-Antworten | Niedrig — Offenlegung der KI-Interaktion ab Aug 2026 |
| Klassifizierender Chatbot | Ticket-Routing, Intent-Erkennung | Niedrig bis mittel — prüfen |
| KI-gestützte Entscheidungsvorbereitung | Kreditlimit-Empfehlung | Hochrisiko (Annex III) — Konformitätsbewertung bis Dez 2027 |
| KI-gestützte Entscheidungsvorbereitung | Kulanzentscheid | Einzelfallprüfung erforderlich — Abhängig von Systemarchitektur und -kontext |
| Autonomes Vertragssystem | Automatische Kündigung, Tarifwechsel | Prüffall — keine automatische Hochrisiko-Einstufung; hängt davon ab, ob das System unter Annex-III-Kategorien fällt |
| Emotionserkennung im Live-Contact | Stimmungsanalyse im Kundengespräch | Transparenzpflicht + ggf. Hochrisiko |
| KI-generierte Antworten (Drafts) | E-Mail-Vorschläge für Agenten | Niedrig — abhängig von Autonomiegrad |
Die Klassifizierung ist nicht immer selbstevident. Die entscheidende Frage: Hat das System erhebliche Auswirkungen auf Rechte oder die wirtschaftliche Situation von Kunden? Wenn ja, ist Hochrisiko zumindest zu prüfen.
Die Compliance-Falle: Drei häufige Irrtümer
Irrtum 1: „Ein Mensch entscheidet letztlich — die KI macht nur Vorschläge.”
Wer glaubt, menschliche Letztentscheidung schütze automatisch vor Hochrisiko-Einstufung, liegt falsch. Der AI Act bewertet das Gesamtsystem und seine reale Wirkung. Wer KI-Empfehlungen faktisch ungeprüft übernimmt, hat kein wirksames Human-in-the-loop-System — unabhängig davon, was auf dem Papier steht. Das werden interne Audits und externe Prüfungen aufdecken.
Irrtum 2: „Wir nutzen ein SaaS-Tool — der Anbieter ist verantwortlich.”
Deployer-Verantwortung ist explizit im Gesetz verankert (Art. 26). Unternehmen, die Hochrisiko-KI einsetzen — auch als fertiges SaaS-Produkt eines Drittanbieters —, tragen eigene Pflichten: menschliche Aufsicht sicherstellen, Logs sechs Monate aufbewahren, Mitarbeitende informieren. Anbieter- und Deployer-Verantwortung schließen sich gegenseitig nicht aus; sie laufen parallel.
Irrtum 3: „Bis Dezember 2027 ist noch Zeit.”
Eine Konformitätsbewertung, technische Dokumentation und ein funktionsfähiges Monitoring-System aufzusetzen dauert erfahrungsgemäß mehrere Monate — abhängig von Scope, internen Ressourcen und externer Unterstützung. Teams, die im Herbst 2027 beginnen, können die Frist nicht mehr einhalten.
Checkliste: 8 Punkte — zwei Fristen
Dies ist keine Rechtsmeinung, sondern eine operative Orientierung für Teams, die jetzt handeln wollen.
Bis 2. August 2026 (Transparenz im Kundenkontakt)
1. KI-Inventar erstellen Vollständige Liste aller KI-Systeme im Einsatz — inklusive Lieferant, Einsatzbereich, Version und Datenflüsse. Klingt trivial, ist es nicht: In Unternehmen, die seit 2022 KI-Tools einführen, sind oft zehn bis zwanzig Systeme im Einsatz, von denen die IT-Abteilung die Hälfte nicht kennt.
2. Risikostufe pro System bestimmen Für jedes System: Fällt es unter Annex III? Besteht eine Transparenzpflicht nach Art. 50? Gibt es Grenzfälle, die eine externe rechtliche Einschätzung brauchen? Dieser Schritt braucht mindestens zwei Personen — eine aus dem Fachbereich, eine aus Recht oder Compliance.
3. Transparenzhinweise implementieren Alle Chatbots und KI-Assistenten, die mit Kunden interagieren, müssen klar als KI erkennbar sein — nicht im Kleingedruckten, sondern im Dialog selbst. Das ist die dringlichste Maßnahme für August 2026 und gleichzeitig die am einfachsten umsetzbare.
4. Interne Verantwortlichkeit benennen Wer ist intern verantwortlich für AI-Act-Compliance? In kleineren Teams kann das die Datenschutzbeauftragte übernehmen. Entscheidend ist eine benannte, tatsächlich verantwortliche Person — nicht ein Komitee ohne Mandat.
Bis 2. Dezember 2026 (Transparenzlösungen für synthetische Inhalte)
Wenn der Service künstlich erzeugte Texte, Audios, Bilder oder Videos erstellt oder ausspielt, prüfen Sie, ob anbieter-seitige Transparenzlösungen erforderlich sind und ob Lieferantenverträge diese Verantwortung klar abbilden. Dieser Termin liegt nah an der August-Frist für KI-Interaktionen, ist aber ein eigener Umsetzungsmeilenstein.
Bis 2. Dezember 2027 (Hochrisiko-Compliance für Annex-III-Systeme)
5. Menschliche Aufsicht dokumentieren Welche Rolle hat welche Kontrollfunktion? Wann kann ein Mensch eingreifen? Wie wird das protokolliert? Diese Fragen müssen schriftlich beantwortet und im Betrieb auch gelebt werden.
6. Technische Dokumentation aufbauen Für Hochrisiko-KI sind Trainingsdaten, Systemarchitektur, Performance-Metriken und bekannte Limitierungen zu dokumentieren. Nicht einmalig — sondern als kontinuierlich gepflegtes Dokument.
7. DSFA aktualisieren DSGVO und EU AI Act überschneiden sich inhaltlich erheblich. Wer bereits eine Datenschutz-Folgenabschätzung hat, prüft jetzt, ob KI-Systeme eine Aktualisierung erfordern.
8. Registrierungsstatus klären Anbieter (Provider) von Hochrisiko-KI müssen das System vor dem Inverkehrbringen in der offiziellen EU-Datenbank registrieren. Deployer — Unternehmen, die ein solches System einsetzen, auch als SaaS-Produkt eines Drittanbieters — dürfen nur registrierte Systeme in Betrieb nehmen. Wer ein SaaS-Produkt nutzt, muss prüfen, ob der Anbieter seiner Registrierungspflicht nachgekommen ist.
Was gut aufgestellte Teams bereits heute tun
Teams, die beide Stichtage entspannt entgegensehen, haben drei Dinge gemeinsam.
Sie kennen ihr KI-Inventar. Vollständig. Klingt selbstverständlich — ist es nicht. Die dezentrale Einführung von KI-Tools über Fachabteilungen, Pilotprojekte und Einzelinitiativen hat in vielen Unternehmen eine unsichtbare KI-Schicht entstehen lassen, die niemand vollständig überblickt.
Sie trennen Pilot und Produktion. Ein System, das intern getestet wird, hat andere Anforderungen als ein System, das täglich 10.000 Kundenanfragen bearbeitet. Viele Teams haben diese Grenze nie formal gezogen — und zahlen jetzt den Preis, weil Piloten zu Produktionssystemen gewachsen sind, ohne je eine Konformitätsprüfung durchlaufen zu haben.
Sie behandeln Compliance als Produktmerkmal. Die überzeugendsten Argumente für AI-Act-Compliance sind keine Juristenargumente — sie sind Vertrauensargumente. Kunden, die wissen, dass eine KI sie berät, und die wissen, dass ein Mensch im Hintergrund kontrolliert, sind loyaler. Das ist messbar.
Ein konkretes Beispiel: Ein mittelständischer Anbieter mit Kundenservice-KI im Einsatz führte Anfang 2026 ein internes KI-Audit durch. Ergebnis: zwölf KI-Systeme im Einsatz, drei davon mit potenzieller Hochrisiko-Einordnung. Zwei wurden auf Non-High-Risk-Architektur umgestellt; eines wurde für eine vollständige Konformitätsbewertung vorbereitet. Zeitaufwand: sechs Wochen, ein externer Berater, zwei interne Personen. Ergebnis: ein vollständiges Inventar, das für beide Compliance-Fristen als Planungsgrundlage dient.
Fazit
Der EU AI Act bringt für Kundenservice-Teams drei relevante Stichtage. Ab 2. August 2026: Transparenzpflichten für alle KI-Systeme im Kundenkontakt — das betrifft jeden, der einen Chatbot oder virtuellen Assistenten einsetzt. Bis 2. Dezember 2026: anbieter-seitige Transparenzlösungen für künstlich erzeugte Inhalte separat einplanen. Ab 2. Dezember 2027: Hochrisiko-Compliance-Pflichten für Annex-III-Systeme — Konformitätsbewertung, technische Dokumentation, EU-Registrierung.
Das sind keine abstrakten Regulierungsdaten. Es sind operative Planungsgrößen — für Teams, die jetzt beginnen, ist beides erreichbar. Für Teams, die zu lange warten, wird beides zur Feuerwehrübung.
Wenn Sie wissen wollen, welche Ihrer aktuellen KI-Systeme unter den EU AI Act fallen und was das konkret für Ihren Kundenservice bedeutet — sprechen Sie mit uns. Wir helfen dabei, den Überblick zu schaffen, bevor die erste Frist kommt.
→ Demo anfragen
