EU AI Act 2026: Was deutsche Unternehmen jetzt wissen müssen
EU AI Act 2026: Fristen, Pflichten und Bußgelder für Unternehmen in Deutschland. Wer ist betroffen, was muss umgesetzt werden und bis wann.
Am 2. August 2026 endet die wichtigste Übergangsfrist des EU AI Act. Ab dann gelten die zentralen Pflichten für Hochrisiko-KI-Systeme. Betroffen sind nicht nur KI-Entwickler, sondern auch Unternehmen, die KI lediglich einsetzen. Hier findest du alle Fristen, Pflichten und was jetzt zu tun ist.
Was ist der EU AI Act?
Der EU AI Act ist die weltweit erste umfassende KI-Verordnung. Sie gilt direkt in allen EU-Mitgliedstaaten und reguliert die Entwicklung, den Vertrieb und den Einsatz von KI-Systemen nach einem risikobasierten Ansatz.
Die vier Risikokategorien:
- Verbotene KI: Social Scoring, manipulative Systeme, biometrische Echtzeit-Überwachung im öffentlichen Raum (mit Ausnahmen für Strafverfolgung). Gilt bereits seit Februar 2025.
- Hochrisiko-KI: KI in Bereichen wie Personalwesen, Kreditvergabe, Bildung, kritische Infrastruktur. Strengste Pflichten, gilt ab August 2026.
- Begrenzt riskante KI: Chatbots, Deepfakes, Emotionserkennung. Transparenzpflichten gelten ab August 2026.
- Minimales Risiko: Spamfilter, KI-gestützte Videospiele. Keine besonderen Pflichten.
Die wichtigsten Fristen im Überblick
| Datum | Was gilt? |
|---|---|
| Februar 2025 | Verbotene KI-Praktiken untersagt |
| August 2025 | Pflichten für General-Purpose-AI-Modelle (GPT, Claude, Gemini) |
| August 2026 | Pflichten für Hochrisiko-KI und Transparenzpflichten |
| August 2027 | Pflichten für eingebettete Hochrisiko-KI in regulierten Produkten |
Der 2. August 2026 ist der entscheidende Stichtag für die meisten Unternehmen. Ab dann gelten die vollständigen Anforderungen an Hochrisiko-KI-Systeme und die Transparenzpflichten für KI mit begrenztem Risiko.
Die Bußgelder sind erheblich: bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Für KMU gelten zwar verhältnismäßigere Strafen, die Pflichten bleiben aber dieselben.
Wer ist betroffen? Nicht nur KI-Entwickler
Ein verbreiteter Irrtum: Der AI Act betrifft nur Tech-Unternehmen und KI-Entwickler. Tatsächlich gilt die Verordnung für drei Gruppen:
- Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder auf den Markt bringen
- Betreiber (Deployer): Unternehmen, die KI-Systeme einsetzen, z.B. im Recruiting, Kundenservice oder in der Buchhaltung
- Importeure und Händler: Unternehmen, die KI-Systeme aus Drittstaaten in die EU einführen
Konkret heißt das: Wenn du ein KI-Tool für die Bewerberauswahl nutzt, ein KI-basiertes Scoring für Kreditentscheidungen einsetzt oder KI im Kundenservice einbindest, bist du als Betreiber in der Pflicht.
Pflichten für Unternehmen ab August 2026
Für Hochrisiko-KI
- Risikomanagementsystem einrichten und dokumentieren
- Datenqualität sicherstellen (Trainingsdaten müssen repräsentativ und fehlerfrei sein)
- Technische Dokumentation erstellen und aktuell halten
- Menschliche Aufsicht gewährleisten (ein Mensch muss KI-Entscheidungen überprüfen können)
- Logging und Protokollierung aller relevanten KI-Aktivitäten
- Registrierung in der EU-Datenbank für Hochrisiko-KI-Systeme
Für alle KI-Systeme mit Transparenzpflicht
- Kennzeichnungspflicht: Nutzer müssen wissen, dass sie mit einer KI interagieren
- Deepfake-Kennzeichnung: KI-generierte Inhalte müssen als solche erkennbar sein
- Emotionserkennung: Betroffene müssen informiert werden
Deutschland setzt den AI Act durch das KI-Marktüberwachungsgesetz (KI-MIG) um. Die Bundesnetzagentur wird voraussichtlich die federführende Aufsichtsbehörde. Das Gesetz regelt auch Sanktionen und nationale Förderprogramme für KI-Innovation.
So bereitest du dein Unternehmen vor
Eine pragmatische Checkliste für die nächsten Monate:
- KI-Inventur durchführen: Erfasse alle KI-Systeme im Unternehmen, auch eingebettete oder zugekaufte Funktionen
- Risikokategorie bestimmen: Ordne jedes System einer der vier Risikokategorien zu
- Verantwortliche benennen: Definiere, wer im Unternehmen für KI-Compliance zuständig ist
- Dokumentation starten: Beginne mit der technischen Dokumentation für Hochrisiko-Systeme
- Schulungen planen: Alle Mitarbeitenden, die KI-Systeme bedienen, müssen ausreichend geschult sein
Für KMU gilt: Die Pflichten sind identisch, aber die Aufsichtsbehörden sollen bei der Durchsetzung die Unternehmensgröße berücksichtigen. Branchenverbände und IHKs bieten bereits Leitfäden und Workshops zur Vorbereitung an.
Fazit
Der EU AI Act wird ab August 2026 spürbar. Wer KI im Unternehmen einsetzt, sollte jetzt mit der KI-Inventur und Risikobewertung beginnen. Die Pflichten sind umfangreich, aber klar definiert. Unternehmen, die früh handeln, vermeiden nicht nur Bußgelder, sondern schaffen Vertrauen bei Kunden und Partnern.