Noch wenige Monate. Am 2. August 2026 werden die Kernpflichten des EU AI Act für hochriskante KI-Anwendungen verbindlich. Für IT- und Compliance-Verantwortliche bedeutet das: Es gibt viel zu tun. Und die Zeit wird knapp.
Dieser Artikel erklärt, welche KI-Anwendungen betroffen sind, was Unternehmen konkret leisten müssen und welche Schritte jetzt anstehen. Mit einem klaren Zeitplan und sieben Handlungsempfehlungen, die sich direkt umsetzen lassen.
Der Zeitplan: Was gilt wann
Der EU AI Act trat im August 2024 in Kraft. Er gilt nicht von einem Tag auf den anderen, sondern stufenweise. Ein Überblick:
Was das für Unternehmen bedeutet: Die Verbote für unakzeptables Risiko gelten bereits seit Februar 2025. Wer noch Social Scoring oder manipulative KI einsetzt, verstößt heute schon gegen die Verordnung. Der große Stichtag für die Breite der betroffenen Unternehmen ist August 2026.
Warum viele Unternehmen nicht vorbereitet sind
Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Die Reichweite ist größer als viele denken. Hochriskante KI sitzt in vielen Unternehmen bereits im Einsatz: im HR-System, in der Kreditprüfung, in der Betrugserkennung, im Recruiting-Tool.
Laut einer Studie von Deloitte (2025) haben 58 Prozent der europäischen Unternehmen noch keine vollständige Bestandsaufnahme ihrer KI-Anwendungen durchgeführt. Das ist das erste Problem. Denn Unwissenheit schützt nicht vor Sanktionen.
Die Strafen sind substantiell. Verstöße gegen Vorschriften für hochriskante Systeme können bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes kosten. Verstöße gegen die Verbote bis zu 35 Millionen Euro oder 7 Prozent.
Die vier Risikostufen des EU AI Act
Die Verordnung teilt KI-Anwendungen in vier Kategorien ein. Der Aufwand für Unternehmen hängt direkt von der Einstufung ab:
Entscheidend: Nicht das KI-Produkt allein bestimmt die Risikostufe. Es zählt der Einsatzzweck. Ein generischer Chatbot kann hochriskant sein, wenn er im Bewerbungsprozess Vorauswahlentscheidungen trifft. Ein KI-Tool für Textzusammenfassungen bleibt in der Regel minimal riskant. Diesen Unterschied müssen IT und Compliance gemeinsam beurteilen.
Welche KI-Anwendungen sind hochriskant?
Anhang III der Verordnung listet die hochriskanten Anwendungsfälle. Diese Bereiche sind für die meisten Unternehmen relevant:
- Personalmanagement und Beschäftigung: Bewerber-Screening, Performance-Bewertung, automatisierte Entscheidungen über Beförderung oder Kündigung
- Kreditvergabe und Finanzdienstleistungen: Bonitätsprüfung, Kredit-Scoring, Risikomodelle für Versicherungen und Banken
- Kritische Infrastruktur: KI-Systeme in Energie, Wasser, Verkehr oder digitaler Infrastruktur
- Bildung und Berufsausbildung: automatisierte Prüfungsbewertung, Zugangsentscheidungen
- Biometrische Systeme: Kategorisierung von Personen, Emotionserkennung am Arbeitsplatz
Für viele mittelständische Unternehmen sind vor allem die ersten beiden Bereiche relevant. Wer KI in HR-Prozessen oder in der Finanzprüfung einsetzt, ist mit hoher Wahrscheinlichkeit in Kategorie 2.
Was hochriskante KI-Anwendungen leisten müssen
Ab August 2026 gelten für Systeme aus Anhang III diese Pflichten:
- Risikomanagement-System: Strukturierter, dokumentierter Prozess zur Identifikation, Analyse und Kontrolle von Risiken über den gesamten Lebenszyklus.
- Datenqualität und Governance: Trainingsdaten müssen repräsentativ und frei von unzulässigen Verzerrungen sein. Herkunft und Qualität sind nachzuweisen.
- Technische Dokumentation: Vollständige Beschreibung des Systems, seiner Architektur, Leistungsgrenzen und Testverfahren. Muss vor dem Einsatz vorliegen.
- Logging und Monitoring: Automatische Protokollierung sicherheitsrelevanter Ereignisse. Logs müssen nachvollziehbar, unveränderlich und ausreichend lange aufbewahrt werden.
- Transparenz und Nutzerinformation: Nutzer müssen wissen, dass sie mit einem KI-System interagieren und ausreichend Information erhalten, um Entscheidungen nachzuvollziehen.
- Menschliche Aufsicht: Mechanismen, die es Menschen ermöglichen, das System zu überwachen, zu stoppen oder zu korrigieren. Vollautomatische Entscheidungen ohne menschliche Kontrolle sind in hochriskanten Bereichen nicht zulässig.
- Genauigkeit und Robustheit: Systeme müssen zuverlässig und fehlertolerant sein. Abweichungen und Fehler sind zu protokollieren und zu adressieren.
7 Handlungsempfehlungen für IT und Compliance
1. KI-Inventar aufbauen
Erstellt eine vollständige Liste aller KI-Anwendungen im Unternehmen: intern entwickelte Systeme, zugekaufte Software und Drittanbieter-APIs. Auch eingebettete KI-Funktionen in ERP-, HR- oder CRM-Systemen müssen erfasst werden. Ohne vollständiges Inventar ist keine Compliance-Aussage möglich.
2. Risikoeinstufung nach Anhang III prüfen
Für jedes System in der Inventarliste prüfen: Fällt der Einsatzzweck unter Anhang III? Die EU-Kommission stellt ein Self-Assessment-Tool bereit. Wichtig: Die Einstufung richtet sich nach dem tatsächlichen Verwendungszweck, nicht nach der Produktbezeichnung des Anbieters. Haltet die Einstufungen schriftlich fest und datiert sie.
3. Governance-Struktur aufsetzen
Benennt eine verantwortliche Person oder Rolle für KI-Compliance. In größeren Unternehmen empfiehlt sich ein interdisziplinäres AI-Board aus IT, Legal, HR und Compliance. Ohne klare Zuständigkeit bleibt der Prozess stecken und niemand fühlt sich verantwortlich, wenn es ernst wird.
4. Technische Dokumentation starten
Die Dokumentationsanforderungen brauchen Zeit. Relevante Fragen: Wie wurde das System entwickelt oder ausgewählt? Welche Daten nutzt es? Wie wurde es validiert? Welche Leistungsgrenzen gibt es? Wie werden Fehler behandelt? Alles schriftlich, versioniert und prüffähig. Wer jetzt beginnt, ist im August nicht unter Druck.
5. Drittanbieter-Verträge prüfen und anpassen
Viele hochriskante KI-Anwendungen kommen als Produkt von einem Anbieter. Als Betreiber tragt ihr Compliance-Pflichten auch für zugekaufte Systeme. Prüft: Liefert der Anbieter die nötige technische Dokumentation? Gibt es Logging-Funktionen? Sind Transparenzpflichten vertraglich geregelt? Passt Verträge und SLAs entsprechend an.
6. Logging und Monitoring einrichten
Für hochriskante Systeme braucht es technische Infrastruktur für nachvollziehbares Logging. Protokolliert werden müssen: Eingaben, Ausgaben, Entscheidungsereignisse, Fehler. Stellt sicher, dass Logs unveränderlich gespeichert und lang genug aufbewahrt werden, um im Prüffall belastbar zu sein.
7. Mitarbeitende schulen
Compliance ist kein IT-Projekt allein. Alle, die mit hochriskanten KI-Systemen arbeiten oder auf deren Ausgaben Entscheidungen treffen, brauchen Grundkenntnisse: Was kann das System? Wo liegen seine Grenzen? Wie erkenne ich Fehler? Wie eskaliere ich? Plant konkrete Schulungsformate ein, bevor August kommt. Awareness-Kampagnen reichen nicht.
Fazit: Strukturiert starten, nicht abwarten
Der EU AI Act stellt Unternehmen vor konkrete Pflichten. Das ist kein Grund zur Panik, aber ein klarer Auftrag: Inventar aufbauen, Systeme einstufen, Governance definieren, dokumentieren, Verträge prüfen, Logging einrichten, Mitarbeitende schulen.
Wer diesen Prozess sauber durchläuft, gewinnt nicht nur Rechtssicherheit. Transparent dokumentierte KI-Systeme sind besser wartbar, für Stakeholder nachvollziehbarer und stabiler im Betrieb. Compliance und Qualität gehen hier Hand in Hand.
August 2026 ist das Ziel. Der Startpunkt ist jetzt.
EU AI Act · Compliance
Wo steht dein Unternehmen beim EU AI Act?
Wir helfen dir bei der Bestandsaufnahme, der Risikoeinstufung und dem Aufbau einer belastbaren Compliance-Struktur.
Kostenloses Erstgespräch buchen →
