EU AI Act 2026: Was Unternehmen bis August wissen müssen

EU AI Act Pflichten für Unternehmen sind seit August 2025 schrittweise in Kraft — und ab August 2026 gelten die strengsten Anforderungen für Hochrisiko-KI. Was bedeutet das konkret für Ihr Unternehmen?

Was ist der EU AI Act?

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Stufen: verbotene Praktiken, Hochrisiko-KI, begrenzt riskante Systeme und minimale Risiken. Die Verordnung trat im August 2024 in Kraft, wurde jedoch stufenweise eingeführt — mit dem wichtigsten Meilenstein am 2. August 2026, wenn die vollständigen Anforderungen für Hochrisiko-KI-Systeme verpflichtend werden.

Für Unternehmen, die KI einsetzen, entwickeln oder vertreiben, bedeutet das: Wer jetzt noch nicht gehandelt hat, gerät in Zeitdruck.

Welche KI-Systeme gelten als Hochrisiko?

Die Kategorisierung ist entscheidend. Hochrisiko-KI-Systeme im Sinne des AI Act umfassen unter anderem:

- **Personalentscheidungen:** KI zur Bewerberauswahl, Leistungsbewertung oder Kündigung - **Kreditwürdigkeit:** Automatisierte Bonitätsprüfungen und Kreditentscheidungen - **Bildungszugang:** KI-Systeme zur Bewerberbewertung an Schulen oder Hochschulen - **Kritische Infrastruktur:** KI in der Steuerung von Strom-, Wasser- oder Transportnetzen - **Strafverfolgung:** Biometrische Erkennung, Risikoprofilierung oder Beweisauswertung - **Medizinprodukte:** KI als Bestandteil von Medizinprodukten der Klasse IIa aufwärts

Viele Unternehmen unterschätzen, wie weit diese Definition reicht. Ein automatisierter Screening-Algorithmus im Recruiting-Prozess oder ein KI-gestütztes Credit-Scoring-Tool fällt bereits darunter — auch wenn es als einfaches Software-Feature vermarktet wird.

Was müssen betroffene Unternehmen bis August 2026 umsetzen?

Für Hochrisiko-KI-Systeme sieht der EU AI Act einen umfangreichen Pflichtenkatalog vor:

### 1. Risikomanagement-System

Unternehmen müssen ein dokumentiertes Risikomanagement-System einrichten, das die Identifikation, Analyse und Minderung von Risiken des KI-Systems über seinen gesamten Lebenszyklus umfasst. Das ist kein einmaliger Prozess, sondern eine kontinuierliche Verpflichtung.

### 2. Technische Dokumentation

Vor dem Markteintritt muss eine detaillierte technische Dokumentation erstellt werden. Sie beschreibt Zweck, Design, Trainingsdaten, Leistungsgrenzen und erwartete Risiken des Systems. Diese Dokumentation muss für Behörden auf Anfrage bereitgestellt werden.

### 3. Datenpflichten

Trainingsdaten müssen auf Vollständigkeit, Fehlerfreiheit und potenzielle Verzerrungen (Bias) geprüft werden. Unternehmen müssen nachweisen können, dass ihre KI-Systeme nicht diskriminierend wirken.

### 4. Transparenz und Protokollierung

Hochrisiko-Systeme müssen automatisch Logs generieren, die eine nachträgliche Überprüfung der Ergebnisse ermöglichen. Entscheidungen müssen für betroffene Personen erklärbar sein.

### 5. Menschliche Aufsicht

Für alle Hochrisiko-KI-Systeme ist eine wirksame menschliche Aufsicht vorgeschrieben. Das bedeutet: Vollautomatische Entscheidungen ohne jede menschliche Kontrollmöglichkeit sind für Hochrisiko-Anwendungen nicht zulässig.

### 6. CE-Konformitätsbewertung

Wer Hochrisiko-KI in der EU in Verkehr bringt, muss ein Konformitätsbewertungsverfahren durchlaufen und das CE-Kennzeichen anbringen. Für viele Systeme ist eine Selbstauskunft möglich, für andere ist eine Prüfung durch benannte Stellen erforderlich.

Welche Bußgelder drohen?

Die Sanktionen sind erheblich: Bei Verstößen gegen Verbote (z. B. verbotene biometrische Überwachung) drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Verstöße gegen Anforderungen für Hochrisiko-Systeme können mit bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes geahndet werden. Zum Vergleich: DSGVO-Bußgelder erreichen maximal 20 Millionen Euro oder 4 Prozent des Umsatzes.

Was bedeutet der EU AI Act für DSGVO-konforme KI?

Der EU AI Act ergänzt die DSGVO — er ersetzt sie nicht. In der Praxis entsteht ein Compliance-Doppelpack: Wer personenbezogene Daten in KI-Systemen verarbeitet, muss sowohl DSGVO- als auch AI-Act-Anforderungen erfüllen. Insbesondere die Transparenz- und Auskunftspflichten beider Regelwerke greifen ineinander. Europäische Datenschutzbehörden werden voraussichtlich gemeinsam mit den neuen nationalen AI-Act-Aufsichtsbehörden agieren.

Praktische Sofortmaßnahmen für Unternehmen

Wer jetzt handelt, hat noch ausreichend Zeit. Folgende Schritte sollten unverzüglich eingeleitet werden:

1. **KI-Inventarisierung:** Erstellen Sie eine vollständige Liste aller KI-Systeme, die in Ihrem Unternehmen eingesetzt werden — intern entwickelt oder zugekauft. 2. **Risikoeinstufung:** Prüfen Sie für jedes System, ob es unter die Hochrisiko-Kategorien des AI Act fällt. Im Zweifel juristischen Rat einholen. 3. **Gap-Analyse:** Vergleichen Sie den Ist-Zustand Ihrer Dokumentation, Datenpraktiken und Governance-Prozesse mit den Anforderungen des AI Act. 4. **Zuständigkeiten klären:** Benennen Sie eine verantwortliche Person oder Funktion für AI-Act-Compliance in Ihrem Unternehmen. 5. **Lieferantenprüfung:** Fordern Sie von KI-Software-Anbietern die entsprechende technische Dokumentation und Konformitätsnachweise an.

Häufige Fragen zum EU AI Act

### Gilt der EU AI Act auch für zugekaufte KI-Software?

Ja. Wer KI-Systeme als Anwender in seinem Unternehmen einsetzt, trägt ebenfalls Pflichten — insbesondere die Sicherstellung der menschlichen Aufsicht, die Protokollierung und die Meldepflichten bei Vorfällen. Die Verantwortung liegt nicht allein beim Softwareanbieter.

### Muss jedes Unternehmen eine Konformitätserklärung erstellen?

Nicht für alle KI-Systeme. Nur Hochrisiko-KI erfordert eine förmliche Konformitätsbewertung. Für Systeme mit minimalem Risiko — etwa einfache Spam-Filter oder Textverarbeitungshilfen — genügen freiwillige Verhaltenskodizes. Entscheidend ist die korrekte Risikoeinstufung.

### Was passiert, wenn ein Lieferant keine Dokumentation bereitstellt?

Unternehmen sollten in Lieferantenverträgen ausdrücklich eine AI-Act-konforme Dokumentation einfordern. Ohne diese Nachweise setzen sie sich bei einer Prüfung durch nationale Behörden dem Risiko aus, gemeinsam für Compliance-Mängel haftbar gemacht zu werden.

Fazit: Der August-Deadline jetzt begegnen

Der EU AI Act ist kein hypothetisches Zukunftsszenario — er ist geltendes EU-Recht mit klaren Fristen. Unternehmen, die KI einsetzen oder planen, sollten spätestens jetzt mit der systematischen Compliance-Prüfung beginnen. Die gute Nachricht: Wer KI von Anfang an datenschutzkonform und transparent gestaltet, erfüllt viele AI-Act-Anforderungen ohnehin bereits. Der Weg zur Compliance ist kein regulatorischer Bremsklotz, sondern eine Chance, Vertrauen bei Kunden, Partnern und Behörden aufzubauen.