Veröffentlicht am 16.02.2026 | Lesezeit: ca. 8 Minuten

Der EU AI Act ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz — und er betrifft weit mehr Unternehmen, als vielen bewusst ist. Ab dem 2. August 2026 gelten die zentralen Pflichten. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern verpasst auch die Chance, KI-Governance zum strategischen Vorteil zu machen.

Die wichtigste KI-Regulierung der Welt — und Deutschland mittendrin

Seit dem 1. August 2024 ist die europäische KI-Verordnung (EU AI Act) in Kraft. Damit hat die Europäische Union weltweit Maßstäbe gesetzt: Erstmals gibt es einen verbindlichen Rechtsrahmen, der regelt, wie Künstliche Intelligenz entwickelt, vertrieben und eingesetzt werden darf.

Für deutsche Unternehmen bedeutet das: Die Zeit des unverbindlichen Experimentierens mit KI ist vorbei. Ab dem 2. August 2026 greifen die wesentlichen Pflichten der Verordnung — einschließlich der Anforderungen an Hochrisiko-KI-Systeme und der vollständigen Durchsetzungsmechanismen.

Und die Umsetzung nimmt gerade konkret Fahrt auf: Am 11. Februar 2026 hat das Bundeskabinett das sogenannte KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) beschlossen. Damit steht fest, dass die Bundesnetzagentur als zentrale Koordinierungsstelle für die KI-Aufsicht in Deutschland fungieren wird. Die behördlichen Zuständigkeiten, Verfahren und Sanktionsmechanismen werden derzeit operativ aufgebaut.

Die Botschaft ist klar: Die Regulierung kommt — und sie kommt schneller, als viele Unternehmen erwarten.

Der gestaffelte Zeitplan: Was gilt wann?

Der EU AI Act erfolgt schrittweise. Einige Regelungen gelten bereits heute, andere werden in den kommenden Monaten und Jahren wirksam:

Bereits in Kraft (seit dem 2. Februar 2025): Die grundlegenden Definitionen und die Verbote besonders riskanter KI-Praktiken gelten. Dazu gehört das Verbot von KI-gestütztem Social Scoring, manipulativer KI und bestimmten Formen der biometrischen Echtzeit-Fernidentifikation. Ebenso gilt seit diesem Datum die Pflicht zur Vermittlung von KI-Kompetenz (Art. 4) — ein Aspekt, den viele Unternehmen noch nicht auf dem Schirm haben.

Seit dem 2. August 2025: Die Governance-Struktur, die Vorschriften für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI), die Regelungen zu notifizierenden Behörden sowie die nationalen Sanktionsvorschriften sind wirksam.

Ab 2. August 2026 — der zentrale Stichtag: Die vollständige Anwendung der Verordnung, insbesondere die Anforderungen an Hochrisiko-KI-Systeme, die Transparenzpflichten (z.B. Kennzeichnung KI-generierter Inhalte) sowie die Durchsetzungs- und Aufsichtsvorschriften. Ab diesem Datum können bei Verstößen empfindliche Bußgelder verhängt werden.

Ab 2. August 2027: Zusätzliche Fristen für bestimmte Hochrisiko-KI-Systeme im Bereich der Produktsicherheitsgesetzgebung sowie für GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden.

Bis zum 2. August 2030: Übergangsfrist für Hochrisiko-KI-Systeme, die von öffentlichen Einrichtungen genutzt werden.

Wen betrifft der EU AI Act?

Eine der häufigsten Fehleinschätzungen: „Wir entwickeln keine KI, also betrifft uns das nicht.“ Das ist falsch. Die Verordnung richtet sich nicht nur an KI-Entwickler (Anbieter), sondern ausdrücklich auch an **Betreiber** — also an Unternehmen, die KI-Systeme einsetzen. Und das schließt den Einsatz von ChatGPT, Microsoft Copilot oder branchenspezifischen KI-Tools in der Produktion, im Personalwesen oder im Kundenservice mit ein.

Konkret unterscheidet der EU AI Act folgende Rollen: Anbieter (Provider), die KI-Systeme entwickeln oder lassen entwickeln, und die sie in den Verkehr bringen. Betreiber (Deployer) setzen KI-Systeme unter eigener Verantwortung ein. Importeure und Händler bringen KI-Systeme aus Drittstaaten in den EU-Markt. Jede dieser Rollen bringt spezifische Pflichten mit sich — und für die meisten mittelständischen Unternehmen ist die Rolle des Betreibers die relevanteste.

Der risikobasierte Ansatz: Vier Stufen

Das Herzstück der Verordnung ist ein risikobasierter Ansatz. Nicht jedes KI-System wird gleich behandelt — die Anforderungen richten sich nach dem potenziellen Risiko für Gesundheit, Sicherheit und Grundrechte:

Unannehmbares Risiko (verboten): KI-Systeme, die Menschen manipulieren, Social Scoring betreiben oder biometrische Echtzeit-Fernidentifikation im öffentlichen Raum durchführen. Diese Praktiken sind seit Februar 2025 verboten.

Hohes Risiko: KI-Systeme in sensiblen Bereichen wie der Personalauswahl, der Kreditwürdigkeitsprüfung, der kritischen Infrastruktur, der Bildung oder der Strafverfolgung. Für diese gelten umfangreiche Anforderungen: Risikomanagementsysteme, Datenqualität, technische Dokumentation, menschliche Aufsicht, Robustheit und Genauigkeit. Die Konformitätsbewertung muss nachgewiesen werden.

Begrenztes Risiko: KI-Systeme mit spezifischen Transparenzpflichten — beispielsweise müssen Chatbots offenlegen, dass Nutzer mit einer KI interagieren, und KI-generierte Inhalte (Deepfakes, synthetische Texte) müssen als solche gekennzeichnet werden.

Minimales Risiko: Die große Mehrheit der KI-Anwendungen — etwa Spamfilter oder KI-gestützte Empfehlungssysteme — fällt in diese Kategorie und unterliegt keinen spezifischen Pflichten. Allerdings werden auch hier freiwillige Verhaltenskodizes empfohlen.

Die entscheidende Frage für jedes Unternehmen lautet: In welche Risikokategorie fallen unsere KI-Systeme?* Ohne diese Klassifizierung ist eine sinnvolle Compliance-Strategie nicht möglich.

Was droht bei Nichteinhaltung?

Die Bußgelder des EU AI Acts sind deutlich: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die verbotenen KI-Praktiken. Bei Verstößen gegen die Anforderungen an Hochrisiko-KI-Systeme drohen bis zu 15 Millionen Euro oder 3 % des Umsatzes. Selbst falsche oder unvollständige Angaben gegenüber Behörden können mit bis zu 7,5 Millionen Euro oder 1,5 % des Umsatzes geahndet werden.

Für KMU und Start-ups gelten jeweils die niedrigeren Schwellenwerte — aber auch diese sind substanziell genug, um ernsthafte wirtschaftliche Konsequenzen zu haben.

Die DSGVO-Parallele: Lernen aus 2018

Wer sich an die Einführung der DSGVO im Mai 2018 erinnert, kennt das Muster: jahrelange Übergangsfrist, lange Zurückhaltung vieler Unternehmen — und dann hektische Last-Minute-Compliance in den letzten Wochen. Die Konsequenzen waren kostspielig: überhastete Beratungsprojekte, lückenhafte Umsetzungen und eine Welle von Abmahnungen.

Beim EU AI Act zeichnet sich ein ähnliches Bild ab. Viele Unternehmen haben die Tragweite der Verordnung noch nicht vollständig erfasst — oder schieben das Thema auf die lange Bank. Wer aus der DSGVO-Erfahrung gelernt hat, weiß: Frühzeitige, systematische Vorbereitung ist nicht nur kostengünstiger, sondern führt auch zu besseren Ergebnissen.

Fünf Schritte, die Sie jetzt gehen sollten

Auch wenn der August 2026 noch einige Monate entfernt scheint, ist für eine gründliche Vorbereitung die Zeit knapp. Folgende Schritte bilden einen pragmatischen Einstieg:

1. KI-Inventar erstellen: Verschaffen Sie sich einen Überblick über alle KI-Systeme, die in Ihrem Unternehmen entwickelt, eingekauft oder eingesetzt werden. Das umfasst auch KI-Funktionen in bestehender Software, die möglicherweise nicht als solche wahrgenommen werden.

2. Risikoeinstufung vornehmen: Ordnen Sie jedes identifizierte KI-System den Risikokategorien des EU AI Acts zu. Besonderes Augenmerk verdienen Anwendungen im Personalwesen, in der Kreditvergabe und in der Qualitätskontrolle.

3. Zuständigkeiten klären: KI-Compliance ist keine reine IT-Aufgabe. Bilden Sie interdisziplinäre Teams aus Compliance, Recht, IT, Fachbereich und — falls vorhanden — Datenschutz. Die Verantwortlichkeiten sollten klar definiert sein.

4. Lieferanten einbinden: Wenn Sie KI-Systeme von Drittanbietern beziehen, müssen Sie sicherstellen, dass diese die Anforderungen des EU AI Act erfüllen. Prüfen Sie bestehende Verträge und fordern Sie die notwendige technische Dokumentation ein.

5. KI-Kompetenz aufbauen: Die Pflicht zur Vermittlung von KI-Kompetenz gilt bereits. Investieren Sie in Schulungen — nicht nur für technische Teams, sondern auch für alle Mitarbeitenden, die mit KI-Systemen arbeiten.

Compliance als strategischer Vorteil

Es wäre ein Fehler, den EU AI Act ausschließlich als regulatorische Last zu betrachten. Unternehmen, die KI-Governance systematisch und frühzeitig aufbauen, gewinnen mehr als nur Rechtskonformität: Sie schaffen Vertrauen bei Kunden und Geschäftspartnern, reduzieren operative Risiken und positionieren sich als verantwortungsvolle Akteure in einem zunehmend regulierten Markt.

Gerade im deutschen Mittelstand, wo langfristige Geschäftsbeziehungen und Vertrauen zentrale Werte sind, kann ein nachweislich verantwortungsvoller Umgang mit KI zum echten Differenzierungsmerkmal werden.

Wie geht es weiter?

Dieser Artikel gibt einen ersten Überblick über die wesentlichen Aspekte des EU AI Act. In den kommenden Wochen werden wir die einzelnen Themen vertiefen — mit detaillierten Timeline-Übersichten, branchenspezifischen Analysen und praktischen Handlungsanleitungen.

Möchten Sie wissen, wie gut Ihr Unternehmen auf den EU AI Act vorbereitet ist?

Nutzen Sie unsere kostenlose EU AI Act Readiness-Checkliste und erhalten Sie eine erste Einschätzung Ihres Handlungsbedarfs. Melden Sie sich für unseren Newsletter an und bleiben Sie über alle relevanten Entwicklungen informiert — praxisnah, kompakt und ohne Panikmache.

Über den Autor: Dr. Valentin J. Mayr ist Gründer und Geschäftsführer der waveImpact GmbH, einer Responsible AI Consultancy mit Sitz in Bremen. Mit über 25 Jahren Erfahrung in der Digitalisierung und einer Promotion in Data Science unterstützt er deutsche Mittelstandsunternehmen dabei, KI verantwortungsvoll und rechtskonform einzusetzen.