Was der EU AI Act 2026 neu regelt: von Risikoklassen bis Datenschutz

Warum 2026 ein Wendepunkt ist

Mit dem EU AI Act hat die Europäische Union das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz geschaffen. Seit August 2024 ist die Verordnung in Kraft - und seitdem läuft eine gestaffelte Uhr, die für Unternehmen zunehmend konkrete Handlungspflichten erzeugt. Betroffen sind dabei nicht nur Technologieunternehmen oder KI-Anbieter: Jedes Unternehmen, das KI-Systeme in der EU einsetzt, entwickelt, vertreibt oder importiert, fällt in den Geltungsbereich der Verordnung, unabhängig davon, wo das System entwickelt wurde.

Dass das Thema in vielen Unternehmen noch nicht die notwendige Aufmerksamkeit erhalten hat, belegt eine aktuelle Erhebung des Bitkom: Demnach geben laut Bitkom-Studienbericht "Künstliche Intelligenz in Deutschland" 69 Prozent der deutschen Unternehmen an, Unterstützung bei der Umsetzung des EU AI Act zu benötigen, während sich bisher nur 24 Prozent ernsthaft damit auseinandergesetzt haben. Dabei gelten zentrale Pflichten bereits seit Februar 2025, und die Bußgelder bei Verstößen sind erheblich: Bei verbotenen KI-Praktiken drohen Sanktionen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Dieser Artikel gibt Ihnen einen strukturierten Überblick über die Risikoklassen, die bereits geltenden Pflichten, die Zeitlinie bis 2027 sowie konkrete Handlungsschritte für Ihr Unternehmen. 

Was ist der EU AI Act? Grundlagen und Ziele

Der EU AI Act (Verordnung (EU) 2024/1689) verfolgt einen risikobasierten Regulierungsansatz: Nicht jedes KI-System wird gleich behandelt, sondern nach seinem Schadenspotenzial eingestuft. Je höher das Risiko, das ein System für Grundrechte, Sicherheit oder gesellschaftliche Prozesse darstellt, desto strenger sind die Anforderungen. Systeme mit minimalem Risiko unterliegen hingegen keinen neuen Pflichten.

Die Europäische Kommission beschreibt den AI Act auf ihrer offiziellen Informationsseite als ersten umfassenden Rechtsrahmen für KI weltweit, der darauf abzielt, Risiken zu adressieren und Europa eine führende Rolle in der vertrauenswürdigen KI-Entwicklung zu sichern.

Betroffene Akteur:innen sind Anbieter, Entwicklerinnen, Betreiber, Importeurinnen und Händler. Entscheidend ist dabei die Unterscheidung zwischen Anbietern - also jenen, die ein KI-System entwickeln oder in Verkehr bringen - und Betreibern, die ein bestehendes System in ihrem Unternehmen einsetzen. Beide Rollen bringen unterschiedliche Pflichten mit sich, die im Verlauf dieses Artikels noch detailliert beschrieben werden.

Wichtig für die Praxis: Der EU AI Act und die DSGVO gelten parallel. Die DSGVO schützt personenbezogene Daten, der EU AI Act reguliert KI-Systeme unabhängig von der Datenart. Überall dort, wo KI personenbezogene Daten verarbeitet - etwa in HR-Systemen, im Kundenservice oder im Marketing - greifen beide Regelwerke gleichzeitig. Mehr zu Künstlicher Intelligenz und ihrer Definition finden Sie in unserem Glossar. 

Die vier Risikoklassen im Überblick

Das Herzstück des EU AI Act ist die Risikoklassifizierung. Sie bestimmt, welche Anforderungen ein KI-System erfüllen muss, und ob sein Einsatz in der EU überhaupt zulässig ist. Die Plattform artificialintelligenceact.eu stellt den vollständigen Gesetzestext in mehreren Sprachen zur Verfügung und bietet eine strukturierte Übersicht der Klassifizierungsregeln nach Artikel 6.

Unannehmbares Risiko - verboten

KI-Systeme, die als grundsätzlich unvereinbar mit europäischen Grundrechten eingestuft werden, sind seit Februar 2025 verboten. Dazu zählen Social-Scoring-Systeme durch staatliche Stellen, biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (mit engen Ausnahmen), Emotionserkennung am Arbeitsplatz sowie manipulative KI-Systeme, die das Verhalten von Personen ohne deren Wissen beeinflussen.

Besonders relevant für Unternehmen: KI-Anwendungen im HR-Bereich und im Marketing sollten sorgfältig geprüft werden, da hier die Grenzen zu verbotenen Praktiken fließend sein können.

Hohes Risiko - strenge Anforderungen

Hochrisiko-KI-Systeme sind grundsätzlich zulässig, unterliegen aber einem umfangreichen Pflichtenkatalog. Betroffen sind Systeme in den Bereichen Biometrie, kritische Infrastruktur, Gesundheitswesen, Bildung, Personalwesen, Kreditvergabe, Strafverfolgung, Migration und Justiz. Für diese Systeme gelten Anforderungen an Konformitätsbewertung, technische Dokumentation, Risikomanagementsystem, Daten-Governance und menschliche Aufsicht.

Begrenztes Risiko - Transparenzpflichten

Systeme wie Chatbots, KI-generierte Texte oder Deepfakes müssen als solche gekennzeichnet werden. Nutzer:innen haben das Recht zu wissen, wenn sie mit einem KI-System interagieren. Diese Transparenzpflichten gelten bereits seit Februar 2025.

Minimales Risiko - keine neuen Pflichten

KI-Systeme mit minimalem Risiko - etwa Spamfilter, Empfehlungssysteme oder KI-gestützte Produktionsoptimierung - unterliegen keinen neuen gesetzlichen Anforderungen. Freiwillige Verhaltenskodizes werden jedoch empfohlen.

Tabelle: Risikoklassen des EU AI Act im Überblick

Hinweis: Die Klassifizierung ist nicht immer eindeutig. Unternehmen müssen die Einstufung ihrer Systeme aktiv prüfen und dokumentieren - auch eine Einschätzung als "kein Hochrisiko" muss nach Art. 6 Abs. 3 begründet und festgehalten werden.

Mehr zu häufigen Risiken des KI-Einsatzes und wie Sie diese vermeiden können Sie in unserem Guide „How-To: Wie Unternehmen KI sicher einsetzen können“ nachlesen.

Was bereits gilt: die unterschätzte Seite des EU AI Act

Viele Unternehmen warten noch auf den entscheidenden Stichtag. Diese Haltung ist risikobehaftet, denn: Zentrale Pflichten sind bereits seit Februar 2025 in Kraft und werden von Aufsichtsbehörden aktiv beobachtet.

KI-Kompetenzpflicht (Art. 4): gilt seit 02.02.2025

Die KI-Kompetenzpflicht ist die am häufigsten unterschätzte Anforderung des EU AI Act. Sie gilt für alle Unternehmen ohne Ausnahme und ohne Übergangsfrist. Konkret bedeutet das: Mitarbeitende, die mit KI-Systemen arbeiten, müssen die Fähigkeiten und Grenzen dieser Systeme verstehen. Das Kompetenzniveau muss dem jeweiligen Risiko angemessen sein, Schulungen müssen dokumentiert werden. Unternehmen, die KI-Tools bereits produktiv einsetzen - sei es für Texterstellung, Datenanalyse oder Prozessautomatisierung - sind damit bereits heute in der Pflicht.

Verbotene KI-Praktiken (Art. 5): gilt seit 02.02.2025

Die Verbote nach Art. 5 sind unmittelbar anwendbar. Neben den bereits genannten Kategorien betrifft das insbesondere KI-Systeme, die Schwachstellen bestimmter Personengruppen ausnutzen oder unterschwellige Beeinflussung einsetzen. Für Unternehmen mit KI-gestütztem Marketing oder automatisierten HR-Prozessen besteht hier konkreter Prüfungsbedarf.

Transparenzpflichten (Art. 50) und GPAI-Pflichten (seit August 2025)

Seit August 2025 gelten zudem Governance-Anforderungen für Anbieter sogenannter General Purpose AI (GPAI) - also großer Sprachmodelle und ähnlicher Basismodelle. Unternehmen, die solche Modelle entwickeln oder anpassen, sind direkt betroffen. Für Betreiber, die GPAI-Modelle einsetzen, ergeben sich daraus indirekte Anforderungen an die Systemdokumentation und Nutzungsbedingungen.

Die Zeitlinie: Wo stehen wir gerade?

Tabelle: Meilensteine des EU AI Act im Zeitverlauf

Quelle: Europäische Kommission / EU AI Act Verordnung (EU) 2024/1689

Eine wichtige Klarstellung zur Verschiebung durch den Digital Omnibus: Die vollständigen Hochrisiko-Pflichten nach Anhang III wurden von August 2026 auf Dezember 2027 verschoben. Das bedeutet jedoch keine generelle Entwarnung. Die Governance-Strukturen - also Risikomanagementsystem, Verantwortlichkeiten, Dokumentationsrahmen - müssen für Hochrisiko-KI-Systeme nach Anhang III bereits bis August 2026 stehen. Wer diese Grundlagen jetzt nicht legt, wird den Dezember 2027 nicht ohne Compliance-Risiken erreichen.

Hochrisiko-KI: konkrete Pflichten für Anbieter und Betreiber

Wer Hochrisiko-KI-Systeme einsetzt oder entwickelt, trägt die größte Compliance-Last. Dabei ist die Unterscheidung zwischen Anbietern und Betreibern entscheidend: Anbieter tragen die Hauptverantwortung für Konformität und Dokumentation, Betreiber haben eigene Pflichten bei der Implementierung und dem laufenden Betrieb.

• Konformitätsbewertung (Art. 43): Für die meisten Hochrisiko-Systeme nach Anhang III ist eine interne Konformitätsbewertung ausreichend. Eine externe Prüfstelle ist nur bei biometrischer Fernidentifizierung verpflichtend.
• Technische Dokumentation (Art. 11): Die Dokumentation muss vor dem Inverkehrbringen erstellt und zehn Jahre lang aufbewahrt werden. Sie umfasst Systemarchitektur, Trainingsdaten, Leistungsmetriken und das Risikomanagementsystem.
• Risikomanagementsystem (Art. 9): Das Risikomanagementsystem ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess über den gesamten Lebenszyklus des Systems. Es umfasst die Identifikation, Bewertung und Minderung von Risiken sowie die Dokumentation verbleibender Restrisiken.
• Daten-Governance (Art. 10): Trainingsdaten müssen qualitativ hochwertig, repräsentativ und frei von systematischen Verzerrungen (Bias) sein. Dieser Punkt berührt direkt die Datenstrategie und das Datenmanagement im Unternehmen.
• Human Oversight (Art. 14): Menschliche Aufsicht ist keine optionale Ergänzung, sondern eine gesetzliche Anforderung. Verantwortliche Personen müssen KI-Entscheidungen überwachen, korrigieren und das System im Bedarfsfall stoppen können. Dafür braucht es konkrete Rollen, definierte Eskalationspfade und dokumentierte Zuständigkeiten.
• Post-Market-Monitoring (Art. 72): Nach der Inbetriebnahme endet die Compliance-Arbeit nicht. Schwerwiegende Vorfälle müssen innerhalb von 15 Tagen an die zuständige Behörde gemeldet werden. Ein funktionierendes Monitoring-System ist daher keine Kür, sondern Pflicht.
• Registrierung in der EU-Datenbank (Art. 49): Hochrisiko-KI-Systeme müssen in der öffentlichen EU-Datenbank eingetragen werden.

EU AI Act und Datenschutz: wo sich DSGVO und KI-Verordnung überschneiden

Überall dort, wo KI-Systeme personenbezogene Daten verarbeiten, gelten DSGVO und EU AI Act parallel. Das betrifft einen Großteil der in Unternehmen eingesetzten KI-Anwendungen: von der automatisierten Bewerbervorauswahl über KI-gestützte Kundenanalysen bis hin zu Chatbots im Kundenservice.

Wer DSGVO-Compliance bereits ernst nimmt, hat dabei einen strukturellen Vorteil: Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO kann Teile der AI-Act-Compliance abdecken, insbesondere bei der Risikoanalyse und der Dokumentation von Datenverarbeitungsprozessen. Dennoch sind die Anforderungen nicht deckungsgleich.

Konkrete Überschneidungspunkte, die in der Praxis besondere Aufmerksamkeit erfordern:

• Datenqualität und Bias-Prüfung: Der EU AI Act fordert repräsentative, verzerrungsfreie Trainingsdaten. Die DSGVO fordert Datenminimierung und Zweckbindung. Beide Anforderungen müssen bei der Datenstrategie gleichzeitig berücksichtigt werden.
• Transparenz- und Informationspflichten: Betroffene Personen haben nach DSGVO das Recht auf Information über automatisierte Entscheidungen. Art. 86 EU AI Act ergänzt dies um ein Recht auf Erklärung bei KI-gestützten Entscheidungen mit erheblichen Auswirkungen.
• Datensparsamkeit und Zweckbindung: Diese DSGVO-Grundsätze wirken sich direkt auf die zulässige Nutzung von Trainingsdaten aus.

Eine Doppelbelastung entsteht vor allem dort, wo Compliance-Teams DSGVO und EU AI Act getrennt voneinander bearbeiten. Sinnvoller ist ein integrierter Ansatz, der beide Regelwerke in einem gemeinsamen Governance-Framework zusammenführt. Einen ausführlichen Leitfaden zum DSGVO-konformen KI-Einsatz finden Sie in unserem Blogartikel KI und Datenschutz 2025.

Whitepaper: KI im Unternehmen einführen

Wie gelingt der strukturierte Einstieg in KI-Strategie und Compliance? Unser Whitepaper zeigt, wie Sie KI verantwortungsvoll einführen, Governance-Strukturen aufbauen und regulatorische Anforderungen von Anfang an mitdenken.

Whitepaper kostenlos herunterladen

Das deutsche Durchführungsgesetz: was das KI-MIG bedeutet

Mit dem KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) hat das Bundeskabinett am 11. Februar 2026 den deutschen Rechtsrahmen zur Umsetzung des EU AI Act beschlossen. Wie die Bundesregierung auf ihrer offiziellen Seite erläutert, schafft das Gesetz einen innovationsfreundlichen und verlässlichen Rechtsrahmen für Künstliche Intelligenz in Deutschland.

Die wichtigsten Punkte für Unternehmen:

• Bundesnetzagentur als federführende Aufsichtsbehörde: Die Bundesnetzagentur übernimmt die zentrale Koordinierungsrolle bei der Marktüberwachung. Damit gibt es erstmals eine konkrete deutsche Behörde, die Verstöße gegen den EU AI Act ahndet.
• Datenschutzbehörden mit Prüfungsschwerpunkten: Die Datenschutzaufsichtsbehörden der Länder setzen eigene Prüfungsschwerpunkte - mit besonderem Fokus auf KI im HR-Bereich und im Marketing. Unternehmen, die in diesen Bereichen KI einsetzen, sollten ihre Systeme zeitnah einer Compliance-Prüfung unterziehen.
• Bußgeldrahmen am EU-Maximum: Der Bußgeldrahmen orientiert sich am europäischen Maximum. Die Umsetzung ist damit kein theoretisches Szenario mehr, sondern eine Frage des unternehmerischen Risikomanagements.
• Regulatorische Sandboxes: Das KI-MIG sieht regulatorische Sandboxes vor, in denen Unternehmen neue KI-Anwendungen unter erleichterten Bedingungen testen können. Das ist besonders für Organisationen interessant, die innovative KI-Systeme entwickeln und dabei frühzeitig Rechtssicherheit gewinnen möchten.

Umsetzungsfahrplan: fünf Schritte für Unternehmen

All die theoretischen Rahmenbedingungen und rechtlichen Richtlinien mögen komplex erscheinen und den Blick für das Wesentliche erschweren. Daher geben wir Ihnen einen Umsetzungsfahrplan an die Hand, mit dem Sie den wichtigen Step von der Theorie in die Praxis angehen können.

Ein strukturiertes Vorgehen zur Etablierung von KI-Richtlinien für Ihr Unternehmen schützt Sie vor Last-Minute-Panik und vermeidet kostspielige Compliance-Lücken. Die folgenden fünf Schritte bilden einen praxisorientierten Rahmen, der unabhängig von der Unternehmensgröße anwendbar ist.

Schritt 1: KI-Inventar erstellen

Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt, entwickelt oder vertrieben werden. Dazu zählen nicht nur selbst entwickelte Systeme, sondern auch eingekaufte Softwarelösungen mit KI-Funktionen - etwa HR-Tools mit automatisierter Bewerbervorauswahl, CRM-Systeme mit Scoring-Funktionen oder Chatbots im Kundenservice. Viele Unternehmen unterschätzen die Anzahl der KI-Systeme in ihrer eigenen IT-Landschaft erheblich.

Schritt 2: Risikoklassifizierung durchführen

Prüfen Sie jedes identifizierte System gegen die vier Risikoklassen des EU AI Act. Wichtig: Auch eine Einschätzung als "kein Hochrisiko" muss nach Art. 6 Abs. 3 dokumentiert und begründet werden. Die Klassifizierung ist nicht immer eindeutig - bei Grenzfällen empfiehlt sich eine rechtliche Einschätzung.

Schritt 3: Fit-Gap-Analyse

Gleichen Sie Ihre bestehenden Prozesse und Dokumentationen gegen die Anforderungen des EU AI Act ab. Identifizieren Sie dabei Synergien mit bereits vorhandenen Frameworks: ISO 27001 (Informationssicherheit), ISO 42001 (KI-Managementsystem) und DSGVO-Compliance können erhebliche Teile der AI-Act-Anforderungen bereits abdecken.

Schritt 4: Governance-Framework aufbauen

Klären Sie Verantwortlichkeiten, definieren Sie Rollen und legen Sie Eskalationspfade fest. Ein KI-Governance-Framework ist die organisatorische Grundlage für alle weiteren Compliance-Maßnahmen. Es regelt, wer welche KI-Systeme verantwortet, wie Risiken bewertet werden und wie mit Vorfällen umzugehen ist.

Schritt 5: Umsetzung und laufender Betrieb

Erstellen Sie die technische Dokumentation für Hochrisiko-Systeme, implementieren Sie das Risikomanagementsystem, setzen Sie die Monitoring-Infrastruktur auf und führen Sie die erforderlichen Schulungen durch - mit Dokumentation. KI-Compliance ist kein Einmalprojekt, sondern ein kontinuierlicher Prozess.

Hinweis für Betreiber: Das KI-MIG sieht für Betreiber (im Unterschied zu Anbietern) vereinfachte Dokumentationsanforderungen vor. Zudem gilt die erweiterte Small-Mid-Cap-Kategorie bis 750 Mitarbeitende, die bestimmte Erleichterungen ermöglicht.

Wie eine erfolgreiche KI-Implementierung strukturiert werden kann, zeigt übrigens unser Blogartikel KI-Implementierung erfolgreich meistern.

Fazit: Compliance als strategische Chance

Der EU AI Act schafft einen verbindlichen Rahmen für den verantwortungsvollen Einsatz Künstlicher Intelligenz in Europa. Für Unternehmen, die KI bereits produktiv nutzen oder den Einsatz planen, ist dieser Rahmen keine bürokratische Last, sondern im Gegenteil eine Strukturierungshilfe: Er zwingt dazu, KI-Systeme systematisch zu erfassen, Risiken zu bewerten und Verantwortlichkeiten zu klären - Aufgaben, die für eine nachhaltige KI-Strategie ohnehin notwendig sind und die letztlich zum Unternehmenserfolg beitragen.

Daher sind die neuen rechtlichen Rahmenbedingungen eine Chance: Unternehmen, die jetzt handeln, bauen intern KI-Kompetenz auf, schaffen Vertrauen bei Kund:innen und Partnern und vermeiden Last-Minute-Risiken vor den Stichtagen 2026 und 2027. Wenn Sie KI-Governance ernst nehmen und strukturiert angehen, legen Sie damit die Grundlage für skalierbare, zukunftsfähige KI-Anwendungen - unabhängig davon, wie sich die regulatorische Landschaft in den kommenden Jahren weiterentwickelt.

Der erste konkrete Schritt ist das KI-Inventar: Welche Systeme sind im Einsatz, wer verantwortet sie, und welcher Risikoklasse sind sie zuzuordnen? Diese Frage lässt sich in den meisten Unternehmen innerhalb weniger Wochen beantworten und bildet die Basis für alle weiteren Maßnahmen.

EU AI Act Compliance - wo steht Ihr Unternehmen?

Gemeinsam prüfen wir, welche KI-Systeme in Ihrem Unternehmen betroffen sind, welche Risikoklassen relevant sind und welche Schritte als nächstes anstehen. Strukturiert, praxisnah und ohne unnötige Komplexität.

Jetzt Erstberatung anfragen

FAQ: Häufige Fragen zum EU AI Act 2026

Was ändert sich durch den EU AI Act konkret ab 2026?

Bis August 2026 müssen Governance-Strukturen für Hochrisiko-KI-Systeme nach Anhang III stehen. Die vollständigen Hochrisiko-Pflichten wurden durch den Digital Omnibus auf Dezember 2027 verschoben. KI-Kompetenzpflicht, Verbote und Transparenzpflichten gelten jedoch bereits seit Februar 2025 - unabhängig von Unternehmensgröße oder Branche.

Welche Unternehmen sind vom EU AI Act betroffen?

Alle Unternehmen, die KI-Systeme in der EU einsetzen, entwickeln, vertreiben oder importieren - unabhängig von Unternehmensgröße, Branche oder Herkunftsland. Auch Unternehmen außerhalb der EU fallen in den Geltungsbereich, wenn ihre Systeme auf dem EU-Markt eingesetzt werden oder Auswirkungen auf Personen in der EU haben.

Was ist der Unterschied zwischen EU AI Act und DSGVO?

Die DSGVO schützt personenbezogene Daten und regelt deren Verarbeitung. Der EU AI Act reguliert KI-Systeme unabhängig von der Art der verarbeiteten Daten. Beide Regelwerke gelten parallel, wo KI personenbezogene Daten verarbeitet. Synergien zwischen DSFA und AI-Act-Compliance lassen sich gezielt nutzen, decken aber nicht alle Anforderungen ab.

Was droht bei Verstößen gegen den EU AI Act?

Bei verbotenen KI-Praktiken nach Art. 5 drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Bei Verstößen gegen Hochrisiko-Pflichten sind es bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes. In Deutschland ist die Bundesnetzagentur als federführende Aufsichtsbehörde für die Durchsetzung zuständig.