EU AI Act 2026: Diese Pflichten müssen Unternehmen bis August 2026 umsetzen

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz für künstliche Intelligenz. Sein Kern ist ein risikobasierter Ansatz: Nicht die Technologie an sich wird reguliert, sondern der konkrete Anwendungsfall und das Risiko, das von ihm ausgeht. Daraus ergeben sich vier Stufen, von verbotenen Praktiken über Hochrisiko-KI und transparenzpflichtige Systeme bis hin zu Anwendungen mit minimalem Risiko. Je höher das Risiko, desto strenger die Pflichten.

Entscheidend für die Praxis ist die Rolle, die ein Unternehmen einnimmt. Die Verordnung unterscheidet vor allem zwischen Anbietern, die KI-Systeme entwickeln oder unter eigenem Namen in Verkehr bringen, und Betreibern (im Gesetz „Deployer“), die KI unter eigener Verantwortung einsetzen. Ein Mittelständler, der ein KI-gestütztes Bewerbermanagement einkauft und nutzt, ist Betreiber. Die Grenze verläuft aber nicht immer dort, wo man sie vermutet: Schon wer ein zugekauftes KI-System unter eigenem Namen oder eigener Marke vertreibt – das klassische White-Labeling, bei dem lediglich das eigene Logo auf eine vorhandene Lösung kommt – oder ein bestehendes System wesentlich verändert, wird rechtlich zum Anbieter und übernimmt dessen deutlich umfangreichere Pflichten. Maßgeblich ist daher nicht die Unternehmensgröße, sondern die eigene Rolle und die Frage, ob KI auf dem EU-Markt bereitgestellt oder eingesetzt wird.

Der AI Act ist am 1. August 2024 in Kraft getreten, entfaltet seine Wirkung aber gestaffelt. Diese Staffelung ist die eigentliche Planungshilfe, denn sie verteilt die Pflichten über mehrere Jahre.

• Februar 2025: Die verbotenen KI-Praktiken (Artikel 5) greifen, etwa Social Scoring oder manipulative Systeme. Gleichzeitig gilt die Pflicht zur KI-Kompetenz (Artikel 4) für alle, die KI im Unternehmen bedienen.
• August 2025: Die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die Governance-Strukturen der Aufsichtsbehörden und der Sanktionsrahmen werden wirksam.
• August 2026: Die Transparenzpflichten nach Artikel 50 gelten, also die Kennzeichnung von Chatbots, KI-Inhalten und Deepfakes. Dies ist der zentrale Stichtag, der für die meisten Unternehmen jetzt zählt.

Hier kommt der Digital Omnibus ins Spiel. Ursprünglich sollten auch die umfangreichen Pflichten für Hochrisiko-KI am 2. August 2026 greifen. Nach schwierigen Verhandlungen erzielten Rat und Parlament Anfang Mai 2026 eine vorläufige politische Einigung, die diese Fristen verschiebt: Eigenständige Hochrisiko-Systeme nach Anhang III werden voraussichtlich erst ab dem 2. Dezember 2027 verpflichtend, in regulierte Produkte eingebettete KI nach Anhang I sogar erst ab dem 2. August 2028.

Wichtig für die rechtliche Einordnung: Diese Verschiebung ist zum jetzigen Zeitpunkt noch nicht endgültig. Die formale Annahme durch Parlament und Rat sowie die Veröffentlichung im Amtsblatt werden für die Wochen vor dem 2. August 2026 erwartet. Erst damit werden die neuen Fristen rechtsverbindlich. Die politische Richtung ist jedoch klar, und die Transparenzpflichten zum August 2026 bleiben davon unberührt.

Diese Frage stellen sich derzeit viele Compliance- und Tech-Verantwortliche. Die Antwort hängt von den eingesetzten Systemen ab, lässt sich aber in fünf Aufgabenfeldern bündeln, die ineinandergreifen.

Eine der am häufigsten übersehenen Anforderungen ist bereits seit Februar 2025 in Kraft. Artikel 4 verlangt, dass alle Personen, die im Auftrag eines Anbieters oder Betreibers KI-Systeme bedienen, über ein ausreichendes Maß an KI-Kompetenz verfügen. Das betrifft nicht nur Entwicklungsteams, sondern auch Mitarbeitende in Marketing, HR oder Vertrieb, die Werkzeuge wie ChatGPT oder Copilot nutzen. Unternehmen sollten Schulungen aufsetzen und die Teilnahme nachweisbar dokumentieren.

Der eigentliche Stichtag im August 2026 sind die Transparenzpflichten nach Artikel 50. Sie ruhen auf vier Säulen. Erstens müssen Nutzer erkennen können, dass sie mit einem Chatbot oder KI-System interagieren und nicht mit einem Menschen. Zweitens müssen Anbieter generativer KI ihre synthetischen Inhalte, also Texte, Bilder, Audio und Video, in maschinenlesbarer Form markieren. Drittens müssen Betreiber von Emotionserkennungs- und biometrischen Kategorisierungssystemen die betroffenen Personen informieren. Viertens sind Deepfakes (KI-erzeugte oder -manipulierte Bilder, Audio- oder Videoinhalte) sowie KI-generierte Texte zu Themen von öffentlichem Interesse als künstlich erzeugt zu kennzeichnen.

Eine Detailregelung des Omnibus betrifft die maschinenlesbare Markierung synthetischer Inhalte: Hierfür wurde die Übergangsfrist für Anbieter verkürzt und auf den 2. Dezember 2026 datiert. Alle übrigen Transparenzpflichten, einschließlich der Pflichten für Betreiber, gelten unverändert ab dem 2. August 2026. Wer Chatbots, Bildgeneratoren oder Textautomatisierung einsetzt, sollte die nötigen Hinweise im Frontend also jetzt vorbereiten.

Als Hochrisiko-KI gelten Systeme, die Sicherheit, Gesundheit oder Grundrechte erheblich beeinträchtigen können. Anhang III nennt konkrete Bereiche: biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung und Personalauswahl, Zugang zu wesentlichen Diensten wie der Kreditvergabe, Strafverfolgung, Migration und Justiz. Gerade Mittelständler sind über das Recruiting oder die Bonitätsprüfung schneller betroffen, als sie denken.

Für diese Systeme gilt der umfangreichste Pflichtenkatalog: ein Risikomanagementsystem über den gesamten Lebenszyklus, hohe Anforderungen an Datenqualität und Daten-Governance, eine technische Dokumentation, automatische Protokollierung (Logging), Transparenz gegenüber den Betreibern, wirksame menschliche Aufsicht sowie Genauigkeit, Robustheit und Cybersicherheit. Hinzu kommen eine Konformitätsbewertung, die CE-Kennzeichnung und die Registrierung in einer EU-Datenbank. Betreiber müssen die Systeme bestimmungsgemäß einsetzen, überwachen, Protokolle aufbewahren und betroffene Personen informieren.

Auch wenn diese Pflichten nun voraussichtlich erst ab Ende 2027 greifen, ist der Aufschub kein Grund zum Abwarten. Ein Risikomanagementsystem aufzubauen, Datenqualität nachzuweisen und Prozesse auditfähig zu machen, dauert Monate. Hinzu kommt ein oft unterschätzter Effekt: Solche regulatorischen Praktiken nachträglich zu etablieren, ist nachweislich deutlich aufwändiger, als sie von Anfang an mitzudenken. Reaktiv arbeitende Compliance-Teams verbringen einen unverhältnismäßig hohen Anteil ihrer Zeit mit Dokumentations-Sprints, nachträglicher Beweissammlung und Audit-Vorbereitung. Das ist Zeit, die dann für die eigentliche Reduzierung künftiger Risiken fehlt. Wer den Puffer jetzt nutzt, statt ihn verstreichen zu lassen, vermeidet teure Nacharbeit unter Zeitdruck.

KI-Compliance scheitert selten an gutem Willen, sondern an unklaren Zuständigkeiten. Sinnvoll ist eine klare Rollenverteilung mit einem verantwortlichen KI-Compliance-Owner, der Einbindung des Datenschutzbeauftragten und einer Anbindung an die IT-Sicherheit beziehungsweise das ISMS. Eine einfache Verantwortlichkeitsmatrix (RACI) hält fest, wer ein KI-System klassifiziert, freigibt, überwacht und dokumentiert. Regelmäßige Reviews stellen sicher, dass neue Systeme nicht an der Governance vorbei eingeführt werden.

Die wenigsten Unternehmen entwickeln ihre KI vollständig selbst. Damit rückt die Lieferkette in den Fokus. Verträge mit KI-Anbietern sollten Zusicherungen zur AI-Act-Konformität, die Bereitstellung technischer Nachweise und Dokumentation sowie Regressmechanismen bei Nichteinhaltung enthalten. Einkauf und Rechtsabteilung sollten KI-Beschaffungen künftig genauso prüfen wie sicherheits- oder datenschutzrelevante Leistungen, denn die Verantwortung lässt sich nicht vollständig an den Lieferanten delegieren.

Der Sanktionsrahmen aus Artikel 99 ist seit August 2025 wirksam und gestaffelt. Für den Einsatz verbotener KI-Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Verstöße gegen sonstige Pflichten, etwa im Hochrisiko- oder Transparenzbereich, können mit bis zu 15 Millionen Euro oder 3 Prozent geahndet werden. Falsche oder irreführende Angaben gegenüber Behörden kosten bis zu 7,5 Millionen Euro oder 1 Prozent.

Für kleine und mittlere Unternehmen sowie Start-ups gibt es keine pauschale Ausnahme, aber die Verordnung verlangt, dass Bußgelder verhältnismäßig ausfallen und deren Interessen berücksichtigen. Neben dem finanziellen Risiko steht der Reputationsschaden im Raum: Ein öffentlich als nicht regelkonform geltendes KI-System beschädigt das Vertrauen von Kunden und Partnern nachhaltig.

Die folgende Checkliste übersetzt die Pflichten in konkrete Aufgaben. Sie eignet sich als Ausgangspunkt für die eigene Roadmap. In Klammern finden Sie eine Orientierung zu Verantwortlichkeit und Zeithorizont.

• KI-Landschaft inventarisieren: Erstellen Sie ein vollständiges Verzeichnis aller eingesetzten KI-Systeme, inklusive Zweck, Anbieter, Datenquellen und Nutzerkreis. (Verantwortung: KI-Compliance-Owner; sofort beginnen.)

• Risikoklassifizierung durchführen: Ordnen Sie jedes System einer Risikoklasse zu und prüfen Sie insbesondere, ob ein Anwendungsfall als Hochrisiko-KI nach Anhang III gilt. (Verantwortung: Compliance und Fachbereich; Q3 2026.)

• KI-Kompetenz aufbauen: Schulen Sie alle Mitarbeitenden, die KI bedienen, und dokumentieren Sie die Nachweise. Diese Pflicht gilt bereits. (Verantwortung: HR und Fachbereiche; läuft.)

• Transparenz und Kennzeichnung umsetzen: Kennzeichnen Sie Chatbots, KI-Inhalte und Deepfakes nachvollziehbar im Frontend. (Verantwortung: Produkt und Entwicklung; bis 2. August 2026.)

• Governance und Rollen festlegen: Benennen Sie Verantwortliche, binden Sie Datenschutz und IT-Sicherheit ein und etablieren Sie regelmäßige Reviews. (Verantwortung: Geschäftsführung; Q3 2026.)

• Hochrisiko-Anforderungen vorbereiten: Bauen Sie für betroffene Systeme Risikomanagement, Daten-Governance und menschliche Aufsicht auf, auch wenn die Frist nun später greift. (Verantwortung: Entwicklung und Compliance; ab 2026, fertig vor Dezember 2027.)

• Lieferanten- und Vertragsmanagement aktualisieren: Verankern Sie AI-Act-Zusicherungen, Nachweispflichten und Regressmechanismen in Verträgen. (Verantwortung: Einkauf und Recht; laufend.)

• Dokumentation und Nachweisführung etablieren: Halten Sie technische Dokumentation, Modell- und Versionsangaben sowie auditfähige Berichte bereit. (Verantwortung: Entwicklung; laufend.)

• Vorfallmanagement und menschliche Aufsicht einrichten: Definieren Sie Prozesse für Fehlfunktionen, Bias-Meldungen und Korrekturmaßnahmen und sorgen Sie für wirksame menschliche Kontrolle. (Verantwortung: Betrieb und Compliance; Q4 2026.)

• In bestehende Frameworks integrieren: Verzahnen Sie die AI-Act-Prozesse mit DSGVO, ISMS und NIS2, statt Parallelstrukturen aufzubauen. (Verantwortung: Compliance und IT-Sicherheit; laufend.)

Viele der Anforderungen kommen Unternehmen bekannt vor, und das ist die gute Nachricht. Wer bereits ein Informationssicherheits-Managementsystem (ISMS) betreibt, die DSGVO umsetzt oder sich auf NIS2 vorbereitet, hat einen großen Teil der nötigen Strukturen bereits geschaffen: Risikobewertung, Dokumentation, Rollen, Audits. Der AI Act lässt sich in diese vorhandenen Frameworks einbetten, statt eine zusätzliche Compliance-Insel zu errichten. Das spart Aufwand und vermeidet doppelte Kontrollen.

Aus unserer Projekterfahrung bei BAYOOTEC zahlt sich dieser integrierte Ansatz aus. Wir entwickeln seit über 25 Jahren Software in stark regulierten Umfeldern und setzen KI selbst entlang einer verantwortungsvollen Governance ein, etwa für Code-Reviews und automatisierte Prüfungen. Künstliche Intelligenz kann dabei auch helfen, den Compliance-Aufwand zu senken, beispielsweise bei der Inventarisierung von Systemen, der Risikoanalyse oder dem Sichten von Dokumentation. Entscheidend ist, dass diese Werkzeuge in klare, nachvollziehbare Prozesse eingebettet sind.

Der EU AI Act verändert, wie KI in Europa entwickelt und eingesetzt wird. Zum 2. August 2026 zählen vor allem die Transparenzpflichten, während die umfangreichen Hochrisiko-Anforderungen durch den Digital Omnibus voraussichtlich auf Ende 2027 und 2028 verschoben werden. Diese zusätzliche Zeit ist wertvoll, aber knapp bemessen für Systeme, deren Konformität sich nicht über Nacht herstellen lässt.

Die nächsten Schritte sind klar: ein KI-Inventar erstellen, Systeme klassifizieren, KI-Kompetenz aufbauen, die Transparenzpflichten zum August 2026 erfüllen und die Hochrisiko-Vorbereitung jetzt starten. Wer die KI-Verordnung 2026 als Teil der bestehenden Compliance versteht und nicht als isoliertes Sonderprojekt, macht aus einer Pflicht einen Vertrauensvorsprung gegenüber Kunden und Partnern.