Der EU AI Act ist seit August 2024 offiziell in Kraft, doch die wirklich kritischen Fristen kommen erst jetzt. Im Sommer 2026 beginnen die ersten verbindlichen Anforderungen für sogenannte Hochrisiko-KI-Systeme zu greifen. Für IT-Verantwortliche, Softwareteams und Unternehmen, die KI einsetzen oder entwickeln, ist dies kein theoretisches Regulierungsthema mehr – es ist operative Realität.
Was der EU AI Act regelt
Der AI Act ist die weltweit erste umfassende gesetzliche Regulierung für künstliche Intelligenz. Er folgt einem risikobasierten Ansatz: Je größer das potenzielle Risiko eines KI-Systems, desto strenger die Anforderungen. Es gibt vier Stufen:
- Inakzeptables Risiko: Verboten – etwa Social Scoring durch staatliche Stellen oder Echtzeit-Biometrie an öffentlichen Orten.
- Hochrisiko: Strenge Auflagen – etwa KI in kritischer Infrastruktur, Personalentscheidungen, Kreditvergabe oder medizinischen Diagnosen.
- Begrenztes Risiko: Transparenzpflichten – Nutzer müssen wissen, dass sie mit einer KI interagieren (z. B. Chatbots).
- Minimales Risiko: Keine Pflichten – z. B. KI-Filter in Spam-Erkennung oder Spielen.
Die meisten IT-Systeme im Unternehmensalltag fallen in die Kategorie „begrenztes Risiko" oder „minimales Risiko". Aber das ändert sich, sobald KI direkt Entscheidungen über Menschen trifft.
Die Fristen im Überblick
Der AI Act läuft in Wellen ein. Die wichtigsten Meilensteine:
- Februar 2025: Verbote für KI mit inakzeptablem Risiko treten in Kraft.
- August 2025: Regeln für General Purpose AI (GPAI) und Governance-Strukturen werden wirksam.
- August 2026: Anforderungen für Hochrisiko-KI-Systeme nach Anhang III werden verbindlich. Das betrifft u. a. KI in der Personalverwaltung, Kreditbeurteilung und kritischer Infrastruktur.
- 2027: Erweiterung auf weitere Hochrisiko-Systeme nach Anhang II (Produktsicherheitsrecht).
Der August 2026 ist damit der erste echte Testpunkt für viele Unternehmen. Wer jetzt nicht vorbereitet ist, riskiert nicht nur Bußgelder, sondern auch operative Blockaden beim Einsatz bestimmter KI-Systeme.
Was „Hochrisiko" in der IT-Praxis bedeutet
Viele IT-Teams unterschätzen, was unter Hochrisiko fällt. Ein paar konkrete Beispiele, die in vielen Unternehmen bereits produktiv laufen:
- KI-gestützte Auswahl von Bewerbungen oder CV-Screening
- Automatische Bonitätsbewertung oder Kreditscoring
- KI in der Steuerung kritischer Infrastrukturen (Energie, Wasser, Verkehr)
- Biometrische Authentifizierung in sensiblen Bereichen
- KI-Systeme, die medizinische Entscheidungen unterstützen
Für Hochrisiko-Systeme schreibt der AI Act unter anderem vor: transparente Dokumentation, Risikomanagement, menschliche Kontrolle (Human Oversight), Datenqualitätssicherung, technische Robustheit und Cybersicherheitsmaßnahmen.
General Purpose AI: Die GPAI-Anforderungen
Ein besonders relevantes Kapitel des AI Act ist die Regulierung sogenannter General Purpose AI (GPAI) – also große Sprachmodelle wie GPT, Gemini, Claude oder ähnliche Systeme, die universell einsetzbar sind. Hier unterscheidet der Act zwischen Modellen mit und ohne systemischem Risiko:
Modelle mit systemischem Risiko – also solche, die auf Basis berechneter Trainingsaufwände als besonders mächtig gelten – unterliegen zusätzlichen Pflichten wie adversarialem Testing, Meldepflichten bei Zwischenfällen und erhöhter Transparenz gegenüber der Aufsichtsbehörde.
Für Unternehmen, die GPAI-Modelle nur nutzen (nicht selbst entwickeln), ist die Lage etwas entspannter. Dennoch gilt: Wer GPAI in Hochrisiko-Anwendungen integriert, trägt Mitverantwortung für die regulatorische Konformität des Gesamtsystems.
Was IT-Teams jetzt konkret tun sollten
Die häufigste Falle: Unternehmen warten auf detaillierte Leitlinien und handeln zu spät. Der AI Act ist keine Checkliste, sondern ein Rahmenwerk, das proaktives Handeln erfordert. Konkrete Maßnahmen:
1. KI-Inventar aufbauen
Dokumentiert alle KI-Systeme im Einsatz – intern entwickelt wie extern eingekauft. Das umfasst SaaS-Tools mit KI-Funktionen genauso wie selbst trainierte Modelle. Ohne dieses Inventar kann keine Risikoklassifizierung stattfinden.
2. Risikoklassifizierung durchführen
Für jedes System prüfen: Trifft es Entscheidungen über Menschen? In welchem Kontext? Welcher Anhang des AI Act greift? Diese Klassifizierung ist Grundlage für alle weiteren Schritte.
3. Governance-Strukturen etablieren
Wer ist intern für KI-Compliance verantwortlich? Der AI Act erwartet klare Zuständigkeiten. Viele Unternehmen schaffen eigene AI Governance-Rollen oder erweitern bestehende CISO- und Data-Officer-Funktionen.
4. Technische Maßnahmen umsetzen
Logging, Monitoring und Human-Override-Mechanismen sind keine Kür, sondern Pflicht bei Hochrisiko-Systemen. IT-Teams sollten entsprechende Infrastruktur frühzeitig einplanen.
5. Lieferantenverträge prüfen
Wer KI-Systeme als Service bezieht, muss sicherstellen, dass Anbieter die AI-Act-Anforderungen erfüllen und entsprechende Dokumentation liefern. Dies gehört in Ausschreibungen und Vertragsklauseln.
Bußgelder: Was droht bei Verstößen
Der AI Act sieht empfindliche Strafen vor. Bei Verstößen gegen die Verbote (inakzeptables Risiko) können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes fällig werden. Bei Hochrisiko-Verstößen: bis zu 15 Millionen Euro oder 3 Prozent. Falsche oder unvollständige Informationen gegenüber Behörden: bis zu 7,5 Millionen Euro.
Diese Zahlen zeigen: Der AI Act ist kein Bürokratieprojekt. Er ist mit Sanktionsmechanismen ausgestattet, die Unternehmen operativ treffen können.
Fazit
Der August 2026 ist näher, als viele IT-Verantwortliche wahrnehmen. Wer KI produktiv einsetzt oder plant, sollte spätestens jetzt ein internes AI-Governance-Projekt anstoßen – nicht als einmalige Compliance-Übung, sondern als dauerhaften Prozess. Die technischen Anforderungen des AI Act sind mit bestehenden IT-Governance-Frameworks gut kombinierbar. Das eigentliche Risiko liegt nicht in der Technologie, sondern im Nicht-Handeln.
Bildquelle: Pexels (pexels.com, Lizenz: kostenlos nutzbar)
Quellen: Europäisches Parlament – EU AI Act Volltext (August 2024); Europäische Kommission – AI Act Implementierungszeitplan; Bitkom – AI-Act-Leitfaden für Unternehmen (2025)