Am 2. August 2026 wird der EU AI Act konkret. Ab diesem Datum gelten die Pflichten für Hochrisiko-KI-Systeme, die Transparenzregeln und der komplette Durchsetzungsrahmen in allen 27 Mitgliedstaaten. Wer KI-Systeme in der EU entwickelt, einsetzt, importiert oder vertreibt, ist betroffen.

Die Bußgelder sind kein Papiertiger: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Das übertrifft sogar die DSGVO-Strafen. Und anders als die DSGVO, die primär Datenverarbeiter traf, erfasst der AI Act Anbieter, Betreiber, Importeure und Händler gleichermaßen.

Was genau auf Ihr Unternehmen zukommt, steht in diesem Artikel.

So stuft der EU AI Act Risiken ein

Die gesamte Verordnung basiert auf vier Risikostufen. Ihre Pflichten hängen davon ab, wo Ihr KI-System eingeordnet wird.

Unannehmbares Risiko: Diese KI-Systeme sind verboten. Dazu gehören Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung) und KI, die gezielt Schwächen bestimmter Gruppen ausnutzt. Diese Verbote gelten bereits seit dem 2. Februar 2025.

Hohes Risiko: Hier liegt die schwerste Compliance-Last, und hier greift die August-2026-Frist. Anhang III des AI Act listet acht Bereiche auf:

  1. Biometrie: Fernidentifikation, Emotionserkennung
  2. Kritische Infrastruktur: KI zur Steuerung von Stromnetzen, Verkehr, Wasserversorgung
  3. Bildung: Systeme für Zulassungsentscheidungen, Prüfungsbewertung, Prüfungsüberwachung
  4. Beschäftigung: Lebenslauf-Screening, Bewerbungsgespräch-Auswertung, Leistungsüberwachung, Beförderungsentscheidungen
  5. Grundlegende Dienstleistungen: Kreditscoring, Versicherungstarifierung, Sozialleistungsansprüche
  6. Strafverfolgung: Kriminalitätsprognose, Beweiswürdigung, Risikobewertung
  7. Migration und Grenzkontrolle: Visumbearbeitung, Asylantragsbewertung
  8. Justiz und Demokratie: KI in der richterlichen Entscheidungsfindung

Wenn Ihr KI-System einen dieser Bereiche berührt, ist es mit hoher Wahrscheinlichkeit als Hochrisiko einzustufen.

Begrenztes Risiko: Chatbots und ähnliche Systeme unterliegen Transparenzpflichten. Nutzer müssen wissen, dass sie mit einer KI interagieren. Minimales Risiko: Spamfilter, Empfehlungsalgorithmen und vergleichbare Systeme sind weitgehend unreguliert.

Was Hochrisiko-Compliance konkret bedeutet

Hier trifft der abstrakte Verordnungstext auf die betriebliche Realität. Artikel 16 des AI Act listet die Pflichten für Anbieter von Hochrisiko-KI-Systemen. Das bedeuten sie in der Praxis.

Risikomanagementsystem (Artikel 9)

Sie brauchen ein dokumentiertes, laufend aktualisiertes Risikomanagementsystem, das über den gesamten Lebenszyklus Ihres KI-Systems läuft. Keine einmalige Risikobewertung, sondern ein lebender Prozess.

Konkret heißt das:

  • Risiken für Gesundheit, Sicherheit und Grundrechte identifizieren und analysieren
  • Eintrittswahrscheinlichkeit und Schwere jedes Risikos einschätzen
  • Minderungsmaßnahmen umsetzen (technisches Redesign, menschliche Aufsicht, Nutzungsbeschränkungen)
  • Vor dem Einsatz gegen definierte Metriken und Wahrscheinlichkeitsschwellen testen
  • Nach jeder wesentlichen Systemaktualisierung neu bewerten

Das Risikomanagementsystem muss auch vorhersehbaren Missbrauch berücksichtigen, nicht nur die bestimmungsgemäße Verwendung. Wenn Ihre Recruiting-KI theoretisch zur Überwachung zweckentfremdet werden könnte, muss dieses Risiko dokumentiert sein.

Datenqualität (Artikel 10)

Trainings-, Validierungs- und Testdatensätze müssen spezifische Qualitätsstandards erfüllen. Sie müssen nachweisen, dass Ihre Daten relevant, repräsentativ und so frei von Verzerrungen wie möglich sind. Die Datensatzdokumentation muss Informationen über Erhebungsmethoden, Vorverarbeitung, Annahmen und bekannte Einschränkungen enthalten.

Für Systeme im Beschäftigungs- oder Bildungsbereich ist das besonders streng. Wenn Ihre KI Lebensläufe screent, müssen Sie belegen, dass die Trainingsdaten keine geschützten Gruppen systematisch benachteiligen. In Deutschland kommt hier zusätzlich die DSGVO ins Spiel: Artikel 22 DSGVO regelt bereits heute automatisierte Einzelentscheidungen.

Weiterlesen: KI-Recruiting-Tools: Automatisierung im Hiring

Technische Dokumentation (Artikel 11)

Jedes Hochrisiko-KI-System braucht eine umfassende technische Dokumentation, die Behörden eine Konformitätsbewertung ermöglicht. Dazu gehören Systemarchitektur, Entwicklungsmethodik, Trainingsverfahren, Leistungskennzahlen und die Risikomanagement-Dokumentation aus Artikel 9.

Stellen Sie sich das als lückenlose Prüfspur von der Konzeption bis zum Einsatz vor.

Menschliche Aufsicht (Artikel 14)

Hochrisiko-KI-Systeme müssen so gestaltet sein, dass Menschen sie wirksam beaufsichtigen können. Das ist keine Formalie. Die Verordnung verlangt, dass die aufsichtführende Person die Fähigkeiten und Grenzen des Systems versteht, dessen Ergebnisse korrekt interpretieren kann und das System jederzeit übersteuern oder abschalten kann.

Bei KI-Systemen für Beschäftigungsentscheidungen bedeutet das: Ein qualifizierter Mensch muss jede automatisierte Empfehlung prüfen, bevor sie endgültig wird. Der Mensch in der Schleife ist nicht optional, sondern gesetzlich vorgeschrieben.

Weiterlesen: Was sind KI-Agenten? Leitfaden für Entscheider

Konformitätsbewertung

Vor dem Inverkehrbringen eines Hochrisiko-KI-Systems in der EU müssen Anbieter eine Konformitätsbewertung durchführen. Für die meisten Systeme aus Anhang III ist das eine interne Bewertung (Anhang VI): Sie überprüfen die eigene Compliance gegen alle Anforderungen. Keine externe Prüfstelle nötig, aber alles muss dokumentiert sein.

Die Ausnahmen: Biometrische Identifikationssysteme erfordern eine Drittprüfung durch eine benannte Stelle. Ebenso KI-Systeme in Produkten, die bereits unter bestehende EU-Harmonisierungsvorschriften fallen (Medizinprodukte, Maschinen, Spielzeug). Dort gilt das Konformitätsbewertungsverfahren der jeweiligen Produktgesetzgebung.

Nach bestandener Konformitätsbewertung bringen Sie die CE-Kennzeichnung an und registrieren das System in der EU-Datenbank für Hochrisiko-KI-Systeme.

Die Durchsetzung: Wer kontrolliert die KI?

Jeder EU-Mitgliedstaat muss nationale Marktüberwachungsbehörden benennen. In Deutschland hat die Bundesnetzagentur die Federführung übernommen und baut eine eigene KI-Marktüberwachungskammer auf. Die IHK München berät Unternehmen bereits zu den konkreten Anforderungen.

In Österreich wird die RTR voraussichtlich eine zentrale Rolle spielen. Für Schweizer Unternehmen, die KI-Systeme im EU-Markt anbieten, gelten die Regeln ebenso, auch wenn die Schweiz kein EU-Mitglied ist.

Auf EU-Ebene koordiniert das European AI Office die Durchsetzung und beaufsichtigt General-Purpose-AI-Modelle direkt.

Bußgeldrahmen

Die Sanktionsstufen im Überblick:

VerstoßMaximales Bußgeld
Verbotene KI-Praktiken35 Mio. EUR oder 7 % des Jahresumsatzes
Hochrisiko-Systempflichten15 Mio. EUR oder 3 % des Jahresumsatzes
Falsche Angaben gegenüber Behörden7,5 Mio. EUR oder 1 % des Jahresumsatzes

Für KMU und Startups greift jeweils der niedrigere der beiden Werte. Aber „verhältnismäßig" heißt nicht „harmlos." Ein Unternehmen mit 50 Millionen Euro Umsatz riskiert bis zu 1,5 Millionen Euro Strafe bei Verstößen gegen Hochrisiko-Anforderungen.

Weiterlesen: Eightfold AI verklagt: Die FCRA-Klage, die KI-Hiring-Tools gefährden könnte

Ihr Compliance-Fahrplan in sechs Schritten

Basierend auf den Empfehlungen von Orrick, dem EU AI Act Service Desk und der Beratung durch EY Deutschland folgt hier ein praxistauglicher Aktionsplan.

Schritt 1: KI-Inventar erstellen (Sofort beginnen)

Erfassen Sie jedes KI-System, das Ihr Unternehmen in der EU entwickelt, einkauft, importiert, vertreibt oder einsetzt. Auch Drittanbieter-KI in eigenen Produkten zählt. Für jedes System dokumentieren:

  • Was es tut und wer es nutzt
  • Welche Daten es verarbeitet
  • Wo es eingesetzt wird (welche EU-Märkte)
  • Wer der Anbieter ist (Sie selbst, ein Vendor oder beide)

Viele Unternehmen entdecken dabei 3-5x mehr KI-Systeme als erwartet. Das Marketing-Tool mit „intelligenten Empfehlungen"? Wahrscheinlich KI. Der Chatbot auf der Website? KI. Die Betrugserkennung im Zahlungssystem? Definitiv KI.

Schritt 2: Ihre Rolle klären

Bestimmen Sie für jedes KI-System, ob Sie Anbieter (Sie haben es entwickelt oder vertreiben es unter Ihrem Namen), Betreiber (Sie setzen es in Ihrem Geschäftsbetrieb ein), Importeur (Sie bringen Nicht-EU-KI auf den Markt) oder Händler (Sie machen es Dritten zugänglich) sind.

Die Pflichten unterscheiden sich erheblich je nach Rolle. Anbieter tragen die größte Last. Aber auch Betreiber haben konkrete Pflichten: menschliche Aufsicht sicherstellen, Risiken überwachen, Protokolle führen und schwerwiegende Vorfälle melden.

Schritt 3: Jedes System risikoklassifizieren

Prüfen Sie jedes KI-System gegen die Kategorien in Anhang III. Seien Sie ehrlich: Ein System, das Einstellungsentscheidungen „unterstützt", ist trotzdem Hochrisiko, wenn es die Ergebnisse maßgeblich beeinflusst. Die im Februar 2026 veröffentlichten Leitlinien der Kommission zu Artikel 6 liefern praktische Beispiele.

Schritt 4: Lückenanalyse durchführen

Für jedes Hochrisiko-System: Vergleichen Sie Ihren Ist-Zustand mit den Anforderungen an Risikomanagement, Datenqualität, Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Die Differenz zwischen „was wir haben" und „was wir brauchen" ist Ihr Compliance-Arbeitsplan.

Schritt 5: Governance-Rahmen aufbauen

Etablieren Sie eine KI-Governance-Struktur. Das erfordert keine neue Abteilung. Es erfordert klare Zuständigkeiten: Wer trifft KI-Risikoentscheidungen? Wer zeichnet Konformitätsbewertungen ab? Wer meldet Vorfälle? Wer hält die Dokumentation aktuell?

SoftwareOne empfiehlt, die KI-Governance in bestehende Compliance-Strukturen zu integrieren, statt Parallelsysteme aufzubauen. Gerade für den DACH-Mittelstand ist das der pragmatische Weg.

Schritt 6: Laufende Compliance vorbereiten

Der AI Act ist keine einmalige Zertifizierung. Post-Market-Monitoring ist Pflicht. Sie müssen die Systemleistung überwachen, schwerwiegende Vorfälle innerhalb vorgegebener Fristen an nationale Behörden melden und Konformitätsbewertungen nach wesentlichen Änderungen wiederholen.

Richten Sie Monitoring-Dashboards, Incident-Response-Verfahren und einen regelmäßigen Review-Zyklus ein. Budgetieren Sie dafür. Das ist kein Projekt mit Enddatum, sondern ein dauerhafter Betriebsaufwand.

Die Lücke bei den Standards

Eine unbequeme Wahrheit: Die europäischen Normungsgremien CEN und CENELEC hätten bis Herbst 2025 harmonisierte technische Standards liefern sollen. Diese Frist wurde gerissen. Aktuelle Schätzungen sehen die Fertigstellung Ende 2026, Monate nach Beginn der Durchsetzung.

Das bedeutet: Unternehmen müssen das Gesetz einhalten, bevor die detaillierten technischen Standards existieren. Der pragmatische Ansatz: Die Anforderungen der Verordnung direkt umsetzen, mit bestehenden Rahmenwerken ergänzen (ISO 42001 für KI-Managementsysteme, ISO 23894 für KI-Risikomanagement) und die eigene Vorgehensweise dokumentieren.

Wenn die harmonisierten Standards kommen, müssen Sie möglicherweise nachjustieren. Aber eine nachweisbare Compliance-Bemühung jetzt ist weit besser als Abwarten.

Weiterlesen: Agentic AI vs. Generative AI: Was Entscheider wissen müssen

Häufig gestellte Fragen

Wann tritt der EU AI Act vollständig in Kraft?

Der EU AI Act wird schrittweise eingeführt. Verbote für KI mit unannehmbarem Risiko gelten seit dem 2. Februar 2025. Der zentrale Durchsetzungstermin ist der 2. August 2026: Ab dann greifen die Pflichten für Hochrisiko-KI-Systeme (Anhang III), die Transparenzanforderungen und der Marktüberwachungsrahmen. Für Hochrisiko-KI in Produkten unter bestehender EU-Harmonisierungsgesetzgebung gilt eine Frist bis August 2027.

Welche Bußgelder drohen bei Verstößen gegen den EU AI Act?

Bußgelder können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken betragen, bis zu 15 Millionen Euro oder 3 % für Verstöße bei Hochrisiko-Systemen und bis zu 7,5 Millionen Euro oder 1 % für falsche Angaben gegenüber Behörden. Für KMU und Startups gelten verhältnismäßig niedrigere Obergrenzen.

Gilt der EU AI Act auch für Schweizer Unternehmen?

Ja, wenn Schweizer Unternehmen KI-Systeme auf dem EU-Markt anbieten oder die Ergebnisse ihrer KI-Systeme in der EU genutzt werden. Der extraterritoriale Geltungsbereich ähnelt der DSGVO. Auch Unternehmen aus Österreich und Nicht-EU-Ländern sind betroffen, sobald sie im EU-Binnenmarkt tätig sind.

Was zählt als Hochrisiko-KI-System?

Hochrisiko-KI-Systeme sind solche, die in acht Bereichen nach Anhang III eingesetzt werden: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, grundlegende Dienstleistungen (Kreditscoring, Versicherung), Strafverfolgung, Migration und Grenzkontrolle sowie Justiz und Demokratie. Auch KI in Produkten unter bestehender EU-Sicherheitsgesetzgebung gilt als Hochrisiko.

Brauche ich eine externe Prüfung für die AI-Act-Compliance?

Die meisten Hochrisiko-KI-Systeme aus Anhang III können eine interne Konformitätsbewertung (Anhang VI) durchlaufen. Sie zertifizieren sich selbst. Eine Drittprüfung durch eine benannte Stelle ist nur für biometrische Identifikationssysteme und KI in Produkten erforderlich, die bereits unter Drittprüfungspflichten bestehender EU-Gesetzgebung fallen.

Der EU AI Act ist die weltweit bedeutendste KI-Regulierung. Wir verfolgen die Compliance-Entwicklungen und ihre Auswirkungen auf den KI-Einsatz. Abonnieren Sie unseren Newsletter.