Der EU AI Act ist in Kraft. Seit Februar 2025 gelten die ersten Verbote, die AI Literacy-Pflicht ist aktiv. Doch das war erst der Anfang: Ab August 2026 greifen die vollen Pflichten für Hochrisiko-KI-Systeme.

Die Uhr tickt. Unternehmen die jetzt nicht handeln, riskieren Bußgelder von bis zu 35 Millionen Euro. Und laut aktuellem Stand (April 2026) sind noch viele Unternehmen nicht compliant.

Diese Checkliste ist kein Rechtsgutachten – sie ist eine praktische Orientierung, was du jetzt konkret tun musst.

Das Zeitstrahl-Überblick: Was wann galt

DatumWas tritt in Kraft
Feb. 2025Verbotene KI-Praktiken (Art. 5) + AI Literacy-Pflicht
Aug. 2025Verhaltenskodizes für GPAI-Modelle
Aug. 2026Hochrisiko-KI: Governance, Transparenz, Dokumentation
Aug. 2027Hochrisiko-KI in bestehenden regulierten Produkten

Wir befinden uns jetzt im April 2026 – du hast noch vier Monate bis zur August-Deadline.

Schritt 1: KI-Inventur (sofort erledigen)

Bevor du Compliance-Maßnahmen ergreifst, brauchst du einen vollständigen Überblick aller KI-Systeme in deinem Unternehmen.

Was zu inventarisieren ist:

  • Intern entwickelte KI-Systeme (auch Prototypen und Piloten)
  • Zugekaufte KI-Software und SaaS-Tools mit KI-Funktionen
  • KI-APIs die du nutzt (OpenAI, Anthropic, Google, etc.)
  • KI in Drittanbieter-Software (HR-Tools, CRM, Finanzsoftware)

Für jedes System dokumentieren:

  • Zweck und Einsatzgebiet
  • Wer ist Anbieter, wer ist Betreiber?
  • Welche Daten werden verarbeitet?
  • Welche Entscheidungen werden unterstützt oder automatisiert?

Tipp: Nutze eine einfache Tabelle (Excel oder Notion). Das ist kein KI-Projekt, das braucht kein Fancy-Tool.

Schritt 2: Risikoklassifikation

Nach der Inventur klassifizierst du jedes System nach EU AI Act Risikoklassen:

Verboten (seit Feb. 2025)

Sofortiger Stopp, wenn dein Unternehmen eines der folgenden einsetzt:

  • Subliminale Manipulation (unterschwellige Beeinflussung)
  • Social Scoring durch Behörden
  • Emotionserkennung am Arbeitsplatz oder in Schulen
  • Biometrische Echtzeit-Fernerkennung im öffentlichen Raum (mit engen Ausnahmen)
  • Predictive Policing basierend auf Profiling

Stand April 2026: Mehrere Untersuchungen zu Emotionserkennung am Arbeitsplatz und Predictive Policing laufen bereits.

Hochrisiko (ab Aug. 2026 vollständig reguliert)

Die kritische Kategorie. Hochrisiko-Systeme sind KI-Systeme in diesen Bereichen:

HR und Beschäftigung:

  • Bewerbungsscreening, Lebensläufe sortieren
  • Beförderungsentscheidungen
  • Leistungsbewertung und Kündigung

Bildung:

  • Zulassung zu Bildungseinrichtungen
  • Bewertung von Prüfungsleistungen
  • Lernniveau-Assessment

Finanzdienstleistungen:

  • Kreditwürdigkeitsprüfungen
  • Versicherungsprämien-Kalkulation

Kritische Infrastruktur:

  • Strom, Wasser, Transport, Internet

Biometrie:

  • Gesichtserkennung, Fingerabdruck-Systeme
  • Fernidentifizierung

Sonstige:

  • Notfallmanagement-Systeme
  • Rechtspflege-Unterstützung
  • Migrations- und Asylverfahren

Begrenztes Risiko

KI-Systeme mit Transparenzpflichten, aber weniger strengen Anforderungen:

  • Chatbots (müssen sich als KI kennzeichnen)
  • Deepfakes (Kennzeichnungspflicht)
  • Emotion-Recognition in anderen Kontexten

Minimales Risiko

Keine spezifischen Pflichten, nur allgemeine DSGVO-Anforderungen:

  • KI-Spam-Filter
  • KI in Videospielen
  • Produktempfehlungs-Algorithmen (ohne obige Risiken)

Schritt 3: Compliance-Maßnahmen für Hochrisiko-KI

Wenn du Hochrisiko-Systeme einsetzt oder entwickelst, brauchst du bis August 2026:

Technische Dokumentation (Art. 11)

Du musst umfassend dokumentieren:

  • Zweck und Einsatzszenarien des Systems
  • Trainingsdaten: Herkunft, Qualität, Diversität, mögliche Verzerrungen
  • Systemarchitektur und Algorithmus-Beschreibung
  • Validierungs- und Test-Methodik
  • Performance-Metriken und bekannte Limitierungen
  • Maßnahmen für Genauigkeit, Robustheit, Cybersicherheit

Praktisch: Das ist wie ein technisches Datenblatt deines KI-Systems. Wenn du es von einem Anbieter kaufst: Verlange diese Dokumentation. Sie ist ab August 2026 Pflicht für den Anbieter.

Risikomanagementsystem (Art. 9)

Nicht einmalig, sondern kontinuierlich:

  • Bekannte und vorhersehbare Risiken identifizieren
  • Daten aus Feedback nach dem Deployment berücksichtigen
  • Risikominimierungsmaßnahmen dokumentieren
  • Regelmäßige Reviews (mindestens jährlich, empfohlen quartalsweise)

Menschliche Aufsicht (Art. 14)

Hochrisiko-KI-Systeme müssen so gestaltet sein, dass Menschen die Ausgaben effektiv überwachen können. Konkret:

  • Klare Schnittstellen zum Eingreifen oder Abschalten
  • Benutzer müssen die Grenzen des Systems verstehen
  • Bei automatisierten Entscheidungen: Möglichkeit zur menschlichen Überprüfung
  • Training der aufsichtführenden Personen

Transparenz gegenüber Nutzern (Art. 13)

Wenn jemand mit einem Hochrisiko-System interagiert:

  • Klare Information, dass KI eingesetzt wird
  • Erklärung welche Daten verwendet werden
  • Informationen über die Logik des Systems (keine Blackbox)
  • Möglichkeit zur Anfechtung von KI-Entscheidungen

Registrierung (Art. 49 + 51)

Hochrisiko-KI-Systeme müssen ab August 2026 in der EU AI-Datenbank registriert werden. Für öffentliche Stellen war die Frist früher, für private Unternehmen gilt August 2026.

Schritt 4: AI Literacy – Pflicht seit Feb. 2025

Das wird oft vergessen: Die AI Literacy-Pflicht läuft bereits seit dem 2. Februar 2025.

Was gefordert ist: Mitarbeitende die KI-Systeme bedienen oder deren Ergebnisse nutzen, müssen über ausreichende KI-Kenntnisse verfügen. Das ist bewusst vage gehalten – die Schwelle ist nicht “kann Transformer-Architektur erklären”, sondern “versteht Möglichkeiten und Grenzen des eingesetzten Tools”.

Praktische Umsetzung:

  • Interne Schulungen oder Online-Kurse für KI-Tools-Nutzer
  • Dokumentation: Wer wurde wann geschult?
  • Regelmäßige Updates wenn neue Tools eingeführt werden
  • Für Hochrisiko-Systeme: Spezifischere Schulungen zur Aufsicht

Wenn du das noch nicht gemacht hast: Tu es jetzt. Es ist die einfachste Compliance-Maßnahme und ihr könnt schon dabei im Rückstand sein.

Checkliste: Was bis August 2026 erledigt sein muss

Governance (für alle Unternehmen)

  • KI-Inventur durchgeführt
  • Risikoklassifikation für alle Systeme
  • AI Literacy Schulungen für alle KI-Nutzer (inkl. Dokumentation)
  • Interne Zuständigkeit für KI-Compliance definiert (AI Officer oder Datenschutzbeauftragter)
  • Prozess für neue KI-Tool-Einführungen (Risikobewertung vor Deployment)

Für Hochrisiko-Systeme (wenn zutreffend)

  • Technische Dokumentation vollständig
  • Risikomanagementsystem etabliert
  • Menschliche Aufsichts-Schnittstellen vorhanden
  • Nutzer-Transparenz-Information erstellt
  • Registrierung in EU AI-Datenbank abgeschlossen
  • Monitoring-Prozess für Post-Deployment-Feedback
  • Incident-Reporting-Prozess definiert (Meldepflicht bei Unfällen)

Für KI-Anbieter (wenn du KI-Produkte entwickelst)

  • Conformity Assessment durchgeführt
  • CE-Kennzeichnung (falls applicable)
  • Instructions for Use für Betreiber erstellt
  • Quality Management System implementiert

Warum “wir nutzen nur ChatGPT” kein Freifahrtschein ist

Eine häufige Fehlannahme: “Wir nutzen nur externe SaaS-Tools, also sind wir nicht betroffen.”

Falsch. Als Betreiber eines Hochrisiko-KI-Systems hast du Pflichten – auch wenn du es nicht entwickelt hast. Du musst:

  • Prüfen ob das zugekaufte System EU AI Act-konform ist (Anbieter-Dokumentation verlangen)
  • Sicherstellen dass die vorgeschriebene menschliche Aufsicht stattfindet
  • Nutzer informieren, dass KI eingesetzt wird
  • In deinem Bereich ein Risikomanagementsystem führen

Wenn Microsoft Copilot für HR-Entscheidungen genutzt wird? Du bist Betreiber. Wenn ein SaaS-Tool Kreditwürdigkeit bewertet? Du bist Betreiber.

Praktischer Einstieg: Die nächsten 30 Tage

Woche 1: KI-Inventur durchführen, alle Systeme und Tools erfassen.

Woche 2: Risikoklassifikation, Hochrisiko-Systeme identifizieren und priorisieren.

Woche 3–4: Für Hochrisiko-Systeme Anbieter-Dokumentation anfordern. AI Literacy Schulungs-Konzept erstellen.

April–Juli: Technische Dokumentation und Risikomanagementsystem aufbauen. Schulungen durchführen und dokumentieren.

August 2026: Deadline. Registrierung in EU AI-Datenbank.

Fazit: Früher anfangen zahlt sich aus

Viele Unternehmen werden die August-Deadline knapp verpassen oder unvorbereitet erwischen. Die Bußgelder sind real: 35 Millionen Euro oder 7% Umsatz sind keine leere Drohung.

Aber die Compliance bringt auch Vorteile: Gut dokumentierte, überwachte KI-Systeme performen besser, verursachen weniger Incidents und stärken das Vertrauen bei Kunden und Partnern. EU AI Act Compliance ist kein reiner Kostenfaktor – es ist auch eine Qualitätsmaßnahme.

Starte jetzt mit der Inventur. Alles andere baut darauf auf.

Weiterlesen: