Stell dir vor, du nutzt seit Monaten ein KI-Tool für die Personalauswahl. Es filtert Bewerbungen vor, priorisiert Kandidaten, schlägt dir die Top 10 vor. Praktisch — und bisher ohne größere Auflagen.
Ab dem 2. August 2026 ist das anders.
An diesem Tag treten die letzten und schärfsten Bestimmungen des EU AI Acts in Kraft. Wer dann nicht vorbereitet ist, riskiert nicht nur Bußgelder in Millionenhöhe — sondern auch, dass er KI-Systeme kurzfristig vom Netz nehmen muss.
Vier Monate sind keine lange Zeit.
Was bisher gilt — und was sich jetzt ändert
Den EU AI Act gibt es schon. Wir haben in unserem Artikel KI und Recht: Was Unternehmen 2026 beachten müssen die Grundlagen erklärt. Seit Februar 2025 sind die verbotenen KI-Praktiken bereits untersagt — Social Scoring, manipulative KI, Biometrie-Massenüberwachung.
Was neu ab August 2026 kommt: die vollständigen Anforderungen für sogenannte Hochrisiko-KI-Systeme. Und diese betreffen deutlich mehr Unternehmen, als die meisten erwarten.
Was ist Hochrisiko-KI — und bist du betroffen?
Die Klassifizierung klingt dramatisch. Gemeint ist nicht, dass dein KI-System gefährlich ist. Es bedeutet: Die KI trifft oder beeinflusst Entscheidungen, die erhebliche Auswirkungen auf Menschen haben können.
Betroffen bist du, wenn dein Unternehmen KI einsetzt für:
Personalwesen — Bewerbungsfilterung, Leistungsbewertung, Kündigungsentscheidungen, Gehaltsanalysen (siehe auch: Anwendungsfall Bewerbersichtung)
Kreditentscheidungen — automatisierte Bonitätsprüfung, Kreditvergabe, Risikobewertung
Bildung und Ausbildung — Prüfungsaufsicht, adaptive Lernsysteme, Zugangsentscheidungen
Wesentliche Dienstleistungen — Zugang zu Sozialleistungen, Versicherungen, Gesundheitsversorgung
Kritische Infrastruktur — Energie, Wasser, Verkehr
Wichtig: Es geht nicht nur darum, ob du selbst KI entwickelst. Auch wer Drittanbieter-Software einsetzt — etwa eine HR-Software mit KI-Bewerbungsranking — ist als Betreiber in der Pflicht.
Was du ab August 2026 konkret nachweisen musst
Für Hochrisiko-Systeme verlangt der EU AI Act eine Reihe von Maßnahmen, die dokumentiert und nachweisbar sein müssen:
Risikomanagement-System: Du musst ein laufendes Verfahren haben, das Risiken deines KI-Systems identifiziert, bewertet und minimiert. Kein einmaliger Check — ein kontinuierlicher Prozess.
Technische Dokumentation: Wie funktioniert das KI-System? Auf welchen Daten wurde es trainiert? Was sind seine bekannten Grenzen? Das muss schriftlich vorliegen — auch wenn du ein fertiges Tool eines Anbieters nutzt. Relevant ist das zum Beispiel bei KI-gestützter Vertragsanalyse oder automatisierter Rechnungsverarbeitung.
Protokollierung (Logging): Hochrisiko-Systeme müssen ihre Entscheidungen protokollieren. Wer hat wann welche Empfehlung bekommen? Das muss nachvollziehbar sein.
Menschliche Aufsicht: Es muss einen klar definierten Prozess geben, bei dem Menschen KI-Entscheidungen überprüfen können — besonders bei folgenreichen Entscheidungen.
Transparenz gegenüber Betroffenen: Menschen, die von KI-Entscheidungen betroffen sind, müssen informiert werden — zum Beispiel, dass ihre Bewerbung durch ein automatisiertes System vorgefiltert wurde.
Konformitätsbewertung: Vor dem Einsatz muss nachgewiesen werden, dass das System die gesetzlichen Anforderungen erfüllt. Bei manchen Systemen reicht eine interne Prüfung, bei anderen ist eine externe Zertifizierung nötig.
EU-Datenbankregistrierung: Bestimmte Hochrisiko-Systeme müssen in einer öffentlichen EU-Datenbank registriert werden.
Was droht bei Verstößen?
Die Zahlen sind klar:
- Bis zu 30 Millionen Euro oder 6 % des globalen Jahresumsatzes für Verstöße gegen Hochrisiko-Anforderungen (je nachdem, was höher ist)
- Für kleinere Unternehmen gelten reduzierte Obergrenzen — aber das bedeutet nicht, dass sie nicht haften
Für ein Unternehmen mit 10 Millionen Euro Jahresumsatz wären das potenziell 600.000 Euro. Für ein Unternehmen mit 50 Millionen schon 3 Millionen.
Die gute Nachricht für KMU
Der EU AI Act hat besondere Erleichterungen für kleine und mittlere Unternehmen:
Kleinere Unternehmen müssen die technische Dokumentation in vereinfachter Form erstellen. Der Standard für Konformitätsbewertungen ist für KMU leichter erfüllbar. Die Behörden wurden angehalten, bei der Durchsetzung KMU-Interessen zu berücksichtigen.
Und es gibt eine Übergangsregelung: KI-Systeme, die bereits vor August 2026 im Einsatz sind, haben bis Februar 2027 Zeit, die neuen Anforderungen vollständig zu erfüllen.
Das ist kein Freifahrtschein — aber es gibt dir etwas Luft, wenn deine Systeme bereits laufen.
Checkliste: 8 Schritte bis August 2026
Das ist keine vollständige rechtliche Anleitung, aber ein guter Startpunkt.
1. KI-Inventar erstellen Liste alle KI-Systeme auf, die in deinem Unternehmen im Einsatz sind oder geplant werden. Auch Tools von Drittanbietern — HR-Software mit KI, Kreditrisiko-Tools, automatisierte Kundenentscheidungen.
2. Risikoklasse bestimmen Welche Systeme könnten Hochrisiko-KI sein? Nutze die Kriterien oben als Leitfaden. Im Zweifel lieber vorsichtig einordnen.
3. Anbieterkommunikation starten Frag deine KI-Softwareanbieter: Haben sie Dokumentation bereit? Was bieten sie zur Compliance an? Seriöse Anbieter haben darauf Antworten. HR-Systeme wie Personio, Greenhouse oder Workday bieten inzwischen erste EU AI Act-Dokumentationen — frag explizit danach.
4. Verantwortung intern klären Wer ist in deinem Unternehmen für KI-Compliance zuständig? Ohne klare Verantwortung passiert nichts. Das kann der Datenschutzbeauftragte sein, ein IT-Leiter oder ein eigener KI-Beauftragter.
5. Dokumentation aufbauen Beginne mit der technischen Dokumentation deiner KI-Systeme. Was tut das System? Welche Daten nutzt es? Wer hat Zugriff? Was ist beim Test aufgefallen?
6. Logging prüfen Protokolliert dein System Entscheidungen? Wenn nicht: ist das nachrüstbar? Sprich das mit dem Anbieter an.
7. Mitarbeiter informieren Alle, die mit KI arbeiten, müssen die Grundlagen des EU AI Acts kennen. Nicht als juristische Schulung — sondern: Was ist Hochrisiko? Was muss ich dokumentieren? Was darf ich nicht tun?
8. Rechtliche Beratung einholen Besonders wenn du Hochrisiko-Systeme einsetzt: Sprich mit einem Anwalt, der KI-Recht kennt. Die oben genannten Bußgelder machen Beratungskosten schnell rentabel.
Was noch nicht klar ist
Ehrlichkeit ist wichtig: Der EU AI Act lässt in der Praxis noch Fragen offen.
Wie genau wird klassifiziert? Die Grenze zwischen “begrenztem Risiko” und “Hochrisiko” ist nicht immer eindeutig. Es gibt Leitlinien der EU-Kommission, aber Rechtsprechung dazu gibt es kaum.
Wie aktiv werden die Behörden? Die nationalen Marktaufsichtsbehörden wurden gerade erst eingerichtet. Wie sie im Alltag prüfen werden, ist noch offen.
Dass du nichts tust, ist trotzdem keine gute Strategie. Wer beim ersten Prüffall gar keine Vorbereitung nachweisen kann, steht deutlich schlechter da als jemand, der zumindest die Grundlagen dokumentiert hat.
Der Zusammenhang mit DSGVO
Viele Anforderungen des EU AI Acts überschneiden sich mit der DSGVO. Wenn dein KI-System personenbezogene Daten verarbeitet — und das ist bei HR-Tools, Kundenentscheidungen oder medizinischen Anwendungen fast immer der Fall — gelten beide Regelwerke parallel.
Das bedeutet: Wer DSGVO-Prozesse aufgebaut hat, hat gute Grundlagen. Aber die KI-spezifischen Anforderungen des AI Acts kommen obendrauf.
Fazit
Der August 2026 ist näher, als er erscheint. Vier Monate vergehen schnell, besonders wenn man bedenkt, dass Dokumentation, interne Abstimmung und eventuell externe Beratung Zeit brauchen.
Die wichtigste Botschaft: Starte jetzt mit dem Inventar. Welche KI-Systeme nutzt dein Unternehmen? Schon dieser erste Schritt gibt dir Klarheit — und zeigt dir, wie viel oder wenig Handlungsbedarf du wirklich hast.
Manche Unternehmen werden merken: Wir nutzen keine Hochrisiko-KI. Das wäre eine gute Nachricht. Aber das weißt du erst, wenn du’s geprüft hast.
Wenn du regelmäßig Updates zu KI-Recht und Compliance bekommen möchtest, ist unser Newsletter ein guter Anlaufpunkt — ohne Spam, einmal pro Woche.
Hinweis: Dieser Artikel ist allgemeine Information und ersetzt keine Rechtsberatung. Bei konkreten Fragen zur Einstufung deiner KI-Systeme wende dich an einen spezialisierten Anwalt.