Business 12. August 2025 · 11 Min. Lesezeit · Aktualisiert: Juni 2026

EU AI Act 2026: Der Leitfaden für Unternehmen

Der EU AI Act ist die erste umfassende KI-Regulierung der Welt. Dieser Leitfaden erklärt Risikoklassen, die aktuellen Fristen nach dem Digital Omnibus und was dein Unternehmen 2026 konkret tun muss.


Auf den Punkt

  • Der EU AI Act gilt seit 1. August 2024 und wird bis 2028 stufenweise wirksam, gestaffelt nach vier Risikoklassen.
  • Wichtigste Änderung 2026: Der Digital Omnibus verschiebt die Hochrisiko-Pflichten auf 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (Anhang I).
  • Verbote unzulässiger KI und die KI-Kompetenzpflicht (Art. 4) gelten bereits, die Regeln für Allzweck-KI (GPAI) seit August 2025.
  • Bußgelder reichen bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.

Was ist der EU AI Act?

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er teilt KI-Systeme nach ihrem Risiko in vier Klassen ein und legt für jede Klasse konkrete Pflichten fest, von einem kompletten Verbot bis zu völliger Freiheit.

Für dich als Unternehmer ist das keine ferne Zukunftsmusik, sondern bereits geltendes Recht. Der AI Act trat am 1. August 2024 in Kraft und bringt gestaffelte Verpflichtungen mit sich, die schrittweise bis 2028 wirksam werden. Entscheidend ist: Die Verordnung gilt nicht nur für Tech-Konzerne, sondern für jedes Unternehmen, das KI in der EU einsetzt oder anbietet. Wer frühzeitig handelt, gewinnt nicht nur Rechtssicherheit, sondern auch das Vertrauen von Kunden und Partnern.

Das Wichtigste 2026: Der Digital Omnibus verschiebt die Fristen

Die größte Änderung des Jahres 2026 ist eine zeitliche Entlastung. Mit dem sogenannten Digital Omnibus verschiebt die EU die Pflichten für Hochrisiko-KI nach hinten, weil die nötigen technischen Normen und nationalen Aufsichtsbehörden noch nicht bereitstehen.

Die EU-Kommission stellte den Digital Omnibus am 19. November 2025 vor. Am 7. Mai 2026 erzielten Rat, Parlament und Kommission eine politische Einigung. Konkret ändert sich:

  • Hochrisiko-Systeme nach Anhang III (z. B. KI in Personalwesen oder Kreditvergabe): verschoben von 2. August 2026 auf 2. Dezember 2027.
  • Hochrisiko-Systeme nach Anhang I (produktregulierte KI, etwa in Medizinprodukten oder Maschinen): verschoben von 2. August 2027 auf 2. August 2028.
  • Zwei neue Verbote kommen hinzu: KI zur Erzeugung nicht-einvernehmlicher intimer Darstellungen und von Missbrauchsdarstellungen (CSAM), wirksam ab 2. Dezember 2026.

Stand Juni 2026: Der Digital Omnibus ist politisch geeinigt, aber noch nicht final im EU-Amtsblatt veröffentlicht. Die formelle Verabschiedung wird vor dem 2. August 2026 erwartet. Bis dahin gelten die ursprünglichen Fristen rechtlich fort. Plane mit den neuen Daten, behalte die finale Veröffentlichung aber im Blick.

Die vier Risikoklassen des EU AI Act

Das Herzstück der Verordnung ist ein risikobasierter Ansatz. Je höher das Risiko eines KI-Systems für Sicherheit und Grundrechte, desto strenger die Pflichten. Diese Einordnung entscheidet, was auf dein Unternehmen zukommt, deshalb ist sie immer der erste Schritt.

RisikoklasseBeispieleWas gilt
Unannehmbares Risiko (verboten)Social Scoring, manipulative Systeme, Ausnutzung von Schutzbedürftigkeit, biometrische Echtzeit-Fernidentifikation (mit engen Ausnahmen)Komplett verboten seit 2. Februar 2025
Hohes RisikoKI in Personalauswahl, Kreditvergabe, kritischer Infrastruktur, Medizinprodukten, Bildung, JustizStrenge Pflichten: Risikomanagement, Dokumentation, menschliche Aufsicht. Gültig ab 2. Dezember 2027 (Anhang III) bzw. 2. August 2028 (Anhang I)
Begrenztes RisikoChatbots, KI-generierte Texte, Bilder und Deepfakes, Allzweck-KI (GPAI) wie ChatGPT, Claude oder GeminiTransparenz- und Kennzeichnungspflichten. GPAI-Pflichten gelten seit 2. August 2025
Minimales RisikoSpamfilter, KI in Videospielen, Rechtschreibkorrektur, ProduktempfehlungenKeine besonderen Pflichten, freiwillige Verhaltenskodizes empfohlen

Alle Fristen im Überblick (Stand Juni 2026)

Die folgende Übersicht zeigt, welche Pflichten heute schon gelten und welche, inklusive der Verschiebungen durch den Digital Omnibus, noch kommen.

DatumWas giltStatus
1. August 2024EU AI Act in Kraft getretenaktiv
2. Februar 2025Verbotene Praktiken + KI-Kompetenz (Art. 4)aktiv
2. August 2025GPAI-Pflichten, Governance, Sanktionsrahmenaktiv
2. August 2026Durchsetzung GPAI (Bußgelder), Art.-4-Durchsetzung, KI-Reallaboreanstehend
2. Dezember 2026Neue Verbote: nicht-einvernehmliche intime Inhalte & CSAMgeplant (Omnibus)
2. Dezember 2027Hochrisiko-Systeme Anhang III (zuvor: 2. August 2026)verschoben (Omnibus)
2. August 2028Hochrisiko-Systeme Anhang I (zuvor: 2. August 2027)verschoben (Omnibus)

KI-Kompetenz nach Artikel 4: Was die Schulungspflicht jetzt wirklich bedeutet

Die Pflicht zur KI-Kompetenz gilt bereits seit 2. Februar 2025. Artikel 4 verlangt, dass dein Team über ausreichendes Wissen verfügt, um die eingesetzten KI-Systeme zu verstehen und verantwortungsvoll zu nutzen, einschließlich rechtlicher und ethischer Aspekte.

Der Digital Omnibus formuliert diese Pflicht um: Aus der Vorgabe, ein „ausreichendes Maß" an KI-Kompetenz sicherzustellen, wird die weichere Pflicht, „Maßnahmen zur Förderung" der KI-Kompetenz zu ergreifen. Ein bestimmtes Kompetenzniveau muss niemand mehr garantieren. Zwei Dinge bleiben aber bestehen: Das Stichdatum 2. August 2026 für die behördliche Durchsetzung wurde nicht verschoben, und wer Hochrisiko-Systeme einsetzt, muss sein Personal weiterhin verpflichtend für die menschliche Aufsicht schulen.

Praktisch heißt das: Dokumentiere deine Schulungsmaßnahmen, also Zeitpunkt, Inhalte und Teilnehmende. Eine formale Zertifizierung ist nicht vorgeschrieben, ein sauberer Nachweis schützt dich aber im Haftungsfall. Sinnvolle Schulungsinhalte sind:

  • Grundlagen der KI-Technologie und ihrer Anwendung im Unternehmen
  • Rechtliche Rahmenbedingungen und Compliance-Anforderungen
  • Ethische Grundsätze und Umgang mit Bias
  • Risikobewertung und Risikomanagement
  • Datenschutz und Datensicherheit
  • Transparenz und Nachvollziehbarkeit von KI-Entscheidungen

Strafen bei Verstößen

Die Sanktionen sind gestaffelt nach Schwere des Verstoßes. Für Unternehmen gilt jeweils der höhere der beiden Werte, für KMU und Start-ups dagegen der niedrigere, damit die Strafe verhältnismäßig bleibt.

Art des VerstoßesMaximale Strafe
Verbotene KI-Praktikenbis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Verstoß gegen sonstige Pflichten (Hochrisiko, GPAI, Transparenz)bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Falsche oder irreführende Angaben an Behördenbis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes

Neben dem finanziellen Risiko drohen Reputationsschäden und Vertrauensverluste bei Kunden und Partnern. Umgekehrt gilt: Wer Compliance früh und sichtbar umsetzt, macht aus einer Pflicht einen Vertrauensvorsprung.

In 5 Schritten zur AI-Act-Readiness

Compliance ist kein einmaliges Projekt, sondern ein Prozess. Mit diesen fünf Schritten bringst du dein Unternehmen strukturiert auf Kurs:

  1. Bestandsaufnahme: Erfasse alle eingesetzten KI-Systeme, auch versteckte KI-Funktionen in deiner Software und in SaaS-Tools.
  2. Risikoklassifizierung: Ordne jedes System einer der vier Risikoklassen zu. Das bestimmt alle weiteren Maßnahmen.
  3. KI-Register anlegen: Dokumentiere Systeme, Risikoklasse, Verantwortlichkeiten und Maßnahmen an einem zentralen Ort.
  4. KI-Kompetenz aufbauen: Schule dein Team nachweislich und verankere Richtlinien für den verantwortungsvollen KI-Einsatz.
  5. Governance und Monitoring: Lege Zuständigkeiten fest und überprüfe regelmäßig, ob neue Systeme oder Fristen Anpassungen erfordern.

Häufige Fragen zum EU AI Act (FAQ)

Was ist der EU AI Act?

Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er teilt KI-Systeme nach Risiko in vier Klassen ein und legt für jede Klasse Pflichten fest. Er gilt seit 1. August 2024 und wird bis 2028 stufenweise wirksam.

Seit wann gilt der EU AI Act?

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die Verbote unzulässiger KI-Praktiken und die KI-Kompetenzpflicht gelten seit 2. Februar 2025, die Regeln für Allzweck-KI (GPAI) seit 2. August 2025. Die Hochrisiko-Pflichten folgen 2027 und 2028.

Wurden die Fristen des EU AI Act 2026 verschoben?

Ja. Der "Digital Omnibus" der EU-Kommission verschiebt die Hochrisiko-Pflichten: Anhang-III-Systeme von August 2026 auf 2. Dezember 2027, Anhang-I-Systeme von August 2027 auf 2. August 2028. Die politische Einigung fiel am 7. Mai 2026, die formelle Verabschiedung wird vor August 2026 erwartet.

Welche KI-Systeme sind verboten?

Verboten sind unter anderem Social Scoring durch Behörden, manipulative Systeme, die das Verhalten unterschwellig beeinflussen, die Ausnutzung von Schutzbedürftigkeit sowie biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit engen Ausnahmen). Diese Verbote gelten seit 2. Februar 2025.

Was bedeutet die KI-Kompetenzpflicht (Artikel 4) für mein Unternehmen?

Seit 2. Februar 2025 müssen Unternehmen für ausreichende KI-Kompetenz ihrer Mitarbeiter sorgen. Der Digital Omnibus entschärft den Wortlaut zu einer Pflicht, Maßnahmen zur Förderung der KI-Kompetenz zu ergreifen. Wer Hochrisiko-Systeme einsetzt, muss sein Personal weiterhin für die menschliche Aufsicht schulen.

Wie hoch sind die Strafen beim EU AI Act?

Die Bußgelder sind gestaffelt: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Mio. € oder 3 % für sonstige Verstöße und bis zu 7,5 Mio. € oder 1 % für falsche Angaben. Für KMU und Start-ups gilt jeweils der niedrigere Betrag.

Gilt der EU AI Act auch für kleine Unternehmen und KMU?

Ja. Der EU AI Act gilt unabhängig von der Unternehmensgröße für alle, die KI-Systeme in der EU anbieten oder einsetzen. KMU und Start-ups profitieren aber von Erleichterungen wie bevorzugtem Zugang zu KI-Reallaboren, reduzierten Gebühren und niedrigeren Bußgeld-Obergrenzen.

Fazit: Jetzt mit Klarheit handeln

Der EU AI Act ist ein Paradigmenwechsel, aber kein Grund zur Panik. Die Verschiebung der Hochrisiko-Fristen durch den Digital Omnibus verschafft dir Zeit, doch die Pflichten, die heute schon gelten, betreffen fast jedes Unternehmen: Verbote, Transparenz und KI-Kompetenz. Die eigentliche Frage ist nicht, ob du den AI Act umsetzt, sondern wie schnell und souverän du es tust.

Bereit, dein Unternehmen fit für den EU AI Act zu machen? Ich begleite dich von der Bestandsaufnahme über die Risikoklassifizierung bis zur Team-Schulung. Strategisch, compliant und zukunftssicher.

Dominik Pascal Eggstein

Dominik Pascal Eggstein, MSc

Gründer von EXsteinAI und TÜV-zertifizierter KI-Manager. Er begleitet Unternehmen im DACH-Raum bei KI-Strategie, Automatisierung und AI-Act-konformer Umsetzung.

Quellen

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Stand: Juni 2026.