Der EU AI Act ist die erste umfassende KI-Regulierung der EU und wird stufenweise verbindlich. Für Unternehmen zählt vor allem eines: Welche Pflichten gelten ab wann, und was ist konkret zu tun? Dieser Beitrag ordnet Risikoklassen, Fristen und Maßnahmen ein, inklusive der jüngsten Verschiebung durch den Digital Omnibus.
Was der Digital Omnibus geändert hat
Im Mai 2026 haben sich Parlament und Rat auf den „Digital Omnibus on AI" geeinigt und die anspruchsvollsten Pflichten zeitlich entzerrt.2 Das Wichtigste in Kürze:
- Hochrisiko-Pflichten verschoben. Eigenständige Hochrisiko-Systeme nach Anhang III (z. B. Recruiting, Bonität, Bildung) gelten erst ab dem 2. Dezember 2027, in Produkte eingebettete Hochrisiko-KI nach Anhang I ab dem 2. August 2028.3
- Transparenzpflichten bleiben. Die Pflichten aus Artikel 50 greifen unverändert ab dem 2. August 2026.
- Erleichterungen für kleinere Unternehmen. Eine neue Kategorie „Small Mid-Caps" (weniger als 750 Mitarbeitende, höchstens 150 Mio. Euro Umsatz) erhält vereinfachte Dokumentation, gedeckelte Bußgelder und bevorzugten Sandbox-Zugang.3
- Rechtlich bindend werden die neuen Termine erst mit der Veröffentlichung im Amtsblatt, erwartet noch vor dem 2. August 2026.
Kurz: Der Aufschub verschiebt Aufwand, er beseitigt ihn nicht. Wer Hochrisiko-Systeme betreibt, gewinnt Vorbereitungszeit. Der August-2026-Termin für Transparenz bleibt für fast jeden scharf.
Was ab dem 2. August 2026 zu tun ist
Ab diesem Datum greifen die Transparenzpflichten, und zwar unabhängig davon, ob Sie KI entwickeln oder nur einsetzen.5 Konkret:
- Chatbots kennzeichnen. Nutzer müssen erkennen können, dass sie mit einer KI sprechen, nicht mit einem Menschen.
- KI-Inhalte markieren. KI-generierte oder -manipulierte Texte, Bilder, Audio und Video müssen als solche erkennbar sein. Deepfakes fallen besonders darunter.
- Bestandssysteme nachrüsten. Für vor dem 2. August 2026 in Verkehr gebrachte Systeme gilt für die maschinenlesbare Kennzeichnung eine Schonfrist bis zum 2. Dezember 2026.
- Zuständigkeit festlegen. Diese Punkte sind technisch überschaubar, brauchen aber eine klare Verantwortung im Haus.
Wichtig für die Praxis: Die maschinenlesbare Kennzeichnung (Wasserzeichen, Metadaten) ist primär Pflicht des KI-Anbieters, nicht des Anwenders. Als Betreiber tragen Sie vor allem die sichtbare Offenlegung gegenüber Ihren Nutzern.
Die vier Risikoklassen verstehen
Der EU AI Act reguliert KI nach Risiko, nicht nach Technologie. Maßgeblich ist, wofür ein System eingesetzt wird und welche Folgen das für Menschen hat.1
- Unannehmbares Risiko: verbotene Praktiken wie Social Scoring. In der EU nicht zulässig.
- Hohes Risiko: Systeme mit Einfluss auf Grundrechte oder Sicherheit, etwa Personalauswahl, Kreditvergabe oder kritische Infrastruktur. Dokumentations- und prüfintensiv.
- Begrenztes Risiko: Transparenzpflichten, etwa die Kennzeichnung von Chatbots und KI-Inhalten.
- Minimales Risiko: der größte Teil betrieblicher Anwendungen, mit geringen Auflagen.
Die meisten Unternehmen bewegen sich überwiegend im minimalen und begrenzten Risiko. Sobald eine Anwendung über Menschen mitentscheidet, etwa im Bewerbungsprozess, rückt sie in die Hochrisiko-Klasse. Die erste Einordnung ist daher der wichtigste Schritt.
Die wichtigsten Fristen im Überblick
- Verbotene Praktiken: seit Februar 2025
- Pflichten für allgemeine KI-Modelle (GPAI): seit August 2025
- Transparenzpflichten (Artikel 50): ab 2. August 2026
- Hochrisiko-Systeme nach Anhang III: ab 2. Dezember 2027
- In Produkte eingebettete Hochrisiko-KI (Anhang I): ab 2. August 2028
Der Handlungsdruck steigt mit jeder Stufe. Wer erst kurz vor einer Frist beginnt, gerät unter Zeitdruck, weil Bestandsaufnahme, Risikobewertung und Dokumentation Vorlauf brauchen.
Wie streng wird schon durchgesetzt?
Eine ehrliche Einordnung gehört dazu: Verbotene Praktiken und GPAI-Pflichten sind bereits durchsetzbar, und die EU-Kommission hat Anfang 2026 erste Prüfungen zu unzulässigen KI-Praktiken eingeleitet.1 Eine Welle an Bußgeldern oder Abmahnungen ist bislang ausgeblieben, auch weil die Hochrisiko-Pflichten noch gar nicht gelten und die Behörden ihre Strukturen erst aufbauen.
Das ist aber kein Grund zum Abwarten. Die Transparenzpflichten ab August 2026 sind real, und die Basisarbeit (Inventar, Risikoklassen, Verantwortlichkeiten) lässt sich im Ernstfall nicht in wenigen Tagen nachholen.
Warum Compliance ohne Governance nicht funktioniert
Compliance ist das Ziel, Governance der Weg dorthin. Sie brauchen ein Inventar Ihrer KI-Systeme, eine Risikoeinstufung je System, eine verantwortliche Person und einen Prozess, der neue Anwendungen vor dem Einsatz prüft. Ohne diese Struktur bleibt KI-Compliance eine punktuelle Reaktion auf Einzelfälle. Wie Sie das organisatorisch verankern, vertieft der Beitrag Governance und Recht bei KI.
EU AI Act umsetzen: fünf Schritte für den Einstieg
- KI-Inventur. Erfassen Sie alle KI-Systeme und -Tools, intern wie extern. Halten Sie pro System fest, in welcher Abteilung es läuft, welche Daten es verarbeitet und wer es verantwortet.
- Risikoklassifizierung. Ordnen Sie jedes System einer der vier Klassen zu. Prüfen Sie besonders Anwendungen mit personenbezogenen Daten und solche, die Entscheidungen über Menschen vorbereiten.
- Pflichten ableiten. Bestimmen Sie je Klasse die konkreten Anforderungen, etwa Transparenzhinweise bei begrenztem Risiko oder Dokumentation und menschliche Aufsicht bei Hochrisiko.
- Maßnahmen und Dokumentation. Schließen Sie die Lücken zwischen Ist-Zustand und Pflichten. Legen Sie technische Unterlagen, Risikobewertungen und Verantwortlichkeiten schriftlich fest.
- Laufende Kontrolle. Etablieren Sie ein Freigabe-Gate für neue Tools und einen festen Audit-Rhythmus.
Was bei Verstößen droht
Der EU AI Act sieht gestaffelte Sanktionen vor.4 Für verbotene Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Verstöße gegen Hochrisiko-Pflichten liegt der Rahmen bei bis zu 15 Millionen Euro oder 3 Prozent. Für mittelständische Unternehmen ist weniger das Höchstmaß relevant als das praktische Risiko: fehlende Dokumentation, ungeklärte Verantwortlichkeiten und Systeme, deren Risikoklasse niemand bestimmt hat.
Wann sich externe Beratung lohnt
Nicht jeder Bedarf erfordert eine umfassende Beratung. Eine ehrliche Einordnung hilft:
- Reine Tool-Schulung ist meist direkt beim Anbieter am besten aufgehoben.
- Technische Integration gehört zum Systemhaus oder IT-Berater.
- Eine isolierte Datenschutz- oder Rechtsfrage klärt ein spezialisierter Datenschutzbeauftragter oder eine Kanzlei mit KI-Bezug.
- Eine übergreifende EU-AI-Act-Beratung lohnt sich, wenn KI strategisch und abteilungsübergreifend eingesetzt wird und Strategie, Governance, Technik und Datenschutz zusammengeführt werden müssen.
Mini-FAQ zum EU AI Act
Betrifft der EU AI Act auch kleine Unternehmen? Ja. Maßgeblich ist die Art der eingesetzten KI. Auch kleine Unternehmen mit Hochrisiko-Anwendungen fallen unter die strengeren Pflichten.
Hat der Aufschub die Pflichten abgeschafft? Nein. Verschoben wurde nur der Anwendungsbeginn der Hochrisiko-Pflichten. Die Transparenzpflichten ab August 2026 gelten unverändert.
Was ist der erste konkrete Schritt? Eine KI-Inventur. Ohne den Überblick über alle Systeme lässt sich keine Risikoklasse bestimmen.
Brauchen wir zwingend externe Beratung? Nicht in jedem Fall. Viele Schritte lassen sich intern erledigen. Externe Unterstützung lohnt vor allem bei Hochrisiko-Systemen und der übergreifenden Einführung.
Was Sie konkret tun sollten
- Starten Sie diese Woche eine KI-Inventur über alle Abteilungen.
- Ordnen Sie jedes System einer Risikoklasse zu und markieren Sie Hochrisiko-Anwendungen.
- Setzen Sie die Transparenzpflichten für Chatbots und KI-Inhalte bis August 2026 um.
- Dokumentieren Sie Risikobewertungen, Maßnahmen und Verantwortlichkeiten schriftlich.
- Etablieren Sie ein Freigabe-Gate und einen Audit-Rhythmus für neue Systeme.
Wo steht Ihr Unternehmen beim EU AI Act?
In einem 30-minütigen KI-Check ordnen wir Ihre Anwendungen nach Risiko ein und zeigen, welche Transparenz- und Governance-Schritte bis August 2026 wirklich nötig sind. Kein Vertrieb, keine Folien.
Quellen & Verweise
- Europäische Kommission, AI Act – Regulatory Framework (Risikoklassen, Zeitplan, Durchsetzung): digital-strategy.ec.europa.eu
- Gibson Dunn, EU AI Act Omnibus Agreement — Postponed High-Risk Deadlines and Other Key Changes, 27.05.2026: gibsondunn.com
- Rat der EU (Consilium), Artificial Intelligence: Council and Parliament agree to simplify and streamline rules, 07.05.2026: consilium.europa.eu
- Verordnung (EU) 2024/1689 (AI Act), Sanktionsrahmen Art. 99, via EUR-Lex: eur-lex.europa.eu
- EU AI Act, Artikel 50 (Transparenzpflichten für Anbieter und Betreiber): artificialintelligenceact.eu
