Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:202237 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Anmelden oder registrieren
Zurück zur Übersicht
Foto: Steve Johnson auf Unsplash
AI & Regulatorik8. April 202612 Min. Lesezeit

EU AI Act: Compliance-Pflichten für Unternehmen ab August 2026

Von CIVAC Redaktion12 Min. Lesezeit

Am 2. August 2026 greift die Hauptanwendung der Verordnung (EU) 2024/1689. Wer Hochrisiko-KI entwickelt, vertreibt oder betreibt, muss bis dahin ein Risikomanagement nach Art. 9, Datengovernance nach Art. 10 und menschliche Aufsicht nach Art. 14 etabliert und seine Mitarbeitenden in AI Literacy geschult haben.

Die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (AI Act) ist am 1. August 2024 in Kraft getreten. Sie ist die weltweit erste umfassende horizontale KI-Regulierung und wirkt als unmittelbar anwendbare Verordnung in allen EU-Mitgliedstaaten, ohne nationalen Umsetzungsakt. Die Anwendung erfolgt jedoch gestaffelt, und der entscheidende Stichtag liegt nicht in der Vergangenheit, sondern unmittelbar vor der Tür: Am 2. August 2026 greift die Hauptanwendung, also die Pflichten für Hochrisiko-KI-Systeme, das Governance-Rahmenwerk und die nationalen Marktüberwachungsstrukturen.

Die wichtigsten Stichtage im Überblick

DatumWas in Kraft tritt
1. August 2024AI Act tritt in Kraft (Verordnung veröffentlicht im EU-Amtsblatt).
2. Februar 2025Verbotene KI-Praktiken (Art. 5) und AI-Literacy-Pflicht (Art. 4) sind anwendbar.
2. August 2025Pflichten für Anbieter von General-Purpose-AI-Modellen (GPAI, Art. 51 ff.) und nationale Behörden-Ernennungen.
2. August 2026Hauptanwendung, insb. Pflichten für Hochrisiko-KI-Systeme des Anhangs III, Governance und Bußgelder.
2. August 2027Hochrisiko-KI-Systeme, die Sicherheitsbauteile regulierter Produkte sind (Anhang I); Pflichten für bereits vor 2025 in Verkehr gebrachte GPAI-Modelle.

Risikoklassen und Anwendungsbereich

Der AI Act folgt einem risikobasierten Ansatz. Jedes KI-System fällt in eine von vier Kategorien, mit abnehmender Regulierungsdichte:

  • Verbotene Praktiken (Art. 5): unter anderem unterschwellige Manipulation, Ausnutzung von Schwachstellen, Social Scoring durch öffentliche Stellen, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, ungezielte Extraktion von Gesichtsbildern aus dem Internet und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit eng gefassten Ausnahmen).
  • Hochrisiko-KI (Art. 6 in Verbindung mit Anhang I/III): KI als Sicherheitsbauteil regulierter Produkte (z. B. Medizinprodukte, Maschinen) sowie eigenständige KI-Systeme in acht Domänen: biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung (z. B. CV-Screening), wesentliche private und öffentliche Dienste (z. B. Kreditwürdigkeitsprüfung), Strafverfolgung, Migrations- und Grenzkontrolle, Justiz und demokratische Prozesse.
  • Begrenztes Risiko (Art. 50): Transparenzpflichten für bestimmte Systeme, Chatbots müssen sich als KI zu erkennen geben, Deepfakes und KI-generierte Inhalte sind zu kennzeichnen, Emotionserkennungssysteme müssen offenlegen, dass sie aktiv sind.
  • Minimales Risiko: alle übrigen KI-Systeme, hier gilt ausschließlich die allgemeine AI-Literacy-Pflicht, keine produktspezifischen Auflagen.

Pflichten für Hochrisiko-KI-Systeme

Die Kernpflichten für Anbieter von Hochrisiko-KI-Systemen finden sich in den Artikeln 9 bis 15. Es ist ein in sich schlüssiges Managementsystem, das an ISO 9001 und ISO/IEC 27001 erinnert:

  • Art. 9 Risikomanagementsystem, kontinuierlicher, dokumentierter Prozess über den gesamten Lebenszyklus des Systems.
  • Art. 10 Daten und Data Governance, Anforderungen an Trainings-, Validierungs- und Testdaten (Relevanz, Repräsentativität, Fehlerfreiheit, Data Governance im engeren Sinne).
  • Art. 11 Technische Dokumentation, vor Inverkehrbringen zu erstellen und auf aktuellem Stand zu halten; Mindestinhalte in Anhang IV.
  • Art. 12 Aufzeichnungspflichten, automatische Protokollierung (Logs) von Ereignissen über die Betriebsdauer.
  • Art. 13 Transparenz und Informationen für Betreiber, Gebrauchsanweisung, Grenzen, Genauigkeit, menschliche Aufsicht.
  • Art. 14 Menschliche Aufsicht, systemseitige Maßnahmen, die eine wirksame Aufsicht durch natürliche Personen ermöglichen.
  • Art. 15 Genauigkeit, Robustheit und Cybersicherheit, angemessene Leistungsmerkmale, in der Gebrauchsanweisung deklariert.

Zusätzlich gelten Pflichten für ein Qualitätsmanagementsystem (Art. 17), eine Konformitätsbewertung (Art. 43), die CE-Kennzeichnung (Art. 48) und die Registrierung in der EU-Datenbank für Hochrisiko-KI (Art. 49). Betreiber (deployers), also Unternehmen, die ein Hochrisiko-System in ihrem Namen einsetzen, haben eigene Pflichten nach Art. 26: Gebrauchsanweisung befolgen, menschliche Aufsicht zuweisen, Eingabedaten überwachen, Logs aufbewahren, Betroffene informieren und in bestimmten Konstellationen eine Grundrechte-Folgenabschätzung (FRIA, Art. 27) erstellen.

AI-Literacy-Pflicht (Art. 4): seit Februar 2025

Häufig übersehen, aber bereits seit dem 2. Februar 2025 anwendbar: Art. 4 verpflichtet Anbieter und Betreiber von KI-Systemen, ein ausreichendes Maß an KI-Kompetenz (AI Literacy) bei ihrem Personal und anderen Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind. Die Norm ist bewusst breit gefasst: Sie adressiert alle Mitarbeitenden, die mit KI arbeiten, nicht nur die Entwicklungsabteilung. Der konkrete Schulungsumfang richtet sich nach den technischen Kenntnissen, der Erfahrung, der Bildung und dem Einsatzkontext der betroffenen Personen.

General-Purpose-AI-Modelle (GPAI): seit August 2025

Für Anbieter von General-Purpose-AI-Modellen (etwa Modelle der GPT-, Claude- oder Gemini-Klasse) gelten seit dem 2. August 2025 eigene Pflichten (Art. 51 bis 55): technische Dokumentation, Urheberrechts-Richtlinie, Zusammenfassung der Trainingsdaten, Kooperation mit Behörden. Für GPAI-Modelle mit systemischem Risiko kommen zusätzliche Pflichten hinzu: Modellevaluation, Risikominderung, Meldung schwerwiegender Vorfälle, Cybersicherheitsschutz.

Konkrete Umsetzungsschritte für Unternehmen

  1. 1KI-Inventar aufbauen: alle eingesetzten KI-Systeme erfassen (eigenentwickelt, eingekauft, eingebettet in SaaS), einschließlich Einsatzzweck, Datenkategorien und Anbieterinformationen.
  2. 2Rollen- und Risikoklassifizierung vornehmen: für jedes System prüfen, Anbieter oder Betreiber? Hochrisiko (Anhang III)? Verboten (Art. 5)? Transparenzpflicht (Art. 50)?
  3. 3AI-Literacy-Programm aufsetzen: zielgruppengerechte Schulungen für Entwicklung, Fachbereiche und Führung, Nachweise pro Mitarbeitenden.
  4. 4Für Hochrisiko-KI: Risikomanagement (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11) und menschliche Aufsicht (Art. 14) etablieren und vor dem 2. August 2026 abgeschlossen haben.
  5. 5Betreiberpflichten operationalisieren: Logs, Überwachung der Eingabedaten, FRIA (Art. 27) dort, wo einschlägig.
  6. 6Zusammenspiel mit DSGVO, NIS-2 und branchenspezifischer Regulierung klären: insbesondere DSFA (Art. 35 DSGVO) und FRIA (Art. 27 AI Act) sauber trennen und verzahnen.
  7. 7KI-Compliance-Governance verankern: eine dedizierte Verantwortlichkeit (KI-Compliance-Beauftragte) an der Schnittstelle Datenschutz, IT-Sicherheit und Compliance benennen und mit den nötigen Ressourcen ausstatten.

Quellen

Aus dem Lesen einen Auftrag machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Angebot anfordernMit uns sprechen
Weitere Beiträge
Regulatorik15. April 2026

NIS-2-Umsetzung in Deutschland: Was Geschäftsleitungen 2026 wissen müssen

Weiterlesen
Informationssicherheit2. April 2026

ISO/IEC 27001:2022: Der Übergang von 2013 und was bis Oktober 2026 passieren muss

Weiterlesen