EU AI Act: Was Unternehmen jetzt tun müssen
Der EU AI Act tritt ab August 2026 vollständig in Kraft. Ein praktischer Leitfaden für die Vorbereitung – Risikoklassen, Pflichten und 5-Schritte-Plan.
Am 2. August 2026 treten die letzten Bestimmungen des EU AI Act (Verordnung (EU) 2024/1689) in Kraft. Dann müssen alle Unternehmen, die KI-Systeme in der EU einsetzen, entwickeln oder vertreiben, die Anforderungen erfüllen. Die Bußgelder sind empfindlich: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Dieser Artikel erklärt, was auf Unternehmen zukommt und wie Sie sich vorbereiten können.
Was ist der EU AI Act?
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.
Wichtig: Der AI Act gilt nicht nur für KI-Entwickler, sondern auch für Anwender (Deployer) und Importeure von KI-Systemen. Wenn Sie ChatGPT, Copilot oder KI-basierte RPA-Lösungen einsetzen, sind Sie betroffen.
Die vier Risikoklassen
Unannehmbares Risiko (verboten)
KI-Systeme, die grundlegende Rechte verletzen:
- Social Scoring durch Behörden
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (mit Ausnahmen)
Hohes Risiko (streng reguliert)
KI-Systeme in kritischen Bereichen:
- Personalwesen: KI-gestütztes Recruiting, Leistungsbewertung
- Kreditwürdigkeit: Scoring und Bonitätsprüfung
- Bildung: Automatisierte Prüfungsbewertung, Zugangssteuerung
- Kritische Infrastruktur: KI in Energie, Wasser, Verkehr
- Strafverfolgung: Predictive Policing, Risikobewertung
- Migration: Grenzkontrolle, Visum-Entscheidungen
Pflichten für Hochrisiko-KI:
- Risikomanagement-System
- Datenqualitäts-Anforderungen (Trainingsdaten)
- Technische Dokumentation
- Logging und Nachvollziehbarkeit
- Transparenz und Information an Nutzer
- Menschliche Aufsicht (Human-in-the-Loop)
- Genauigkeit, Robustheit und Cybersecurity
- Konformitätsbewertung vor Inbetriebnahme
Begrenztes Risiko (Transparenzpflichten)
- Chatbots müssen als KI gekennzeichnet werden
- KI-generierte Inhalte (Bilder, Texte, Audio) müssen als solche erkennbar sein
- Deepfakes müssen gekennzeichnet werden
Minimales Risiko (keine besonderen Pflichten)
- Spam-Filter, Empfehlungssysteme, KI in Videospielen
- Freiwillige Verhaltenskodizes empfohlen
Timeline: Was gilt ab wann?
| Datum | Was gilt |
|---|---|
| 02.02.2025 | Verbote (unannehmbares Risiko) in Kraft |
| 02.08.2025 | Governance-Struktur, GPAI-Regeln (General Purpose AI wie GPT) |
| 02.08.2026 | Vollständige Geltung aller Bestimmungen inkl. Hochrisiko-KI |
| 02.08.2027 | Pflichten für bestimmte eingebettete KI-Systeme (Annex I) |
Bußgelder
| Verstoß | Bußgeld |
|---|---|
| Verbotene KI-Praktiken | bis 35 Mio. EUR oder 7 % Umsatz |
| Hochrisiko-Anforderungen | bis 15 Mio. EUR oder 3 % Umsatz |
| Falsche Informationen an Behörden | bis 7,5 Mio. EUR oder 1 % Umsatz |
Für KMU gelten reduzierte Bußgelder, aber keine Ausnahme von den Pflichten.
5-Schritte-Plan zur Vorbereitung
Schritt 1: KI-Inventar erstellen
Erfassen Sie alle KI-Systeme in Ihrem Unternehmen – nicht nur die offensichtlichen. Dazu gehören:
- Eigenentwickelte KI-Modelle
- Zugekaufte KI-Software (SaaS)
- Eingebettete KI in bestehenden Tools (z.B. Copilot in Microsoft 365)
- RPA mit KI-Komponenten (z.B. UIPath DocumentUnderstanding)
Schritt 2: Risikoklassifizierung durchführen
Ordnen Sie jedes KI-System einer der vier Risikoklassen zu. Nutzen Sie die Annex-Listen des AI Act als Prüfraster. Bei Unsicherheit: lieber konservativ einstufen.
Schritt 3: Gap-Analyse für Hochrisiko-Systeme
Für jedes Hochrisiko-System: Prüfen Sie systematisch gegen die 8 Anforderungen (Risikomanagement, Datenqualität, Dokumentation, Logging, Transparenz, Human Oversight, Genauigkeit, Cybersecurity).
Schritt 4: KI-Governance aufbauen
- Rollen definieren: Wer ist für KI-Compliance verantwortlich? (CISO? CDO? Neuer AI Officer?)
- Prozesse etablieren: KI-Systeme genehmigen, überwachen, dokumentieren
- Schulungen: Mitarbeitende sensibilisieren (Transparenzpflichten, Kennzeichnung)
Schritt 5: Dokumentation und Monitoring
- Technische Dokumentation für alle Hochrisiko-Systeme
- Logging-System für Nachvollziehbarkeit
- Regelmäßige Überprüfung und Updates
EU AI Act + NIS2: Doppelte Compliance
Viele Unternehmen sind gleichzeitig von NIS2 und dem EU AI Act betroffen – insbesondere in KRITIS-Sektoren. Die gute Nachricht: Viele Anforderungen überlappen sich (Risikomanagement, Dokumentation, Incident Response). Ein integrierter Compliance-Ansatz spart Zeit und Geld.
Fazit
Der EU AI Act ist keine ferne Zukunft – August 2026 ist in fünf Monaten. Unternehmen, die jetzt mit der Vorbereitung beginnen, haben einen klaren Vorteil gegenüber denen, die auf Enforcement warten. Der wichtigste erste Schritt: Wissen, welche KI-Systeme im Einsatz sind und in welche Risikoklasse sie fallen.
Sie möchten Ihre EU AI Act-Readiness bewerten lassen? Vereinbaren Sie ein Erstgespräch – wir prüfen Ihre KI-Systeme in 4–6 Tagen gegen alle Anforderungen.