Der EU AI Act ist das erste KI-Gesetz weltweit. Seit August 2024 in Kraft, greifen ab August 2026 die meisten Pflichten. Und eine aktuelle Studie zeigt: 78% der Unternehmen in Europa haben noch keine ausreichenden Governance-Strukturen aufgebaut. Die Frage ist nicht, ob dich das betrifft. Die Frage ist, wie schnell du reagierst.
In diesem Artikel erkläre ich dir, was der EU AI Act konkret für dein Unternehmen bedeutet, welche Fristen gelten und wie du in fünf Schritten compliant wirst. Nicht aus juristischer Perspektive, sondern aus der Praxis: als jemand, der KI in Unternehmen einführt und dabei täglich mit genau diesen Fragen konfrontiert wird.
Was der EU AI Act für dein Unternehmen bedeutet
Der EU AI Act (Verordnung (EU) 2024/1689) teilt KI-Systeme in vier Risikokategorien ein:
- Verboten: KI, die Menschen manipuliert, Social Scoring betreibt oder umfassende Mitarbeiterüberwachung ermöglicht. Seit Februar 2025 durchgesetzt.
- Hochrisiko: KI in HR (Bewerbungsscreening, Leistungsbewertung), Kreditvergabe, kritischer Infrastruktur, Medizinprodukten. Hier gelten die strengsten Pflichten.
- Begrenztes Risiko: KI mit direkter Nutzerinteraktion (Chatbots). Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI sprechen.
- Minimales Risiko: Alles andere. Keine spezifischen Pflichten, aber die KI-Kompetenz-Schulung gilt trotzdem.
Entscheidend: Der AI Act gilt nicht nur für KI-Entwickler. Er gilt für jedes Unternehmen, das KI einsetzt. Die Verordnung nennt das "Betreiber" (Deployer). Wenn dein Team ChatGPT, Copilot oder ein KI-gestütztes CRM nutzt, bist du Betreiber.
Die Fristen: Was gilt ab wann?
Die Verwirrung um die Fristen ist real. Hier die klare Übersicht:
Was schon heute Pflicht ist: Artikel 4
Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht. Jeder Mitarbeiter, der KI-Systeme einsetzt, muss "ausreichende Kenntnisse" nachweisen. Konkret:
- Schulungen durchführen und dokumentieren
- Mitarbeiter müssen verstehen, wie das KI-System grundlegend funktioniert
- Dokumentation muss auf Behördenanfrage vorgelegt werden können
Die meisten Unternehmen wissen nicht, dass diese Pflicht bereits gilt. Wenn dein Team KI nutzt und du keine Schulungsnachweise hast, bist du jetzt schon nicht compliant.
August 2026: Der große Stichtag
Am 2. August 2026 treten die restlichen Bestimmungen in Kraft:
- Transparenzpflichten (Art. 50): KI-generierte Inhalte müssen gekennzeichnet werden
- Meldepflichten und Registrierungspflichten
- Governance-Anforderungen für alle KI-Systeme
- Nationale Marktaufsicht startet (Bundesnetzagentur)
Digital Omnibus: Die Fristverlagerung auf Dezember 2027
Wichtige Neuigkeit: Das EU-Parlament hat am 26. März 2026 mit 569 zu 45 Stimmen das Digital-Omnibus-Paket beschlossen. Die Hochrisiko-Pflichten verschieben sich:
- Anhang III (HR, Kreditscoring, Biometrie): Neuer Termin: 2. Dezember 2027
- Anhang I (Sicherheitskomponenten in Produkten): Neuer Termin: 2. August 2028
- Watermarking für KI-Inhalte: 2. November 2026
Außerdem wurden KMU-Erleichterungen auf kleine Mid-Cap-Unternehmen bis 500 Mitarbeiter ausgeweitet.
Das heißt nicht: zurücklehnen. Die allgemeinen Pflichten (Transparenz, Governance, Art. 4) gelten weiterhin ab August 2026. Und wer eine Konformitätsbewertung für Hochrisiko-KI braucht, rechnet mit 3 bis 6 Monaten Vorlauf. Wer jetzt nicht anfängt, wird auch Dezember 2027 nicht schaffen.
78% der Unternehmen sind nicht vorbereitet
Eine aktuelle EU-weite Studie von Vision Compliance (April 2026) zeigt deutliche Lücken:
- 78% haben keine ausreichenden Governance-Strukturen
- 83% haben kein KI-System-Inventar erstellt
- 74% haben keinen AI-Governance-Verantwortlichen benannt
- Technische Dokumentation fokussiert auf Performance, nicht auf regulatorische Kriterien
- Bias-Kontrollen und Fairness-Analysen sind selten formalisiert
Diese Zahlen überraschen mich nicht. In meiner Beratungspraxis sehe ich täglich, dass Unternehmen KI einführen, ohne sich um Governance zu kümmern. Nicht aus Ignoranz, sondern weil die Informationslage fragmentiert ist und die meisten Artikel zum AI Act von Juristen geschrieben werden, nicht von Praktikern.
Was ein normales KMU wirklich tun muss
Jetzt wird es konkret. Fünf Schritte, die jedes Unternehmen zwischen 20 und 500 Mitarbeitern sofort angehen sollte.
Schritt 1: KI-Inventur erstellen
Liste alle KI-Systeme in deinem Unternehmen auf. Nicht nur ChatGPT und Copilot. Auch:
- KI-Funktionen in deinem CRM (z.B. Lead Scoring)
- KI in der HR-Software (z.B. Bewerbungsranking)
- KI in der Buchhaltung (z.B. automatische Rechnungserkennung)
- KI-Features in ERP-Systemen
- Chatbots auf der Website oder im Kundenservice
Frag deine Softwareanbieter explizit: "Nutzt dieses Produkt KI-Funktionen im Sinne des EU AI Act?" Viele Mittelständler sind überrascht, wie viele KI-Berührungspunkte sie haben.
Schritt 2: Risikoklassifizierung vornehmen
Ordne jedes System einer Risikokategorie zu:
- Nutzt du KI im Bewerbungsmanagement? Hochrisiko.
- Nutzt du KI für Kreditentscheidungen? Hochrisiko.
- Nutzt du einen Chatbot im Kundenservice? Begrenztes Risiko (Transparenzpflicht).
- Nutzt du KI für interne Texterstellung? Minimales Risiko.
Im Zweifel: höher klassifizieren und dokumentieren. Das spart später Ärger.
Schritt 3: Dokumentation und Governance aufbauen
Für Hochrisiko-Systeme brauchst du:
- Ein Risikomanagementsystem
- Technische Dokumentation (nicht nur Performance-KPIs, sondern regulatorische Kriterien)
- Nachweis menschlicher Kontrolle (Human Oversight)
- Daten-Governance (Herkunft, Qualität, Bias-Prüfung der Trainingsdaten)
Für alle Systeme brauchst du:
- Schulungsnachweise (Art. 4, gilt seit Februar 2025)
- Transparenzhinweise für Nutzer, wenn sie mit KI interagieren
Schritt 4: Lieferanten prüfen
Als Betreiber bist du mitverantwortlich. Fordere von deinen KI-Anbietern:
- Compliance-Erklärungen zum AI Act
- Technische Dokumentation
- Informationen zur Risikoklassifizierung
- Vertragliche Absicherung (ähnlich wie Auftragsverarbeitung bei der DSGVO)
Schritt 5: Verantwortlichkeiten verankern
Benenne eine interne Person für KI-Compliance. Das muss kein Jurist sein. Eine verantwortliche Person, die den Prozess steuert und die Dokumentation pflegt, reicht als Start. Bei größeren Unternehmen empfiehlt sich ein KI-Governance-Gremium.
Was passiert, wenn du nichts tust?
Der AI Act hat Bußgeld-Zähne:
- Verbotene KI-Praktiken: Bis 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes
- Hochrisiko-Verstöße: Bis 15 Mio. Euro oder 3% des Jahresumsatzes
- Falsche Angaben: Bis 7,5 Mio. Euro oder 1,5% des Jahresumsatzes
Für KMU gelten proportionale Obergrenzen. Ein Mittelständler mit 20 Millionen Euro Umsatz riskiert bei Hochrisiko-Verstößen bis zu 600.000 Euro. Nicht existenzbedrohend, aber schmerzhaft.
Dazu kommt: Aufsichtsbehörden können KI-Systeme untersagen oder einschränken. Stell dir vor, dein KI-gestütztes Recruiting-Tool wird abgeschaltet, weil du keine Dokumentation hast. Oder Kunden verlangen Compliance-Nachweise, die du nicht liefern kannst.
Die Marktaufsicht durch die Bundesnetzagentur startet offiziell am 2. August 2026. In den ersten Monaten wird die Behörde vermutlich beratend auftreten. Aber darauf verlassen solltest du dich nicht.
Compliance als Wettbewerbsvorteil
Ich sehe den AI Act nicht als Bürokratie-Monster. Ich sehe ihn als Chance. Warum?
Unternehmen, die jetzt ihre KI-Nutzung strukturieren, gewinnen dreifach:
- Risiko minimieren: Dokumentierte Prozesse schützen vor Bußgeldern und Reputationsschäden.
- Vertrauen aufbauen: Kunden und Partner werden zunehmend Compliance-Nachweise verlangen. Wer sie hat, gewinnt Aufträge.
- Bessere KI-Nutzung: Eine KI-Inventur zeigt oft, wo Potenzial brachliegt. Viele Unternehmen entdecken dabei, dass sie KI unterdurchschnittlich nutzen.
Die Compliance-Kosten sind überschaubar. Studien des Brüsseler Thinktanks CEPS schätzen 10 bis 20 Prozent der KI-Investitionen. Für die meisten KMU bedeutet das jährliche Zusatzkosten im mittleren fünfstelligen Bereich. Verglichen mit dem ROI, den strukturierte KI-Nutzung im Mittelstand bringt, ist das eine lohnende Investition.
KI-Kompetenz-Schulung nach Art. 4 EU AI Act?
In meinem KI-Workshop lernt dein Team nicht nur, KI produktiv zu nutzen, sondern erhält auch die Schulungsdokumentation, die Art. 4 verlangt. Zwei Fliegen mit einer Klappe.
KI-Workshop ansehen →Häufige Fragen zum EU AI Act
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Er teilt KI-Systeme in Risikokategorien ein und definiert Pflichten für Anbieter und Betreiber. Die meisten Bestimmungen gelten ab dem 2. August 2026.
Gilt der EU AI Act auch für Unternehmen, die KI nur nutzen?
Ja. Der AI Act unterscheidet zwischen Anbietern (Entwicklern) und Betreibern (Nutzern). Jedes Unternehmen, das KI-Systeme einsetzt, hat eigene Compliance-Pflichten. Dazu zählen Dokumentation, Transparenz und seit Februar 2025 die KI-Kompetenzpflicht nach Artikel 4.
Welche Strafen drohen bei Verstößen gegen den EU AI Act?
Die Bußgelder sind gestaffelt: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder 3% für Hochrisiko-Verstöße. Für KMU gelten proportionale Obergrenzen.
Wurde die Frist für Hochrisiko-KI verschoben?
Ja. Das EU-Parlament hat am 26. März 2026 das Digital-Omnibus-Paket beschlossen. Die Hochrisiko-Pflichten für Anhang-III-Systeme (HR, Kreditscoring) verschieben sich auf den 2. Dezember 2027. Die allgemeinen Pflichten (Transparenz, Governance, KI-Kompetenz) gelten weiterhin ab August 2026.
Wie viel kostet AI Act Compliance für ein KMU?
Studien schätzen 10 bis 20 Prozent der KI-Investitionen für Compliance-Aufwand. Für die meisten KMU bedeutet das jährliche Zusatzkosten im mittleren fünfstelligen Bereich. Der Großteil entfällt auf Dokumentation, Risikobewertung und Governance-Strukturen.