EU AI Act: Was Unternehmen 2026 jetzt wissen und umsetzen müssen

Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Er gilt unmittelbar in allen EU-Mitgliedstaaten – ohne nationales Umsetzungsgesetz. Seit August 2024 in Kraft, greift er für die meisten Unternehmen schrittweise bis August 2026 bzw. 2027.

Dieser Beitrag erklärt ohne Behördendeutsch, was der AI Act für den deutschen Mittelstand konkret bedeutet – ob als KI-Nutzer, Auftraggeber oder Entwickler.

Zeitplan: Wann gilt was?

Zeitpunkt	Was gilt
August 2024	AI Act in Kraft getreten
Februar 2025	Verbote für inakzeptable KI-Systeme gelten
August 2025	Pflichten für GPAI-Modelle (große KI-Modelle wie GPT-4) gelten
August 2026	Hauptteil der Pflichten für Hochrisiko-KI-Systeme
August 2027	Pflichten für bestehende Hochrisiko-Systeme (Bestandsschutzregel läuft aus)

Wichtig: Wer heute ein neues KI-System plant oder in Auftrag gibt, sollte es bereits AI-Act-konform konzipieren – selbst wenn die Pflichten formal erst 2026 greifen. Nachträgliche Anpassungen sind deutlich teurer.

Das Risikoklassenmodell: Vier Stufen

Kurz: Der AI Act klassifiziert KI-Systeme nach ihrem Risiko.

Der AI Act klassifiziert KI-Systeme nach ihrem Risiko. Die Klassifizierung bestimmt, welche Pflichten gelten.

Inakzeptables Risiko – verboten: Bestimmte KI-Anwendungen sind vollständig verboten:

• Biometrische Echtzeitüberwachung im öffentlichen Raum (mit engen Ausnahmen)
• Social Scoring durch staatliche Stellen
• Manipulation von Personen durch unbewusste Beeinflussung
• Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (mit Ausnahmen)

Hohes Risiko – strenge Anforderungen: KI-Systeme, die wesentliche Auswirkungen auf Personen haben können. Dazu gehören u.a.:

• KI in Einstellungsverfahren und Personalmanagement
• KI in der Kreditvergabe und Bonitätsprüfung
• KI in medizinischen Diagnose- und Behandlungssystemen
• KI in kritischer Infrastruktur (Energie, Wasser, Verkehr)
• KI in der Strafverfolgung und Justiz
• Biometrische Identifikation und Kategorisierung

Begrenztes Risiko – Transparenzpflichten:

• Chatbots und KI-Avatare: Nutzer müssen darüber informiert werden, dass sie mit KI interagieren
• Deepfakes und KI-generierte Inhalte: Kennzeichnungspflicht
• Empfehlungssysteme mit bestimmten Auswirkungen

Minimales Risiko – keine spezifischen Pflichten: KI-gestützte Spam-Filter, KI in Videospielen, einfache KI-gestützte Suche – hier gelten keine AI-Act-spezifischen Anforderungen.

Betrifft das Ihren Betrieb?

Kurz: Die erste Frage: Welche Rolle nehmen Sie im AI Act ein?

Die erste Frage: Welche Rolle nehmen Sie im AI Act ein?

Anbieter (Provider): Sie entwickeln ein KI-System und bringen es auf den Markt. Trägt die höchsten Pflichten, insbesondere bei Hochrisiko-Systemen.

Betreiber (Deployer): Sie setzen ein KI-System ein, das ein anderer entwickelt hat. Trägt begrenzte eigene Pflichten, muss aber sicherstellen, dass der Anbieter AI-Act-konform ist.

Importeur / Händler: Vertreibt KI-Systeme aus Drittstaaten in der EU. Trägt Verantwortung für Compliance des Produkts.

Nutzer (User): Privatpersonen und Unternehmen, die KI-Tools nutzen (z.B. ChatGPT für interne Zwecke). Meist minimale Pflichten.

Für den Mittelstand typisch: Sie sind Betreiber – Sie kaufen oder lizenzieren KI-Systeme und setzen sie im Betrieb ein. Und Sie können Auftraggeber sein – Sie geben individuelle KI-Lösungen bei einer Agentur in Auftrag, werden dann faktisch zum Anbieter.

Pflichten für Hochrisiko-KI als Betreiber

Kurz: Wenn Sie ein Hochrisiko-KI-System einsetzen (z.

Wenn Sie ein Hochrisiko-KI-System einsetzen (z.B. KI-gestützte Personalauswahl, automatisierte Kreditentscheidungen):

• Risikomanagementsystem für das KI-System etablieren
• Menschliche Aufsicht sicherstellen: Menschen müssen Entscheidungen des Systems überwachen, verstehen und ggf. übersteuern können
• Protokollierung: Betrieb muss ausreichend protokolliert sein, um im Nachhinein nachvollziehbar zu sein
• Eingabedaten prüfen: Relevanz und Repräsentativität der Eingabedaten sicherstellen
• Technische Dokumentation des eingesetzten Systems vorhalten
• Meldung von schwerwiegenden Vorfällen an die zuständige Behörde

Pflichten für KI-Projekte als Auftraggeber/Anbieter

Kurz: Wenn Sie individuelle KI-Software in Auftrag geben und diese Dritte nutzen werden (z.

Wenn Sie individuelle KI-Software in Auftrag geben und diese Dritte nutzen werden (z.B. ein KI-Tool für Ihre Kunden), tragen Sie Anbieterpflichten bei Hochrisiko-Systemen:

• Konformitätsbewertung vor Markteinführung
• Technische Dokumentation nach Anhang IV des AI Acts
• CE-Kennzeichnung (bei Hochrisiko-Systemen)
• EU-Konformitätserklärung
• Registrierung im EU-Datenbank-System
• Laufendes Post-Market-Monitoring
• Sicherheitsupdates und Qualitätsmanagementsystem

Bei der Beauftragung einer KI-Agentur gilt: Im Vertrag sollte klar geregelt sein, wer welche Compliance-Verantwortung trägt. Unklare Verantwortlichkeiten sind das häufigste Problem bei AI-Act-relevanten Projekten.

Was jetzt zu tun ist: Pragmatische Schritte

Kurz: Schritt 1: Bestandsaufnahme der eingesetzten KI-Systeme.

Schritt 1: Bestandsaufnahme der eingesetzten KI-Systeme. Welche KI-Systeme werden im Unternehmen eingesetzt? Dazu gehören nicht nur explizit als KI vermarktete Produkte, sondern auch KI-Funktionen in ERP, CRM, HR-Software, Recruiting-Plattformen und Marketing-Tools.

Schritt 2: Risikoklasse bestimmen. Für jedes identifizierte System: Ist es inakzeptabel (verboten)? Hochrisiko? Begrenztes Risiko? Minimales Risiko?

Schritt 3: Lückenanalyse gegen Pflichten. Welche Anforderungen gelten für die identifizierten Systeme – und welche davon sind bereits erfüllt?

Schritt 4: Lieferanten unter die Lupe nehmen. Sind die eingesetzten KI-Anbieter AI-Act-konform? Gibt es Konformitätsdokumentationen? Bei Hochrisiko: CE-Kennzeichnung vorhanden?

Schritt 5: Neue Projekte AI-Act-first konzipieren. Wer heute ein KI-Projekt startet, sollte Compliance von Anfang an einplanen – nicht als Nacharbeit. Unser Team integriert bei der KI-Entwicklung für Unternehmen AI-Act-Anforderungen direkt in Architektur und Dokumentation.

Sanktionen: Was droht bei Verstößen?

Der AI Act sieht gestaffelte Bußgelder vor:

Verstoß	Maximales Bußgeld
Einsatz verbotener KI-Systeme	35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Verletzung von Hochrisiko-Pflichten	15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Falsche Informationen gegenüber Behörden	7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes

Für KMU sind reduzierte Bußgelder vorgesehen – konkrete Leitlinien der EU-Behörden stehen noch aus. Die Marktüberwachungsbehörden in Deutschland werden voraussichtlich die Bundesnetzagentur (für GPAI) und die Landesbehörden (für sektorspezifische Systeme) sein.

Fazit

Kurz: Der EU AI Act ist komplex – aber keine unüberwindbare Hürde für den Mittelstand.

Der EU AI Act ist komplex – aber keine unüberwindbare Hürde für den Mittelstand.

Wer jetzt strukturiert vorgeht: Bestandsaufnahme, Risikoklassifikation, Lückenanalyse, vertragliche Absicherung bei KI-Beauftragungen – ist gut positioniert.

Wer abwartet, bis die Behörden aktiv werden, hat weniger Zeit und mehr Aufwand.

Sprechen Sie uns an, wenn Sie Unterstützung bei der AI-Act-Einordnung Ihrer KI-Projekte oder bei der EU AI Act konformen KI-Entwicklung benötigen.

Häufig gestellte Fragen (FAQ)

Kurz: Gilt der AI Act auch für KI-Tools, die wir intern nutzen (z.

Gilt der AI Act auch für KI-Tools, die wir intern nutzen (z.B.

ChatGPT für Mitarbeiter)?

Für rein interne Nutzung durch Mitarbeiter gelten meist nur die Transparenzpflichten (Nutzer wissen, dass sie KI nutzen) und ggf.

Einschränkungen bei bestimmten Hochrisiko-Anwendungen.

DSGVO-Anforderungen bei der Datenweitergabe an externe Modelle bleiben unberührt.

Was ist mit KI-Funktionen, die bereits in unserer bestehenden Software enthalten sind? Bestandssysteme haben bis August 2027 Zeit zur Anpassung. Neue Systeme müssen ab August 2026 compliant sein. Wichtig: Wenn ein Bestandssystem wesentlich verändert wird, kann es als neues System eingestuft werden.

Müssen wir unsere Mitarbeiter über KI-Einsatz informieren? Grundsätzlich ja – insbesondere wenn KI in personalrelevanten Entscheidungen eingesetzt wird (Leistungsbewertung, Überwachung). Hier greifen auch Mitbestimmungsrechte des Betriebsrats.

Wo kann ich den Volltext des EU AI Acts nachlesen? Der offizielle Text ist im Amtsblatt der EU (EUR-Lex) verfügbar. Die EU-Kommission stellt auf der AI-Act-Website auch Leitlinien und FAQs bereit, die fortlaufend aktualisiert werden.