Zum Inhalt springen
· 5 Min. Lesezeit

EU AI Act ab August 2026: Die Countdown-Checkliste für die letzten 90 Tage

Am 2. August 2026 greifen die Hochrisiko-Pflichten des EU AI Act. Was Unternehmen in den letzten 90 Tagen noch tun müssen – eine praxistaugliche Checkliste.

Simon Schilling
Simon Schilling
Gründer & Managing Consultant · LinkedIn

90 Tage bis zum Stichtag – und jetzt?

Am 2. August 2026 treten die Hochrisiko-Bestimmungen des EU AI Act vollständig in Kraft. Wer KI-Systeme einsetzt, die unter die Hochrisiko-Kategorie fallen, muss dann nachweisen können, dass diese Systeme den Anforderungen entsprechen. Keine Übergangsfristen mehr, keine Schonfrist.

Für viele Unternehmen bedeutet das: Die Zeit wird knapp. Wer jetzt noch keinen strukturierten Plan hat, riskiert nicht nur Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, sondern auch den Verlust des Vertrauens von Kunden und Partnern.

Dieser Artikel ist kein weiterer Überblick über den EU AI Act – dafür gibt es unseren allgemeinen Leitfaden. Stattdessen konzentrieren wir uns auf die konkreten Maßnahmen, die in den letzten 90 Tagen vor dem Stichtag noch umsetzbar sind.

Was am 2. August 2026 konkret passiert

Ab diesem Datum gelten die vollständigen Anforderungen für Hochrisiko-KI-Systeme nach Artikel 6–51 des EU AI Act. Das betrifft:

  • Risikomanagementsysteme (Art. 9): Dokumentierte Risikobewertung für jedes Hochrisiko-System
  • Daten-Governance (Art. 10): Nachweisbare Qualität der Trainings- und Testdaten
  • Technische Dokumentation (Art. 11): Vollständige Systembeschreibung, Leistungsmetriken, Grenzen
  • Aufzeichnungspflichten (Art. 12): Automatische Protokollierung aller relevanten Ereignisse
  • Transparenz (Art. 13): Gebrauchsanweisungen für Deployer, Hinweis auf KI-Einsatz für Betroffene
  • Menschliche Aufsicht (Art. 14): Nachweisbare Human-in-the-Loop-Mechanismen
  • Genauigkeit und Robustheit (Art. 15): Dokumentierte Leistungskennzahlen und Sicherheitsmaßnahmen

Wichtig: Diese Pflichten gelten nicht nur für Entwickler (Provider), sondern auch für Anwender (Deployer). Wenn Sie ein Hochrisiko-KI-System einsetzen – etwa für Personalauswahl, Kreditentscheidungen oder Zugangskontrolle – sind Sie in der Pflicht.

Die 90-Tage-Checkliste

Phase 1: Inventur und Klassifizierung (Tage 90–70)

KI-Inventar erstellen. Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen im Einsatz sind – einschließlich eingekaufter SaaS-Lösungen, die KI-Funktionen enthalten. Viele Unternehmen unterschätzen, wie viele KI-Systeme bereits aktiv sind.

Risikoklasse bestimmen. Klassifizieren Sie jedes System nach dem risikobasierten Ansatz des AI Act. Nicht jede KI ist Hochrisiko – aber die Einstufung muss dokumentiert und begründet sein. Im Zweifel lieber konservativ klassifizieren.

Verantwortlichkeiten zuordnen. Wer ist Provider, wer Deployer? Bei eingekauften Systemen: Welche Pflichten liegen beim Anbieter, welche bei Ihnen? Prüfen Sie bestehende Verträge auf AI-Act-konforme Klauseln.

Phase 2: Lücken schließen (Tage 70–30)

Risikomanagementsystem aufsetzen. Für jedes Hochrisiko-System brauchen Sie eine dokumentierte Risikobewertung. Nutzen Sie das KI-Governance-Framework als Ausgangspunkt – die dort beschriebenen fünf Säulen decken die wesentlichen AI-Act-Anforderungen ab.

Technische Dokumentation vervollständigen. Der AI Act verlangt umfassende Dokumentation: Systemarchitektur, Trainingsmethodik, Leistungsmetriken, bekannte Grenzen und Bias-Analysen. Bei eingekauften Systemen: Fordern Sie diese Dokumentation von Ihrem Anbieter an.

Audit-Trails implementieren. KI-Systeme müssen ihre Entscheidungen nachvollziehbar protokollieren. Die technische Umsetzung hängt stark vom eingesetzten Framework ab – Enterprise-Plattformen bringen das oft mit, bei Open-Source-Lösungen ist Eigenleistung nötig.

Datenschutz-Folgenabschätzung aktualisieren. Wenn Ihre KI personenbezogene Daten verarbeitet, muss die DSFA den AI-Act-Kontext berücksichtigen. Die DSGVO und der AI Act greifen hier ineinander.

Phase 3: Validierung und Nachweis (Tage 30–0)

Konformitätsbewertung durchführen. Hochrisiko-Systeme nach Anhang III erfordern eine Konformitätsbewertung. In vielen Fällen ist eine Selbstbewertung zulässig – aber sie muss methodisch sauber und dokumentiert sein.

Human-in-the-Loop testen. Prüfen Sie, ob Ihre menschlichen Aufsichtsmechanismen in der Praxis funktionieren. Können Ihre Mitarbeitenden KI-Entscheidungen effektiv überwachen und bei Bedarf eingreifen? Reine Alibifunktionen reichen nicht.

Transparenzpflichten umsetzen. Betroffene Personen müssen wissen, dass sie mit einem KI-System interagieren. Deployer müssen über den Einsatzkontext und die Grenzen des Systems informiert sein. Prüfen Sie Ihre Nutzerhinweise und Gebrauchsanweisungen.

Notfallplan definieren. Was passiert, wenn ein System am Stichtag nicht compliant ist? Definieren Sie jetzt, welche Systeme Sie notfalls abschalten und welche Workarounds möglich sind.

Die drei größten Fehler in der Schlussphase

1. Auf den Anbieter verlassen. „Unser SaaS-Anbieter wird schon compliant sein” ist keine Strategie. Prüfen Sie aktiv, ob Ihre Anbieter die Provider-Pflichten erfüllen – und dokumentieren Sie die Prüfung.

2. Nur die offensichtlichen Systeme betrachten. Der AI Act definiert KI-Systeme breiter als viele erwarten. Auch regelbasierte Systeme mit Machine-Learning-Komponenten können betroffen sein. Lieber ein System zu viel prüfen als eines zu wenig.

3. Governance als Einmalprojekt behandeln. Die Compliance zum Stichtag ist der Anfang, nicht das Ende. Der AI Act verlangt kontinuierliches Risikomanagement und regelmäßige Überprüfung. Planen Sie die Ressourcen für den laufenden Betrieb ein.

Was nach dem 2. August kommt

Der Stichtag ist kein Endpunkt. Ab August 2026 beginnt die Marktüberwachung durch nationale Behörden. In Deutschland wird das voraussichtlich die Bundesnetzagentur übernehmen. Rechnen Sie mit:

  • Stichprobenprüfungen bei Unternehmen, die Hochrisiko-KI einsetzen
  • Beschwerdemechanismen für betroffene Personen
  • Branchenspezifischen Leitlinien, die die Anforderungen weiter konkretisieren

Unternehmen, die jetzt eine solide Governance-Basis schaffen, sind nicht nur compliant – sie sind auch besser aufgestellt, wenn die Anforderungen in den kommenden Jahren weiter steigen.

Fazit: Jetzt handeln, nicht abwarten

90 Tage klingen nach viel – sind es aber nicht, wenn Sie bei null anfangen. Die gute Nachricht: Viele der erforderlichen Maßnahmen überschneiden sich mit guter KI-Governance, die ohnehin sinnvoll ist. Wer in regulierten Umfeldern KI einsetzt, profitiert doppelt: von Compliance und von besserer Steuerung.

Der EU AI Act ist kein Bürokratiemonster – er ist der Rahmen, in dem KI-Innovation nachhaltig stattfinden kann. Nutzen Sie die verbleibende Zeit.

Sie möchten wissen, wo Ihr Unternehmen beim EU AI Act steht? Der AI Act Quick-Check liefert in wenigen Tagen eine fundierte Einschätzung – mit konkreten Handlungsempfehlungen für Ihre KI-Systeme.

Hat Ihnen dieser Artikel geholfen? Auf LinkedIn teilen