Jens FischerAm 2. August 2026 endet die Übergangsfrist für den EU AI Act – und Millionen deutscher Unternehmen stehen unter Zeitdruck. Wer KI-Systeme in Bereichen wie Personalentscheidungen, Kreditvergabe oder kritischer Infrastruktur einsetzt, muss ab diesem Datum nachweisen, dass seine Systeme die neuen europäischen Anforderungen erfüllen. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes. Was Unternehmen jetzt konkret tun müssen – und warum IT-Experten die Schlüsselrolle übernehmen.
Der EU AI Act: Was steckt dahinter?
Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Die Bundesregierung beschreibt ihn als Meilenstein: Erstmals gelten verbindliche Regeln für KI-Systeme je nach ihrem Risikopotenzial – von harmlosen Anwendungen bis hin zu hochriskanten Systemen, die Menschenleben und Grundrechte beeinflussen können.
Das Risiko-Klassifizierungsmodell des AI Act unterscheidet vier Stufen: unannehmbares Risiko (verboten), hohes Risiko (strenge Pflichten), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine besonderen Anforderungen). Für die meisten deutschen Mittelstandsunternehmen ist vor allem die Kategorie „hohes Risiko" relevant.
Was gilt als Hochrisiko-KI?
KI-Systeme gelten laut EU AI Act als hochriskant, wenn sie in bestimmten Bereichen eingesetzt werden. Dazu zählen:
- Personalmanagement: KI-gestützte Recruiting-Tools, automatisierte Bewerbungsauswertung, Leistungsbeurteilungen
- Kreditwesen und Versicherungen: Bonitätsprüfungen, Risikoberechnungen, automatisierte Kreditentscheidungen
- Bildung und Ausbildung: Systeme zur Leistungsbeurteilung von Schülern und Studenten
- Kritische Infrastruktur: KI in Energie-, Wasser- oder Verkehrsversorgung
- Strafverfolgung und Justiz: Risikoabschätzungssysteme für Behörden
Viele Unternehmen sind sich nicht bewusst, dass sie bereits Hochrisiko-KI einsetzen – zum Beispiel durch externe HR-Software mit KI-Funktionen oder Bonitätsprüfungs-APIs von Finanzdienstleistern.
Die vier Kernpflichten bis August 2026
Für Hochrisiko-KI-Systeme schreibt der EU AI Act vier zentrale Anforderungen vor:
1. Risikomanagementsystem: Unternehmen müssen die Risiken ihrer KI-Systeme systematisch identifizieren, bewerten und dokumentieren. Das erfordert technisches KI-Know-how, das viele KMU intern nicht haben.
2. Daten-Governance: Alle Trainingsdaten müssen qualitätsgeprüft, repräsentativ und frei von diskriminierenden Mustern sein. Dies betrifft nicht nur selbst entwickelte, sondern auch zugekaufte KI-Systeme.
3. Technische Dokumentation und Transparenz: Für jedes Hochrisiko-KI-System muss eine vollständige technische Dokumentation vorliegen, die erklärt, wie das System funktioniert und welche Entscheidungen es trifft.
4. Menschliche Aufsicht: KI-Systeme dürfen keine vollständig automatisierten Entscheidungen ohne menschliche Kontrollmöglichkeit treffen. Unternehmen müssen Prozesse einrichten, die eine menschliche Überprüfung erlauben.
BSI übernimmt Durchsetzung – mit Konsequenzen
In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Durchsetzung des EU AI Act zuständig. Die Behörde hat bereits angekündigt, ab August 2026 aktiv zu prüfen. Das BSI warnte bereits 2025 vor der unterschätzten KI-Sicherheitsgefahr in deutschen Unternehmen. Die Konsequenzen bei Verstößen sind empfindlich:
- Geldstrafen von bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes (jeweils der höhere Betrag)
- Betriebsuntersagung für das betreffende KI-System
- Rückrufpflicht bereits eingesetzter Systeme
- Reputationsschäden durch öffentliche Bekanntmachung von Verstößen
Für kleine und mittlere Unternehmen, die KI häufig über Drittanbieter nutzen, ist besonders wichtig: Auch Nutzer von KI-Systemen können in die Pflicht genommen werden – nicht nur deren Hersteller.
Was Unternehmen jetzt konkret tun müssen
IT-Berater und Compliance-Experten empfehlen folgende Sofortmaßnahmen bis August 2026:
KI-Inventar erstellen: Welche KI-Systeme nutzt das Unternehmen – direkt und über eingebettete Softwarefunktionen? Viele Unternehmen unterschätzen die Anzahl ihrer KI-Anwendungen.
Risikobewertung durchführen: Für jedes identifizierte System prüfen, ob es unter die Hochrisiko-Kategorie fällt. Hierzu sind oft IT-Forensik-Kenntnisse und juristische Beratung nötig.
Dokumentation aufbauen: Technische Beschreibungen, Datensätze, Testprotokolle und Aufsichtsprozesse müssen schriftlich festgehalten werden. Dies dauert bei typischen mittelständischen Unternehmen 4 bis 8 Wochen.
Mitarbeiterschulungen ansetzen: Alle Mitarbeiter, die mit Hochrisiko-KI arbeiten, müssen laut EU AI Act nachweislich geschult werden. Dies umfasst auch Manager, die auf KI-gestützte Auswertungen vertrauen.
Vertragsüberprüfung mit Softwareanbietern: Wer zugekaufte KI-Software nutzt, muss sicherstellen, dass Anbieter konform sind und entsprechende Garantien geben.
Kleine und mittlere Unternehmen besonders gefährdet
Großkonzerne haben oft bereits Compliance-Abteilungen und IT-Rechtsexperten, die sich seit Monaten auf den 2. August 2026 vorbereiten. Für Mittelständler und Kleinunternehmen sieht die Lage anders aus: Viele haben weder die internen Ressourcen noch das technische Wissen, um ihre KI-Systeme eigenständig zu bewerten.
Besonders tückisch: Standardsoftware wie Microsoft 365 Copilot, SAP-Systeme mit KI-Modulen oder HR-Plattformen wie Personio enthalten oft KI-Funktionen, die unter den EU AI Act fallen können. Die Pflicht zur Compliance liegt jedoch beim Nutzerunternehmen – nicht beim Softwareanbieter allein.
Ein weiterer Risikofaktor sind externe Dienstleister: Wenn eine Steuerkanzlei, Personalvermittlung oder Versicherung KI im Kundeneinsatz nutzt, ohne die Anforderungen des EU AI Act zu kennen, drohen erhebliche Haftungsrisiken. Die Deadline 2. August 2026 betrifft damit auch viele Freiberufler und Dienstleister, die sich nicht als „KI-Unternehmen" verstehen.
Checkliste: Bin ich betroffen?
Diese Fragen helfen beim ersten Selbstcheck:
- Nutzen Sie KI für Entscheidungen über Personen? (Bewerbungen, Bonitätsprüfungen, Leistungsbeurteilungen) → Wahrscheinlich Hochrisiko
- Ist Ihr Unternehmen in der Energie-, Wasser- oder Verkehrsinfrastruktur tätig? → Prüfen erforderlich
- Setzen Sie KI-Chatbots gegenüber Kunden ein? → Transparenzpflichten gelten
- Haben Sie IT-Dienstleister, die KI in Ihre Systeme einbetten? → Vertragliche Absicherung notwendig
- Existiert eine Dokumentation, wie Ihre KI-Systeme Entscheidungen treffen? → Falls nein: dringender Handlungsbedarf
Selbst eine einzige positive Antwort kann bedeuten, dass sofort Maßnahmen eingeleitet werden müssen.
Warum ein IT-Experte jetzt entscheidend ist
Der EU AI Act ist kein rein juristisches, sondern vor allem ein technisches Compliance-Problem. Ein erfahrener IT-Spezialist kann das KI-Inventar eines Unternehmens analysieren, Hochrisiko-Systeme identifizieren und die technische Dokumentation erstellen. Ohne dieses Fachwissen riskieren Unternehmen erhebliche Bußgelder oder den erzwungenen Stopp wichtiger Geschäftsprozesse.
Auf ExpertZoom finden Sie erfahrene IT-Berater und Technologiespezialisten, die Unternehmen bei der EU AI Act-Compliance begleiten – von der ersten Bestandsaufnahme bis zur vollständigen Dokumentation.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche oder technische Beratung. Für die Compliance-Prüfung Ihres Unternehmens wenden Sie sich an einen qualifizierten IT-Experten oder Rechtsanwalt.
