Die EU-KI-Verordnung schreibt für Hochrisiko-KI-Systeme einen Pflichtenkatalog vor, der nach derzeitigem Rechtsstand am 2. August 2026 anwendbar wird. Wer in seinem Unternehmen KI für Recruiting, Bonitätsprüfung, Bildungsentscheidungen oder kritische Infrastruktur einsetzt, ist betroffen, oft ohne es zu wissen. Die im April 2026 laufenden Trilog-Verhandlungen zum AI Omnibus könnten diese Frist verschieben, eine Verlässlichkeit darauf gibt es Stand heute aber nicht.

Auf einen Blick: Ab 2. August 2026 gelten nach derzeitigem Rechtsstand die Hochrisiko-Pflichten der EU-KI-Verordnung (Kapitel III). Hochrisiko-KI im Sinne von Anhang III umfasst Recruiting, Kreditvergabe, Bildung, Strafverfolgung, Migration, kritische Infrastruktur und Versicherung. Verstöße werden mit bis zu 15 Mio Euro oder 3 % des weltweiten Jahresumsatzes geahndet (Art. 99 Abs. 4). Eine Verschiebung über den AI Omnibus ist im Trilog (Stand April 2026), aber rechtlich noch nicht beschlossen.

Wer ist betroffen, und in welcher Rolle

Die Verordnung kennt vier Akteure mit unterschiedlichen Pflichten.

Anbieter sind diejenigen, die ein Hochrisiko-KI-System entwickeln oder unter eigenem Namen in Verkehr bringen. Sie tragen die Hauptlast: Risikomanagement, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung. Wer ein bestehendes Modell substanziell verändert und unter eigenem Namen vertreibt, wird ebenfalls Anbieter.

Betreiber sind Unternehmen, die ein Hochrisiko-KI-System im Rahmen ihrer beruflichen Tätigkeit einsetzen. Das ist die Rolle, in der die meisten Mittelständler stecken, oft ohne es zu wissen. Wer eine Recruiting-Software mit KI-Lebenslauf-Screening einkauft, ist Betreiber, nicht Endnutzer. Die Pflichten sind geringer als beim Anbieter, aber sie sind real: bestimmungsgemäße Verwendung, Aufzeichnungen, Information der Beschäftigten, menschliche Aufsicht.

Importeure und Händler haben begrenztere Prüfpflichten. Sie müssen sich vergewissern, dass das Produkt CE-gekennzeichnet ist und die technische Dokumentation vorliegt.

Für die meisten KMU heißt das: Sie sind Betreiber. Selten Anbieter, fast nie Importeur. Aber Betreiber-Pflichten reichen, um interne Prozesse umzubauen.

Was Hochrisiko-KI konkret ist

Anhang III der Verordnung listet acht Bereiche, in denen ein KI-System grundsätzlich als hochriskant gilt. Das sind die Felder, in denen KMU in der Praxis am häufigsten landen.

Im Bereich Beschäftigung fallen alle Systeme darunter, die Bewerbungen filtern, Lebensläufe ranken, Kandidaten matchen oder Beschäftigungsentscheidungen vorbereiten. Auch Tools zur Leistungsbewertung und Beförderungsentscheidung sind erfasst. Wer eine Software benutzt, die aus 200 Bewerbungen die Top 20 vorschlägt, betreibt Hochrisiko-KI.

Bei Bildung und beruflicher Bildung sind KI-Systeme erfasst, die über Zugang oder Zuweisung entscheiden, die Lernergebnisse bewerten oder die Prüfungsbetrug überwachen.

Im Finanzbereich gelten Bonitätsbewertung und Kreditscoring als hochriskant, mit Ausnahme reiner Betrugserkennung. Auch Risikobewertung und Tarifierung in Lebens- und Krankenversicherungen fallen darunter.

Weitere Bereiche sind biometrische Identifikation und Emotionserkennung, Verwaltung kritischer Infrastruktur (Strom, Wasser, Verkehr), Strafverfolgung, Migration und Asyl, sowie Zugang zu wesentlichen öffentlichen Leistungen.

Eine Software ist nicht automatisch Hochrisiko-KI, nur weil sie KI enthält. Der Anwendungsfall entscheidet. Ein Chatbot, der Mitarbeitern den Urlaubsantrag erklärt, ist kein Hochrisiko-System. Derselbe Chatbot, der entscheidet, ob ein Antrag genehmigt wird, kann es werden, je nach Tragweite.

Wer KI im Unternehmen systematisch einsetzt, sollte das Curriculum kennen, das Mitarbeiter dafür qualifiziert. Auf der Digitalisierungsmanager-Übersicht finden Sie, wie eine geförderte 4-Monats-Weiterbildung KI-Kompetenz aufbaut, inklusive Compliance-Modulen zu EU AI Act, DSGVO und Datengovernance.

Welche Pflichten ab 2. August 2026 gelten

Für Anbieter eines Hochrisiko-Systems sind sieben Pflichten zentral.

Ein Risikomanagement-System (Art. 9) muss über den gesamten Lebenszyklus des Systems geführt werden. Das ist kein einmaliges Dokument, sondern ein laufender Prozess: Risiken identifizieren, bewerten, mitigieren, neu bewerten.

Datengovernance (Art. 10) verlangt, dass Trainings-, Validierungs- und Testdaten relevant, ausreichend repräsentativ, möglichst fehlerfrei und vollständig sind. Bei besonderen Datenkategorien (Gesundheit, ethnische Herkunft) gelten weitere Anforderungen.

Technische Dokumentation (Art. 11, Anhang IV) ist ein Katalog mit über 50 Punkten: System-Beschreibung, Trainingsdaten, Architektur, Performance-Metriken, Validierungs-Methoden, bekannte Limitationen.

Aufzeichnungspflichten (Art. 12) verlangen automatische Logs über die gesamte Betriebszeit. Wer was wann mit dem System gemacht hat, muss nachvollziehbar sein.

Transparenz und Information der Betreiber (Art. 13) bedeutet, dass dem Betreiber Gebrauchsanweisungen, Performance-Aussagen und Hinweise zur menschlichen Aufsicht mitgeliefert werden müssen.

Menschliche Aufsicht (Art. 14) muss möglich sein. Konkret: Eine geschulte Person muss das System überwachen, Output hinterfragen und im Zweifel überstimmen können. Pure Automatisierung ohne Eingriffsmöglichkeit ist nicht zulässig.

Genauigkeit, Robustheit und Cybersicherheit (Art. 15) sind keine Lippenbekenntnisse. Das System muss gegen Manipulation, Datenvergiftung und adversarielle Angriffe gehärtet sein.

Vor Markteinführung kommt die Konformitätsbewertung. Bei den meisten Anhang-III-Systemen reicht ein internes Verfahren, bei einigen Sicherheits-Komponenten ist eine benannte Stelle (Notified Body) Pflicht. Nach erfolgreicher Bewertung wird das System CE-gekennzeichnet und in der EU-Datenbank registriert.

Für Betreiber sind die Pflichten überschaubarer, aber nicht trivial. Bestimmungsgemäße Verwendung nach Anweisung des Anbieters. Menschliche Aufsicht durch geschulte Personen. Aufzeichnung der Logs für mindestens sechs Monate. Information der Beschäftigten und ihrer Vertretung, wenn das System sie betrifft. Bei Systemen, die natürliche Personen betreffen, eine Folgenabschätzung nach Art. 27. Diese Folgenabschätzung darf nicht mit der DSGVO-Datenschutz-Folgenabschätzung verwechselt werden, in der Praxis lassen sich beide aber zu einem Dokument kombinieren.

Bußgelder: Was wirklich droht

Ein verbreiteter Irrtum: Die 35-Millionen-Grenze gilt nicht für Hochrisiko-Verstöße. Sie greift nur bei Verstößen gegen Art. 5, also bei verbotenen KI-Praktiken wie Social Scoring durch Behörden oder bestimmten manipulativen Systemen. Diese Tatbestände sind seit 2. Februar 2025 sanktionsbewehrt.

Für Hochrisiko-Verstöße sieht Art. 99 Abs. 4 einen Bußgeldrahmen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes vor, je nachdem, was höher ist. Für KMU gilt der niedrigere Wert, also Mindest-Strafe statt Höchst-Strafe.

Wer falsche oder irreführende Informationen an Behörden gibt, riskiert bis zu 7,5 Millionen Euro oder 1 %. Auch das ist nicht zu unterschätzen, weil es bereits den Versuch trifft, Pflichten zu verschleiern.

Realistisch ist nicht, dass die zuständigen Behörden 2026 sofort Höchstsumen verhängen. Realistisch ist, dass größere Verstöße in den ersten 12 bis 18 Monaten dokumentiert, mahnungsweise verfolgt und bei Wiederholung ernsthaft sanktioniert werden. Die Erfahrung mit DSGVO zeigt: Behörden geben Übergangszeit, aber sie geben sie nicht unbegrenzt.

Der AI Omnibus und seine Verschiebungs-Vorschläge

Hier ist die Lage Stand 26. April 2026 unklar, und das müssen Sie ernst nehmen.

Im März 2026 begann der Trilog zum AI Omnibus, einem Paket, das die Anwendung mehrerer Hochrisiko-Pflichten verschieben würde. Sowohl Rat als auch Parlament haben sich auf neue Daten verständigt: 2. Dezember 2027 für eigenständige Hochrisiko-Systeme nach Anhang III, 2. August 2028 für KI in regulierten Produkten nach Anhang I. Politische Einigung wird laut Berichterstattung Ende April 2026 erwartet, formale Annahme noch vor August.

Bis zur Veröffentlichung im Amtsblatt ist das aber nicht rechtsverbindlich. Wer auf die Verschiebung baut und die Vorbereitung pausiert, geht ein Risiko ein. Wenn der Trilog scheitert oder sich verzögert, gilt der 2. August 2026 weiter, und dann sind viele Unternehmen unvorbereitet.

Praktisch heißt das: Bereiten Sie sich auf 2. August 2026 vor, und sehen Sie eine Verschiebung als Geschenk, nicht als Plan.

Was Unternehmen jetzt tun sollten

Drei Schritte, in dieser Reihenfolge.

Erstens ein KI-Inventar. Listen Sie alle KI-Systeme im Unternehmen auf, eingekauft oder selbst entwickelt. Recruiting-Software, Chatbots, Forecasting-Tools, Bonitätsprüfung, Übersetzung, Bildanalyse, alles. Notieren Sie Anbieter, Anwendungsfall, Datenfluss, Verantwortliche.

Zweitens die Klassifikation. Prüfen Sie für jedes System, ob es unter Anhang III fällt. Bei Recruiting-Tools, Bonitäts-Software und Performance-Reviews ist das oft eindeutig. Bei generischen LLM-Anwendungen kommt es auf den konkreten Einsatz an. Eine schriftliche Begründung, warum ein System nicht hochriskant ist, ist nach Art. 6 Abs. 4 ohnehin Pflicht.

Drittens die Dokumentation. Für jedes als Hochrisiko klassifizierte System brauchen Sie eine Verfahrensbeschreibung, eine Risikoanalyse, eine Festlegung der menschlichen Aufsicht und einen Trainingsplan für die Mitarbeiter. Die Anbieter sollten Sie ohnehin liefern lassen, was Sie nach Art. 13 zustehen.

In Beratungen sehen wir, dass Mittelständler oft nicht wissen, ob ihr KI-Tool unter Hochrisiko fällt, weil der Anbieter dazu schweigt oder ausweicht. Wer die Frage explizit schriftlich stellt, bekommt entweder eine klare Antwort oder einen ausweichenden Schwurbel-Text. Das eine ist Compliance, das andere ist ein Warnzeichen, dass der Anbieter selbst noch nicht weiß, was er da verkauft.

Wichtig zu trennen: Die KI-Kompetenzpflicht aus Art. 4 gilt seit 2. Februar 2025, nicht erst ab August 2026. Jedes Unternehmen, das KI einsetzt, muss seine Belegschaft ausreichend schulen. Das gilt unabhängig davon, ob das System Hochrisiko ist oder nicht. Wer auf den 2. August 2026 wartet, ist bei Art. 4 schon über ein Jahr im Verzug.

Realistische Zeitplanung für die nächsten Monate

Wer jetzt anfängt, hat noch Zeit. Wer Ende Juni anfängt, läuft.

Mai bis Juli: Inventar, Klassifikation, Lieferanten-Anfragen, interne Schulungen. Acht bis zehn Wochen Vollzeit-Aufwand für eine mittelgroße Firma, je nach Anzahl der Systeme.

August: Umsetzung der internen Prozesse. Folgenabschätzung dokumentieren, menschliche Aufsicht definieren, Aufzeichnungen aktivieren.

Ab September: laufender Betrieb mit dokumentierten Compliance-Prozessen. Quartalsweise Review.

Wer das nicht selbst stemmen kann, holt sich entweder Beratung dazu oder konzentriert sich auf die Systeme mit dem höchsten Risiko. Recruiting und Bonitätsprüfung zuerst, generische LLM-Tools später, weil dort die behördliche Aufmerksamkeit zuerst hingeht.

FAQ

Gilt der 2. August 2026 jetzt sicher, oder wird verschoben?

Stand 26. April 2026 ist die Verschiebung über den AI Omnibus politisch in Trilog-Verhandlungen, aber nicht beschlossen. Bis zur Veröffentlichung im Amtsblatt der EU gilt der 2. August 2026 als verbindlicher Stichtag. Sie sollten so planen, als wäre er fest, und eine Verschiebung als Aufschub nutzen, nicht als Plan.

Wir nutzen ChatGPT Enterprise, fallen wir unter Hochrisiko?

Nicht automatisch. Ein generisches Sprachmodell ist als solches kein Hochrisiko-System. Entscheidend ist der Anwendungsfall. Wer ChatGPT zum Brainstorming oder für Übersetzungen nutzt, ist nicht in Anhang III. Wer ChatGPT entscheiden lässt, welche Bewerber eingeladen werden, ist es. Die Verantwortung für die Klassifikation liegt bei Ihnen als Betreiber, nicht bei OpenAI.

Wie hoch ist das Bußgeld bei Hochrisiko-Verstößen?

Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes, je nachdem was höher ist (Art. 99 Abs. 4). Für KMU gilt der niedrigere Wert von beiden. Die in Medien oft genannten 35 Millionen Euro gelten ausschließlich für Verstöße gegen Art. 5, also für die acht verbotenen KI-Praktiken, nicht für Hochrisiko-Verstöße.

Was ist der Unterschied zwischen DSGVO-DSFA und EU-AI-Act-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO prüft Risiken für personenbezogene Daten. Die Folgenabschätzung nach Art. 27 EU AI Act prüft Risiken für Grundrechte beim Einsatz eines Hochrisiko-Systems durch Betreiber. Beide Dokumente überlappen sich, lassen sich aber zu einem kombinierten Dokument zusammenfassen. Wichtig: Die Pflichten gelten unabhängig voneinander, das eine ersetzt das andere nicht.

Mehr zu diesem Thema

Bereit für deinen nächsten Karriereschritt?

Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.

Weiterbildung ansehen WhatsApp