Am 2. August 2026 werden die Hochrisiko-Bestimmungen des EU AI Act für Annex-III-Systeme durchsetzbar. Das sind noch 130 Tage. Die Compliance-Arbeit dauert nach Erfahrung von Unternehmen, die bereits Konformitätsbewertungen durchlaufen haben, 12 bis 18 Monate. Die Rechnung geht nicht auf.
Allerdings gibt es eine Unbekannte: Der Digital Omnibus on AI könnte die Frist auf den 2. Dezember 2027 verschieben. Die IMCO- und LIBE-Ausschüsse des Europäischen Parlaments stimmten am 18. März 2026 mit 101 zu 9 dafür, die Plenarabstimmung wird diese Woche erwartet. Doch “könnte” ist nicht “wird”, und der Compliance-Aufwand bleibt identisch, egal welches Datum am Ende steht. Wer KI-Agenten in einem der acht Annex-III-Bereiche betreibt, sollte jetzt handeln.
Warum KI-Agenten im regulatorischen Blindspot sitzen
Der EU AI Act wurde zwischen 2021 und 2024 entworfen, bevor agentische KI in der Breite ankam. Der Text definiert “KI-System” weit genug, um Agenten zu erfassen, aber er adressiert nicht die spezifischen Compliance-Probleme, die Agenten erzeugen.
Ein Beispiel: Ein Recruiting-KI-Agent sichtet eigenständig Bewerbungen, bewertet Kandidaten, plant Interviews und versendet Absagen. Nach Artikel 6 und Annex III ist dieses System hochriskant (Kategorie 4: Beschäftigung, Arbeitnehmerverwaltung). Der Anbieter muss ein Qualitätsmanagementsystem implementieren, eine Konformitätsbewertung durchführen und das System in der EU-Datenbank registrieren.
Was zur Laufzeit tatsächlich passiert, ist komplexer. Der Agent entscheidet selbst, welche Datenquellen er abfragt, welche Bewertungsrubrik er anhand der Stellenbeschreibung anwendet, und verkettet mehrere Tools: einen Lebenslauf-Parser, einen Skills-Extraktor, ein Persönlichkeits-Inferenzmodell und eine Kalender-API. Jede dieser Entscheidungen erzeugt neue Datenflüsse, neue Risikoflächen und neue Compliance-Pflichten, die bei der Systemkonzeption nicht existierten.
CMS Law beschreibt das als “Agentic Tool Sovereignty”-Problem: Wenn ein KI-Agent autonom Tools auswählt und aufruft, verteilt sich die Verantwortung auf Modellanbieter, Systemintegratoren, Betreiber und Tool-Anbieter. Kein einzelner Akteur hat zum Zeitpunkt der Ausführung vollständige Sicht auf den Entscheidungsbaum des Agenten.
Der Zusammenbruch der Anbieter-Betreiber-Grenze
Artikel 25(1) enthält eine Falle, die die meisten Agenten-Betreiber übersehen. Wenn ein Betreiber den Verwendungszweck eines KI-Systems ändert oder eine “wesentliche Änderung” vornimmt, wird der Betreiber zum Anbieter und erbt sämtliche Anbieterpflichten: Qualitätsmanagement, Konformitätsbewertung, EU-Datenbankregistrierung, Marktüberwachung nach dem Inverkehrbringen.
Bei KI-Agenten ist diese Grenze kaum durchsetzbar. Wenn Sie ein Basismodell feintunen, eigene Tools hinzufügen oder einen Agenten mit domänenspezifischen Prompts konfigurieren: Betreiben Sie oder bieten Sie an? Die Europäische Kommission hat das nicht geklärt. Die sicherste Annahme: Wer einen Agenten aus Komponenten zusammenstellt und in einem Hochrisiko-Bereich einsetzt, ist Anbieter.
Die 10-Punkte-Compliance-Checkliste
Diese Checkliste gilt für KI-Agenten, die in einem Annex-III-Hochrisiko-Bereich operieren: Personalauswahl, Kreditbewertung, biometrische Identifizierung, kritische Infrastruktur, Bildungsbewertung, Versicherungsprüfung, Strafverfolgung oder Migrationsverwaltung.
1. Inventar aller KI-Agenten im Produktivbetrieb
Wer nicht weiß, was läuft, kann nicht klassifizieren. Dokumentieren Sie jeden KI-Agenten mit Zweck, Eingabedatentypen, Ausgabeentscheidungen, betroffenen Nutzergruppen und Ihrer Rolle (Anbieter, Betreiber, Importeur oder Händler). Eine appliedAI-Studie mit 106 KI-Systemen ergab, dass 40% eine unklare Risikoklassifizierung hatten. Das Inventar ist der Ort, um das zu beheben.
2. Jeden Agenten gegen Annex III klassifizieren
Ordnen Sie jeden Agenten den acht Annex-III-Kategorien zu. Beachten Sie die Ausnahme in Artikel 6(3): Ein in Annex III aufgeführtes System ist nicht hochriskant, wenn es kein erhebliches Schadensrisiko birgt und das Ergebnis der Entscheidungsfindung nicht “wesentlich beeinflusst.” Wenn Ihr Agent Empfehlungen gibt, die ein Mensch stets prüft und übersteuern kann, dokumentieren Sie diesen Workflow. Das könnte Ihre stärkste Verteidigung sein.
3. Rolle bestimmen: Anbieter oder Betreiber
Wer den Agenten selbst gebaut hat, ist Anbieter. Wer ein fertiges System eingekauft hat und es unverändert nutzt, ist Betreiber. Wer einen Agenten aus einem Foundation Model zusammenstellt, eigene Tools ergänzt und im Hochrisiko-Kontext einsetzt, ist nach Artikel 25(1) fast sicher Anbieter. Dokumentieren Sie Ihre Begründung. Aufsichtsbehörden werden danach fragen.
Für deutsche Unternehmen ist besonders relevant: Die Bundesnetzagentur (BNetzA) wird voraussichtlich als nationale KI-Aufsichtsbehörde fungieren. Das KI-MIG (KI-Marktüberwachungsgesetz) als deutsches Umsetzungsgesetz konkretisiert die Zuständigkeiten und Durchsetzungsmechanismen.
4. Risikomanagementsystem aufbauen (Artikel 9)
Artikel 9 fordert einen kontinuierlichen, iterativen Risikomanagementprozess über den gesamten Lebenszyklus des KI-Systems. Für Agenten bedeutet das:
- Risiken identifizieren, die aus der Autonomie des Agenten entstehen (Toolauswahl, Datenzugriffsmuster, Delegationsketten)
- Eintrittswahrscheinlichkeit und Schwere für jedes Risiko abschätzen, einschließlich vorhersehbarem Missbrauch
- Gegenmaßnahmen implementieren (Guardrails, Human-Oversight-Trigger, Berechtigungsgrenzen)
- Gegen definierte Metriken testen, vor dem Deployment und nach jedem wesentlichen Update
- Auswirkungen auf Minderjährige und andere schutzbedürftige Gruppen berücksichtigen
Eine statische Risikobewertung, die einmal geschrieben und abgelegt wird, erfüllt diese Anforderung nicht.
5. Qualitätsmanagementsystem implementieren (Artikel 17)
Artikel 17 verlangt ein dokumentiertes QMS, das Compliance-Strategien, Design- und Entwicklungsverfahren, Test- und Validierungsprozesse, Datenmanagement, Marktüberwachung, Meldewesen und Verantwortlichkeitsstrukturen abdeckt. Für KI-Agenten muss das QMS zusätzlich regeln:
- Wie Agentenverhalten über Updates hinweg versioniert und nachverfolgt wird
- Wie Tool-Integrationen vor Produktiveinsatz validiert werden
- Wie Delegationsketten (Agent erzeugt Sub-Agenten) gesteuert werden
- Wie Prompt-Templates und Systemanweisungen als kontrollierte Artefakte verwaltet werden
6. Technische Dokumentation erstellen (Annex IV)
Annex IV fordert umfassende Dokumentation, erstellt vor dem Inverkehrbringen und aufbewahrt für die gesamte kommerzielle Lebensdauer plus 10 Jahre. Das umfasst: Systembeschreibung, Designspezifikationen, Entwicklungsprozess, Risikomanagementmaßnahmen, Data-Governance-Dokumentation, Leistungskennzahlen und bekannte Einschränkungen.
Für Agentensysteme ist das besonders anspruchsvoll. Das “System” ist nicht ein einzelnes Modell, sondern eine Orchestrierung aus Modellen, Tools, Prompts und Retrieval-Pipelines. Dokumentieren Sie die Architektur, die Rolle jeder Komponente und die Datenflüsse zwischen ihnen.
7. Menschliche Aufsichtsmechanismen konzipieren (Artikel 14)
Artikel 14 verlangt, dass Hochrisiko-Systeme für wirksame menschliche Aufsicht konzipiert werden. Aufsichtspersonen müssen Fähigkeiten und Grenzen des Systems verstehen, den Betrieb überwachen, Ausgaben korrekt interpretieren und Ausgaben jederzeit übersteuern oder ignorieren können.
Für autonome Agenten ist das eine echte architektonische Herausforderung. Sie brauchen Unterbrechungspunkte, an denen Menschen die Agentenlogik inspizieren, ausstehende Aktionen vor der Ausführung prüfen und Workflows stoppen können. Ein Logging-Dashboard, das niemand kontrolliert, erfüllt Artikel 14 nicht.
8. Konformitätsbewertung durchführen (Artikel 43)
Für die meisten Annex-III-Systeme erlaubt Artikel 43 eine Selbstbewertung nach Annex-VI-Verfahren. Eine benannte Stelle ist nur erforderlich, wenn Ihr Agent biometrische Identifizierung für die Strafverfolgung durchführt. Aber “Selbstbewertung” heißt nicht “keine Bewertung.” Sie müssen die Einhaltung jeder anwendbaren Anforderung systematisch verifizieren, dokumentieren und eine CE-Kennzeichnung sowie EU-Konformitätserklärung ausstellen.
Die Konformitätsbewertung allein dauert bei komplexen Systemen typischerweise 6 bis 12 Monate.
9. In der EU-Datenbank registrieren (Artikel 71)
Vor dem Inverkehrbringen eines Hochrisiko-Systems müssen Anbieter sich und das System in der öffentlichen EU-Datenbank registrieren. Öffentliche Betreiber müssen ihre Nutzung ebenfalls registrieren. Registrierungsdaten umfassen Systemidentifikation, Verwendungszweck, Anbieterdetails und Konformitätsstatus.
10. Marktüberwachung und Vorfallsmeldung einrichten
Anbieter müssen eine verhältnismäßige Marktüberwachung nach dem Inverkehrbringen implementieren. Schwerwiegende Vorfälle müssen den nationalen Behörden innerhalb von 15 Tagen gemeldet werden. Für KI-Agenten umfasst “schwerwiegender Vorfall” Fälle, in denen eine autonome Agentenhandlung zum Tod, zu schweren Gesundheitsschäden, zur erheblichen Störung kritischer Infrastruktur oder zur Verletzung von Grundrechten beiträgt.
Die automatische Protokollierung von Systemereignissen muss die Rückverfolgung von Operationen auf spezifische Eingaben und Entscheidungen ermöglichen. Wenn Ihr Agent 10.000 Entscheidungen pro Tag verarbeitet, brauchen Sie eine Infrastruktur, die jede einzelne auditierbar macht.
Der Digital-Omnibus-Faktor
Die ehrliche Antwort auf “Muss ich bis August 2026 wirklich compliant sein?” lautet: wahrscheinlich nicht, aber darauf wetten sollte man nicht.
Die Europäische Kommission veröffentlichte den Digital Omnibus on AI am 19. November 2025 mit einer Verschiebung der Annex-III-Fristen auf den 2. Dezember 2027 und der Annex-I-Fristen auf den 2. August 2028. Der Rat verabschiedete sein Verhandlungsmandat am 13. März 2026. Die Parlamentsausschüsse stimmten mit 101 zu 9 dafür. Trilog-Verhandlungen werden ab April 2026 erwartet.
Die Verschiebung ist wahrscheinlich, aber nicht sicher. Drei Dinge könnten sie scheitern lassen:
- Trilog stockt. Das Parlament will feste Stichtage. Die Kommission schlug ursprünglich einen flexiblen Trigger vor, gebunden an die Verfügbarkeit harmonisierter Normen. Wenn keine Einigung gelingt, bleibt das ursprüngliche Datum August 2026.
- Nationale Aufsichtsbehörden handeln eigenständig. Nur 8 von 27 Mitgliedstaaten haben ihre nationalen KI-Aufsichtsbehörden benannt, aber einige (Frankreichs CNIL, Deutschlands BNetzA) signalisieren bereits Durchsetzungsbereitschaft.
- Die Compliance-Arbeit ist identisch. Ob die Frist August 2026 oder Dezember 2027 heißt: Die gleichen 10 Anforderungen gelten. Die 16 Monate Aufschub geben mehr Zeit, nicht weniger Arbeit.
Die Kommission selbst verpasste ihre eigene Frist im Februar 2026 für die Veröffentlichung von Leitlinien zu Hochrisiko-Systempflichten. Die harmonisierten Normen von CEN/CENELEC sind noch nicht final. Die Compliance-Infrastruktur wird gebaut, während die Uhr läuft.
Was das für Ihr Budget bedeutet
Die Strafen nach Artikel 99 folgen einer dreistufigen Struktur:
| Verstoß | Maximale Geldbuße | Oder % des weltweiten Umsatzes |
|---|---|---|
| Verbotene KI-Praktiken | 35 Mio. EUR | 7% |
| Verstöße bei Hochrisiko-Systemen | 15 Mio. EUR | 3% |
| Falsche Angaben | 7,5 Mio. EUR | 1% |
Der jeweils höhere Betrag gilt. Und diese Bußgelder kumulieren mit DSGVO-Strafen. Ein KI-Agent, der personenbezogene Daten in einem Hochrisiko-Bereich verarbeitet, kann Verstöße unter beiden Regelwerken auslösen, womit die theoretische Obergrenze bei über 55 Mio. EUR liegt.
Für DACH-Unternehmen ist die Durchsetzungsstruktur besonders relevant: Das deutsche KI-MIG überträgt Aufsichtsbefugnisse an bestehende Behörden wie die BNetzA, während Österreichs RTR und die Schweiz als Nicht-EU-Staat eigene Äquivalenzregelungen entwickelt. Die Bußgeldpraxis wird sich an der DSGVO-Erfahrung orientieren, wo deutsche Datenschutzbehörden in den letzten Jahren zu den aktivsten in Europa zählten.
Häufig gestellte Fragen
Was passiert am 2. August 2026 unter dem EU AI Act?
Am 2. August 2026 werden die Hochrisiko-Pflichten des EU AI Act für Annex-III-KI-Systeme durchsetzbar. Das umfasst Anforderungen an Risikomanagementsysteme, Qualitätsmanagementsysteme, Konformitätsbewertungen, EU-Datenbankregistrierung, menschliche Aufsichtsmechanismen, technische Dokumentation und Marktüberwachung. Der Digital-Omnibus-Vorschlag könnte dieses Datum jedoch auf den 2. Dezember 2027 verschieben.
Gelten KI-Agenten als hochriskant unter dem EU AI Act?
KI-Agenten, die in einem der acht Annex-III-Bereiche operieren (Personalauswahl, Kreditbewertung, biometrische Identifizierung, kritische Infrastruktur, Bildung, Versicherung, Strafverfolgung oder Migration), sind mit hoher Wahrscheinlichkeit als hochriskant eingestuft. Die autonome Natur von KI-Agenten erzeugt zusätzliche Compliance-Herausforderungen, da sie Tools auswählen, auf Daten zugreifen und Entscheidungen zur Laufzeit treffen.
Wird der Digital Omnibus die EU-AI-Act-Hochrisiko-Frist verschieben?
Der Digital-Omnibus-Vorschlag würde die Annex-III-Hochrisiko-Fristen vom 2. August 2026 auf den 2. Dezember 2027 verschieben. Die IMCO- und LIBE-Ausschüsse des Europäischen Parlaments stimmten am 18. März 2026 mit 101 zu 9 dafür, Trilog-Verhandlungen werden ab April 2026 erwartet. Die Verschiebung ist wahrscheinlich, aber noch nicht endgültig beschlossen. Unternehmen sollten die Compliance-Vorbereitungen fortsetzen, da die Anforderungen unabhängig vom Fristdatum identisch bleiben.
Welche Strafen drohen bei Nichteinhaltung des EU AI Act?
Der EU AI Act sieht Bußgelder bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken vor, 15 Mio. EUR oder 3% für Verstöße bei Hochrisiko-Systemen und 7,5 Mio. EUR oder 1% für falsche Angaben. Diese Bußgelder kumulieren mit DSGVO-Strafen, sodass ein KI-Agent, der personenbezogene Daten in einem Hochrisiko-Bereich verarbeitet, mit kombinierten Strafen von über 55 Mio. EUR rechnen muss.
Wie lange dauert die EU-AI-Act-Konformitätsbewertung für KI-Agenten?
Die Konformitätsbewertung für komplexe KI-Systeme dauert typischerweise 6 bis 12 Monate. Für KI-Agentensysteme kann der Prozess länger dauern, da Agenten mehrere Komponenten umfassen (Modelle, Tools, Prompts, Retrieval-Pipelines), die jeweils dokumentiert und bewertet werden müssen. Die meisten Annex-III-Systeme können Selbstbewertungsverfahren nach Artikel 43 nutzen, aber biometrische Identifizierungssysteme für die Strafverfolgung erfordern eine Drittbewertung durch eine benannte Stelle.