EU AI Act: Was Unternehmen 2026 wissen und tun müssen

Mit dem EU AI Act hat die Europäische Union als erste Region weltweit ein umfassendes Gesetz zur Künstlichen Intelligenz geschaffen. Seit dem 1. August 2024 ist es in Kraft – und betrifft praktisch jedes Unternehmen, das KI-Systeme einsetzt oder bereitstellt. Doch was steckt genau drin? Welche Pflichten gelten wann? Und was hat der Digital Omnibus vom Mai 2026 daran geändert?

Dieser Leitfaden gibt einen vollständigen Überblick über den EU AI Act 2026 – inklusive aller Risikoklassen, Stichtage, Sanktionen und konkreten Handlungsempfehlungen für Unternehmen.

1. Was ist der EU AI Act?

Der EU AI Act ist die Verordnung (EU) 2024/1689 zur Regulierung von Künstlicher Intelligenz in der Europäischen Union. Auch bekannt als KI-Verordnung oder AI Act, ist er das weltweit erste umfassende Gesetz seiner Art und verfolgt drei zentrale Ziele:

• Schutz der Grundrechte, Gesundheit und Sicherheit der Menschen in der EU
• Förderung vertrauenswürdiger und transparenter KI
• Sicherstellung eines funktionierenden Binnenmarkts für KI-Anwendungen

Der EU AI Act folgt einem risikobasierten Ansatz: Je höher das Risiko, das von einer KI-Anwendung ausgeht, desto strenger sind die Anforderungen. Damit unterscheidet er sich grundlegend von technologieneutralen Regulierungen wie der DSGVO.

Wichtig zu wissen: Der EU AI Act gilt extraterritorial. Auch Unternehmen außerhalb der EU müssen ihn einhalten, wenn ihre KI-Systeme in der EU genutzt werden oder ihre Ausgaben dort verwendet werden.

2. Wer ist vom EU AI Act betroffen?

Der EU AI Act unterscheidet vier Rollen, die jeweils eigene Pflichten haben:

• Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder unter eigenem Namen in Verkehr bringen
• Betreiber (Deployer): Unternehmen, die KI-Systeme in ihrer beruflichen Tätigkeit einsetzen
• Importeure und Händler: Unternehmen, die KI-Systeme aus Drittländern in die EU bringen oder weitergeben

In der Praxis sind die meisten Unternehmen Betreiber – etwa wenn sie ChatGPT, Microsoft Copilot oder andere KI-Tools im Arbeitsalltag nutzen. Achtung: Wer ein bestehendes KI-System wesentlich verändert oder für einen neuen Zweck einsetzt, kann automatisch zum Anbieter werden – mit deutlich umfangreicheren Pflichten.

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der EU AI Act sieht keine generelle Ausnahme für KMU oder Startups vor. Artikel 62 enthält allerdings Erleichterungen: reduzierte Bußgelder, vereinfachte Dokumentationsanforderungen und bevorzugten Zugang zu KI-Sandbox-Umgebungen.

3. Welche Risikoklassen unterscheidet der EU AI Act?

Das Herzstück des EU AI Act ist die vierstufige Risikoklassifizierung. Je höher das Risiko, desto strenger die Anforderungen:

Verbotene KI-Praktiken (Art. 5)

Diese KI-Anwendungen sind seit dem 2. Februar 2025 EU-weit untersagt. Dazu zählen:

• Social Scoring durch staatliche Stellen
• Manipulative KI, die das Verhalten von Menschen ohne deren Wissen beeinflusst
• Biometrische Echtzeit-Fernüberwachung im öffentlichen Raum (mit engen Ausnahmen)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
• Ungezielte Auswertung biometrischer Daten zur Erstellung von Gesichtsdatenbanken
• KI-Apps zur Erstellung nicht-einvernehmlicher intimer Inhalte (durch den Digital Omnibus 2026 ergänzt)

Hochrisiko-KI-Systeme

Diese Systeme sind grundsätzlich zulässig, unterliegen aber einem umfangreichen Pflichtenkatalog: Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht und Datenqualitätsstandards. Sie sind in zwei Anhängen geregelt:

Anhang III (eigenständige Hochrisiko-Systeme):

• Biometrie und Emotionserkennung
• Kritische Infrastruktur (Energie, Wasser, Verkehr)
• Bildung und Berufsausbildung
• Personalwesen (Bewerberauswahl, Leistungsbeurteilung, Beförderung)
• Kreditvergabe und Versicherungen
• Strafverfolgung, Migration und Justiz

Anhang I (KI als Sicherheitskomponente in regulierten Produkten):

• Medizinprodukte
• Aufzüge, Spielzeug
• Maschinen und Fahrzeuge
• Sonstige Produkte mit EU-Konformitätsbewertung

Im HR-Bereich sind viele KI-Anwendungen hochrisiko-relevant. Eine Vertiefung mit konkreten Schulungsanforderungen liefert unser Artikel zur KI-Schulungspflicht nach Art. 4 EU AI Act.

Begrenztes Risiko (Art. 50)

Diese Kategorie umfasst KI-Systeme mit Transparenzpflichten – ab dem 2. August 2026 EU-weit verbindlich:

• Chatbots müssen offenlegen, dass es sich um KI handelt
• KI-generierte Inhalte (Text, Bild, Audio, Video) müssen gekennzeichnet werden
• Deepfakes sind verpflichtend als solche zu markieren

Minimales Risiko

Spam-Filter, KI-gestützte Empfehlungssysteme oder einfache Automatisierungen fallen in diese Klasse. Hier gelten keine spezifischen Pflichten – lediglich freiwillige Verhaltenskodizes.

4. Welche Pflichten gelten ab wann?

Der EU AI Act wird stufenweise anwendbar. Hier die aktualisierte Timeline nach dem Digital Omnibus (politische Einigung vom 7. Mai 2026):

Datum	Was tritt in Kraft?
1. August 2024	Verordnung tritt formal in Kraft
2. Februar 2025	Verbot bestimmter KI-Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4)
2. August 2025	Governance-Regeln + Pflichten für GPAI-Modelle
2. August 2026	Transparenzpflichten (Art. 50) für Chatbots, KI-Inhalte, Deepfakes
2. Dezember 2027	Hochrisiko-Pflichten nach Anhang III (durch Digital Omnibus verschoben von 8/2026)
2. August 2028	Hochrisiko-Pflichten nach Anhang I (durch Digital Omnibus verschoben von 8/2027)

Was hat der Digital Omnibus geändert?

Am 7. Mai 2026 hat sich die EU im Rahmen des Digital Omnibus politisch geeinigt, die Anwendbarkeit der Hochrisiko-Pflichten zu verschieben. Hintergrund: Harmonisierte Normen, technische Standards und Konformitätsverfahren waren noch nicht ausreichend verfügbar. Die Verschiebung gilt nur für Hochrisiko-Anforderungen – Art. 4 (KI-Kompetenz), Art. 5 (Verbote) und Art. 50 (Transparenz) bleiben unverändert in Kraft.

5. Welche Strafen drohen und wer prüft die Einhaltung?

Der EU AI Act sieht abgestufte Sanktionen je nach Pflichtverletzung vor:

• Verbotene KI-Praktiken: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
• Verstöße gegen Hochrisiko-Anforderungen: bis zu 15 Mio. Euro oder 3 % des Umsatzes
• Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. Euro oder 1 % des Umsatzes

Für KMU und Startups gilt jeweils der niedrigere Wert (Festbetrag oder Prozent).

KI-MIG: Das deutsche Durchführungsgesetz

Mit dem KI-Maßnahmen- und Innovationsgesetz (KI-MIG) hat das Bundeskabinett im Februar 2026 das deutsche Durchführungsgesetz zum EU AI Act beschlossen. Es regelt vor allem die nationale Marktüberwachung und konkretisiert Sanktionsmöglichkeiten.

BSI als nationale Aufsichtsbehörde

In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Durchsetzung des EU AI Act. Ab August 2026 ist mit aktiven Prüfungen zu rechnen – auch wenn die vollständige Hochrisiko-Aufsicht erst mit den verschobenen Stichtagen 2027/2028 anläuft.

Zivilrechtliche Risiken

Neben Bußgeldern drohen zivilrechtliche Haftungsrisiken: Wer durch eine fehlerhafte oder vorschriftswidrige KI geschädigt wird, kann Schadensersatz geltend machen. Seit März 2026 erfasst die EU-Produkthaftungsrichtlinie ausdrücklich auch KI-Systeme. Für die Geschäftsführung bedeutet das: Verstöße gegen den EU AI Act können als Verletzung der Sorgfaltspflichten der Geschäftsleitung zur persönlichen Haftung führen.

6. Was müssen Unternehmen jetzt tun?

Auch wenn ein Großteil der Hochrisiko-Pflichten erst Ende 2027 greift: Vorbereitungen müssen jetzt starten. Eine Konformitätsbewertung dauert erfahrungsgemäß drei bis sechs Monate. Wer Mitte 2027 noch nicht begonnen hat, schafft die Frist kaum.

Ein praxistauglicher Umsetzungsplan in fünf Schritten:

1) KI-Inventar erstellen

Welche KI-Systeme sind im Unternehmen im Einsatz – offiziell und inoffiziell? Wer ist verantwortlich? Welche Daten werden verarbeitet? Dieses Inventar bildet die Grundlage für alle weiteren Schritte und sollte innerhalb weniger Wochen stehen.

2) Risikoklassifizierung

Jedes System wird gegen Anhang III geprüft. Wichtig: Auch wenn das Ergebnis „kein Hochrisiko“ lautet, muss diese Bewertung dokumentiert werden (Art. 6 Abs. 3).

3) KI-Kompetenz aufbauen (Art. 4)

Die KI-Schulungspflicht ist seit Februar 2025 verbindlich und greift für alle Unternehmen, die KI nutzen – unabhängig von Größe oder Branche. Eine ausführliche Anleitung zur Umsetzung finden Sie in unserem Artikel zur KI-Schulungspflicht.

4) Governance-Strukturen aufbauen

Risikomanagementsystem, Verantwortlichkeiten, Dokumentationsrahmen: Diese Strukturen müssen für Hochrisiko-KI-Systeme bereits bis August 2026 stehen – auch wenn die Volldurchsetzung erst 2027 kommt. Wer diese Grundlagen jetzt nicht legt, wird die verschobenen Stichtage nicht ohne Compliance-Risiken erreichen.

5) Dokumentation aufsetzen

Standardisierte Informationsblätter für jedes KI-System, technische Dokumentation, Schulungsnachweise: Audit-Sicherheit entsteht durch konsequente Dokumentation. Eine Lernplattform mit revisionssicherer Dokumentation deckt den Schulungs- und Nachweis-Teil zentral ab.

Parallel: Weitere EU-Compliance-Anforderungen

Der EU AI Act ist nicht die einzige neue Regulierung, die HR- und Compliance-Verantwortliche 2026 fordert. Parallel greifen weitere Vorgaben wie die EU-Entgelttransparenzrichtlinie und die NIS2-Schulungspflicht für IT-Sicherheit. Eine integrierte Compliance-Strategie macht die Umsetzung deutlich effizienter.

7. Wie unterstützt ein LMS bei der EU AI Act-Umsetzung?

Ein Learning Management System (LMS) wie reteach unterstützt Unternehmen an mehreren Stellen der EU AI Act-Compliance:

• KI-Schulungspflicht nach Art. 4: Pflichtkurse für alle Mitarbeitenden, automatisierte Zuweisung nach Rolle und Abteilung
• Vertiefte Schulungen für Hochrisiko-Bereiche: Spezialkurse für HR, Recruiting, Compliance und Geschäftsführung
• Revisionssichere Dokumentation: Kursabschlüsse, Zertifikate und Wiederholungsfristen zentral und auditkonform
• Integrierte Compliance-Schulungen: Datenschutz, NIS2, Arbeitsschutz und KI-Pflichten in einer Plattform
• Automatisierte Wiederholungen: Zertifikate mit Ablaufdatum, Erinnerungen, Eskalationen

So lassen sich KI-Kompetenz, digitale Compliance-Schulungen und andere Pflichtschulungen mit deutlich weniger Aufwand für HR und Compliance managen.

8. Fazit & Nächste Schritte

Der EU AI Act ist die umfangreichste KI-Regulierung weltweit – und für Unternehmen in der EU keine Frage des „ob“, sondern des „wann“. Auch wenn der Digital Omnibus die Hochrisiko-Pflichten auf 2027/2028 verschoben hat: Die KI-Schulungspflicht nach Art. 4 gilt unverändert seit Februar 2025, die Transparenzpflichten greifen ab August 2026, und das BSI nimmt seine Aufsicht spätestens dann aktiv auf.

Wer jetzt mit dem KI-Inventar, der Risikoklassifizierung und der Schulung seiner Mitarbeitenden beginnt, schafft die Grundlage für eine strukturierte Compliance bis zu den nächsten Stichtagen – und stärkt gleichzeitig die digitale Kompetenz im Unternehmen.

Sie möchten konkret in die Umsetzung starten? Sichern Sie sich unser kostenloses Whitepaper zur KI-Schulungspflicht – mit Risikoklassen-Übersicht, Umsetzungsplan und weiterführenden Informationen.

Häufig gestellte Fragen