EU AI Act August 2026: Checkliste für deutsche Unternehmen

Q: Brauche ich einen KI-Beauftragten?

Der EU AI Act schreibt keinen KI-Beauftragten vor. Es ist jedoch empfehlenswert, eine verantwortliche Person zu benennen, die den Überblick über alle KI-Systeme, deren Risikoklassifizierung und die Schulungsnachweise behält.

Der EU AI Act ist seit August 2024 in Kraft. Ab dem 2. August 2026 werden die meisten Verpflichtungen anwendbar. Für deutsche Unternehmen bedeutet das: Wer KI-Systeme entwickelt, einsetzt oder vertreibt, muss handeln. Dieser Artikel liefert Ihnen eine praxistaugliche Checkliste, mit der Sie Ihr Unternehmen rechtzeitig vorbereiten.

Das Wichtigste in Kürze

Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende KI-Regulierung und gilt unmittelbar in allen EU-Mitgliedstaaten.
Ab 2. August 2026 greifen die zentralen Pflichten für Hochrisiko-KI-Systeme, Transparenzpflichten und die KI-Kompetenzanforderung nach Artikel 4.
Unternehmen müssen ihre KI-Systeme inventarisieren, die Risikoklasse bestimmen und bei Hochrisiko-Systemen umfangreiche Dokumentations- und Überwachungspflichten erfüllen.
Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes geahndet werden.
Wer KI-Kompetenz intern aufbauen will, kann dies über eine geförderte Weiterbildung zum Digitalisierungsmanager (IHK) tun.

Pflicht ab August 2026: Artikel 4 des EU AI Act verlangt, dass alle Unternehmen, die KI einsetzen, für ausreichende KI-Kompetenz ihres Personals sorgen. Die Weiterbildung zum Digitalisierungsmanager (IHK) liefert eine anerkannte Qualifizierung, die diese Anforderung erfüllt.

Zeitplan: Wann greift welche Pflicht?

Der EU AI Act tritt nicht auf einen Schlag in Kraft. Die Pflichten werden gestaffelt wirksam:

Datum	Was gilt ab dann
2. Februar 2025	Verbote für inakzeptable KI-Praktiken (z. B. Social Scoring, manipulative Systeme)
2. August 2025	Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), z. B. GPT-4, Claude
2. August 2026	Hauptteil: Hochrisiko-Pflichten, Transparenzpflichten, Artikel 4 KI-Kompetenz
2. August 2027	Pflichten für bestimmte Hochrisiko-KI in regulierten Produkten (Anhang I)

Wen betrifft der EU AI Act?

Anbieter (Provider): Wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen auf den Markt bringt.

Betreiber (Deployer): Wer ein KI-System unter eigener Verantwortung einsetzt. Das betrifft jedes Unternehmen, das Tools wie ChatGPT, Copilot oder branchenspezifische KI-Software nutzt.

Die meisten deutschen KMU fallen in die Kategorie Betreiber. Sie nutzen KI-Tools, entwickeln sie aber nicht selbst. Trotzdem haben sie Pflichten, vor allem bei Hochrisiko-Systemen und bei der allgemeinen KI-Kompetenz.

Die 4 Risikoklassen im Überblick

1. Inakzeptables Risiko (verboten)

Soziale Bewertungssysteme, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum, KI zur unterschwelligen Manipulation, Emotionserkennung am Arbeitsplatz.

2. Hohes Risiko (strenge Pflichten)

KI-Systeme in sensiblen Bereichen: Personalauswahl und Bewerber-Screening, Kreditwürdigkeitsprüfung, kritische Infrastruktur, Zugang zu Bildung. Hier gelten Risikomanagementsystem, Datenqualität, technische Dokumentation, menschliche Aufsicht.

3. Begrenztes Risiko (Transparenzpflichten)

Chatbots und KI-generierte Inhalte müssen als solche gekennzeichnet werden.

4. Minimales Risiko (keine besonderen Pflichten)

Textgenerierung, Übersetzungen, Datenanalyse, Automatisierung. Die große Mehrheit der KI-Anwendungen im Unternehmensalltag. Aber: Die KI-Kompetenzpflicht nach Artikel 4 gilt auch hier.

Checkliste: 10 Schritte zur Vorbereitung

KI-Bestandsaufnahme durchführen: Alle KI-Systeme auflisten, inkl. Office-Tools mit KI-Funktionen, Chatbots, Recruiting-Software.
Risikoklasse bestimmen: Jedes System einer der vier Klassen zuordnen. Besonders aufpassen bei HR-Software mit KI.
Artikel-4-Kompetenz sicherstellen: Alle Mitarbeiter, die KI nutzen, brauchen nachweisbare KI-Kompetenz.
Transparenzpflichten umsetzen: Chatbots kennzeichnen, KI-generierte Inhalte markieren.
Hochrisiko-Pflichten prüfen: Bei Hochrisiko-Systemen: Risikomanagement, menschliche Aufsicht, Protokolle 6 Monate aufbewahren.
Verantwortlichkeiten definieren: KI-Verantwortlichen benennen.
Lieferanten prüfen: CE-Kennzeichnung, technische Dokumentation, Gebrauchsanweisung anfordern.
Schulungsplan erstellen: Grundlagenschulung für alle, Vertiefung für Hochrisiko-Nutzer, jährliche Auffrischung.
Dokumentation aufsetzen: KI-Register mit Systemen, Risikoklassen, Schulungen, Risikobewertungen.
Monitoring einrichten: Neue KI-Systeme vor Einführung prüfen, Bewertungen regelmäßig aktualisieren.

Was passiert bei Verstößen?

Verstoß	Maximale Geldbuße
Einsatz verbotener KI-Praktiken	35 Mio. EUR oder 7 % des Jahresumsatzes
Verstoß gegen Hochrisiko-Pflichten	15 Mio. EUR oder 3 % des Jahresumsatzes
Falsche Angaben gegenüber Behörden	7,5 Mio. EUR oder 1 % des Jahresumsatzes

Praxisbeispiel: KI-Compliance in einem mittelständischen Unternehmen

Ein Maschinenbau-Unternehmen mit 120 Mitarbeitern nutzt Microsoft Copilot (minimal), ChatGPT Team (minimal), n8n mit Claude (minimal) und HireVue für Video-Interviews (Hochrisiko).

Das Unternehmen muss alle vier Systeme inventarisieren und klassifizieren. Für HireVue gelten die vollen Hochrisiko-Pflichten: menschliche Aufsicht, Kandidateninformation, Protokollaufbewahrung. Für alle Mitarbeiter, die KI nutzen, ist die Artikel-4-Schulung Pflicht.

KI-Kompetenz aufbauen: Fördermöglichkeiten

Über das Qualifizierungschancengesetz fördert die Agentur für Arbeit Weiterbildungen von Beschäftigten mit bis zu 100 % der Lehrgangskosten. Die Weiterbildung zum Digitalisierungsmanager (IHK) deckt genau die Kompetenzen ab, die der EU AI Act verlangt: KI-Grundlagen, Risikoklassifizierung, Datenschutz, Prozessautomatisierung und verantwortungsvoller KI-Einsatz.

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der EU AI Act gilt unabhängig von der Unternehmensgröße für alle, die KI-Systeme in der EU anbieten oder einsetzen. Für KMU und Startups gibt es allerdings Erleichterungen: vereinfachte Dokumentationspflichten, reduzierte Bußgelder und die Möglichkeit, regulatorische Sandkästen zu nutzen. Die KI-Kompetenzpflicht nach Artikel 4 gilt aber für alle Unternehmen gleichermaßen.

Muss ich ChatGPT als Hochrisiko-System einstufen?

In den meisten Fällen nicht. Die Standard-Nutzung von ChatGPT für Texterstellung, Recherche oder Kundenservice fällt unter minimales oder begrenztes Risiko. Hochrisiko entsteht erst, wenn ChatGPT in sicherheitskritischen oder grundrechtsrelevanten Entscheidungen eingesetzt wird, etwa wenn ein Custom GPT eigenständig über Bewerbungen entscheidet.

Was genau verlangt Artikel 4 (KI-Kompetenz)?

Artikel 4 verpflichtet Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Die Anforderungen richten sich nach dem konkreten Einsatzbereich und dem Risikoniveau des Systems. Eine formale Zertifizierung wird nicht verlangt, aber die Schulung muss angemessen und nachweisbar sein.

Brauche ich einen KI-Beauftragten?

Der EU AI Act schreibt keinen KI-Beauftragten vor, anders als die DSGVO beim Datenschutzbeauftragten. Es ist jedoch empfehlenswert, eine verantwortliche Person zu benennen, die den Überblick über alle KI-Systeme, deren Risikoklassifizierung und die Schulungsnachweise behält.

Wie dokumentiere ich die KI-Kompetenz meiner Mitarbeiter?

Halten Sie in einem KI-Schulungsregister fest: Wer wurde wann zu welchem Thema geschult, welche KI-Systeme waren Gegenstand der Schulung und wer hat die Schulung durchgeführt. Es gibt kein vorgeschriebenes Format, aber die Dokumentation muss im Falle einer Prüfung vorgelegt werden können.

KI-Kompetenz für Ihr Team aufbauen?

Die Weiterbildung zum Digitalisierungsmanager (IHK) erfüllt die Anforderungen des EU AI Act Artikel 4. DEKRA-zertifiziert, 100 % förderbar.

Weiterbildung ansehen WhatsApp