Am 02. August 2026 wird der EU AI Act in weiten Teilen unmittelbar anwendbar. Die meisten Pflichten für Hochrisiko-KI-Systeme, Sanktionen und behördliche Aufsicht greifen ab diesem Stichtag. Wer als Unternehmen KI einsetzt oder anbietet, sollte jetzt handeln. Dieser Leitfaden zeigt Ihnen, was bis August 2026 erledigt sein muss, welche Pflichten Sie konkret treffen und wo Sie ansetzen, wenn Sie noch ganz am Anfang stehen.
Das Wichtigste in Kürze
- Der EU AI Act (Verordnung (EU) 2024/1689) ist seit dem 01. August 2024 in Kraft, die meisten Pflichten gelten ab dem 02. August 2026.
- Die Schulungspflicht aus Art. 4 (KI-Kompetenz) gilt bereits seit dem 02. Februar 2025 für alle Anbieter und Betreiber.
- Hochrisiko-Pflichten betreffen Unternehmen, die KI in Bereichen wie Personalwesen, Bildung, Kreditvergabe oder kritische Infrastruktur einsetzen.
- Verstöße können mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
- Eine schriftliche KI-Richtlinie, ein Schulungsnachweis und eine Risikoklassifikation der eingesetzten Systeme sind die ersten Pflichtschritte.
- Auch reine Anwender (Betreiber) sind betroffen, nicht nur Entwickler von KI-Systemen.
Was bedeutet die August-2026-Deadline konkret
Der EU AI Act hat ein gestaffeltes Inkrafttreten. Verbote für bestimmte KI-Praktiken gelten bereits seit Februar 2025. Die KI-Kompetenz nach Art. 4 ebenfalls. Am 02. August 2026 folgt der zweite große Block. Damit greifen unter anderem:
- Pflichten für Anbieter von General-Purpose-AI-Modellen
- Sanktionsregelungen und behördliche Durchsetzung
- Konformitätsbewertungsverfahren für viele Hochrisiko-Anwendungen
- Pflichten zur Transparenz, Dokumentation und Risiko-Management
Für Hochrisiko-Systeme im Anhang III der Verordnung (zum Beispiel Recruiting-KI, Bonitätsbewertung, Bildungsentscheidungen) gilt die volle Hochrisiko-Pflicht ab August 2026. Einzelne Sonderregelungen für bereits am Markt befindliche Systeme können später greifen, der Großteil der Pflichten ist aber ab dem Stichtag verbindlich.
Wer ist betroffen
Der EU AI Act unterscheidet zwischen Anbietern (Provider) und Betreibern (Deployer). Anbieter sind Unternehmen, die ein KI-System entwickeln und unter eigenem Namen in Verkehr bringen. Betreiber sind alle, die ein KI-System unter eigener Verantwortung einsetzen, also auch eine Steuerkanzlei, die ChatGPT für die Mandantenkommunikation nutzt, oder ein Personaldienstleister, der KI-gestützte Bewerber-Vorauswahl verwendet.
Konkret betroffen sind Sie, wenn Sie:
- KI-Tools für Personalentscheidungen einsetzen (Recruiting, Beförderung, Kündigung)
- KI in der Kreditvergabe oder Versicherungsprüfung verwenden
- KI-gestützte Bildungsentscheidungen treffen (Notenvorhersage, Zulassung)
- KI in Kritischer Infrastruktur (Energie, Verkehr, Wasser) einsetzen
- KI in der Strafverfolgung, Migration oder Justiz nutzen
- Generative KI wie ChatGPT, Claude oder Copilot im Geschäftsbetrieb einsetzen (Schulungspflicht)
Sind Sie nur Endkunde mit minimalem KI-Einsatz, etwa einer Mail-Autovervollständigung, treffen Sie überwiegend leichtere Transparenzpflichten und die generelle KI-Kompetenz.
Die vier Risikoklassen im Überblick
Der EU AI Act ordnet KI-Anwendungen in vier Risikostufen ein. Die Pflichten unterscheiden sich erheblich.
| Risikoklasse | Beispiele | Was gilt |
|---|---|---|
| Unannehmbar | Social Scoring, Emotion-Erkennung am Arbeitsplatz, manipulative KI | Verboten seit Februar 2025 |
| Hochrisiko | Recruiting-KI, Bonitätsbewertung, Bildungsbewertung, Medizingeräte | Volles Pflichtenpaket ab August 2026 |
| Begrenztes Risiko | Chatbots, Deepfakes, KI-generierte Inhalte | Transparenzpflicht (Kennzeichnung) |
| Minimales Risiko | Spam-Filter, Empfehlungsalgorithmen, KI-Spiele | Keine besonderen Pflichten |
Die Einordnung Ihrer Systeme ist der wichtigste Schritt vor August 2026. Ohne Klassifikation wissen Sie nicht, welche Pflichten Sie überhaupt treffen.
Was Unternehmen jetzt tun müssen
Es bleiben weniger als vier Monate bis zur Deadline. Diese sieben Schritte sollten Sie zeitnah angehen:
- Inventarisierung: Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen genutzt werden. Auch ChatGPT, Claude, Microsoft Copilot, DeepL Write oder spezialisierte Branchen-KI gehören dazu.
- Risikoklassifikation: Ordnen Sie jedes System einer der vier Risikoklassen zu. Dokumentieren Sie die Begründung schriftlich.
- KI-Richtlinie aufsetzen: Erstellen Sie eine interne KI-Policy, die regelt, welche Tools für welche Zwecke erlaubt sind, welche Daten eingegeben werden dürfen und wer für die Entscheidungen verantwortlich ist.
- Schulungsnachweis nach Art. 4: Alle Mitarbeiter, die KI einsetzen, müssen ausreichende KI-Kompetenz nachweisen können. Eine konkrete Stundenzahl gibt das Gesetz nicht vor, aber eine dokumentierte Schulung mit Inhaltsnachweis ist Pflicht.
- Dokumentationspflicht: Für Hochrisiko-Systeme müssen Sie eine technische Dokumentation, Logs und ein Risikomanagement-System bereithalten.
- Transparenz nach außen: Wer Chatbots oder generative KI einsetzt, muss Nutzer darüber informieren, dass sie mit einem System kommunizieren oder KI-generierte Inhalte erhalten.
- Verantwortliche benennen: Die DSGVO kennt den Datenschutzbeauftragten. Der AI Act fordert keinen formalen KI-Beauftragten, aber die Verantwortlichkeiten müssen klar zugewiesen sein.
Wer mehrere KI-Systeme einsetzt, sollte eine zentrale Dokumentation führen. Eine Excel-Liste mit System, Hersteller, Risikoklasse, Verantwortlichem und Schulungsstand ist ein Minimum.
Sanktionen und Risiken
Die Bußgelder im EU AI Act sind deutlich höher als bei der DSGVO. Drei Stufen sind vorgesehen:
- Verstöße gegen verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes
- Verstöße gegen Hochrisiko-Pflichten und andere Anforderungen: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes
- Falsche oder irreführende Informationen an Behörden: bis zu 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes
Für KMU und Start-ups gelten gestaffelte Obergrenzen. Trotzdem: Die Größenordnungen liegen weit über dem, was viele Unternehmen für realistisch halten. Wer ohne Schulungsnachweis und ohne Risikoklassifikation in die zweite Jahreshälfte 2026 geht, geht ein erhebliches Bußgeldrisiko ein.
Praxisbeispiel: Ein Steuerbüro in Bayreuth bereitet sich vor
Ein typischer mittelständischer Anwendungsfall macht die abstrakten Pflichten greifbar. Stellen Sie sich ein Steuerbüro mit zwölf Mitarbeitern vor, das ChatGPT Team und Microsoft Copilot für Mandantenmails, Recherche und Vertragsentwürfe nutzt. Bis zum 02. August 2026 sollte die Geschäftsführung folgende Schritte abgearbeitet haben:
- April 2026: Inventarisierung aller eingesetzten KI-Tools, inklusive vermeintlich harmloser Anwendungen wie DeepL Pro oder Grammarly.
- Mai 2026: Klassifikation jedes Tools nach den vier Risikoklassen. Bei klassischen Office-Anwendungen ist das in der Regel "begrenztes Risiko".
- Juni 2026: Verabschiedung einer schriftlichen KI-Richtlinie durch die Geschäftsführung mit klarer Liste der erlaubten Tools und Datenarten.
- Juli 2026: Pflichtschulung aller Mitarbeiter (etwa vier Stunden pro Person), inklusive Lernkontrolle und Teilnahmenachweis. Externe Schulungsanbieter mit Zertifikat sind hier die belastbarste Variante.
- August 2026: Dokumentation aller Maßnahmen in einem zentralen Compliance-Ordner, idealerweise mit Versionierung und Unterschriften.
Diese Vorgehensweise lässt sich auf Anwaltskanzleien, Architekturbüros, Marketingagenturen, Personaldienstleister und viele andere Branchen übertragen. Die Schritte sind im Kern immer gleich. Der Aufwand ist überschaubar, wenn er rechtzeitig geplant wird. Wer dagegen drei Wochen vor Stichtag anfängt, gerät in Hektik und vergisst meist mindestens einen Pflichtbaustein.
Häufige Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der EU AI Act unterscheidet nicht nach Unternehmensgröße. Ein Steuerberater mit drei Mitarbeitern, der ChatGPT für Mandantenmails nutzt, ist genauso Betreiber im Sinne der Verordnung wie ein Konzern. Es gibt zwar Erleichterungen bei Sanktionen für KMU, die grundlegenden Pflichten wie KI-Kompetenz nach Art. 4 gelten aber für alle.
Reicht eine einmalige Schulung oder muss ich jährlich nachschulen?
Der EU AI Act schreibt keine konkrete Wiederholungsfrequenz vor. Ein Schulungsnachweis ist Pflicht, eine jährliche Auffrischung ist aber dringend zu empfehlen. KI-Tools entwickeln sich schnell, neue Funktionen erfordern neue Risikoeinschätzungen. Mindestens bei jedem Versionssprung größerer Systeme sollten Sie nachschulen und das dokumentieren.
Was passiert, wenn ich nur ChatGPT für interne Notizen nutze?
Auch dann sind Sie Betreiber im Sinne des EU AI Act und müssen die Schulungspflicht aus Art. 4 erfüllen. Die Risikoklasse ist hier in der Regel begrenzt oder minimal, weshalb die Hochrisiko-Pflichten nicht greifen. Eine schriftliche KI-Richtlinie und eine dokumentierte Mitarbeiterschulung sind aber auch in diesem Fall sinnvoll.
Wie hängen DSGVO und EU AI Act zusammen?
Die DSGVO regelt den Schutz personenbezogener Daten, der EU AI Act regelt den verantwortungsvollen Einsatz von KI-Systemen. Beide Regelwerke gelten parallel. Wer KI mit personenbezogenen Daten nutzt, muss beide einhalten. Eine KI-Richtlinie sollte daher datenschutzrechtliche Aspekte mit abdecken.
Welche Rolle spielt die nationale Aufsichtsbehörde?
Jeder EU-Mitgliedstaat benennt eine oder mehrere zuständige Behörden für den AI Act. In Deutschland ist die Diskussion über die finale Zuständigkeit noch nicht in allen Punkten abgeschlossen. Wahrscheinlich werden die Bundesnetzagentur und sektorale Aufsichtsbehörden eine zentrale Rolle spielen. Stand April 2026, prüfen Sie aktuelle Werte bei der zuständigen Stelle.
Was kostet eine externe Compliance-Beratung für den AI Act?
Eine Erstberatung zur Risikoklassifikation und Lückenanalyse kostet bei spezialisierten Kanzleien typischerweise zwischen 1.500 und 5.000 Euro. Ein vollständiges Compliance-Projekt mit Richtlinie, Schulung und Dokumentation liegt je nach Unternehmensgröße bei 5.000 bis 30.000 Euro. Wer die Schulung intern abdecken kann, spart einen erheblichen Teil davon.
Fazit
Die August-Deadline 2026 ist keine ferne Zukunft mehr. Wer jetzt nicht mit der Inventarisierung, Risikoklassifikation und Schulung beginnt, läuft Gefahr, im Sommer in Hektik und Bußgeldrisiko zu geraten. Der größte Hebel liegt in der Mitarbeiterschulung: Wer KI-Kompetenz nachweisen kann, erfüllt die wichtigste sofort wirksame Pflicht und schafft gleichzeitig den fachlichen Boden für eine sinnvolle Risikoklassifikation.
SkillSprinters bietet praxisnahe KI-Schulungen für Unternehmen, die den Schulungsnachweis nach Art. 4 EU AI Act erfüllen und Mitarbeitern die nötige KI-Kompetenz vermitteln. EU AI Act Schulung für Ihr Unternehmen anfragen.
Weiterführende Artikel im Compliance-Hub: - KI-Risikoklassen mit Praxisbeispielen - KI-Schulungsnachweis Vorlage - AI Literacy Pflicht nach Art. 4 EU AI Act
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.