EU AI Act 2026 - die konkrete Checkliste für IT-Leiter
In meinem Artikel Shadow AI & DSGVO habe ich ja bereits auf diesem Artikel hingewiesen, oder sollte ich sagen gewarnt. Ich hoffe Sie haben meine Ratschläge befolgt, sitzen bequem und haben ausreichend Kaffee. Denn irgendwo in Ihrem Unternehmen läuft gerade ein KI-System, vielleicht in der HR-Abteilung, um Bewerbungen vorzufiltern, in der Produktion, um Qualitätsfehler zu erkennen oder vielleicht einfach als “mal schnell aktivierte” Copilot-Lizenz für Mitarbeitende, die damit jetzt täglich E-Mails und Meetings zusammenfassen lassen.
Die Frage ist also nicht, ob der EU AI Act für Sie gilt. Die Frage ist, ob Sie bereits wissen, was er jetzt konkret von Ihnen verlangt.
Was der EU AI Act tatsächlich ist
Der EU AI Act (Verordnung EU 2024/1689) ist seit August 2024 in Kraft. Er ist keine Empfehlung und kein Leitfaden. Er ist verbindliches europäisches Recht, das für alle Organisationen gilt, die KI-Systeme in der EU einsetzen, entwickeln oder vertreiben, unabhängig davon, ob der Anbieter seinen Sitz in Europa hat.
Das bedeutet, auch wer keine eigenen KI Modelle betreibt sondern ausschließlich OpenAI, Microsoft Azure AI oder Google Gemini einsetzt, fällt unter diese Verordnung. Wer den vollständigen Gesetzestext in strukturierter Form lesen möchte, findet ihn auf ai-act-law.eu übersichtlich aufbereitet.
Die Fristen, die IT-Leiter kennen müssen
Die EU hat im Frühjahr 2026 einige Fristen angepasst. Was aber zunächst nach Entlastung für Unternehmen klingt, ist bei näherer Betrachtung etwas differenzierter.
| Datum | Was gilt |
|---|---|
| 1. August 2024 | Verordnung in Kraft getreten |
| 2. Februar 2025 | Artikel 5 wird rechtsverbindlich: KI-Anwendungen wie Social Scoring und Echtzeit-Biometrie sind ab jetzt illegal, keine Übergangsfristen |
| 2. August 2025 | Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten |
| 2. August 2026 | Transparenzpflichten gelten vollständig: Chatbots und KI-generierte Inhalte müssen sichtbar als KI gekennzeichnet sein (nutzerorientiert) |
| Dezember 2026 | Technische Kennzeichnungspflicht: KI-generierte Inhalte müssen maschinenlesbar mit Wasserzeichen versehen sein (per delegiertem Rechtsakt) |
| Dezember 2027 | Strenge Anforderungen für Hochrisiko-KI-Systeme (verschoben von August 2026) |
Die ursprünglich für August 2026 geplanten strengen Hochrisiko-Pflichten wurden also auf Dezember 2027 verschoben. Das klingt nach Aufschub, ist aber keiner: Die Transparenzpflichten und die Verbote gelten unverändert. Und die Vorbereitungszeit bis Dezember 2027 ist kürzer als sie wirkt, weil Dokumentation, Risikoanalyse und Lieferantenbewertung Zeit brauchen.
Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes bleiben bestehen. Dass die komplette Maximalstrafe verhängt wird, ist eher unwahrscheinlich, aber dennoch kann eine verhängte Strafe empfindliche Folgen für ein Unternehmen haben.
Nicht jede KI ist gleich reguliert
Der EU AI Act arbeitet mit einem Stufenmodell. Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Anforderungen. Eine gute Übersicht der Kategorien findet sich auf EUR-Lex.
Verbotene KI (Stufe 1): Keine Ausnahmen, keine Übergangsfristen. Gilt seit Februar 2025. Beispiele: Social Scoring durch Behörden, Echtzeit-Biometrie im öffentlichen Raum, manipulative KI-Systeme, KI-gestützte Deepfakes ohne Einwilligung.
Hochrisiko-KI (Stufe 2): Strenge Pflichten, zentral für IT-Leiter. Vollständige Umsetzung bis Dezember 2027. Gilt unter anderem für KI in folgenden Bereichen:
- Personalentscheidungen (Bewerberauswahl, Leistungsbewertung)
- Kreditwürdigkeitsprüfung
- Kritische Infrastruktur (Energie, Wasser, Verkehr)
- Bildung und Berufsausbildung
- Strafverfolgung und Grenzkontrolle
- Medizinprodukte und Sicherheitskomponenten
Begrenzte Risiken (Stufe 3): Transparenzpflichten. Gilt ab August 2026. Chatbots müssen sich als KI zu erkennen geben. KI-generierte Inhalte müssen gekennzeichnet sein.
Minimales Risiko (Stufe 4): Keine spezifischen Pflichten. KI-gestützte Spamfilter, Empfehlungssysteme ohne sicherheitsrelevante Auswirkungen.
Was Hochrisiko-KI konkret verlangt
Wer ein Hochrisiko-System betreibt oder einsetzt, muss folgende Anforderungen erfüllen.
Technische Dokumentation: Für jedes Hochrisiko-System muss eine vollständige Dokumentation vorliegen, die Zweck, Funktionsweise, Trainingsdaten, Leistungsgrenzen und Risiken beschreibt.
Risikomanagementsystem: Ein kontinuierliches Risikomanagementsystem muss etabliert sein, nicht als einmalige Prüfung, sondern als laufender Prozess.
Datenverwaltung: Trainings- und Betriebsdaten müssen auf Qualität, Repräsentativität und mögliche Verzerrungen geprüft sein.
Protokollierung: KI-Systeme müssen Logs erzeugen, die eine nachträgliche Überprüfung ermöglichen.
Menschliche Aufsicht: Es muss sichergestellt sein, dass Menschen die Möglichkeit haben, Entscheidungen des Systems zu überwachen, zu korrigieren oder zu stoppen.
Konformitätsbewertung: Vor Inbetriebnahme ist eine Konformitätsbewertung durchzuführen und zu dokumentieren.
EU-Datenbank: Hochrisiko-Systeme müssen in der offiziellen EU-Datenbank für KI-Systeme registriert werden.
Die Checkliste für IT-Leiter
Das klingt nicht nur nach viel Arbeit, das ist es auch. Aber es lässt sich strukturieren. Nachfolgend mal mein pragmatischer Einstieg:
Bestandsaufnahme (sofort)
Erstellen Sie ein Inventar aller KI-Systeme, die in Ihrem Unternehmen eingesetzt werden. Das schließt eingekaufte Lösungen, eingebettete KI in bestehender Software und selbst entwickelte Systeme ein. Viele IT-Leiter unterschätzen dabei die tatsächliche Anzahl, in vielen Produkten und Systemen ist bereits KI drin. Fehlt das Personal oder die Zeit, sprechen Sie mich an.
Fragen Sie explizit bei HR, Einkauf, Vertrieb und Produktion nach. KI-gestützte Funktionen werden häufig als “Automatisierung” eingekauft, ohne dass die IT einbezogen wurde und das System dahingehend bewertet wurde.
Klassifizierung (binnen vier Wochen)
Ordnen Sie jedes System einer Risikostufe zu. Nutzen Sie dafür die offiziellen Kategorien der Verordnung. Im Zweifel gilt: Wenn Sie sich nicht sicher sind, behandeln Sie es wie ein Hochrisiko-System.
Transparenz-Compliance (bis August 2026)
Stellen Sie sicher, dass alle eingesetzten Chatbots und KI-generierten Inhalte für Nutzer erkennbar als KI gekennzeichnet sind. Das ist die nächste harte Frist und für manche Systeme eine nicht zu unterschätzende Aufgabe, zumal jetzt nichtmal mehr 3 Monate Zeit bleiben.
Priorisierung Hochrisiko-Systeme (Vorbereitung bis Ende 2026 starten, Frist: Dezember 2027)
Konzentrieren Sie sich auf die Hochrisiko-Systeme. Für diese benötigen Sie technische Dokumentation, Risikoanalyse und Konformitätsbewertung. Setzen Sie interne Verantwortlichkeiten fest, idealerweise gemeinsam mit Legal und Datenschutz. Der Dezember 2027 klingt weit, aber Konformitätsbewertungen dauern, gerade wenn vielleicht auch das Personal fehlt.
Lieferantenbewertung (laufend)
Prüfen Sie für jeden KI-Anbieter, ob dieser die Anforderungen des EU AI Act erfüllt und entsprechende Dokumentation bereitstellt. Das ist Teil Ihrer eigenen Sorgfaltspflicht als Betreiber. Das betrifft auch Anbieter die nicht primär KI anbieten aber KI in ihren Systemen verwenden.
Was viele IT-Leiter (noch) falsch einschätzen
Der EU AI Act regelt nicht nur, was Sie selbst entwickeln. Er regelt, was Sie einsetzen. Wer ein Hochrisiko-KI-System eines Drittanbieters betreibt, trägt als Betreiber eigene Pflichten, unabhängig davon, was der Anbieter bereits geregelt hat.
Das betrifft konkret auch Standard-Software mit eingebetteter KI. Wenn ein HR-System Bewerbungen automatisch priorisiert, ist das in vielen Fällen ein Hochrisiko-System. Ob das im Lizenzvertrag so bezeichnet wird oder nicht, spielt für die Regulierung keine Rolle.
Meine Einschätzung hier ist, dass die größte Compliance-Lücke nicht bei selbst entwickelter KI entsteht, sondern bei eingekauften Systemen, die KI-Funktionen als Feature mitbringen, ohne dass jemand das bisher als regulierungsrelevant betrachtet hat.
Der verschobene Friststart für Hochrisiko-Systeme gibt Unternehmen jetzt mehr Zeit für die Umsetzung. Er verändert aber nichts an der grundsätzlichen Pflicht zur Vorbereitung. Wer jetzt nicht beginnt, kauft sich mit dem Aufschub keine Entlastung, sondern nur einen späteren Engpass.
Fazit
Der EU AI Act ist kein Papiertiger. Er hat verbindliche Fristen, klare Anforderungen und empfindliche Sanktionen. Der Aufschub bei Hochrisiko-Systemen ist keine Entwarnung. Er ist eine letzte Chance, strukturiert anzufangen statt später zu improvisieren und ganz ehrlich, der beste Zeitpunkt zum handeln war gestern.
Der erste Schritt ist auch nicht gleich der komplizierteste. Wissen Sie, welche KI-Systeme in Ihrem Unternehmen laufen? Falls nicht, beginnen Sie dort. Alles weitere baut darauf auf.
Wenn Sie Unterstützung bei der Bestandsaufnahme oder der Bewertung Ihrer Systeme benötigen, spreche ich gerne mit Ihnen. Schreiben Sie mir über LinkedIn oder direkt per E-Mail.