Ab dem 2. August 2026 müssen alle Unternehmen, die Hochrisiko-KI-Systeme einsetzen, vollständige Konformitätsbewertungen vorgelegt haben. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Die Uhr läuft — und viele IT-Abteilungen haben noch nicht begonnen.
Was ist Hochrisiko-KI im Sinne des AI Acts?
Hochrisiko-KI-Systeme sind laut EU AI Act solche, die in sensiblen Bereichen eingesetzt werden: Personalentscheidungen (Bewerbungsscreening, Leistungsbewertung), Kreditvergabe, biometrische Identifikation, medizinische Diagnose, kritische Infrastrukturen und Strafverfolgung.
Das betrifft mehr Unternehmen als gedacht: Wer einen KI-basierten Bewerbungsfilter nutzt, ein automatisiertes Kreditscoring-System einsetzt oder KI-gestützte Kundenrisikobewertung betreibt, fällt bereits in diese Kategorie.
Was Unternehmen bis August 2026 tun müssen
Die Checkliste laut EU AI Act:
1. KI-Inventar erstellen: Welche KI-Systeme werden eingesetzt? Wo in der Wertschöpfung?
2. Risikoklassifizierung: Ist das System Hochrisiko nach Anhang III des AI Acts?
3. Technische Dokumentation: Nachweisbar, wie das System trainiert wurde und funktioniert
4. Konformitätsbewertung: Internes Assessment oder durch notifizierte Stelle
5. EU-Datenbankregistrierung: Hochrisiko-Systeme müssen in der EU-KI-Datenbank registriert werden
6. Mitarbeiterschulungen: Pflicht — KI-Literacy für alle, die das System nutzen oder beaufsichtigen
Was bereits gilt (seit Februar 2025)
Verbotene KI-Praktiken sind seit Februar 2025 wirksam: Social-Scoring-Systeme durch staatliche Stellen, unterschwellige Beeinflussung von Verhalten, Ausnutzung von Schwächen bestimmter Personengruppen. Auch Echtzeit-Biometrie an öffentlichen Orten ist bis auf wenige Ausnahmen verboten.
Praktische Umsetzung für mittelständische Unternehmen
Der größte Fehler wäre, zu warten. Viele Mittelständler nutzen KI-Systeme ihrer Software-Anbieter (z. B. SAP, Workday, Salesforce) und denken, die Compliance sei deren Aufgabe. Falsch: Als „Deployer“ — also Nutzer des Systems — tragen Sie Mitverantwortung.
Empfehlung: Starten Sie jetzt mit einem KI-Inventar. Beauftragen Sie Ihren Datenschutzbeauftragten damit. Externe Berater wie heydata oder spezialisierte Kanzleien bieten Compliance-Pakete ab 2.000 € an — deutlich günstiger als ein Bußgeldbescheid.
Fazit
Der EU AI Act ist kein Papiertiger. Die Bußgelder sind real, die Fristen konkret. Unternehmen, die jetzt beginnen, haben noch genug Zeit für eine strukturierte Umsetzung. Wer wartet, wird im Herbst 2026 unter Zeitdruck entscheiden — mit höherem Risiko und höheren Kosten.
Weiterführende Artikel:
EU AI Act 2025: Fünf Sofortmassnahmen für Ihr Unternehmen
EU AI Act: 5 Monate bis zur Deadline — ist Ihr Unternehmen bereit?
EU AI Act Compliance: DSGVO-Erfahrung als Vorteil für DACH-Unternehmen
