Die EU AI Act 2026: Was du als Unternehmer jetzt wissen musst

Der EU AI Act ist seit August 2024 in Kraft, einzelne Pflichten greifen nach und nach. 2026 ist das Jahr, in dem er für die meisten Unternehmen praktisch relevant wird. Hier ist, was du wissen musst – ohne Juristen-Sprache.

Was ist der EU AI Act überhaupt?

Die KI-Verordnung der EU (Regulation (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zu Künstlicher Intelligenz. Ihr Ziel: KI in Europa sicher und vertrauenswürdig machen, ohne Innovation zu ersticken.

Sie betrifft jedes Unternehmen, das KI-Systeme entwickelt, einsetzt oder weitervertreibt – auch wenn das System aus den USA oder China kommt. Wichtig: Du bist nicht nur betroffen, wenn du KI baust, sondern auch wenn du sie nutzt ("Deployer" im Sinne des Gesetzes).

Der Zeitplan: Was wann gilt

• Februar 2025: Verbot bestimmter KI-Praktiken (z.B. Social Scoring, manipulative Systeme). AI-Literacy-Pflicht für alle Unternehmen.

• August 2025: Pflichten für GPAI-Modelle (General Purpose AI – also Foundation Models wie GPT, Claude, Gemini).

• August 2026: Pflichten für die meisten Hochrisiko-Systeme.

• August 2027: Vollständige Geltung aller Bestimmungen.

Wir sind aktuell mitten in der heißen Phase – die meisten operativen Pflichten greifen jetzt.

Die 4 Risikoklassen — und wo dein KI-System landet

Der AI Act unterteilt KI-Systeme in 4 Klassen:

1. Unannehmbares Risiko (verboten)

Dazu gehören: Social Scoring, manipulative Verhaltenssteuerung, biometrische Echtzeit-Identifikation in öffentlichen Räumen (mit Ausnahmen).
Für dich relevant? In 99% der Mittelstands-Use-Cases nein.

2. Hochrisiko (strenge Pflichten)

KI-Systeme in Bereichen wie: Bewerber-Screening, Kreditvergabe, kritische Infrastruktur, Bildung, Strafverfolgung, Gesundheitswesen.
Für dich relevant? Falls du KI im Recruiting, im Versicherungs-Underwriting, in der Kreditprüfung o.ä. einsetzt – ja.

3. Begrenztes Risiko (Transparenzpflichten)

Chatbots, Voice-Agenten, Deepfakes – hier musst du Nutzer transparent darüber informieren, dass sie mit einer KI sprechen.
Für dich relevant? Wenn du Voice-Agents oder Chatbots einsetzt – ja.

4. Minimales Risiko (keine Pflichten)

Spam-Filter, KI-gestützte Suche, Produktempfehlungen.
Für dich relevant? Meistens läuft hier gar keine Pflicht auf dich zu.

Konkrete Pflichten für dein Unternehmen

Wenn du KI einsetzt (auch nur als "Deployer"), gelten je nach Risikoklasse folgende Pflichten:

• Transparenz: Nutzer müssen wissen, dass sie mit einer KI interagieren.

• Menschliche Aufsicht: Bei Hochrisiko-Systemen muss ein Mensch eingreifen können.

• Dokumentation: Du musst nachweisen können, wie das System funktioniert und welche Daten es verarbeitet.

• Risikomanagement: Regelmäßige Bewertung der KI-Risiken.

• Mitarbeiter-Schulung ("AI Literacy"): Seit Februar 2025 sind alle Unternehmen, die KI einsetzen, verpflichtet, ihren Mitarbeitern ein Grundverständnis für KI zu vermitteln.

Letzteres wird oft übersehen – ist aber schon jetzt verpflichtend.

Was passiert bei Verstößen? (Bußgelder)

Der AI Act droht mit harten Strafen:

• Verbotene Praktiken: Bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes – je nachdem, was höher ist.

• Verstöße gegen Hochrisiko-Pflichten: Bis zu 15 Mio. € oder 3% Umsatz.

• Falsche Informationen an Behörden: Bis zu 7,5 Mio. € oder 1,5% Umsatz.

Auch wenn der Mittelstand kaum die volle Strafhöhe sieht – die DSGVO-Erfahrung zeigt: Aufsichtsbehörden werden auch mittlere Unternehmen prüfen.

5 Schritte zur AI-Act-Compliance

1. Inventarisieren: Welche KI-Systeme nutzt dein Unternehmen aktuell? (auch "ChatGPT im Browser" zählt!)

2. Klassifizieren: In welche Risikoklasse fällt jedes System?

3. Pflichten ableiten: Welche konkreten Maßnahmen brauchst du je System?

4. Dokumentieren: Erstelle Dokumentation, Risikobewertung, Schulungsnachweise.

5. Prozesse aufsetzen: Wer ist intern verantwortlich? Wie werden neue KI-Tools geprüft?

Das klingt aufwendig, ist es bei einer kleinen Tool-Landschaft aber nicht. 1–3 Tage Aufwand für die meisten Mittelständler.

Häufige Fragen

Bin ich auch betroffen, wenn ich nur ChatGPT für E-Mails nutze?
Ja – als "Deployer" eines GPAI-Systems. Die Pflichten sind aber überschaubar (v.a. AI-Literacy-Schulung, Transparenz gegenüber Mitarbeitern).

Was ist mit Voice-Agents am Telefon?
Klare Transparenzpflicht: Anrufer müssen wissen, dass sie mit einer KI sprechen. Wir bauen das standardmäßig in jeden Voice-Agent ein.

Brauche ich einen "AI Officer"?
Nicht zwingend – aber jemand im Unternehmen muss verantwortlich sein. In kleinen Firmen oft der Datenschutzbeauftragte oder die Geschäftsführung selbst.

Wer kontrolliert die Einhaltung?
In Deutschland voraussichtlich die Bundesnetzagentur (Stand 2026 noch in finaler Klärung) sowie sektorspezifische Behörden.

Gilt der AI Act auch für US-/China-KI-Anbieter?
Ja – sobald deren Produkte in der EU eingesetzt werden, gelten die Pflichten auch für sie.

Werden auch maßgeschneiderte KI-Agenten reguliert?
Ja – die Risikoklasse hängt vom Use Case ab, nicht davon, ob das System custom oder Standard ist.

Du bist unsicher, wie der AI Act dein Unternehmen betrifft? Wir bieten eine kostenlose AI-Act-Quick-Bewertung im Erstgespräch an. Jetzt 30 Minuten buchen.