KI-Verordnung (AI Act) 2026: Praxisleitfaden für Unternehmen
Am 2. August 2026 treten die Hauptpflichten der Europäischen KI-Verordnung (AI Act) in Kraft — die weltweit erste umfassende KI-Gesetzgebung. Für Unternehmen, die bereits KI-Systeme nutzen oder deren Einsatz planen, wird die Einhaltung der Vorschriften von einer Empfehlung zu einer rechtlichen Verpflichtung mit Sanktionen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Die Mehrheit der KMU und mittelständischen Unternehmen hat noch keinen klaren Überblick darüber, welche Pflichten sie betreffen, welche Fristen einzuhalten sind und wie sie sich vorbereiten sollen. Dieser Leitfaden übersetzt die Verordnung in eine praxisnahe Sprache und bietet einen konkreten Maßnahmenplan.
Was Ist der AI Act und Warum Betrifft Er Ihr Unternehmen?
Die Europäische KI-Verordnung (Verordnung EU 2024/1689), bekannt als AI Act, ist der Rechtsrahmen, der die Entwicklung, Vermarktung und Nutzung von KI-Systemen in der Europäischen Union regelt. Sie wurde im Juni 2024 verabschiedet und wird zwischen 2025 und 2027 schrittweise angewendet.
Wen betrifft sie:
- KI-Anbieter: Unternehmen, die KI-Systeme entwickeln oder vermarkten.
- KI-Betreiber: Unternehmen, die KI-Systeme in ihrem Betrieb nutzen (die meisten KMU, die ChatGPT, KI-Agenten usw. verwenden).
- Importeure und Händler: Unternehmen, die in der EU KI-Systeme vermarkten, die außerhalb Europas entwickelt wurden.
Wenn Ihr Unternehmen ChatGPT, einen Kundenservice-Chatbot, ein Kandidaten-Scoring-System oder ein anderes KI-basiertes Tool nutzt, betrifft Sie der AI Act als Betreiber. Er gilt nicht nur für Technologieunternehmen.
Die 4 Risikostufen des AI Act
Der AI Act klassifiziert KI-Systeme in vier Risikostufen mit zunehmenden Pflichten:
Inakzeptables Risiko (Verboten)
Seit Februar 2025 verbotene Systeme:
- Social Scoring durch Regierungen oder Unternehmen.
- Unterschwellige Manipulation, die Schaden verursacht.
- Ausnutzung von Schwachstellen (Alter, Behinderung).
- Biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit Ausnahmen für die Sicherheit).
- Biometrische Kategorisierung auf Basis sensibler Daten (Rasse, politische Überzeugung).
Hohes Risiko
Systeme mit erheblichen Pflichten ab August 2026:
| Bereich | Beispiele |
|---|---|
| Personalauswahl | KI-gestütztes Lebenslauf-Screening, Kandidaten-Scoring |
| Kreditscoring | Automatisierte Bonitätsbewertung |
| Bildung | Automatisierte Bewertungssysteme, Zulassungen |
| Kritische Infrastruktur | Netz-, Verkehrs-, Energiemanagement |
| Zugang zu öffentlichen Diensten | Priorisierung von Leistungen |
| Strafverfolgung | Risikobewertung, Verbrechenserkennung |
Pflichten für Hochrisiko-Systeme:
- Dokumentiertes Risikomanagementsystem.
- Datenverwaltung (Qualität, Repräsentativität, Minimierung von Verzerrungen).
- Vollständige technische Dokumentation.
- Aktivitätsprotokollierung (Logging).
- Transparenz und Informationsbereitstellung für Nutzer.
- Effektive menschliche Aufsicht.
- Genauigkeit, Robustheit und Cybersicherheit.
- Überwachung nach der Markteinführung.
Begrenztes Risiko
Systeme mit Transparenzpflichten:
- Chatbots und virtuelle Assistenten: Der Nutzer muss wissen, dass er mit einer KI interagiert.
- Deepfakes und KI-generierte Inhalte: Müssen als künstlich erzeugt gekennzeichnet werden.
- Emotionserkennungssysteme: Müssen den Nutzer informieren.
Die meisten geschäftlichen Anwendungen generativer KI (ChatGPT, Claude, Chatbots) fallen in diese Kategorie. Die Hauptpflicht ist Transparenz: den Nutzer darüber informieren, dass er mit einem KI-System interagiert.
Minimales Risiko
Die große Mehrheit der KI-Systeme:
- Spam-Filter.
- Inhaltsempfehlungssysteme.
- Produktivitätstools mit KI.
- Interne Content-Erstellung.
Keine spezifischen Pflichten, obwohl bewährte Praktiken und freiwillige Verhaltenskodizes empfohlen werden.
Welche Pflichten Hat Ihr Unternehmen? Praktische Checkliste
Die meisten KMU, die generative KI nutzen, fallen in die Kategorien begrenztes oder minimales Risiko. Diese Checkliste hilft Ihnen, Ihre Pflichten zu ermitteln:
Bei Nutzung von Chatbots oder KI-Assistenten für Kunden (Begrenztes Risiko)
- Den Nutzer informieren, dass er mit einem KI-System interagiert.
- KI-generierte Inhalte kennzeichnen, die als öffentliche Information veröffentlicht werden.
- Die Nutzung intern dokumentieren (welches System, wofür, wer beaufsichtigt).
Bei Nutzung von KI für die Personalauswahl (Hohes Risiko)
- Eine Folgenabschätzung zu Grundrechten durchführen.
- Das Risikomanagementsystem dokumentieren.
- Menschliche Aufsicht bei allen automatisierten Entscheidungen sicherstellen.
- Verzerrungen des Systems regelmäßig prüfen.
- Aktivitätsprotokolle mindestens 6 Monate aufbewahren.
- Den Kandidaten informieren, dass KI im Prozess eingesetzt wird.
Bei interner Nutzung generativer KI (Minimales Risiko)
- Eine interne KI-Nutzungsrichtlinie festlegen.
- Das Team schulen im verantwortungsvollen Umgang.
- Keine vertraulichen Daten teilen mit Tools ohne Garantien gegen Nachtraining.
- Generierten Content prüfen vor der Veröffentlichung oder dem Versand an Kunden.
Für eine detaillierte Analyse der DSGVO-Compliance für KI-Agenten lesen Sie unseren Leitfaden zu Sicherheit und DSGVO für KI-Agenten.
Anwendungskalender des AI Act
| Datum | Was tritt in Kraft |
|---|---|
| Februar 2025 | Verbote (inakzeptables Risiko) |
| August 2025 | Pflichten für KI mit allgemeinem Verwendungszweck (GPAI) |
| August 2026 | Hauptpflichten: hohes Risiko, Transparenz, Governance |
| August 2027 | Pflichten für Hochrisiko-Systeme in regulierten Produkten |
August 2026 ist der kritische Termin für die meisten Unternehmen. Die Transparenzpflichten (Chatbots, generierte Inhalte) und die Hochrisikopflichten (Personalauswahl, Scoring) treten in Kraft.
Sanktionen: Was Nicht-Compliance Kosten Kann
Der AI Act sieht verhältnismäßige, aber strenge Sanktionen vor:
| Verstoß | Höchststrafe |
|---|---|
| Einsatz eines verbotenen Systems | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Verletzung von Hochrisikopflichten | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |
| Bereitstellung falscher Informationen | 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |
Für KMU werden die Sanktionen verhältnismäßig angepasst: der niedrigere der beiden Beträge (Festbetrag oder Umsatzprozentsatz). Aber selbst eine Sanktion von 1 % kann erheblich sein.
AESIA: Die Spanische KI-Aufsichtsbehörde
Spanien hat die Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) mit Sitz in A Coruña als nationale Aufsichtsbehörde für den AI Act eingerichtet. AESIA hat bereits 16 praktische Compliance-Leitfäden für Unternehmen veröffentlicht.
Für Unternehmen, die in Spanien tätig sind, ist AESIA die zuständige Anlaufstelle für Aufsicht, Sandbox-Anfragen und Beratung.
AESIA-Ressourcen für Unternehmen:
- Risikobeurteilungsleitfäden.
- Vorlagen für technische Dokumentation.
- Regulatorische Sandbox zum Testen von KI-Systemen in kontrollierter Umgebung.
- Beratungskanal für Unternehmen.
Zugang zu den Ressourcen unter aesia.digital.gob.es.
Maßnahmenplan: Wie Sie Ihr Unternehmen auf August 2026 Vorbereiten
Phase 1: Bestandsaufnahme (Juni 2026)
- KI-Systembestandsaufnahme: Erfassen Sie alle KI-Systeme, die Ihr Unternehmen nutzt (ChatGPT, Chatbots, Scoring, Automatisierungen).
- Risikoklassifizierung: Bestimmen Sie, in welche Kategorie jedes System fällt, anhand der AI Act-Tabelle.
- Gap-Analyse: Vergleichen Sie Ihre aktuelle Situation mit den Pflichten Ihrer Kategorie.
Phase 2: Umsetzung (Juni–Juli 2026)
- Transparenz: Fügen Sie KI-Hinweise in alle Chatbots und Kundenservice-Systeme ein.
- Interne Richtlinie: Erstellen Sie eine KI-Nutzungsrichtlinie für Ihre Organisation.
- Schulung: Schulen Sie die relevanten Teams (Personal, Kundenservice, Marketing).
- Dokumentation: Für Hochrisiko-Systeme bereiten Sie die technische Dokumentation und das Risikomanagementsystem vor.
Phase 3: Monitoring (Ab August 2026)
- Regelmäßige Überprüfung: Überprüfen Sie die Compliance vierteljährlich.
- Aktualisierung: Halten Sie die Dokumentation bei jeder Systemänderung aktuell.
- Kontinuierliche Schulung: Der AI Act und die AESIA-Leitfäden werden sich weiterentwickeln — halten Sie das Team informiert.
Verhältnis zwischen AI Act und DSGVO
Der AI Act ersetzt nicht die DSGVO: Beide Regelwerke bestehen nebeneinander und ergänzen sich. Wenn Ihr KI-System personenbezogene Daten verarbeitet (was praktisch alle tun), müssen Sie beide Regelungen einhalten:
| Aspekt | DSGVO | AI Act |
|---|---|---|
| Fokus | Schutz personenbezogener Daten | Sicherheit und Rechte bei KI |
| Gilt für | Jede Datenverarbeitung | Spezifische KI-Systeme |
| Datenschutz-Folgenabschätzung | Pflicht bei hohem Datenrisiko | Folgenabschätzung bei Grundrechten |
| Transparenz | Information über Datenverarbeitung | Information über KI-Einsatz |
| Aufsicht | Datenschutzbeauftragter (DSB) | Menschliche Aufsicht bei KI-Entscheidungen |
Die gute Nachricht: Wenn Sie bereits die DSGVO einhalten, haben Sie eine solide Grundlage für den AI Act. Datenverwaltungsprozesse, Dokumentation und Folgenabschätzungen sind wiederverwendbar.
Fazit: Compliance Ist ein Vorteil, Kein Kostenfaktor
Unternehmen, die sich proaktiv auf den AI Act vorbereiten, haben einen doppelten Vorteil: Sie vermeiden Sanktionen und gewinnen das Vertrauen von Kunden und Partnern, die verantwortungsvolle KI schätzen. In einem Markt, in dem 49 % der Unternehmen die Regulierung als größte Hürde für die KI-Einführung sehen, ist nachgewiesene Compliance ein kommerzieller Differenzierungsfaktor.
Die drei unmittelbaren Schritte:
- Erstellen Sie diese Woche ein Inventar Ihrer KI-Systeme. Sie können nur einhalten, was Sie identifiziert haben.
- Klassifizieren Sie jedes System nach Risikostufe. Die meisten Unternehmensanwendungen werden begrenztes oder minimales Risiko aufweisen.
- Fügen Sie Transparenzhinweise in alle Chatbots und kundenorientierten Systeme vor August 2026 ein.
Benötigen Sie Unterstützung bei der Vorbereitung Ihres Unternehmens auf den AI Act? Bei Technova Partners beraten wir KMU bei der KI-Compliance und entwickeln KI-Implementierungsstrategien, die der EU-Verordnung entsprechen. Fordern Sie eine Beratung an.
