EU AI Act 2026: Was deutsche Unternehmen jetzt wissen müssen

| Von Katrin Hartmann-Seifert | 10 Min. Lesezeit

Ab August 2026 gilt der EU AI Act vollständig. Was bedeutet das für Ihr Unternehmen? Welche Pflichten gelten bereits jetzt? Und wie hilft ein KI-Berater bei der Compliance? Der vollständige Guide.

EU AI Act 2026: Was deutsche Unternehmen jetzt wissen müssen

Von Katrin Hartmann-Seifert | 3. März 2026

Am 2. August 2026 treten die zentralen Bestimmungen des EU AI Act vollständig in Kraft. Das Bundeskabinett hat am 11. Februar 2026 mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) die nationale Umsetzung beschlossen. Die Bundesnetzagentur wird zentrale Koordinierungsbehörde.

Was bedeutet das für Ihr Unternehmen?

Die kurze Antwort: Wenn Sie KI nutzen – egal in welcher Form –, sind Sie betroffen. Und mit 48,6% der deutschen Unternehmen, die sich laut einer Deloitte-Umfrage noch nicht intensiv auf die Umsetzung vorbereitet haben, ist Handeln jetzt dringend geboten.

Der gestaffelte Zeitplan: Was gilt wann?

Der EU AI Act ist kein "Big Bang" – er tritt stufenweise in Kraft:

    Seit 2. Februar 2025 (bereits gültig):
  • Verbot unzulässiger KI-Praktiken (Art. 5): Social Scoring, verdeckte Manipulation, biometrische Kategorisierung in verbotenen Kontexten
  • AI Literacy-Pflicht (Art. 4): Unternehmen müssen sicherstellen, dass Mitarbeiter ausreichende Kompetenz im Umgang mit KI-Systemen haben
    Seit 2. August 2025 (bereits gültig):
  • Regeln für General Purpose AI (GPAI): Betrifft alle, die GPT-4, Claude, Gemini oder ähnliche Basismodelle nutzen
  • Governance-Anforderungen und Sanktionsregeln
    Ab 2. August 2026 (kommende Hauptdeadline):
  • Vollständige Pflichten für Hochrisiko-KI-Systeme
  • Transparenzpflichten nach Art. 50
  • Marktüberwachung durch Bundesnetzagentur aktiv

Vier Risikostufen: Wo steht Ihr Unternehmen?

Der AI Act unterscheidet nach einem Risikostufenmodell:

Unannehmbares Risiko (verboten): Social Scoring, subliminale Manipulation, biometrische Massenüberwachung in öffentlichen Räumen, Emotionserkennung am Arbeitsplatz.

Hohes Risiko: KI in Recruiting/HR, Kreditvergabe, medizinischen Diagnosesystemen, Bildungszugangsentscheidungen. Volle Dokumentations- und Audit-Pflichten.

Begrenztes Risiko (Transparenzpflicht): Chatbots, KI-generierte Videos und Texte müssen klar als KI-Inhalte gekennzeichnet sein.

Minimales Risiko (kaum reguliert): Spam-Filter, KI in Videospielen, einfache Empfehlungssysteme.

Die meisten deutschen KMUs, die KI in Marketing, Kundenkommunikation oder internen Prozessen einsetzen, fallen in die Kategorien "begrenztes Risiko" oder "minimales Risiko" – mit überschaubaren Compliance-Anforderungen.

Die 7-Punkte-Compliance-Checkliste für 2026

1. KI-Inventar erstellen: Listen Sie alle im Unternehmen genutzten KI-Systeme auf – von ChatGPT über HeyGen bis zu KI-Funktionen in Ihrer CRM-Software.

2. Risikoklassifizierung: Ordnen Sie jedes System einer der vier Risikostufen zu. Für die Praxis: Nutzen Sie die Checkliste der Bundesnetzagentur oder beauftragen Sie einen KI-Compliance-Berater.

3. Verbotene Praktiken prüfen: Diese Frist ist bereits abgelaufen (2. Februar 2025). Falls Sie noch nicht geprüft haben – sofort handeln.

4. AI Literacy sicherstellen: Schulen Sie Ihre Mitarbeiter im Umgang mit KI-Tools. Dokumentieren Sie die Schulungen – das ist rechtliche Pflicht, nicht nur Empfehlung.

5. KI-Kennzeichnung einführen: Alle KI-generierten Texte, Videos und Bilder, die nach außen gehen, müssen entsprechend gekennzeichnet werden. Das gilt für Marketing-Content, Ads und PR.

6. Governance-Struktur aufbauen: Benennen Sie einen AI-Compliance-Verantwortlichen, definieren Sie Verantwortlichkeiten und dokumentieren Sie Ihre KI-Prozesse.

7. Lieferanten prüfen: Auch externe KI-Komponenten und SaaS-Tools mit KI-Funktionen müssen konform sein. Fordern Sie von Ihren Anbietern entsprechende Bestätigungen an.

Welche Bußgelder drohen bei Verstößen?

    Der Strafrahmen ist erheblich:
  • Verbotene Praktiken: bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes
  • Sonstige Pflichtverstöße: bis zu 15 Mio. € oder 3% des Umsatzes
  • Falsche Angaben: bis zu 7,5 Mio. € oder 1% des Umsatzes

Für KMUs gilt: Es wird jeweils der niedrigere Betrag angewendet. Die Verhältnismäßigkeit spielt eine große Rolle. Dennoch: Kein Unternehmen sollte das testen wollen.

Wie KI-Berater bei der EU AI Act Compliance helfen

Die gute Nachricht: Für die meisten deutschen KMUs ist die Compliance-Arbeit überschaubar. Ein erfahrener KI-Compliance-Berater kann innerhalb weniger Tage:

  • Ein vollständiges KI-Inventar erstellen
  • Die Risikoklassifizierung aller Systeme vornehmen
  • Eine praxistaugliche AI Policy entwickeln
  • Mitarbeiterschulungen konzipieren und durchführen
  • Eine Compliance-Dokumentation erstellen, die Audits standhält

    • Für die technische Implementierung von Compliance-Monitoring-Lösungen empfiehlt sich der Einsatz von Replit als Entwicklungsplattform – damit können Berater maßgeschneiderte Compliance-Dashboards und Audit-Tools in kurzer Zeit aufbauen.

    Auf ki-berater-finden.de finden Sie Berater mit Spezialisierung auf KI-Compliance und EU AI Act. Suchen Sie nach der Kategorie "KI-Strategie" und filtern Sie nach "Compliance" – oder nutzen Sie unser kostenloses Matching.

    Fazit: Jetzt handeln statt warten

    Die Hauptdeadline ist August 2026 – aber viele Pflichten gelten bereits. Unternehmen, die jetzt strukturiert vorgehen, haben drei Vorteile: Sie vermeiden Bußgelder, sie positionieren sich als vertrauenswürdige KI-Anwender gegenüber Kunden und Partnern, und sie schaffen die Grundlage für eine rechtskonforme KI-Skalierung in den nächsten Jahren.

    ---

    Katrin Hartmann-Seifert ist Redakteurin bei ki-berater-finden.de, dem führenden deutschen Verzeichnis für geprüfte KI-Berater und KI-Experten.