EU AI Act 2026 — was politische Berater jetzt prüfen müssen

Der EU AI Act ist seit 1. August 2024 in Kraft. Am 2. August 2026 werden die Transparenz-Pflichten aus Artikel 50 voll wirksam.^[1] Wer ab diesem Tag einen Deepfake oder einen KI-generierten Politik-Text ohne Kennzeichnung verbreitet, riskiert bis zu 35 Millionen Euro oder 7 Prozent des Weltumsatzes — je nachdem, was höher ist.^[2]

Was hier passiert

Der EU AI Act ist die erste umfassende Regulierung künstlicher Intelligenz weltweit. Er staffelt die regulatorische Last nach Risiko-Klassen — verbotene Praktiken, hochrisikoreiche Systeme, transparenzpflichtige Systeme, minimal regulierte Systeme.^[2] Politische Kommunikation berührt mehrere dieser Klassen gleichzeitig.

Drei Termine prägen die Anwendungsphase. Erstens, 2. Februar 2025: die Verbote für höchstrisikoreiche Praktiken (Manipulation, Sozial-Scoring, biometrische Massenüberwachung) sind seitdem voll wirksam.^[3] Zweitens, 2. August 2025: Pflichten für General-Purpose-AI-Modelle (GPAI) in Kraft. Drittens, 2. August 2026: Artikel 50 (Transparenz-Pflichten) und die meisten Hochrisiko-System-Pflichten werden voll durchsetzbar.

Politische Berater müssen die zweite und dritte Welle ernst nehmen — wer 2026 noch ungekennzeichnete Deepfake-Werbung oder unetikettierte LLM-Texte verbreitet, riskiert ein Bußgeld, das die Kampagnen-Kasse leert.

Die Mechanik

Drei Pflicht-Kategorien sind für politische Kommunikation zentral.

Erste Pflicht: Deepfake-Kennzeichnung. Artikel 50 Absatz 4 schreibt vor, dass Bild-, Audio- oder Videoinhalte, die Personen oder Ereignisse echt erscheinen lassen, obwohl sie KI-generiert oder KI-manipuliert sind, klar als solche gekennzeichnet werden müssen.^[1] Die Kennzeichnung muss modalitäts-spezifisch sein: persistente visuelle Indikatoren plus Eröffnungs-Disclaimer für Live-Video, sichtbare Labels oder Disclaimer für aufgezeichnetes Video und Bilder, hörbare Disclaimer für Audio.^[4]

Zweite Pflicht: KI-Text-Kennzeichnung bei Public-Interest-Themen. Wer einen LLM-generierten Text veröffentlicht, der “die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren soll”, muss offenlegen, dass der Text künstlich generiert oder manipuliert wurde.^[1] Politische Mitteilungen, Pressetexte, Stellungnahmen zu Tagesereignissen fallen darunter. Ausnahmen gibt es für offensichtlich künstlerische, kreative, satirische oder fiktionale Werke.

Dritte Pflicht: Bot-Kennzeichnung. Artikel 50 Absatz 1 schreibt vor, dass natürliche Personen, die mit einem KI-System interagieren, informiert sein müssen, dass sie mit einem KI-System sprechen — außer wenn das offensichtlich ist.^[1] Ein Wahlkampf-Chatbot, der “Frag den Kandidaten”-Antworten gibt, muss klarmachen, dass die Antworten von einem Modell kommen, nicht vom Kandidaten selbst.

Die Sanktions-Architektur ist dreistufig.^[2]

Stufe eins: verbotene Praktiken. Manipulative KI-Systeme, Ausnutzung von Vulnerabilität, Sozial-Scoring durch Behörden, unautorisierte biometrische Identifikation im öffentlichen Raum. Bußgeld bis 35 Millionen Euro oder 7 Prozent des Weltumsatzes, je nachdem was höher ist.

Stufe zwei: Verletzungen der Pflichten für Hochrisiko-Systeme. Mangelhaftes Risk-Management, Daten-Governance, technische Dokumentation, Transparenz, Cybersecurity. Bußgeld bis 15 Millionen Euro oder 3 Prozent des Weltumsatzes.

Stufe drei: falsche oder irreführende Informationen an die zuständigen Aufsichtsbehörden. Bußgeld bis 7,5 Millionen Euro oder 1 Prozent des Weltumsatzes.

Für Unternehmen unter 50 Millionen Euro Umsatz wird auf 1,5 Prozent des Weltumsatzes oder 7,5 Millionen Euro gedeckelt, je nachdem was niedriger ist — das ist eine wichtige Spezialregel für kleinere Beratungs-Agenturen.^[2]

Drei Beispiele

Erstes Beispiel: Slowakei-Deepfake, September 2023. Zwei Tage vor der Parlamentswahl 2023 zirkulierte auf Facebook und WhatsApp eine KI-generierte Audio-Aufnahme, in der der Vorsitzende der Progressive-Slowakei-Partei Michal Šimečka angeblich mit einer Journalistin diskutiert, wie man die Wahl manipuliert.^[5] Die Aufnahme war ein Deepfake. Die Plattformen reagierten erst nach Stunden — die Wahl-Sperrfrist hatte da bereits begonnen. Šimečkas Partei verlor die Wahl knapp. Unter dem EU AI Act 2026 wäre die Distribution eines solchen Deepfakes ohne Kennzeichnung ein Verstoß gegen Artikel 50 Absatz 4. Für den verbreitenden Akteur droht Stufe-zwei-Sanktion: bis 15 Millionen Euro.

Zweites Beispiel: Biden-Robocall, Januar 2024. Vor der demokratischen Vorwahl in New Hampshire erhielten Wähler eine Robocall-Aufnahme, in der Joe Bidens Stimme — KI-generiert — sie dazu aufrief, “nicht zu wählen”.^[6] Der Auftraggeber, ein politischer Berater namens Steven Kramer, wurde später angeklagt und zu einer Geldstrafe verurteilt. Unter dem EU AI Act wäre dies eine Deepfake-Manipulation ohne Kennzeichnung plus möglicherweise eine verbotene manipulative KI-Praxis nach Artikel 5. Sanktion potenziell Stufe eins: bis 35 Millionen Euro oder 7 Prozent Weltumsatz.

Drittes Beispiel: Trump-Fake-Bilder, mehrere Vorfälle 2024–2025. Im Wahlkampf 2024 verbreiteten sich KI-generierte Bilder, die Donald Trump in inszenierten Szenen mit Wählerinnen oder Wählern zeigen. Einige davon wurden vom Trump-Wahlkampfteam selbst weiterverbreitet, andere von Sympathisanten.^[6] Die Plattform-Reaktionen waren uneinheitlich. Unter dem EU AI Act würde die Verbreitung solcher Bilder ohne sichtbares Label gegen Artikel 50 Absatz 4 verstoßen. Sanktion Stufe zwei: bis 15 Millionen Euro.

Drei Vorfälle aus drei verschiedenen politischen Kontexten. Drei Sanktionsspuren. Alle drei wären 2026 unter dem voll wirksamen EU AI Act anders zu bewerten.

Was schief gehen kann

Drei wiederkehrende Risiken in der politischen Praxis.

Erstens, die Voice-Cloning-Falle. ElevenLabs und ähnliche Werkzeuge können eine Stimme nach wenigen Minuten Trainingsmaterial klonen. Politische Anwendungsfälle: Übersetzung von Politiker-Reden in Diaspora-Sprachen, schnelle Audio-Briefings, Barrierefreiheit. Ohne sichtbare Kennzeichnung fällt das ab 2. August 2026 unter Deepfake-Disclosure. Stufe-zwei-Sanktion. Siehe T1-C13 — Voice-Cloning.

Zweitens, die LLM-Pressemitteilungs-Falle. Wer Pressemitteilungen mit Claude, GPT-4 oder Mistral entwirft und ohne menschliche Substanz-Überarbeitung verbreitet, generiert KI-Text zu Public-Interest-Themen. Die Kennzeichnungspflicht greift. Die Codes of Practice der EU-Kommission, deren finale Fassung für Juni 2026 erwartet wird, werden präzisieren, wie tief die Kennzeichnung gehen muss.^[4] Bis dahin gilt: explizit kennzeichnen, lieber zu viel als zu wenig.

Drittens, die Chatbot-Falle. Ein Wahlkampf-Chatbot auf der Kandidaten-Website, der Bürger-Fragen beantwortet, muss eindeutig als KI-System gekennzeichnet sein. Ein freundliches “Hi, ich bin Alex vom Team Müller” reicht nicht — es muss klar werden, dass Alex ein Modell ist, kein Mensch. Wer das verwischt, riskiert eine Sanktion und einen Vertrauensschaden.

Eine vierte, oft unterschätzte Falle: AI-Werbung auf politischen Plattformen. Die EU-Verordnung über die Transparenz und das Targeting politischer Werbung (TTPA) gilt seit Oktober 2025 in Kombination mit dem AI Act. Wer KI-Bilder oder KI-Audio in politischer Werbung verwendet, fällt unter beide Regelwerke gleichzeitig. Die Sanktionspraxis dazu wird sich erst über die nächsten Monate herausbilden — aber die Architektur steht.

Operativer Hinweis: Die ECITT (European AI Office) ist die zuständige Aufsicht für GPAI-Modelle. Nationale Aufsichten — in Deutschland die Bundesnetzagentur plus Landesdatenschutz-Behörden — überwachen die anwendungsseitige Compliance. Wer ein Bußgeld kassiert, kassiert es zweimal: einmal als Geldstrafe, einmal als Skandal-Schaden.

Wo das hingehört

Die Voice-Cloning-Risiken im Detail: T1-C13 — Voice-Cloning. Die DSGVO-Spur, die parallel zum AI Act läuft: T1-C20 — DSGVO und KI. Die volle Pipeline-Architektur mit Compliance-Layer: T1-C09 — Sieben-Stufen-Pipeline.

Codex AI-Automation und Implementierung hat die voll ausgearbeitete Compliance-Architektur für politische KI-Pipelines, inklusive Code-Templates und Eskalations-Logik.

Was du als nächstes tust

Heute machst du eine Inventur. Welche KI-Tools setzt dein Team aktuell ein? LLMs für Copy, Bild-Generatoren für Visuals, Voice-Tools für Übersetzungen, Chatbots auf der Kampagnen-Website? Pro Tool prüfst du drei Fragen: Werden die Outputs für Public-Interest-Themen verwendet? Sind sie aktuell als KI-generiert gekennzeichnet? Würde die Kennzeichnung am 2. August 2026 die Artikel-50-Anforderungen erfüllen?

Wenn auch nur eine der drei Fragen mit Nein beantwortet wird, ist das ein offenes Compliance-Risiko. Du baust eine Kennzeichnungs-Routine auf, dokumentierst die Verwendung, und stellst sicher, dass deine externen Dienstleister dieselbe Routine fahren. Die Bundesnetzagentur prüft nicht den Auftragnehmer — sie prüft dich.

Quellen

1. EU AI Act, Artikel 50 — Transparenz-Pflichten für Anbieter und Bereitsteller bestimmter KI-Systeme, Geltung 02.08.2026, Permalink, Abruf 17.05.2026.

2. EU AI Act, Artikel 99 — Sanktionen, Permalink, Abruf 17.05.2026.

3. Quinn Emanuel, Initial Prohibitions Under EU AI Act Take Effect, Februar 2025, Permalink, Abruf 17.05.2026.

4. Europäische Kommission, Code of Practice on AI Labelling and Transparency — Entwurf, Januar 2026, Permalink, Abruf 17.05.2026.

5. Columbia Journal of European Law, Deepfake, Deep Trouble: The European AI Act and the Fight Against AI-Generated Misinformation, 2024, Permalink, Abruf 17.05.2026.

6. Codex 04 — AI-Automation und Implementierung, Sektion zu Deepfake-Vorfällen (Slowakei, Biden-Robocall, Trump-Bilder), Stand Mai 2026, interne Quelle Schreiner Content Systems.