EU AI Act 2026: Was Unternehmen jetzt wissen müssen

EU AI Act 2026: Die neue KI-Verordnung im Überblick

Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird seit Februar 2025 schrittweise angewendet. Für Unternehmen, die Künstliche Intelligenz einsetzen oder entwickeln, bedeutet das: Compliance ist keine Option mehr, sondern Pflicht. Ab August 2026 gelten die meisten Vorschriften in vollem Umfang, einschließlich der Regelungen für Hochrisiko-KI-Systeme.

Dieser Artikel erklärt, was der EU AI Act konkret regelt, welche Unternehmen betroffen sind, welche Bußgelder drohen und was Sie jetzt tun müssen, um rechtskonform zu bleiben. Ob Sie als Geschäftsführer, Compliance-Beauftragter oder KI-Berater tätig sind: Dieses Wissen wird in den kommenden Monaten geschäftskritisch.

Was ist der EU AI Act?

Der EU AI Act (offiziell: Verordnung über Künstliche Intelligenz) ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen. Er gilt unmittelbar in allen 27 EU-Mitgliedstaaten, ohne dass nationale Umsetzungsgesetze erforderlich sind.

Das Ziel: KI-Systeme sollen sicher, transparent und grundrechtskonform sein, ohne Innovation unnötig zu bremsen. Der EU AI Act verfolgt einen risikobasierten Ansatz. Je höher das Risiko einer KI-Anwendung, desto strenger die Auflagen.

Zeitplan: Wann gilt was?

Datum Was gilt ab dann?
2. Februar 2025 Verbot verbotener KI-Praktiken, Pflicht zur KI-Kompetenz
2. August 2025 Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI)
2. August 2026 Vollständige Anwendung, inkl. Hochrisiko-KI-Systeme
2. August 2027 Regeln für Hochrisiko-KI in regulierten Produkten (Anhang I)

Das bedeutet: Die kritischsten Vorschriften für die meisten Unternehmen greifen im August 2026. Wer bis dahin nicht compliant ist, riskiert empfindliche Strafen.

Das Risikoklassifizierungssystem des EU AI Act

Das Herzstück des EU AI Act ist die Einteilung von KI-Systemen in vier Risikokategorien. Diese Klassifizierung bestimmt, welche Pflichten für Anbieter und Betreiber gelten.

Stufe 1: Verbotene KI-Praktiken (Unannehmbares Risiko)

Bestimmte KI-Anwendungen sind seit Februar 2025 komplett verboten:

Social Scoring durch Behörden: KI-Systeme, die das Sozialverhalten von Personen bewerten und daraus Nachteile ableiten.

Unterschwellige Manipulation: KI, die menschliches Verhalten durch unbewusste Beeinflussung steuert und dabei Schaden verursacht.

Ausnutzung von Verletzlichkeit: KI-Systeme, die die Verletzlichkeit bestimmter Personengruppen (Alter, Behinderung, wirtschaftliche Lage) gezielt ausnutzen.

Biometrische Echtzeit-Fernidentifizierung: Im öffentlichen Raum durch Strafverfolgungsbehörden, mit eng definierten Ausnahmen.

Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: Systeme, die Emotionen von Mitarbeitenden oder Schülern auslesen.

Ungezielte Gesichtsbilddatenbanken: Das massenhafte Sammeln von Gesichtsbildern aus dem Internet oder Überwachungskameras.

Stufe 2: Hochrisiko-KI-Systeme

Hochrisiko-KI-Systeme unterliegen den umfangreichsten Pflichten. Dazu gehören KI-Systeme in folgenden Bereichen:

Biometrische Identifizierung und Kategorisierung von Personen.

Kritische Infrastruktur: Wasser-, Gas-, Strom- und Verkehrsversorgung.

Bildung und Berufsausbildung: KI-gestützte Prüfungsbewertung, Zugangssteuerung zu Bildungseinrichtungen.

Beschäftigung und Personalmanagement: KI im Recruiting, bei Beförderungsentscheidungen, Kündigungen oder Leistungsbewertungen.

Zugang zu wesentlichen Dienstleistungen: Kreditwürdigkeit, Versicherung, öffentliche Leistungen.

Strafverfolgung: Risikobewertung, Vorhersage von Straftaten, Lügendetektoren.

Migration und Grenzkontrolle: Visabearbeitung, Asylverfahren.

Justiz und demokratische Prozesse: Unterstützung bei Gerichtsentscheidungen, Wahlbeeinflussung.

Stufe 3: KI-Systeme mit begrenztem Risiko (Transparenzpflichten)

Für diese Systeme gelten vor allem Informations- und Transparenzpflichten:

Chatbots: Nutzer müssen wissen, dass sie mit einer KI interagieren.

Deepfakes: KI-generierte Bilder, Videos und Audioinhalte müssen als solche gekennzeichnet werden.

KI-generierte Texte: Bei Veröffentlichung zu Themen von öffentlichem Interesse muss die KI-Erstellung offengelegt werden.

Stufe 4: Minimales Risiko

Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie: Spamfilter, KI in Videospielen, automatisierte Lagerverwaltung und ähnliche Systeme. Für diese gelten keine besonderen Auflagen, die allgemeine Produkthaftung greift aber weiterhin.

Pflichten für Unternehmen: Was müssen Sie konkret tun?

Die Pflichten unterscheiden sich je nach Rolle: Sind Sie Anbieter (Entwickler) eines KI-Systems, Betreiber (Nutzer), Importeur oder Händler?

Pflichten für Anbieter von Hochrisiko-KI

Risikomanagementsystem: Etablieren und dokumentieren Sie ein kontinuierliches Risikomanagementsystem über den gesamten Lebenszyklus des KI-Systems.

Daten-Governance: Stellen Sie sicher, dass Trainings-, Validierungs- und Testdatensätze relevant, repräsentativ und möglichst fehlerfrei sind.

Technische Dokumentation: Erstellen Sie eine umfassende technische Dokumentation vor dem Inverkehrbringen.

Aufzeichnungspflichten: Implementieren Sie automatische Protokollierung (Logging) der KI-Operationen.

Transparenz: Stellen Sie den Betreibern ausreichende Informationen zur Verfügung, damit diese das System korrekt nutzen können.

Menschliche Aufsicht: Gestalten Sie das System so, dass menschliche Aufsichtspersonen effektiv eingreifen können.

Genauigkeit, Robustheit und Cybersicherheit: Gewährleisten Sie ein angemessenes Niveau während des gesamten Lebenszyklus.

Konformitätsbewertung: Führen Sie vor dem Inverkehrbringen eine Konformitätsbewertung durch.

CE-Kennzeichnung: Bringen Sie nach erfolgreicher Bewertung die CE-Kennzeichnung an.

EU-Datenbank: Registrieren Sie das Hochrisiko-KI-System in der EU-Datenbank.

Pflichten für Betreiber (Unternehmen, die KI nutzen)

Auch Unternehmen, die KI-Systeme “nur” einsetzen, haben Pflichten:

Bestimmungsgemäße Verwendung: Nutzen Sie das KI-System gemäß den Gebrauchsanweisungen des Anbieters.

Menschliche Aufsicht: Stellen Sie sicher, dass Personen, die die menschliche Aufsicht ausüben, über die erforderliche Kompetenz und Befugnis verfügen.

Eingabedaten: Sorgen Sie dafür, dass die Eingabedaten dem Verwendungszweck entsprechen.

Überwachung: Überwachen Sie den Betrieb des KI-Systems und melden Sie schwerwiegende Vorfälle.

Grundrechte-Folgenabschätzung: Für bestimmte Hochrisiko-Systeme müssen Betreiber eine Folgenabschätzung für Grundrechte durchführen.

Informationspflicht: Informieren Sie betroffene Personen darüber, dass sie einer Hochrisiko-KI-Entscheidung unterliegen.

KI-Kompetenzpflicht für alle Unternehmen

Eine oft übersehene, aber wichtige Pflicht: Seit Februar 2025 müssen alle Unternehmen, die KI-Systeme einsetzen, sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das betrifft nicht nur IT-Abteilungen, sondern alle Mitarbeitenden, die mit KI-Systemen arbeiten.

Diese Pflicht gilt für alle KI-Systeme, nicht nur für Hochrisiko-Anwendungen. Eine KI-Weiterbildung ist damit nicht mehr nur Nice-to-have, sondern gesetzliche Anforderung.

Compliance-Checkliste: EU AI Act 2026

Nutzen Sie diese Checkliste, um den Compliance-Status Ihres Unternehmens zu bewerten:

Nr. Maßnahme Frist Status
1 KI-Inventar erstellen: Alle eingesetzten KI-Systeme erfassen Sofort
2 Risikoeinstufung: Jedes KI-System einer Risikokategorie zuordnen Q2 2026
3 Verbotene Praktiken prüfen und eliminieren Bereits gültig
4 KI-Kompetenz sicherstellen: Schulungen für alle KI-Nutzer Bereits gültig
5 Transparenzpflichten umsetzen: Kennzeichnung von KI-Inhalten Q2 2026
6 Technische Dokumentation für Hochrisiko-KI erstellen August 2026
7 Risikomanagementsystem implementieren August 2026
8 Menschliche Aufsichtsmechanismen einrichten August 2026
9 Konformitätsbewertung durchführen August 2026
10 Grundrechte-Folgenabschätzung (wo erforderlich) August 2026
11 Monitoring- und Meldesysteme aufbauen August 2026
12 Verantwortlichkeiten und Governance klären Q2 2026

Bußgelder: Was droht bei Verstößen?

Der EU AI Act sieht empfindliche Strafen vor. Das Bußgeldregime orientiert sich an der DSGVO, geht aber in Teilen noch darüber hinaus.

Bußgeldrahmen im Überblick

Verstoß Bußgeld Alternativ (Umsatzbezogen)
Einsatz verbotener KI-Praktiken Bis zu 35 Mio. Euro 7% des weltweiten Jahresumsatzes
Verstoß gegen Hochrisiko-Pflichten Bis zu 15 Mio. Euro 3% des weltweiten Jahresumsatzes
Falsche oder unvollständige Angaben Bis zu 7,5 Mio. Euro 1,5% des weltweiten Jahresumsatzes

Für KMU und Start-ups gelten verhältnismäßig niedrigere Obergrenzen, aber auch diese können existenzbedrohend sein. Es gilt jeweils der höhere Betrag.

Neben den Bußgeldern drohen weitere Konsequenzen: Marktentnahmeanordnungen, Rückrufe, negative Publicity und Vertrauensverlust bei Kunden und Partnern.

Auswirkungen auf verschiedene Branchen

Finanzdienstleistungen

Besonders betroffen: KI-basierte Kreditwürdigkeitsprüfungen, Versicherungs-Scoring und automatisierte Anlageberatung fallen unter die Hochrisiko-Kategorie. Banken und Versicherungen müssen umfangreiche Dokumentations- und Transparenzpflichten erfüllen.

Personalwesen / HR

KI im Recruiting ist ein Hochrisiko-Bereich. Automatisierte Lebenslauf-Screenings, KI-gestützte Bewerbungsgespräche und algorithmische Leistungsbewertungen müssen strengen Anforderungen genügen. Diskriminierungsfreie Datengrundlagen und menschliche Aufsicht sind Pflicht.

Gesundheitswesen

KI-gestützte Diagnostik und Behandlungsempfehlungen sind Hochrisiko-Anwendungen. Die bestehende Medizinprodukte-Regulierung wird durch den EU AI Act ergänzt, nicht ersetzt.

Marketing und Vertrieb

KI-gestützte Personalisierung und Targeting fallen größtenteils unter begrenztes Risiko. Hier greifen vor allem Transparenzpflichten: Kunden müssen wissen, wenn sie mit einem Chatbot sprechen oder personalisierte KI-Empfehlungen erhalten.

Produktion und Industrie

Predictive Maintenance und Qualitätskontrolle fallen meist unter minimales Risiko. KI-Systeme, die als Sicherheitskomponenten in Maschinen dienen, können aber Hochrisiko-Status haben.

Handlungsempfehlungen: Was Unternehmen jetzt tun sollten

Sofortmaßnahmen (jetzt bis Q2 2026)

1. KI-Inventar erstellen: Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen im Einsatz sind, inklusive SaaS-Tools mit KI-Funktionalität. Viele Unternehmen unterschätzen, wie viele KI-Systeme sie bereits nutzen.

2. Risikobewertung durchführen: Ordnen Sie jedes System einer der vier Risikokategorien zu. Im Zweifel: höher einstufen und professionelle Beratung hinzuziehen.

3. KI-Kompetenz aufbauen: Die Pflicht zur KI-Kompetenz gilt bereits. Investieren Sie in Schulungen für alle Mitarbeitenden, die mit KI arbeiten. Eine fundierte KI-Ausbildung lohnt sich hier doppelt.

4. Verbotene Praktiken eliminieren: Prüfen Sie sofort, ob Sie KI-Systeme einsetzen, die unter die verbotenen Praktiken fallen. Falls ja: sofort abschalten.

Mittelfristige Maßnahmen (Q2-Q3 2026)

5. Governance-Struktur aufbauen: Bestimmen Sie einen KI-Verantwortlichen und etablieren Sie klare Prozesse für KI-Compliance.

6. Technische Dokumentation erstellen: Für Hochrisiko-KI-Systeme ist eine umfassende technische Dokumentation Pflicht. Beginnen Sie frühzeitig.

7. Menschliche Aufsicht implementieren: Definieren Sie, wer die menschliche Aufsicht über KI-Systeme ausübt und welche Eingriffsmöglichkeiten bestehen.

8. Lieferanten prüfen: Stellen Sie sicher, dass Ihre KI-Anbieter ihren Pflichten nach dem EU AI Act nachkommen. Fordern Sie entsprechende Nachweise an.

Langfristige Maßnahmen (ab Q3 2026)

9. Monitoring etablieren: Implementieren Sie ein kontinuierliches Monitoring Ihrer KI-Systeme hinsichtlich Performance, Fairness und Compliance.

10. Incident-Management aufbauen: Erstellen Sie Prozesse für die Meldung schwerwiegender Vorfälle an die zuständigen Behörden.

Die Rolle des KI-Beraters bei der EU AI Act Compliance

Die Komplexität des EU AI Act überfordert viele Unternehmen. Ein zertifizierter KI-Berater kann hier entscheidend unterstützen:

Er übernimmt die KI-Bestandsaufnahme und Risikobewertung. Er entwickelt die Compliance-Strategie und begleitet die Umsetzung. Er schult Mitarbeitende und Management. Er erstellt die erforderliche technische Dokumentation. Er fungiert als Schnittstelle zwischen IT, Rechtsabteilung und Geschäftsführung.

Die Nachfrage nach KI-Beratern mit EU AI Act Expertise wird in den kommenden Monaten stark steigen. Wer sich jetzt als KI-Consultant in diesem Bereich positioniert, hat exzellente Karrierechancen.

GPAI-Modelle: Besondere Regeln für ChatGPT, Gemini und Co.

Ein eigenes Kapitel im EU AI Act widmet sich den sogenannten General-Purpose AI Models (GPAI), also KI-Modellen mit allgemeinem Verwendungszweck wie GPT-4, Gemini, Claude oder Llama. Diese Modelle sind besonders, weil sie nicht für einen spezifischen Zweck entwickelt wurden, sondern vielseitig einsetzbar sind.

Pflichten für GPAI-Anbieter

Seit August 2025 gelten folgende Pflichten für Anbieter von GPAI-Modellen:

Technische Dokumentation: Anbieter müssen detaillierte technische Unterlagen erstellen und auf dem neuesten Stand halten. Dazu gehören Informationen über das Training des Modells, die Evaluierungsergebnisse und die bekannten Einschränkungen.

Informationen für nachgelagerte Anbieter: Wenn andere Unternehmen auf dem GPAI-Modell aufbauen, müssen Informationen bereitgestellt werden, damit diese ihre eigenen Pflichten erfüllen können.

Urheberrechts-Compliance: Anbieter müssen eine Richtlinie zur Einhaltung des EU-Urheberrechts haben, einschließlich der Identifizierung und Einhaltung von Opt-out-Erklärungen von Rechteinhabern bezüglich Text- und Data-Mining.

Trainingsdaten-Zusammenfassung: Eine ausreichend detaillierte Zusammenfassung der Trainingsdaten muss veröffentlicht werden.

Systemische Risiken: Verschärfte Pflichten

GPAI-Modelle mit systemischem Risiko unterliegen zusätzlichen Anforderungen. Ein systemisches Risiko wird vermutet, wenn das Modell mit einer kumulativen Rechenleistung von mehr als 10^25 FLOPs trainiert wurde, oder wenn die EU-Kommission aufgrund anderer Kriterien ein systemisches Risiko feststellt.

Zusätzliche Pflichten umfassen: Durchführung von Modellevaluierungen einschließlich Adversarial Testing, Bewertung und Minderung möglicher systemischer Risiken, Tracking und Meldung schwerwiegender Vorfälle und Sicherstellung eines angemessenen Cybersicherheitsschutzes.

In der Praxis betrifft das aktuell vor allem die großen Modelle von OpenAI, Google, Anthropic und Meta. Für Unternehmen, die diese Modelle nutzen, bedeutet es: Die Anbieter tragen die Hauptlast der Compliance, aber Sie als Betreiber müssen sicherstellen, dass Ihre Nutzung den Regeln entspricht.

Praxisbeispiele: EU AI Act Compliance in verschiedenen Szenarien

Szenario 1: KI-gestütztes Recruiting

Situation: Ein mittelständisches Unternehmen mit 500 Mitarbeitenden setzt eine KI-Software zur automatischen Vorauswahl von Bewerbungen ein.

Risikoeinstufung: Hochrisiko, da KI im Bereich Beschäftigung und Personalmanagement eingesetzt wird.

Erforderliche Maßnahmen: Risikomanagementsystem implementieren und dokumentieren. Sicherstellen, dass die Trainingsdaten der Software nicht diskriminierend sind. Menschliche Aufsicht gewährleisten: Eine HR-Fachkraft muss jede KI-Empfehlung prüfen und kann sie überstimmen. Bewerber müssen darüber informiert werden, dass KI in der Vorauswahl eingesetzt wird. Technische Dokumentation vom Software-Anbieter einfordern. Grundrechte-Folgenabschätzung durchführen.

Geschätzte Compliance-Kosten: 15.000 bis 30.000 Euro für die initiale Compliance, 5.000 bis 10.000 Euro jährlich für laufende Überwachung.

Szenario 2: KI-Chatbot im Kundenservice

Situation: Ein E-Commerce-Unternehmen betreibt einen KI-Chatbot auf seiner Website, der Kundenanfragen beantwortet.

Risikoeinstufung: Begrenztes Risiko (Transparenzpflichten).

Erforderliche Maßnahmen: Kunden müssen darüber informiert werden, dass sie mit einer KI interagieren und nicht mit einem Menschen. Ein deutlich sichtbarer Hinweis muss zu Beginn jeder Interaktion erscheinen. Auf Anfrage muss der Wechsel zu einem menschlichen Mitarbeiter möglich sein.

Geschätzte Compliance-Kosten: 2.000 bis 5.000 Euro einmalig für die Implementierung der Transparenzhinweise.

Szenario 3: Predictive Maintenance in der Produktion

Situation: Ein Maschinenbauunternehmen nutzt KI-basierte Sensoranalyse, um Maschinenausfälle vorherzusagen.

Risikoeinstufung: Minimales Risiko, solange das System nicht als Sicherheitskomponente einer Maschine fungiert. In diesem Fall: Hochrisiko.

Erforderliche Maßnahmen bei minimalem Risiko: Keine spezifischen Pflichten aus dem EU AI Act. Allgemeine Produkthaftung und Maschinensicherheitsvorschriften gelten weiterhin.

Erforderliche Maßnahmen bei Hochrisiko: Wenn die KI als Sicherheitskomponente in die Maschine integriert ist, gelten die vollständigen Hochrisiko-Pflichten gemäß Anhang I. Das umfasst Konformitätsbewertung, CE-Kennzeichnung und vollständige technische Dokumentation.

Nationale Umsetzung: Wie Deutschland den EU AI Act anwendet

Obwohl der EU AI Act unmittelbar in allen Mitgliedstaaten gilt, gibt es nationale Spielräume bei der Umsetzung:

Marktüberwachungsbehörde: Die Bundesnetzagentur (BNetzA) ist als zentrale Marktüberwachungsbehörde benannt. Sie koordiniert mit sektorspezifischen Behörden wie der BaFin (Finanzsektor), dem BfArM (Medizinprodukte) und der BaFin (Versicherungen).

Regulatory Sandboxes: Deutschland richtet KI-Reallabore ein, in denen Unternehmen neue KI-Systeme unter behördlicher Aufsicht testen können, bevor sie den vollen regulatorischen Anforderungen unterliegen. Diese Sandboxes sollen besonders KMU und Start-ups zugutekommen.

Bußgeldpraxis: Wie die deutschen Behörden den Bußgeldrahmen tatsächlich anwenden werden, ist noch offen. Die Erfahrung mit der DSGVO zeigt: Deutsche Behörden sind tendenziell strenger als der EU-Durchschnitt, vergeben aber zunächst Verwarnungen bei Erstverstoßen.

KI-Kompetenz: Die Bundesregierung hat angekündigt, die KI-Kompetenzpflicht durch Förderprogramme zu unterstützen. Unternehmen können voraussichtlich Zuschüsse für KI-Weiterbildung und Compliance-Maßnahmen beantragen.

Tools und Ressourcen für EU AI Act Compliance

Nützliche Tools

AI Risk Assessment Tool der EU-Kommission: Ein kostenloser Online-Fragebogen, der bei der Risikoeinstufung von KI-Systemen hilft.

AI Act Compliance Checker: Verschiedene Anbieter (z.B. Holistic AI, Credo AI) bieten Software-Tools an, die den Compliance-Status automatisiert prüfen und dokumentieren.

ALTAI (Assessment List for Trustworthy AI): Ein Framework der High-Level Expert Group on AI, das praktische Leitfragen für vertrauenswürdige KI bereitstellt.

Wichtige Ressourcen

Der vollständige Verordnungstext ist im Amtsblatt der EU veröffentlicht und kostenlos zugänglich. Die Bundesnetzagentur veröffentlicht Leitlinien und FAQ auf ihrer Website. Der Bitkom bietet branchenspezifische Interpretationshilfen. Die EU-Kommission hat ein AI Office eingerichtet, das Guidance-Dokumente veröffentlicht.

FAQ: EU AI Act 2026

Gilt der EU AI Act auch für kleine Unternehmen?

Ja, der EU AI Act gilt grundsätzlich für alle Unternehmen unabhängig von ihrer Größe, sofern sie KI-Systeme entwickeln, einsetzen oder in der EU vertreiben. Allerdings gibt es erleichterte Anforderungen für KMU und Start-ups, etwa vereinfachte Konformitätsbewertungsverfahren und niedrigere Bußgeldobergrenzen.

Welche KI-Systeme fallen unter Hochrisiko?

Hochrisiko-KI-Systeme umfassen unter anderem KI im Recruiting, Kreditwürdigkeitsprüfung, Bildungsbewertung, kritische Infrastruktur und biometrische Identifizierung. Eine vollständige Liste findet sich in Anhang III des EU AI Act. Entscheidend ist der Verwendungszweck, nicht die Technologie selbst.

Muss ich ChatGPT und andere KI-Tools melden?

ChatGPT und ähnliche Large Language Models fallen unter die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Die Pflichten liegen hier primär beim Anbieter (also bei OpenAI, Google etc.). Als Betreiber müssen Sie jedoch sicherstellen, dass Ihre Nutzung den Transparenzpflichten entspricht und KI-generierte Inhalte korrekt gekennzeichnet werden.

Was passiert, wenn ich den EU AI Act ignoriere?

Im günstigsten Fall: nichts, solange keine Prüfung stattfindet. Im ungünstigsten Fall: Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, Marktentnahmeanordnungen und erheblicher Reputationsschaden. Die EU-Mitgliedstaaten richten nationale Aufsichtsbehörden ein, die aktiv kontrollieren werden.

Wie unterscheidet sich der EU AI Act von der DSGVO?

Beide Verordnungen schützen Grundrechte, haben aber unterschiedliche Schwerpunkte. Die DSGVO reguliert den Umgang mit personenbezogenen Daten, der EU AI Act reguliert KI-Systeme unabhängig davon, ob personenbezogene Daten verarbeitet werden. In der Praxis überschneiden sich beide Verordnungen häufig, etwa bei KI-Systemen, die personenbezogene Daten verarbeiten. Unternehmen müssen dann beide Regelwerke einhalten.

Brauche ich eine Zertifizierung für meine KI-Systeme?

Für Hochrisiko-KI-Systeme ist eine Konformitätsbewertung erforderlich. In den meisten Fällen kann diese als interne Konformitätsbewertung durch den Anbieter selbst durchgeführt werden. Für bestimmte biometrische Systeme ist eine Bewertung durch eine benannte Stelle (Drittpartei) erforderlich. Die CE-Kennzeichnung ist für alle Hochrisiko-KI-Systeme Pflicht.

Welche Behörde ist in Deutschland zuständig?

Die Bundesnetzagentur (BNetzA) wurde als nationale Marktüberwachungsbehörde für den EU AI Act benannt. Sie wird die Einhaltung der Vorschriften überwachen und durchsetzen. Für sektorspezifische KI-Anwendungen können zusätzlich andere Behörden zuständig sein, etwa die BaFin für Finanzdienstleistungen.

Gibt es Übergangsfristen für bestehende KI-Systeme?

Ja, für KI-Systeme, die bereits vor dem 2. August 2026 auf dem Markt sind, gelten Übergangsfristen. Bestehende Hochrisiko-KI-Systeme müssen bis spätestens August 2027 die Anforderungen erfüllen, sofern sie nach diesem Datum wesentlich verändert werden. Für verbotene Praktiken gibt es keine Übergangsfrist, diese gelten seit Februar 2025.

Fazit: Der EU AI Act als Chance begreifen

Der EU AI Act wird häufig als Bürde wahrgenommen. Doch kluge Unternehmen erkennen darin eine Chance: Wer früh compliant ist, gewinnt Vertrauen bei Kunden und Partnern. Wer seine KI-Systeme sauber dokumentiert und überwacht, verbessert gleichzeitig deren Qualität. Und wer in KI-Kompetenz investiert, stärkt die gesamte Organisation.

Die Zeit zum Handeln ist jetzt. Nutzen Sie die verbleibenden Monate bis August 2026, um Ihre KI-Systeme EU AI Act-konform zu machen. Ein zertifizierter KI-Berater kann Sie dabei professionell unterstützen.

Sie möchten sich als KI-Berater auf EU AI Act Compliance spezialisieren? Dann informieren Sie sich über die KI-Berater Ausbildung mit TÜV-Zertifizierung und sichern Sie sich einen Platz in unserem kostenlosen Webinar.

Felix

KI-Berater & Autor

Weitere Artikel

Interesse geweckt?

Starten Sie jetzt Ihre KI-Berater-Ausbildung mit TÜV-Zertifikat. 

Newsletter

Bleiben Sie informiert über neue Artikel und Termine. 

Weitere interessante Artikel

Scroll to Top