EU AI Act: Die August-Deadline naht – Was Ihr Unternehmen jetzt tun muss
Ab dem 2. August 2026 gelten die Hochrisiko-Anforderungen des EU AI Act vollständig. Laut einer aktuellen Studie sind 78% der mittelständischen Unternehmen noch nicht prüfungsbereit. Wir zeigen, welche Risikoklasse Ihr Unternehmen betrifft, welche Pflichten jetzt gelten und wie Sie in fünf Schritten compliant werden.
Echtzeit-Überwachung
Manipulation
Kreditscoring
Kritische Infra.
Deepfakes
KI-Assistenten
Spam-Filter
Empfehlungen
Der EU AI Act ist in Kraft – und die Uhr tickt. Was viele Geschäftsführer noch nicht realisiert haben: Am 2. August 2026 enden die Übergangsfristen für Hochrisiko-KI-Systeme. Danach müssen Unternehmen, die solche Systeme einsetzen oder anbieten, alle Compliance-Anforderungen vollständig erfüllen. Kontrollen und Bußgelder sind dann möglich.
Eine aktuelle Studie des Bitkom (Mai 2026) zeichnet ein alarmierendes Bild: 78% der mittelständischen Unternehmen haben keine strukturierte Übersicht ihrer KI-Systeme, geschweige denn eine Risikoklassifikation. Die Zeit für gemächliche Vorbereitung ist vorbei.
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er trat am 1. August 2024 in Kraft und löst einen mehrjährigen Gesetzgebungsprozess ab, der 2021 mit dem ersten Entwurf der EU-Kommission begann. Das Ziel: KI-Systeme sollen sicher, transparent und grundrechtskonform sein – ohne Innovation zu ersticken.
Im weltweiten Kontext ist die EU damit Vorreiterin. Während die USA auf sektorale Regulierung setzen und China eigene KI-Gesetze erlassen hat, schafft die EU einen einheitlichen Rechtsrahmen, der für alle gilt, die KI in der Union einsetzen oder vermarkten – unabhängig davon, wo der Anbieter sitzt. Das betrifft also auch US-Konzerne wie Microsoft, Google oder Anthropic.
Das Herzstück des AI Act ist ein risikobasiertes Stufenmodell: Je gefährlicher ein KI-System potenziell ist, desto strenger die Anforderungen. Vier Risikoklassen strukturieren das gesamte Gesetz.
Die vier Risikoklassen im Detail
Die Einordnung Ihrer KI-Systeme in die richtige Risikoklasse ist der erste und wichtigste Schritt zur Compliance. Die folgende Tabelle gibt einen praxisnahen Überblick:
| Klasse | Beispiele | Pflichten | Max. Strafe |
|---|---|---|---|
| Verboten | Social Scoring, biometrische Massenüberwachung, Emotionserkennung Arbeitsplatz, Manipulation von Schwachstellen | Absolutes Verbot – kein Einsatz möglich | 35 Mio. € oder 7% Umsatz |
| Hochrisiko | HR-Screening, Kreditvergabe, Medizinprodukte, kritische Infrastruktur, Bildungszugang, Strafverfolgung | Risikomanagement, techn. Dokumentation, Logging, menschliche Aufsicht, Datengovernance, EU-Datenbank-Registrierung | 15 Mio. € oder 3% Umsatz |
| Begrenzt | Chatbots, KI-Telefonassistenten, Deepfakes, KI-generierte Texte | Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren | 7,5 Mio. € oder 1% Umsatz |
| Minimal | Spamfilter, KI-Suche, Empfehlungssysteme, Textgeneratoren für interne Nutzung | Freiwilliger Verhaltenskodex empfohlen, keine Pflichtanforderungen | Keine spezifischen Strafen |
Was gilt ab dem 2. August 2026?
Ab diesem Stichtag müssen alle Betreiber und Anbieter von Hochrisiko-KI-Systemen folgende Anforderungen vollständig nachweisen können:
1. Risikomanagement-System
Ein dokumentiertes Risikomanagement-System muss den gesamten Lebenszyklus des KI-Systems abdecken. Das bedeutet: kontinuierliche Identifikation, Analyse und Minderung von Risiken – nicht nur einmalig bei der Inbetriebnahme. Das System muss regelmäßig aktualisiert werden.
2. Technische Dokumentation
Für jedes Hochrisiko-System brauchen Sie eine umfangreiche technische Dokumentation: Zweck und Einsatzbereich, Trainingsdaten und -methoden, Performance-Metriken, bekannte Limitierungen, Schnittstellen zu anderen Systemen. Diese Dokumentation muss für Marktüberwachungsbehörden jederzeit zugänglich sein.
3. Automatisches Logging und Protokollierung
Hochrisiko-KI-Systeme müssen automatisch Protokolle erstellen, die es ermöglichen, die Funktionsweise des Systems nachzuvollziehen. Logs müssen mindestens so lange aufbewahrt werden, wie die Aufbewahrungsfrist für die getroffenen Entscheidungen gilt – in der Regel mindestens 3 Jahre.
4. Menschliche Aufsicht (Human Oversight)
Jedes Hochrisiko-System muss so gestaltet sein, dass Menschen die Ausgaben des Systems überwachen, verstehen und bei Bedarf ignorieren oder korrigieren können. Ein "Human-in-the-Loop" ist keine Option – es ist eine Pflicht. Automatisierte Entscheidungen ohne jede Möglichkeit der menschlichen Intervention sind verboten.
5. Datengovernance
Trainingsdaten, Validierungsdaten und Testdaten müssen relevante Designentscheidungen befolgen. Es müssen Maßnahmen zur Erkennung und Behandlung von Datenlücken, Verzerrungen (Bias) und Fehlerquellen existieren. Daten aus Drittquellen erfordern besondere Sorgfalt bei der Qualitätsprüfung.
Wie betrifft der AI Act den Mittelstand?
Viele Mittelständler glauben, der AI Act sei ein Thema für Großkonzerne oder Tech-Giganten. Diese Einschätzung ist gefährlich falsch. Denn der Act unterscheidet nicht nach Unternehmensgröße – er unterscheidet nach Risikopotenzial der eingesetzten Systeme.
Besonders relevant für den Mittelstand sind drei Bereiche:
HR-Software mit KI-Unterstützung
Nutzen Sie ein Bewerbermanagementsystem, das KI-basiert Lebensläufe scannt, Kandidaten bewertet oder Rankings erstellt? Dann betreiben Sie wahrscheinlich ein Hochrisiko-KI-System. Das betrifft gängige HR-Plattformen wie SAP SuccessFactors, Workday oder spezialisierte Bewerber-Screening-Tools. Prüfen Sie die Produktdokumentation Ihrer HR-Software – viele Anbieter haben inzwischen entsprechende Compliance-Informationen veröffentlicht.
Kreditscoring und Finanzentscheidungen
KI-gestützte Kreditbewertung, automatisierte Bonitätsprüfungen oder KI-Systeme, die Finanzierungsentscheidungen beeinflussen, fallen ebenfalls unter Hochrisiko. Das trifft nicht nur Banken: Auch Leasinggesellschaften, Factoring-Unternehmen und Finanzabteilungen größerer Mittelständler sollten genau hinschauen.
Kundeninteraktion und automatisierte Kommunikation
Chatbots und KI-Telefonassistenten fallen zwar meist unter "begrenztes Risiko" – aber die Transparenzpflicht gilt sofort und unbedingt: Kunden müssen wissen, dass sie mit einem KI-System kommunizieren.
Ein Mittelständler aus dem Maschinenbau (350 Mitarbeiter) nutzt ein HR-SaaS-System, das eingehende Bewerbungen automatisch nach Keywords scannt und ein Ranking erstellt, das der Personalabteilung angezeigt wird. Obwohl Menschen die finale Entscheidung treffen, gilt dieses Screening-System als Hochrisiko-KI – denn es beeinflusst maßgeblich den Zugang zu Beschäftigung. Ab August 2026 müssen für dieses System vollständige Hochrisiko-Dokumentation, ein Risikomanagement-Prozess und nachweisbare menschliche Aufsicht vorhanden sein. Der Softwareanbieter ist als Provider in der Pflicht – aber der Mittelständler als Deployer hat ebenfalls Pflichten: u.a. Sicherstellung der Aufsicht und Registrierung in der EU-Datenbank.
Wichtig: Der AI Act unterscheidet zwischen Provider (Anbieter, der das KI-System entwickelt) und Deployer (Betreiber, der das System nutzt). Als Mittelständler sind Sie in den meisten Fällen Deployer – aber das entbindet Sie nicht von allen Pflichten. Als Deployer müssen Sie u.a. sicherstellen, dass der Provider compliant ist, menschliche Aufsicht gewährleistet ist und Sie Vorfälle an die zuständige Behörde melden.
5-Schritte Compliance-Fahrplan
Der Weg zur EU AI Act Compliance ist kein Sprint – aber mit dem richtigen Vorgehen auch kein Marathon. Hier sind fünf konkrete Schritte, die Sie jetzt angehen sollten:
Schritt 1: KI-Inventar erstellen
Erfassen Sie systematisch alle KI-Systeme in Ihrem Unternehmen – auch die, die in eingekaufter Software stecken. Fragen Sie jeden Software-Anbieter: "Enthält Ihre Lösung KI-Komponenten, die unter den EU AI Act fallen?" Viele Anbieter haben bereits Compliance-Dokumentation erstellt. Erstellen Sie eine einfache Tabelle mit System, Anbieter, Einsatzbereich und Nutzerkreis.
Schritt 2: Risikoklassifikation durchführen
Ordnen Sie jedes identifizierte KI-System einer der vier Risikoklassen zu. Nutzen Sie dafür die offiziellen Leitlinien des EU AI Office oder beauftragen Sie einen Compliance-Spezialisten. Dokumentieren Sie Ihre Entscheidungen und Begründungen – das wird bei einer Prüfung erwartet.
Schritt 3: Governance-Strukturen aufbauen
Bestimmen Sie einen KI-Verantwortlichen (muss keine neue Stelle sein – kann auch der DPO oder IT-Leiter sein). Definieren Sie interne Prozesse für die Genehmigung neuer KI-Systeme und für das Incident-Management. Hochrisiko-Systeme brauchen klare Eskalationswege.
Schritt 4: Technische Dokumentation anlegen
Für alle Hochrisiko-Systeme: Erstellen Sie die erforderliche technische Dokumentation. Bei eingekaufter Software fordert das primär der Anbieter zu liefern – aber prüfen Sie, ob die Dokumentation tatsächlich vorliegt und vollständig ist. Ergänzen Sie sie um Ihren spezifischen Einsatzkontext.
Schritt 5: Mitarbeiter schulen
Alle Mitarbeiter, die mit Hochrisiko-KI arbeiten, müssen eine angemessene KI-Kompetenz nachweisen können. Das muss keine aufwändige Schulung sein – aber es muss dokumentiert sein, dass die Nutzer die Möglichkeiten und Grenzen des Systems kennen und wissen, wann sie eskalieren müssen.
Bußgelder und Konsequenzen
Der EU AI Act hat scharfe Zähne. Die Bußgeldstruktur ist dreistufig und orientiert sich an den Bußgeldern der DSGVO:
- 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes – für den Einsatz verbotener KI-Systeme. Gilt der höhere der beiden Werte.
- 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes – für Verstöße gegen die Anforderungen an Hochrisiko-Systeme, allgemeine KI-Modelle und Registrierungspflichten.
- 7,5 Millionen Euro oder 1% des weltweiten Jahresumsatzes – für die Übermittlung unrichtiger, unvollständiger oder irreführender Informationen an Behörden.
Für KMU und Startups gilt jeweils der niedrigere Betrag (Millionenbetrag oder Prozentsatz). Dennoch: Selbst 1% des Umsatzes kann für einen Mittelständler eine existenzbedrohende Summe sein.
Hinzu kommen nicht-monetäre Konsequenzen: Marktüberwachungsbehörden können den Betrieb eines KI-Systems untersagen, Rückrufe anordnen und Informationen an andere Behörden – etwa Datenschutzbehörden – weitergeben. Reputationsschäden durch öffentliche Bekanntmachung von Verstößen sind ebenfalls möglich.
Jetzt handeln – ki·spezial unterstützt Sie
Mit weniger als 11 Wochen bis zur Deadline ist keine Zeit mehr für ausgedehnte Planungsphasen. ki·spezial bietet Mittelständlern einen strukturierten Weg zur EU AI Act Compliance – ohne unnötige Bürokratie, aber mit der notwendigen Gründlichkeit.
Unser Ansatz: Wir beginnen mit einem halbstündigen KI-Schnellcheck, der Ihnen sofort zeigt, welche Ihrer Systeme kritisch sind. Danach erarbeiten wir gemeinsam einen priorisierten Maßnahmenplan – zuerst die Hochrisiko-Systeme, dann der Rest. Keine KI-Berater-Wolken, sondern konkrete Vorlagen, Checklisten und Implementierungsunterstützung.
78% der Mittelständler sind noch nicht vorbereitet. Seien Sie in den 22%, die es sind.
Häufig gestellte Fragen
Was ist High-Risk-KI nach dem EU AI Act?
Als Hochrisiko-KI (High-Risk AI) gelten Systeme, die in sicherheitskritischen Bereichen eingesetzt werden oder wesentliche Auswirkungen auf Menschen haben: KI in der Personalauswahl, KI-gestützte Kreditscoring-Systeme, KI in Bildung und Ausbildung, KI in kritischer Infrastruktur sowie KI-Systeme in Medizinprodukten. Diese Systeme unterliegen ab dem 2. August 2026 strengen Anforderungen an Dokumentation, Risikomanagement, menschliche Aufsicht und Datengovernance.
Gilt der EU AI Act für alle Unternehmen?
Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen oder anbieten – unabhängig von Unternehmensgröße oder Sitz. Auch Mittelständler und KMU sind betroffen, sobald sie KI-Systeme nutzen. Entscheidend ist die Risikokategorie: Wer nur KI der Kategorie "minimales Risiko" (z.B. Spamfilter, KI-Suche) einsetzt, hat kaum Pflichten. Wer jedoch Hochrisiko-Systeme betreibt oder anbietet, muss die vollen Compliance-Anforderungen erfüllen.
Was kostet Nicht-Compliance mit dem EU AI Act?
Die Bußgelder sind empfindlich: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für den Einsatz verbotener KI-Systeme. Bis zu 15 Millionen Euro oder 3% für Verstöße gegen Hochrisiko-Anforderungen. Bis zu 7,5 Millionen Euro oder 1% für falsche Angaben gegenüber Behörden. Für KMU gelten in der Regel die niedrigeren Prozentwerte. Hinzu kommen mögliche Betriebsverbote für das betreffende KI-System.
Wie starte ich mit der EU AI Act Compliance?
Der erste Schritt ist ein vollständiges KI-Inventar: Welche KI-Systeme nutzen Sie im Unternehmen – auch eingekaufte Software mit KI-Komponenten? Anschließend klassifizieren Sie jedes System nach den vier Risikoklassen. Nur Hochrisiko-Systeme erfordern umfangreiche Maßnahmen. ki·spezial begleitet Sie dabei mit einem strukturierten Compliance-Fahrplan und konkreten Vorlagen für Dokumentation und Risikoanalysen.
EU AI Act Compliance prüfen lassen
Wissen Sie, welche Ihrer KI-Systeme unter die Hochrisiko-Kategorie fallen? Unsere Experten analysieren Ihren KI-Einsatz und erstellen einen priorisierten Compliance-Fahrplan – kostenlos und unverbindlich.