EU AI Act 2026: Was Unternehmen jetzt umsetzen müssen
Benedikt Langer
Das Wichtigste in Kürze Seit Februar 2025 gelten die ersten Verbote des AI Act — ab August 2025 ...
Zum Beitrag
Das Wichtigste in Kürze
- Seit Februar 2025 gelten die ersten Verbote des AI Act — ab August 2025 werden die Anforderungen für Hochrisiko-KI vollständig durchgesetzt.
- Über 300.000 Unternehmen in der EU sind direkt betroffen — als Anbieter, Betreiber oder Importeure von KI-Systemen.
- Die Risikokategorien bestimmen den Compliance-Aufwand: Von Transparenzpflichten für Chatbots bis zu umfassenden Dokumentationsanforderungen für Hochrisiko-Systeme.
- Bußgelder reichen bis 35 Millionen Euro oder 7 Prozent des Jahresumsatzes — die Durchsetzung beginnt 2026.
- Pragmatische Compliance startet mit einem KI-Inventar und einer Risikokategorisierung aller eingesetzten Systeme.
Der EU AI Act ist das weltweit erste umfassende KI-Gesetz — und nach den Übergangsfristen wird 2026 zum Jahr der Durchsetzung. Für Unternehmen bedeutet das: Die Zeit der theoretischen Vorbereitung ist vorbei. Jetzt muss umgesetzt werden.
Die gute Nachricht: Nicht jedes Unternehmen braucht ein Compliance-Programm im Umfang eines Pharma-Konzerns. Der AI Act ist risikobasiert — der Aufwand richtet sich nach der Risikokategorie der eingesetzten KI-Systeme. Die schlechte Nachricht: Die meisten Unternehmen wissen nicht einmal, welche KI-Systeme sie einsetzen.
Das Risikostufen-System verstehen
Der AI Act klassifiziert KI-Systeme in vier Risikokategorien:
Verboten: Social Scoring, biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen, KI-Systeme, die Schwachstellen von Personen ausnutzen. Diese Verbote gelten bereits seit Februar 2025.
Hochrisiko: KI in Bereichen wie Personalrekrutierung, Kreditscoring, Bildung, Justiz, kritische Infrastruktur und Sicherheitskomponenten. Hier gelten die umfassendsten Anforderungen: Konformitätsbewertung, Risikomanagementsystem, Daten-Governance, Transparenz, menschliche Aufsicht und technische Dokumentation.
Begrenztes Risiko: Chatbots, Deepfakes, Emotion-Recognition-Systeme. Hier gelten primär Transparenzpflichten: Nutzer müssen wissen, dass sie mit einer KI interagieren.
Minimales Risiko: Spam-Filter, KI-gestützte Textverarbeitung, Empfehlungsalgorithmen. Keine spezifischen Anforderungen, aber freiwillige Verhaltenskodizes empfohlen.
Wer ist betroffen — und wie
Der AI Act betrifft nicht nur KI-Entwickler, sondern die gesamte Wertschöpfungskette:
Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln und in den Markt bringen. Sie tragen die Hauptlast der Compliance — einschließlich Konformitätsbewertung und CE-Kennzeichnung für Hochrisiko-Systeme.
Betreiber (Deployer): Unternehmen, die KI-Systeme einsetzen. Sie müssen sicherstellen, dass Hochrisiko-Systeme gemäß Gebrauchsanweisung eingesetzt werden, menschliche Aufsicht gewährleisten und eine Grundrechte-Folgenabschätzung durchführen.
Importeure und Händler: Wer KI-Systeme aus Drittstaaten in die EU bringt, muss sicherstellen, dass diese den AI Act erfüllen.
Die meisten Unternehmen sind Betreiber — und unterschätzen ihren Compliance-Aufwand. Jedes Unternehmen, das ein KI-gestütztes Recruiting-Tool, ein automatisiertes Kreditscoring oder eine KI-basierte Qualitätskontrolle einsetzt, hat Pflichten als Betreiber eines Hochrisiko-Systems.
5-Schritte-Compliance-Plan
Schritt 1: KI-Inventar erstellen. Welche KI-Systeme sind im Einsatz? Die Antwort überrascht fast immer. Von der automatisierten Rechnungsverarbeitung über KI-gestützte Personalauswahl bis zum Chatbot im Kundenservice — viele Systeme enthalten KI, ohne dass es offensichtlich ist.
Schritt 2: Risikokategorisierung. Jedes identifizierte System wird nach dem Risikostufen-Modell des AI Act klassifiziert. Für Hochrisiko-Systeme beginnt der umfangreiche Compliance-Prozess.
Schritt 3: Gap-Analyse. Welche Anforderungen erfüllt das Unternehmen bereits? Viele Unternehmen haben durch DSGVO-Compliance bereits Teile der Infrastruktur — Daten-Governance, Folgenabschätzungen, Transparenzprozesse.
Schritt 4: Umsetzungsroadmap. Priorisierung nach Risiko und Aufwand. Hochrisiko-Systeme mit großer Nutzerreichweite zuerst.
Schritt 5: Governance-Struktur. Ein KI-Verantwortlicher oder KI-Board, das die laufende Compliance sicherstellt — einschließlich Monitoring, Incident-Reporting und regelmäßiger Reviews.
Chancen hinter der Regulierung
Der AI Act wird primär als Belastung wahrgenommen. Aber drei strategische Chancen werden oft übersehen:
Exportvorteil: AI-Act-konforme Systeme erfüllen automatisch die Anforderungen der meisten globalen Märkte. Für europäische Unternehmen, die KI-Produkte international verkaufen, wird Compliance zum Qualitätssiegel.
Vertrauensvorsprung: Kunden — besonders im B2B-Bereich — bevorzugen nachweislich konforme KI-Lösungen. In regulierten Branchen wie Finanzen, Gesundheit und öffentlicher Verwaltung wird AI-Act-Compliance zur Markteintrittsvoraussetzung.
Qualitätsverbesserung: Die Dokumentations- und Testanforderungen des AI Act zwingen Unternehmen, ihre KI-Systeme systematischer zu entwickeln und zu betreiben. Das reduziert Fehler, verbessert die Performance und senkt langfristig die Wartungskosten. Unternehmen, die Compliance als Qualitätsinitiative begreifen, gewinnen doppelt.
Häufige Fragen
Gilt der AI Act auch für KI-Tools wie ChatGPT?
Ja. OpenAI als Anbieter muss die Anforderungen für General Purpose AI erfüllen. Unternehmen, die ChatGPT einsetzen, sind Betreiber und müssen Transparenzpflichten erfüllen — Nutzer müssen wissen, dass sie mit KI interagieren. Bei Einsatz in Hochrisiko-Bereichen gelten zusätzliche Anforderungen.
Was kostet die AI-Act-Compliance?
Für mittelständische Unternehmen mit wenigen Hochrisiko-Systemen typischerweise 50.000 bis 200.000 Euro im ersten Jahr. Für Unternehmen mit vielen Hochrisiko-Systemen oder eigener KI-Entwicklung kann der Aufwand auf 500.000 Euro und mehr steigen. KMU profitieren von vereinfachten Compliance-Wegen, die der AI Act vorsieht.
Wer überwacht die Einhaltung?
Jeder EU-Mitgliedsstaat benennt nationale Aufsichtsbehörden. In Deutschland wird voraussichtlich die Bundesnetzagentur federführend sein. Zusätzlich wird ein europäisches KI-Büro die Durchsetzung koordinieren. Die Aufsichtsbehörden können Audits durchführen, Informationen anfordern und Bußgelder verhängen.
Müssen auch Nicht-EU-Unternehmen den AI Act einhalten?
Ja, wenn ihre KI-Systeme in der EU eingesetzt werden oder EU-Bürger betreffen. Das Prinzip entspricht der DSGVO: Der Regelungsstandort ist nicht der Sitz des Unternehmens, sondern der Ort der Anwendung. US-Tech-Konzerne müssen ihre Systeme für den EU-Markt anpassen.
Was passiert mit bestehenden KI-Systemen?
Bestehende Hochrisiko-Systeme müssen bis spätestens August 2027 die Anforderungen erfüllen. Systeme, die vor Inkrafttreten wesentlich verändert werden, fallen sofort unter die neuen Regeln. Die Empfehlung: Nicht auf die letzte Frist warten, sondern die Compliance schrittweise aufbauen.
Quelle des Titelbildes: Unsplash / Guillaume Périgois