Update April 2026: Das EU-Parlament hat am 27.03.2026 die Verschiebung der Hochrisiko-KI-Pflichten beschlossen (Digital Omnibus, 569:45 Stimmen). Annex III tritt jetzt am 02.12.2027 in Kraft, Annex I am 02.08.2028. Der zweite Trilog ist für den 28.04.2026 angesetzt. WICHTIG: Die AI Literacy Pflicht nach Artikel 4 KI-VO gilt seit dem 2. Februar 2025. Die Bußgeldvorschriften der KI-Verordnung greifen ab August 2026. Schulungsnachweise sind also bereits jetzt Pflicht.
Am 02. August 2026 wird der EU AI Act in wichtigen Teilen unmittelbar anwendbar. Die AI Literacy Pflicht nach Artikel 4 KI-VO greift ab diesem Stichtag. Die ursprünglich für August 2026 vorgesehenen Hochrisiko-Pflichten wurden durch den Digital Omnibus auf Dezember 2027 verschoben. Wer als Unternehmen KI einsetzt oder anbietet, sollte trotzdem jetzt handeln. Dieser Leitfaden zeigt Ihnen, was bis August 2026 erledigt sein muss, welche Pflichten Sie konkret treffen und wo Sie ansetzen, wenn Sie noch ganz am Anfang stehen.
Was bedeutet die August-2026-Deadline konkret
Der EU AI Act hat ein gestaffeltes Inkrafttreten. Verbote für bestimmte KI-Praktiken gelten bereits seit Februar 2025. Die KI-Kompetenz nach Art. 4 ebenfalls. Am 02. August 2026 folgt der nächste Block. Damit greifen unter anderem Pflichten für Anbieter von General-Purpose-AI-Modellen, die Sanktionsregelungen und Bußgeldrahmen der KI-Verordnung sowie die AI Literacy Pflicht nach Artikel 4 KI-VO.
Für Hochrisiko-Systeme im Anhang III der Verordnung (zum Beispiel Recruiting-KI, Bonitätsbewertung, Bildungsentscheidungen) wurde die volle Hochrisiko-Pflicht durch den Digital Omnibus auf den 02.12.2027 verschoben. Annex I (Hochrisiko-Systeme als Sicherheitskomponenten) tritt am 02.08.2028 in Kraft. Die AI Literacy Pflicht (seit Februar 2025, Bußgeldrahmen ab August 2026) bleibt davon unberührt.
Wer ist betroffen
Der EU AI Act unterscheidet zwischen Anbietern (Provider) und Betreibern (Deployer). Anbieter sind Unternehmen, die ein KI-System entwickeln und unter eigenem Namen in Verkehr bringen. Betreiber sind alle, die ein KI-System unter eigener Verantwortung einsetzen, also auch eine Steuerkanzlei, die ChatGPT für die Mandantenkommunikation nutzt, oder ein Personaldienstleister, der KI-gestützte Bewerber-Vorauswahl verwendet.
Konkret betroffen sind Sie, wenn Sie:
- KI-Tools für Personalentscheidungen einsetzen (Recruiting, Beförderung, Kündigung)
- KI in der Kreditvergabe oder Versicherungsprüfung verwenden
- KI-gestützte Bildungsentscheidungen treffen (Notenvorhersage, Zulassung)
- KI in Kritischer Infrastruktur (Energie, Verkehr, Wasser) einsetzen
- KI in der Strafverfolgung, Migration oder Justiz nutzen
- Generative KI wie ChatGPT, Claude oder Copilot im Geschäftsbetrieb einsetzen (Schulungspflicht)
Sind Sie nur Endkunde mit minimalem KI-Einsatz, etwa einer Mail-Autovervollständigung, treffen Sie überwiegend leichtere Transparenzpflichten und die generelle KI-Kompetenz.
Die vier Risikoklassen im Überblick
Der EU AI Act ordnet KI-Anwendungen in vier Risikostufen ein. Die Pflichten unterscheiden sich erheblich.
| Risikoklasse | Beispiele | Was gilt |
|---|---|---|
| Unannehmbar | Social Scoring, Emotion-Erkennung am Arbeitsplatz, manipulative KI | Verboten seit Februar 2025 |
| Hochrisiko | Recruiting-KI, Bonitätsbewertung, Bildungsbewertung, Medizingeräte | Volles Pflichtenpaket ab Dezember 2027 (Annex III) bzw. August 2028 (Annex I) |
| Begrenztes Risiko | Chatbots, Deepfakes, KI-generierte Inhalte | Transparenzpflicht (Kennzeichnung) |
| Minimales Risiko | Spam-Filter, Empfehlungsalgorithmen, KI-Spiele | Keine besonderen Pflichten |
Die Einordnung Ihrer Systeme ist der zentrale Schritt vor August 2026. Ohne Klassifikation wissen Sie nicht, welche Pflichten Sie überhaupt treffen. Auch wenn die Hochrisiko-Pflichten auf Dezember 2027 verschoben wurden, bleibt die Inventarisierung Grundvoraussetzung für die AI Literacy Pflicht und die Schulungsplanung.
Was Unternehmen jetzt tun müssen
Es bleiben weniger als vier Monate bis zur Deadline. Diese sieben Schritte sollten Sie zeitnah angehen:
- Inventarisierung: Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen genutzt werden. Auch ChatGPT, Claude, Microsoft Copilot, DeepL Write oder spezialisierte Branchen-KI gehören dazu.
- Risikoklassifikation: Ordnen Sie jedes System einer der vier Risikoklassen zu. Dokumentieren Sie die Begründung schriftlich.
- KI-Richtlinie aufsetzen: Erstellen Sie eine interne KI-Policy, die regelt, welche Tools für welche Zwecke erlaubt sind, welche Daten eingegeben werden dürfen und wer für die Entscheidungen verantwortlich ist.
- Schulungsnachweis nach Art. 4: Alle Mitarbeiter, die KI einsetzen, müssen ausreichende KI-Kompetenz nachweisen können. Eine konkrete Stundenzahl gibt das Gesetz nicht vor, aber eine dokumentierte Schulung mit Inhaltsnachweis ist Pflicht.
- Dokumentationspflicht: Für Hochrisiko-Systeme müssen Sie eine technische Dokumentation, Logs und ein Risikomanagement-System bereithalten.
- Transparenz nach außen: Wer Chatbots oder generative KI einsetzt, muss Nutzer darüber informieren, dass sie mit einem System kommunizieren oder KI-generierte Inhalte erhalten.
- Verantwortliche benennen: Die DSGVO kennt den Datenschutzbeauftragten. Der AI Act fordert keinen formalen KI-Beauftragten, aber die Verantwortlichkeiten müssen klar zugewiesen sein.
Wer mehrere KI-Systeme einsetzt, sollte eine zentrale Dokumentation führen. Eine Excel-Liste mit System, Hersteller, Risikoklasse, Verantwortlichem und Schulungsstand ist ein Minimum.
Sanktionen und Risiken
Die Bußgelder im EU AI Act sind deutlich höher als bei der DSGVO. Drei Stufen sind vorgesehen:
- Verstöße gegen verbotene KI-Praktiken: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes
- Verstöße gegen Hochrisiko-Pflichten und andere Anforderungen: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes
- Falsche oder irreführende Informationen an Behörden: bis zu 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes
Für KMU und Start-ups gelten gestaffelte Obergrenzen. Die Größenordnungen liegen trotzdem weit über dem, was viele Unternehmen für realistisch halten. Wer ohne Schulungsnachweis und ohne Risikoklassifikation in die zweite Jahreshälfte 2026 geht, geht ein erhebliches Bußgeldrisiko ein.
Wir sehen in der Praxis, dass Unternehmen den Aufwand für die AI Literacy Pflicht massiv unterschätzen. Eine dokumentierte Vier-Stunden-Schulung für zwölf Mitarbeiter plus schriftliche Richtlinie plus Inventar plus Risikoklassifikation pro Tool ist kein Wochenend-Projekt. Wer das ernsthaft durchzieht und später auch vor einer Aufsichtsbehörde glaubhaft machen will, plant damit mindestens zwei volle Arbeitstage Projektleitung plus die Schulungszeit der Mitarbeiter. Das ist zu leisten, aber nicht nebenbei im Juli 2026.
Praxisbeispiel: Ein Steuerbüro in Bayreuth bereitet sich vor
Ein typischer mittelständischer Anwendungsfall macht die abstrakten Pflichten greifbar. Stellen Sie sich ein Steuerbüro mit zwölf Mitarbeitern vor, das ChatGPT Team und Microsoft Copilot für Mandantenmails, Recherche und Vertragsentwürfe nutzt. Bis zum 02. August 2026 sollte die Geschäftsführung folgende Schritte abgearbeitet haben:
- April 2026: Inventarisierung aller eingesetzten KI-Tools, inklusive vermeintlich harmloser Anwendungen wie DeepL Pro oder Grammarly.
- Mai 2026: Klassifikation jedes Tools nach den vier Risikoklassen. Bei klassischen Office-Anwendungen ist das in der Regel "begrenztes Risiko".
- Juni 2026: Verabschiedung einer schriftlichen KI-Richtlinie durch die Geschäftsführung mit klarer Liste der erlaubten Tools und Datenarten.
- Juli 2026: Pflichtschulung aller Mitarbeiter (etwa vier Stunden pro Person), inklusive Lernkontrolle und Teilnahmenachweis. Externe Schulungsanbieter mit Zertifikat sind hier die belastbarste Variante.
- August 2026: Dokumentation aller Maßnahmen in einem zentralen Compliance-Ordner, idealerweise mit Versionierung und Unterschriften.
Diese Vorgehensweise lässt sich auf Anwaltskanzleien, Architekturbüros, Marketingagenturen, Personaldienstleister und viele andere Branchen übertragen. Die Schritte sind im Kern immer gleich. Der Aufwand ist überschaubar, wenn er rechtzeitig geplant wird. Wer dagegen drei Wochen vor Stichtag anfängt, gerät in Hektik und vergisst meist mindestens einen Pflichtbaustein.
Wenn Sie für Ihr Unternehmen eine dokumentierte Mitarbeiterschulung brauchen, findet sich das Thema auch im Digitalisierungsmanager-Kurs wieder, den wir bei SkillSprinters anbieten.
Häufige Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der EU AI Act unterscheidet nicht nach Unternehmensgröße. Ein Steuerberater mit drei Mitarbeitern, der ChatGPT für Mandantenmails nutzt, ist genauso Betreiber im Sinne der Verordnung wie ein Konzern. Es gibt zwar Erleichterungen bei Sanktionen für KMU, die grundlegenden Pflichten wie KI-Kompetenz nach Art. 4 gelten aber für alle.
Reicht eine einmalige Schulung oder muss ich jährlich nachschulen?
Der EU AI Act schreibt keine konkrete Wiederholungsfrequenz vor. Ein Schulungsnachweis ist Pflicht, eine jährliche Auffrischung dringend zu empfehlen. KI-Tools entwickeln sich schnell, neue Funktionen erfordern neue Risikoeinschätzungen. Mindestens bei jedem Versionssprung größerer Systeme sollten Sie nachschulen und das dokumentieren.
Was passiert, wenn ich nur ChatGPT für interne Notizen nutze?
Auch dann sind Sie Betreiber im Sinne des EU AI Act und müssen die Schulungspflicht aus Art. 4 erfüllen. Die Risikoklasse ist hier in der Regel begrenzt oder minimal, weshalb die Hochrisiko-Pflichten nicht greifen. Eine schriftliche KI-Richtlinie und eine dokumentierte Mitarbeiterschulung sind aber auch in diesem Fall sinnvoll.
Wie hängen DSGVO und EU AI Act zusammen?
Die DSGVO regelt den Schutz personenbezogener Daten, der EU AI Act regelt den verantwortungsvollen Einsatz von KI-Systemen. Beide Regelwerke gelten parallel. Wer KI mit personenbezogenen Daten nutzt, muss beide einhalten. Eine KI-Richtlinie sollte daher datenschutzrechtliche Aspekte mit abdecken.
Welche Rolle spielt die nationale Aufsichtsbehörde?
Jeder EU-Mitgliedstaat benennt eine oder mehrere zuständige Behörden für den AI Act. In Deutschland ist die Diskussion über die finale Zuständigkeit noch nicht in allen Punkten abgeschlossen. Wahrscheinlich werden die Bundesnetzagentur und sektorale Aufsichtsbehörden eine zentrale Rolle spielen. Stand April 2026, prüfen Sie aktuelle Werte bei der zuständigen Stelle.
Was kostet eine externe Compliance-Beratung für den AI Act?
Eine Erstberatung zur Risikoklassifikation und Lückenanalyse kostet bei spezialisierten Kanzleien typischerweise zwischen 1.500 und 5.000 Euro. Ein vollständiges Compliance-Projekt mit Richtlinie, Schulung und Dokumentation liegt je nach Unternehmensgröße bei 5.000 bis 30.000 Euro. Wer die Schulung intern abdecken kann, spart einen erheblichen Teil davon.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.