eu-ai-act-hero
· L. Meins · 8 Min. Lesezeit

EU AI Act: Was Unternehmen jetzt wissen und tun müssen

Die Schonfrist ist vorbei — was jetzt gilt und was bis August 2026 kommen muss

AI Governance, Sicherheit & Compliance

Das Ende der Schonfrist

Lange galt der EU AI Act für viele Unternehmen als weit entferntes Datum im Kalender. Doch die Realität hat die Übergangsfristen längst eingeholt: Seit Februar 2025 gelten erste Verbote und Kompetenzpflichten verbindlich, seit August 2025 greifen weitere Regelungen für KI-Modelle und Governance-Strukturen – und ab August 2026 treten die verbleibenden Bestimmungen für Hochrisiko-Systeme in Kraft [1, 2]. Wer jetzt noch nicht gehandelt hat, hat wenig Zeit.

Dieser Artikel gibt einen praxisnahen Überblick: Was regelt das Gesetz? Welche Fristen gelten wann? Und was bedeutet das konkret für Ihr Unternehmen?

Was ist der EU AI Act?

Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz [3]. Er gilt unmittelbar in allen EU-Mitgliedstaaten – ohne dass eine nationale Umsetzung erforderlich ist. Er richtet sich an alle Unternehmen, die KI-Systeme entwickeln, einsetzen, importieren oder vertreiben, unabhängig von Branche und Unternehmensgröße [1, 4].

Auch Unternehmen außerhalb der EU sind betroffen, wenn ihre KI-Systeme in Europa eingesetzt werden – ähnlich wie bei der DSGVO gilt das Gesetz mit extraterritorialer Reichweite [5]. Das Ziel ist zweigeteilt: Schutz von Grundrechten, Gesundheit und Sicherheit der Bürgerinnen und Bürger einerseits, Förderung von Innovation und Vertrauen in KI-Technologien andererseits [3]. Es verfolgt dafür einen risikobasierten Ansatz: Je höher das potenzielle Risiko eines KI-Systems, desto strenger die Anforderungen [4, 6].

Der gestufte Zeitplan: Was gilt seit wann?

eu-ai-act-timeline

Ein weit verbreiteter Irrtum ist, dass der EU AI Act „erst 2026 kommt". Tatsächlich ist er bereits seit dem 1. August 2024 in Kraft – und entfaltet seither schrittweise seine Wirkung [2, 3].

1. August 2024 – Inkrafttreten der Verordnung. Der EU AI Act wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat 20 Tage später rechtswirksam in Kraft [7].

2. Februar 2025 – Erste verbindliche Pflichten. Verbote unzulässiger KI-Praktiken (u. a. Social Scoring, verdeckte Manipulation, biometrische Massenüberwachung in öffentlichen Räumen) sind seitdem vollständig in Kraft. Gleichzeitig gilt die Pflicht zur KI-Kompetenz nach Art. 4: Unternehmen müssen sicherstellen, dass ihr Personal über ausreichende Kenntnisse im Umgang mit KI-Systemen verfügt [6, 8]. Das Gesetz schreibt dabei weder eine Stundenzahl noch eine bestimmte Zertifizierung vor – verlangt aber, dass Unternehmen entsprechende Maßnahmen aktiv ergreifen und dokumentieren können [9].

2. August 2025 – Zweite Stufe. Verbindliche Anforderungen für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) treten in Kraft: Dokumentationspflichten, Transparenz zu Trainingsdaten, Risikobewertungen. Diese Pflichten richten sich an die Entwickler solcher Modelle, nicht an Unternehmen, die sie nur nutzen [2, 10]. Gleichzeitig nehmen nationale Aufsichtsbehörden ihre Tätigkeit auf; Sanktionen für bereits geltende Bereiche des AI Acts werden erstmals vollstreckbar [10]. In Deutschland ist die Bundesnetzagentur als zentrale Marktüberwachungsbehörde vorgesehen – das hierfür notwendige nationale Durchführungsgesetz (KI-MIG) wurde vom Bundeskabinett am 11. Februar 2026 beschlossen und muss noch das parlamentarische Verfahren durchlaufen [11, 12].

2. August 2026 – Vollständige Anwendung. Die zentralen Pflichten für Hochrisiko-KI-Systeme greifen vollständig: Risikomanagementsystem, technische Dokumentation, CE-Kennzeichnung, menschliche Aufsicht. Transparenzpflichten nach Art. 50 (Kennzeichnung von KI-Interaktionen, Deepfakes, biometrischer Kategorisierung) werden ebenfalls verbindlich [1, 3].

2. August 2027 – Art. 6 Abs. 1 tritt in Kraft. Hochrisiko-KI-Systeme, die als Sicherheitskomponenten in regulierten Produkten eingebettet sind (z. B. Medizingeräte, Fahrzeuge, Luftfahrt), unterliegen ab diesem Datum vollständig den Hochrisiko-Pflichten [2, 3].

Das Risikomodell: Vier Stufen, vier Regelungsebenen

eu-ai-act-pyramide

Das Herzstück des EU AI Acts ist seine Risikoeinstufung. Nicht jede KI-Anwendung unterliegt denselben Anforderungen – entscheidend ist, in welchem Kontext und mit welchem Risikopotenzial ein System eingesetzt wird [4, 6].

1. Inakzeptables Risiko – verboten

Diese Systeme sind seit Februar 2025 vollständig verboten. Darunter fallen [6, 8]:

  • Social-Scoring-Systeme durch staatliche Stellen
  • Manipulative KI, die Menschen unbewusst beeinflusst
  • Biometrische Echtzeit-Kategorisierung in öffentlichen Räumen
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen

2. Hochrisiko-KI – strenge Pflichten

Dies ist die für die meisten Unternehmen relevanteste Kategorie. Hochrisiko-Systeme werden in zwei Gruppen eingeteilt: KI in sicherheitskritischen Produkten (z. B. Medizingeräte, Fahrzeugsicherheit) sowie KI in bestimmten Anwendungsfeldern nach Anhang III, darunter [1, 3]:

  • Recruiting und Personalentscheidungen
  • Kreditwürdigkeit und Bonitätsbewertung
  • Bildung und Prüfungen
  • Biometrische Identifizierung
  • Kritische Infrastruktur

Für diese Systeme gelten ab August 2026 umfassende Anforderungen: Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht und ein funktionierendes Qualitätsmanagementsystem [1, 13].

3. Begrenztes Risiko – Transparenzpflichten

Chatbots, Deepfakes und andere interaktive KI-Systeme, bei denen eine erhöhte Gefahr der Täuschung besteht. Hier gilt ab August 2026: Nutzerinnen und Nutzer müssen klar erkennen können, dass sie mit einer KI interagieren (Art. 50) [6, 8].

4. Minimales Risiko – keine besonderen Anforderungen

Die Mehrheit der aktuell im Einsatz befindlichen KI-Systeme fällt in diese Kategorie, z. B. KI-Filter in E-Mails oder einfache Empfehlungsalgorithmen [4]. Das Gesetz empfiehlt freiwillige Verhaltenskodizes, schreibt aber nichts vor [1].

Was müssen Unternehmen konkret tun?

Welche Anforderungen konkret greifen, hängt von zwei Faktoren ab: der Risikoklasse des eingesetzten KI-Systems und der Rolle des Unternehmens – ob es als Anbieter (entwickelt und vermarktet KI) oder als Betreiber (nutzt fremde KI-Systeme im eigenen Betrieb) auftritt [1, 13].

Für alle Unternehmen – sofort geltendes Recht

Verbotene Praktiken prüfen (seit Feb. 2025): Sicherstellen, dass kein eingesetztes System unter die verbotenen Praktiken nach Art. 5 fällt [6, 8].

KI-Kompetenz sicherstellen (Art. 4, seit Feb. 2025): Das Gesetz schreibt keine Stundenzahl oder Zertifizierung vor. Unternehmen müssen jedoch dokumentieren können, dass sie Maßnahmen ergriffen haben – je nach Rolle (Entwickler, Entscheider, Nutzer) und Risikograd der eingesetzten Systeme [9, 12].

Als notwendige Grundlage für alle

Da der EU AI Act auf dem Prinzip der Selbstklassifizierung beruht, muss jedes Unternehmen selbst beurteilen, welche Pflichten für es gelten [13]:

  • KI-Inventar erstellen: Alle eingesetzten KI-Systeme erfassen – inkl. zugekaufte Tools wie Microsoft Copilot oder ChatGPT.
  • Risikoklassifizierung durchführen: Prüfen, ob Systeme unter Anhang III fallen – insbesondere in HR, Kreditentscheidungen und Prozessen mit direkter Auswirkung auf Personen.

Nur bei Hochrisiko-KI-Systemen (ab August 2026)

Anbieter tragen die größte Verantwortung, Betreiber haben abgestufte, aber verbindliche Pflichten [1, 13]:

  • Technische Dokumentation: Zweck, Funktionsweise, Architektur und Trainingsmethoden des Systems
  • Risikomanagementsystem: Kontinuierliche Identifikation und Bewältigung von Risiken
  • Datenqualität: Trainings- und Testdaten repräsentativ und auf Bias geprüft
  • Menschliche Aufsicht: Qualifizierte Personen müssen das System überwachen und eingreifen können
  • Konformitätsbewertung: Hochrisiko-KI muss in vielen Fällen durch unabhängige notifizierte Stellen zertifiziert werden [12]

Nur für bestimmte Systemtypen (Transparenzpflichten, Art. 50)

Unternehmen, die Chatbots, Deepfake-Systeme oder Systeme zur biometrischen Kategorisierung betreiben, müssen Nutzerinnen und Nutzer klar informieren, dass sie mit einer KI interagieren [6, 8]. Diese Pflicht gilt nicht pauschal für jede KI-Anwendung.

Was bei Verstößen droht

Die Sanktionen des EU AI Acts orientieren sich am Schweregrad des Verstoßes [7, 9]:

  • Verstöße gegen verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
  • Verstöße gegen Pflichten für Hochrisiko-Systeme: bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes
  • Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes

Dass die Behörden es ernst meinen, zeigt ein frühes Durchsetzungsbeispiel: Die Bundesnetzagentur verhängte bereits erste Bußgelder, darunter gegen einen Medizin-KI-Anbieter, der keine ausreichenden Risikobewertungen vorlegen konnte [9]. Neben den finanziellen Sanktionen drohen Verzögerungen bei der Markteinführung neuer Produkte und Vertrauensverlust bei Kunden und Partnern.

Besonderheit: Gilt auch für KI-Tools von Drittanbietern?

Auch als Betreiber von zugekauften KI-Systemen trägt ein Unternehmen Verantwortung. Wenn ein System wie Microsoft Copilot oder ein externes Recruiting-Tool in einem Hochrisiko-Kontext eingesetzt wird, gelten die entsprechenden Betreiberpflichten – unabhängig davon, wer das Modell entwickelt hat [1, 5]. Wer GPAI-Modelle lediglich nutzt, trägt nicht die Anbieterpflichten für diese Modelle; wohl aber die Verantwortung für den konkreten Einsatzkontext [10].

Der EU AI Act als Chance

Es wäre zu kurz gedacht, den EU AI Act nur als Regulierungsaufwand zu betrachten. Die Europäische Kommission sieht ihn ausdrücklich auch als Innovationsrahmen: Mit KI-Reallaboren (Regulatory Sandboxes) können Unternehmen – besonders Start-ups und KMUs – neue KI-Systeme unter realen Bedingungen erproben, bevor sie regulär auf den Markt kommen [11, 12]. In Deutschland wird die Bundesnetzagentur mindestens ein solches Reallabor betreiben. Unternehmen, die jetzt Governance-Strukturen aufbauen, KI transparent dokumentieren und klare Verantwortlichkeiten schaffen, verschaffen sich zudem einen Wettbewerbsvorteil: mehr Vertrauen bei Kunden und Partnern sowie eine solidere Basis für die weitere Skalierung von KI-Projekten.

Wie AKARA Solutions unterstützt

Als Digital-Transformation-Beratung begleiten wir Unternehmen bei der strukturierten Vorbereitung auf den EU AI Act: von der ersten Bestandsaufnahme der eingesetzten KI-Systeme über die Risikoklassifizierung bis zur Einrichtung geeigneter Governance- und Dokumentationsprozesse. Dabei setzen wir auf DSGVO-konforme, lokal betriebene Lösungen – ein Ansatz, der sich mit den Anforderungen des AI Acts nahtlos verbindet.

Sie möchten wissen, wo Ihr Unternehmen heute steht? Sprechen Sie uns an – wir helfen Ihnen, einen realistischen Fahrplan zu entwickeln.

Quellenverzeichnis

  1. Europäische Kommission (2024). „KI-Gesetz". Gestaltung der digitalen Zukunft Europas. digital-strategy.ec.europa.eu
  2. Alexander Thamm (2025). „Der Fahrplan zum EU AI Act: Ein detaillierter Leitfaden". alexanderthamm.com
  3. IHK Schleswig-Holstein (2025). „AI-Act: Was Unternehmen jetzt wissen müssen". ihk.de
  4. IJONIS (2026). „EU AI Act 2025: Was deutsche Unternehmen jetzt wissen müssen". ijonis.com
  5. Kiwop (2026). „EU AI Act 2026: Vollständiger Leitfaden für Unternehmen". kiwop.com
  6. Handelskammer Hamburg (2025). „EU AI Act – Was ab August 2025 in Theorie und Praxis zählt". handelskammer-hamburg.de
  7. Alexander Thamm (2025). Das KI-Gesetz wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft.
  8. SRD Rechtsanwälte (2025). „AI Act ab 2. August 2025: Neue Pflichten & Sanktionen". srd-rechtsanwaelte.de
  9. Anwalt.de (2025). „EU AI Act Enforcement 2025: Neue Pflichten für deutsche KI-Entwickler". anwalt.de
  10. SRD Rechtsanwälte (2025). Pflichten für GPAI-Anbieter (Kap. V KI-VO) treten zum 2. August 2025 in Kraft.
  11. Bundesministerium für Digitales und Staatsmodernisierung (2025). „Gesetz zur Durchführung der KI-Verordnung (KI-MIG)". bmds.bund.de
  12. AI Act Akademie (2026). „AI Act Durchführungsgesetz: Nationale KI-Aufsicht". aiact-akademie.de
  13. Bitkom (2024). „Umsetzungsleitfaden zur KI-Verordnung (EU) 2024/1689". bitkom.org

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Alle Angaben basieren auf dem Stand der Verordnung (EU) 2024/1689 sowie verfügbaren Leitlinien, Stand März 2026.