Aktueller Stand: März 2026 – inkl. Digital Omnibus und KI-MIG
Seit dem 2. Februar 2025 gilt der EU AI Act verbindlich in Teilen – und viele Unternehmen wissen es noch nicht. Ab dem 2. August 2026 kommen deutlich umfangreichere Pflichten hinzu. Und die geplante Verschiebung durch den sogenannten Digital Omnibus? Sie ist noch nicht beschlossen. Wer jetzt nichts tut, riskiert nicht nur Bußgelder in Millionenhöhe, sondern auch Haftungsrisiken und Wettbewerbsnachteile.
Dieser Leitfaden zeigt Ihnen, was der EU AI Act konkret für Ihr Unternehmen bedeutet – mit einer Schritt-für-Schritt-Checkliste, einer Tool-Einordnungstabelle und allem, was KMU jetzt wissen müssen.
Gilt der EU AI Act für Ihr Unternehmen?
Die kurze Antwort: Ja – wenn Sie KI nutzen oder entwickeln, betrifft Sie die KI-Verordnung (EU) 2024/1689.
Die etwas längere Antwort hängt von Ihrer Rolle ab. Der EU AI Act unterscheidet zwei zentrale Akteure:
Anbieter vs. Betreiber – die entscheidende Unterscheidung
Anbieter sind Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen. Für sie gelten die strengsten Pflichten: technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung.
Betreiber sind Unternehmen, die KI-Systeme in der eigenen Organisation oder für Kunden einsetzen – also der typische Mittelständler, der ChatGPT, Personio mit KI-Funktion, ein KI-Buchhaltungstool oder einen Chatbot nutzt. Betreiber haben weniger Pflichten als Anbieter, aber sie sind alles andere als außen vor.
Die meisten KMU in Deutschland sind Betreiber – und genau auf diese Perspektive fokussiert sich dieser Leitfaden.
Gilt das auch für kleine Unternehmen unter 50 Mitarbeitern?
Ja. Es gibt keine pauschale Ausnahme für KMU. Der EU AI Act enthält lediglich proportionale Erleichterungen bei bestimmten Dokumentationspflichten für Kleinstunternehmen – aber die grundlegenden Pflichten wie Artikel 4 (KI-Kompetenz), Transparenzpflichten und das Verbot bestimmter KI-Praktiken gelten für alle.
Die vier Risikoklassen – und wo Ihr Unternehmen steht
Der EU AI Act klassifiziert KI-Systeme in vier Risikoklassen. Welche Klasse zutrifft, bestimmt den Umfang Ihrer Pflichten.
Klasse 1: Verbotene KI-Praktiken (gilt seit 2. Februar 2025)
Diese Systeme sind in der EU vollständig verboten:
- Social Scoring durch öffentliche Stellen: Bewertung von Personen anhand ihres Sozialverhaltens
- Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen)
- Manipulation unterbewusster Beeinflussung: Systeme, die Verhaltensweisen manipulieren, ohne dass Betroffene es merken
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (mit Ausnahmen für Sicherheitszwecke)
- Predictive Policing: KI-basierte Vorhersage von Straftaten auf Basis persönlicher Merkmale
Für die meisten KMU sind diese Verbote wenig relevant – außer bei der Emotionserkennung im Mitarbeiterkontext, die in einigen HR-Tools auftaucht.
Klasse 2: Hochrisiko-KI – umfangreiche Pflichten ab August 2026
Hochrisiko-KI-Systeme erfordern die umfassendsten Maßnahmen: Konformitätsbewertung, technische Dokumentation, Registrierung in der EU-Datenbank, Risikomanagementsystem und mehr.
Die vollständige Liste steht in Anhang III der Verordnung. Relevant für den Mittelstand sind vor allem:
- Personalentscheidungen: KI für Bewerbermanagement, Leistungsbewertung, Beförderungen, Kündigungen → Hochrisiko
- Kreditvergabe und -bewertung: KI-gestützte Bonitätsprüfung oder Kreditentscheidungen → Hochrisiko
- Bildungszugang: KI zur Auswahl von Bewerberinnen und Bewerbern für Aus- und Weiterbildung → Hochrisiko
- Kritische Infrastruktur: KI in Strom-, Wasser- oder Verkehrsversorgung → Hochrisiko
- Biometrische Identifizierung: Gesichtserkennung für Zugangssysteme → Hochrisiko
Klasse 3: Begrenztes Risiko – Transparenzpflichten ab August 2026
Systeme mit begrenztem Risiko müssen Nutzerinnen und Nutzer aktiv darüber informieren, dass sie mit einem KI-System interagieren (Artikel 50). Das betrifft:
- Chatbots und virtuelle Assistenten im Kundenservice → Nutzer muss wissen: das ist KI
- KI-generierte Inhalte (Bilder, Videos, Texte) → müssen als KI-generiert gekennzeichnet werden
- Deepfakes und synthetische Medien → Kennzeichnungspflicht
Für alle Unternehmen, die Chatbots einsetzen oder KI-generierte Inhalte veröffentlichen, ist das ab August 2026 Pflicht.
Klasse 4: Minimales Risiko – kein spezifischer Handlungsbedarf
Der Großteil aller KI-Anwendungen fällt in diese Kategorie: KI-Filter in E-Mail-Tools, Rechtschreibkorrektur, Empfehlungsalgorithmen in E-Commerce-Tools, Produktionsoptimierung mit KI, Predictive Maintenance in der Fertigung.
Aber: Auch für minimales Risiko gilt Artikel 4 (KI-Kompetenz) – und eine KI-Inventur sollten Sie trotzdem durchführen.
Tool-Einordnung: Wo stehen Ihre typischen Mittelstandstools?
| Tool / Anwendung | Risikoklasse | Ihre Pflichten |
|---|---|---|
| ChatGPT / MS Copilot für interne Texte | Minimal | Artikel 4 Schulung, KI-Inventur |
| Chatbot im Kundenservice | Begrenzt | Transparenzpflicht (Art. 50) ab Aug. 2026 |
| KI-generierte Marketingtexte / Bilder | Begrenzt | Kennzeichnungspflicht wenn veröffentlicht |
| Personio / HiBob mit KI-Bewerbungsranking | Hochrisiko | Volle Dokumentation, Konformitätsbewertung |
| KI-Kreditscoring / Bonitätsprüfung | Hochrisiko | Volle Dokumentation, EU-Registrierung |
| Lageroptimierung mit KI | Minimal | Artikel 4 Schulung, KI-Inventur |
| Predictive Maintenance in der Produktion | Meist minimal | KI-Inventur, ggf. Einzelfallprüfung |
| KI-gestützte Buchhaltung (z. B. DATEV mit KI) | Minimal | Artikel 4 Schulung, KI-Inventur |
| Emotionserkennung im HR-Kontext | Verboten | Sofort einstellen |
| KI-Telefonbot für Terminvereinbarung | Begrenzt | Transparenzpflicht (Art. 50) ab Aug. 2026 |
| Spam-Filter, Rechtschreibkorrektur | Minimal | Kein spezifischer Handlungsbedarf |
Wichtige Fristen 2025–2028 – Was gilt wann?
Was seit dem 2. Februar 2025 gilt
- Verbotene KI-Praktiken (Artikel 5) sind rechtswidrig – Verstöße können mit bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes sanktioniert werden
- Artikel 4 (KI-Kompetenz) gilt: Alle Unternehmen müssen sicherstellen, dass Mitarbeitende, die mit KI arbeiten, über ausreichende Kompetenz verfügen
Was ab dem 2. August 2026 gilt
- Hochrisiko-Systeme (Anhang III): Umfangreiche Pflichten für Betreiber (Risikoklasse, Dokumentation, Transparenz gegenüber Betroffenen, Protokollierung)
- Transparenzpflichten (Artikel 50): Chatbots, KI-Telefon-Assistenten und KI-generierte Inhalte müssen als solche gekennzeichnet werden
- Registrierungspflicht für Hochrisiko-Betreiber in der EU-Datenbank
Der Digital Omnibus – Stand März 2026
Am 13. März 2026 hat der EU-Rat seine Verhandlungsposition zum sogenannten Digital Omnibus beschlossen. Dieses Gesetzespaket sieht unter anderem eine Verschiebung der Fristen für Hochrisiko-Systeme vor:
- Hochrisiko nach Anhang III (HR, Kredit, Bildung…): Verschiebung auf voraussichtlich Dezember 2027
- Hochrisiko nach Anhang I (regulierte Produkte): Verschiebung auf voraussichtlich August 2028
Aber Achtung: Diese Verschiebung gilt nur, wenn das Digital-Omnibus-Paket noch vor dem 2. August 2026 vom EU-Parlament und Rat verabschiedet wird. Das ist zum aktuellen Zeitpunkt nicht garantiert. Bis zur finalen Verabschiedung gelten die ursprünglichen Fristen.
Das KI-MIG – Deutschlands nationales Umsetzungsgesetz
Am 11. Februar 2026 hat das Bundeskabinett das KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG) beschlossen. Dieses Gesetz regelt für Deutschland:
- Die Bundesnetzagentur als primäre Marktüberwachungsbehörde für den EU AI Act
- Nationale Sanktionsmechanismen und Bußgeldrahmen
- Regelungen zu KI-Reallaboren (Regulatory Sandboxes) für Innovationsprojekte
Für Unternehmen bedeutet das: Die Bundesnetzagentur ist Ihre erste Anlaufstelle – und die Behörde, die im Falle einer Prüfung zuständig ist.
EU AI Act und DSGVO – Ihre Vorarbeit zählt
Wenn Ihr Unternehmen bereits DSGVO-konform aufgestellt ist, haben Sie einen echten Vorsprung. Die Parallelitäten zwischen beiden Regelwerken sind erheblich:
| DSGVO-Grundlage | AI Act-Entsprechung |
|---|---|
| Verzeichnis von Verarbeitungstätigkeiten (VVT) | Basis für die KI-Inventur |
| Datenschutz-Folgenabschätzung (DSFA) | Vorstufe zur Grundrechte-Folgenabschätzung (GRFA) bei Hochrisiko-KI |
| Datenschutzbeauftragter (DSB) | Ideale Rolle für KI-Compliance-Aufgaben oder KI-Beauftragten |
| Auftragsverarbeitungsverträge (AVV) | Vertragliche Grundlage auch für KI-Anbieterverhältnisse |
| Transparenzpflichten gegenüber Betroffenen | Ergänzt durch Transparenzpflicht für KI (Artikel 50) |
Was neu hinzukommt: Der EU AI Act geht über den Datenschutz hinaus. Er schützt nicht nur personenbezogene Daten, sondern Grundrechte allgemein – also Diskriminierungsfreiheit, faire Entscheidungen, Sicherheit. Das erfordert neue Prozesse, die über den DSGVO-Rahmen hinausgehen.
Die Compliance-Checkliste für KMU – 7 Schritte
Schritt 1: KI-Inventur durchführen (sofort)
Erstellen Sie eine vollständige Liste aller KI-Systeme, die in Ihrem Unternehmen genutzt werden – auch eingebettete KI-Funktionen in bestehenden Tools.
Was in die KI-Inventur gehört:
| Feld | Beispiel |
|---|---|
| Systemname / Tool | Personio, ChatGPT, Chatbot auf Website |
| Anbieter | OpenAI, Personio GmbH, etc. |
| Einsatzbereich | HR, Marketing, Kundenservice |
| Betroffene Personengruppen | Bewerber, Kunden, Mitarbeitende |
| Datenverarbeitung | Ja / Nein, welche Daten |
| KI-Funktion aktiv? | Ja / Nein / Unbekannt |
| Vorläufige Risikoklasse | Minimal / Begrenzt / Hochrisiko |
Tragen Sie jedes Tool ein, das in irgendeiner Form KI verwendet – auch wenn Sie sich nicht sicher sind. Im Zweifel: eintragen und später klären.
Schritt 2: Risikoklasse bestimmen
Nutzen Sie die Tool-Tabelle weiter oben als ersten Orientierungspunkt. Für unsichere Fälle gilt dieser Entscheidungsbaum:
- Ist das System in der Verbotenen-Liste (Artikel 5)? → Sofort einstellen
- Trifft das System Entscheidungen über Menschen in sensiblen Bereichen (Arbeit, Kredit, Bildung, kritische Infrastruktur)? → Hochrisiko prüfen (Anhang III)
- Interagiert das System direkt mit Menschen oder generiert es Inhalte? → Begrenzt (Transparenzpflicht prüfen)
- Alle anderen Fälle → Minimal
Im Zweifel: Rechtsbeistand oder Fachberatung hinzuziehen.
Schritt 3: Artikel-4-Schulungen dokumentieren (sofort)
Artikel 4 gilt seit Februar 2025. Sie müssen sicherstellen, dass alle Mitarbeitenden, die KI-Systeme einsetzen, über die notwendige Kompetenz verfügen – und das dokumentieren.
Was “ausreichende KI-Kompetenz” bedeutet (rollenspezifisch):
| Rolle | Mindest-Kompetenz |
|---|---|
| Geschäftsführung | Grundverständnis EU AI Act, Risikobewusstsein, Haftungsfragen |
| IT / Systemverantwortliche | Technische Risikoklassifizierung, Sicherheits- und Datenschutzaspekte |
| HR | Verbote bei Emotionserkennung, Hochrisiko-Einordnung von HR-Tools |
| Marketing | Kennzeichnungspflicht für KI-Inhalte (Art. 50), Deepfake-Verbote |
| Alle Nutzer von KI-Tools | Grundlagen KI-Kompetenz: Was ist KI, wie funktioniert sie, was darf sie nicht |
Erstellen Sie für jede Schulung ein kurzes Protokoll: Datum, Teilnehmende, Inhalt. Das reicht für den Nachweis.
Schritt 4: KI-Richtlinie / interne Policy erstellen (bis August 2026)
Eine interne KI-Richtlinie regelt, welche KI-Systeme erlaubt sind, wie sie eingesetzt werden dürfen und wer dafür verantwortlich ist. Sie schützt Sie rechtlich und schafft Klarheit im Team.
Mindestinhalt einer KI-Richtlinie für KMU:
- Welche KI-Tools sind genehmigt (Whitelist)?
- Was darf mit KI-Tools nicht getan werden (verbotene Anwendungen)?
- Umgang mit personenbezogenen Daten in KI-Tools
- Kennzeichnungspflicht für KI-generierte Inhalte
- Zuständigkeiten und Ansprechpartner
- Meldepflicht bei neuen KI-Tools (Genehmigungsprozess)
Schritt 5: Hochrisiko-Systeme dokumentieren und bewerten (bis August 2026)
Wenn Sie Hochrisiko-KI einsetzen (z. B. KI-gestütztes Bewerberranking), müssen Sie als Betreiber:
- Eine Grundrechte-Folgenabschätzung (GRFA) durchführen
- Sicherstellen, dass eine menschliche Aufsicht über KI-Entscheidungen gewährleistet ist
- Protokolle über KI-gestützte Entscheidungen führen (wann hat welches System welche Empfehlung gegeben?)
- Betroffene informieren, dass ein Hochrisiko-KI-System eingesetzt wird
- Das System in der EU-KI-Datenbank (als Betreiber) registrieren
Schritt 6: Transparenzpflichten umsetzen (bis August 2026)
Für Chatbots, KI-Telefonassistenten und KI-generierte Inhalte gilt ab August 2026 Artikel 50:
- Chatbots: Benutzer müssen zu Beginn jedes Gesprächs klar informiert werden: „Sie kommunizieren mit einem KI-System.”
- KI-generierte Bilder, Videos, Texte: Wenn diese veröffentlicht werden, müssen sie als KI-generiert gekennzeichnet sein
- KI-Sprachsysteme am Telefon: Caller müssen informiert werden, dass sie mit einem KI-System sprechen
Setzen Sie das jetzt um – nicht erst kurz vor dem Stichtag.
Schritt 7: Laufendes Monitoring und Review-Prozess einrichten
KI-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Empfehlung: Jährliche Überprüfung der KI-Inventur und der KI-Richtlinie, quartalsweise Prüfung auf neue Tools im Unternehmen.
EU AI Act Compliance-Checkliste für KMU
7 Schritte zur Compliance – Stand März 2026 · ki-agentur.com
Schritt 1 · KI-Inventur (sofort)
- Alle KI-Tools und -Systeme auflisten – auch eingebettete KI-Funktionen in bestehender Software
- Anbieter, Einsatzbereich und betroffene Personengruppen dokumentieren
- Datenverarbeitung je Tool klären (ja / nein / welche Daten)
- Vorläufige Risikoklasse vergeben: Minimal / Begrenzt / Hochrisiko / Verboten
Schritt 2 · Risikoklasse bestimmen
- Verbotene Praktiken (Art. 5) prüfen: Emotionserkennung am Arbeitsplatz, Social Scoring sofort einstellen
- Hochrisiko prüfen: Trifft das System Entscheidungen über Menschen in HR, Kredit, Bildung oder kritischer Infrastruktur?
- Begrenztes Risiko: Chatbots, KI-Sprachsysteme, KI-generierte Inhalte → Transparenzpflicht (Art. 50)
- Bei unklarer Einordnung: Rechtsbeistand oder spezialisierte Fachberatung hinzuziehen
Schritt 3 · Artikel-4-Schulungen (gilt seit Feb. 2025)
- Schulungsformat festlegen: intern (Präsentation/Workshop) oder extern (Online-Kurs)
- Alle KI-nutzenden Mitarbeitenden rollenspezifisch schulen (GF, IT, HR, Marketing, alle User)
- Protokolle erstellen: Datum, Teilnehmende, Schulungsinhalt
- Regelmäßige Wiederholung planen (jährlich empfohlen)
Schritt 4 · Interne KI-Richtlinie erstellen (bis Aug. 2026)
- Whitelist genehmigter KI-Tools festlegen
- Verbotene Anwendungen klar definieren
- Umgang mit personenbezogenen Daten in KI-Tools regeln
- Kennzeichnungspflicht für KI-generierte Inhalte integrieren
- Zuständigkeiten und Genehmigungsprozess für neue KI-Tools benennen
Schritt 5 · Hochrisiko-Systeme dokumentieren (bis Aug. 2026)
- Grundrechte-Folgenabschätzung (GRFA) durchführen
- Menschliche Aufsicht über KI-Entscheidungen sicherstellen und dokumentieren
- Entscheidungsprotokolle einführen (was hat das System wann empfohlen?)
- Betroffene Personen über den KI-Einsatz informieren
- Hochrisiko-System in der EU-KI-Datenbank als Betreiber registrieren
Schritt 6 · Transparenzpflichten umsetzen (bis Aug. 2026)
- Chatbots: Hinweis 'Sie kommunizieren mit einem KI-System' zu Gesprächsbeginn einbauen
- KI-generierte Bilder, Videos und Texte: Kennzeichnung 'KI-generiert' vor Veröffentlichung
- KI-Telefonassistenten: Anrufende über den KI-Einsatz informieren
Schritt 7 · Laufendes Monitoring
- Jährliche Überprüfung und Aktualisierung der KI-Inventur
- Quartalsweise Prüfung auf neue KI-Tools im Unternehmen
- Schulungszyklen und KI-Richtlinie regelmäßig aktualisieren
- Änderungen im EU AI Act, Digital Omnibus und KI-MIG im Blick behalten
Was droht bei Nichteinhaltung? (Realistisch betrachtet)
Bußgeldrahmen
Der EU AI Act sieht drei Bußgeldstufen vor:
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken (Artikel 5) | 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes |
| Sonstige Pflichtverstöße (Hochrisiko, Transparenz) | 15 Mio. EUR oder 3 % des Jahresumsatzes |
| Falsche oder irreführende Angaben gegenüber Behörden | 7,5 Mio. EUR oder 1 % des Jahresumsatzes |
Für KMU gilt: Die Bußgelder sind verhältnismäßig anzuwenden. Die Bundesnetzagentur hat angekündigt, zunächst auf Beratung und Abhilfe zu setzen – bevor Bußgelder verhängt werden.
Wie läuft eine Prüfung durch die Bundesnetzagentur ab?
Die Bundesnetzagentur (als zuständige KI-Marktüberwachungsbehörde nach dem KI-MIG) kann anlassbezogen oder stichprobenartig prüfen. Im Falle einer Prüfung werden in der Regel zunächst angefordert:
- KI-Inventur / Liste der eingesetzten KI-Systeme
- Nachweise über Artikel-4-Schulungen
- Interne KI-Richtlinie / Policy
- Bei Hochrisiko: Technische Dokumentation und GRFA
Wer diese Unterlagen vorlegen kann, ist in einer deutlich besseren Position – unabhängig davon, ob alles perfekt umgesetzt ist.
Haftungsrisiken jenseits der Bußgelder
Neben Bußgeldern entstehen durch den EU AI Act auch zivilrechtliche Risiken. Die EU KI-Haftungsrichtlinie (parallel in Entwicklung) soll Betroffenen ermöglichen, Schadensersatz bei KI-bedingten Schäden einzufordern. Besonders relevant: HR-Entscheidungen (Ablehnung von Bewerbungen durch KI), Kreditverweigerungen durch KI, diskriminierende KI-Ausgaben.
Was kostet Compliance wirklich?
Eine häufige Sorge von KMU: Die Compliance-Kosten übersteigen den Nutzen. Das ist in den meisten Fällen unbegründet – je nachdem, welche KI-Systeme Sie einsetzen.
Szenario A: Nur minimales Risiko (z. B. ChatGPT und Buchhaltungstool mit KI)
- KI-Inventur erstellen: 4–8 Stunden intern
- Artikel-4-Schulung dokumentieren: 2–4 Stunden + ggf. externes Schulungsangebot (200–500 EUR)
- KI-Richtlinie aufsetzen: 4–8 Stunden (oder Vorlage: 50–150 EUR)
- Gesamtaufwand: ein bis zwei Arbeitstage + ggf. 200–700 EUR
Szenario B: Chatbot im Kundenservice (begrenztes Risiko)
- Wie Szenario A plus: Transparenz-Hinweis im Chatbot implementieren (meist 1–2 Stunden Entwicklung)
- Gesamtaufwand: zwei bis drei Arbeitstage
Szenario C: KI-gestütztes Bewerberranking (Hochrisiko)
- KI-Inventur, Schulungen, KI-Richtlinie: wie oben
- Grundrechte-Folgenabschätzung: 20–40 Stunden intern oder 3.000–8.000 EUR extern
- Technische Dokumentation (oft mit Anbieter): 10–20 Stunden
- Registrierung EU-KI-Datenbank: 2–4 Stunden
- Gesamtaufwand: 5.000–15.000 EUR – einmalig, amortisiert sich über Betriebsdauer
Wo bekommt Ihr KMU Unterstützung?
Sie müssen das nicht alleine lösen. Folgende Anlaufstellen unterstützen KMU kostenlos oder mit geförderten Angeboten:
- Bundesnetzagentur – KI-Service-Desk: Erste offizielle Anlaufstelle für Fragen zum EU AI Act in Deutschland (bundesnetzagentur.de)
- Mittelstand-Digital Zentren: Bundesweit verteilte Beratungsstellen für Digitalisierung und KI im Mittelstand – kostenlose Beratung und Schulungen (mittelstand-digital.de)
- IHK: Viele IHK-Kammern bieten kostenlose Informationsveranstaltungen und FAQ zum EU AI Act an (ihk.de)
- Regulatory Sandboxes / KI-Reallabore: Das KI-MIG sieht Reallabore vor, in denen Unternehmen neue KI-Anwendungen unter regulatorischer Begleitung testen können – relevant für innovationsstarke Mittelständler
EU AI Act Compliance für Ihr Unternehmen
Wir begleiten Sie von der KI-Inventur bis zur vollständigen Compliance – pragmatisch, ohne unnötigen Aufwand und mit klarem Fokus auf Ihren Betrieb.
FAQ – Die wichtigsten Fragen zum EU AI Act für KMU
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln oder einsetzen – also auch für Sie, wenn Sie KI-Tools wie ChatGPT, Chatbots, HR-Software mit KI-Funktionen oder ähnliche Anwendungen nutzen. Als sogenannter Betreiber haben Sie konkrete Pflichten: von der KI-Inventur über Schulungsnachweise bis hin zu Transparenzpflichten.
Seit dem 2. Februar 2025 sind zwei Dinge in Kraft: Erstens sind verbotene KI-Praktiken (Artikel 5) rechtswidrig – dazu gehören u. a. Emotionserkennung am Arbeitsplatz und Social Scoring. Zweitens gilt Artikel 4: Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass beteiligte Mitarbeitende über ausreichende KI-Kompetenz verfügen und das nachweisbar dokumentieren. Das wird von den meisten Unternehmen noch ignoriert.
Der EU-Rat hat am 13. März 2026 eine Verhandlungsposition zum Digital Omnibus beschlossen, die eine Verschiebung der Hochrisiko-Fristen vorsieht (auf Dezember 2027 bzw. August 2028). Diese Verschiebung gilt jedoch erst, wenn das Paket von EU-Parlament und Rat verabschiedet ist – was noch aussteht. Bis dahin gilt: August 2026 ist der maßgebliche Stichtag. Planen Sie auf dieser Basis.
Nein – ChatGPT selbst als allgemeines Sprachmodell fällt unter minimales Risiko. Hochrisiko entsteht durch den konkreten Einsatzkontext: Wenn Sie ChatGPT nutzen, um Bewerbungen zu bewerten und Entscheidungen über Bewerber zu treffen, kann das Hochrisiko sein – weil der Anwendungsfall (HR-Entscheidung) Hochrisiko ist, nicht das Modell selbst.
Der EU AI Act schreibt keinen KI-Beauftragten vor – anders als die DSGVO einen Datenschutzbeauftragten. Es empfiehlt sich aber, intern eine verantwortliche Person für KI-Compliance zu benennen. Ideal: Wenn Sie bereits einen Datenschutzbeauftragten haben, kann dieser die KI-Compliance-Aufgaben mitübernehmen – da es erhebliche inhaltliche Überschneidungen gibt.
Die Bundesnetzagentur hat angekündigt, zunächst auf Beratung und Abhilfemaßnahmen zu setzen. Bußgelder bei erstem Kontakt sind unwahrscheinlich – aber nicht ausgeschlossen. Realistischer als ein sofortiges Bußgeld: Aufforderung zur Nachrüstung mit Frist, bei Nichteinhaltung dann Sanktionen. Außerdem entstehen Haftungsrisiken gegenüber betroffenen Personen – insbesondere bei Hochrisiko-Systemen. Wer dokumentiert handelt, ist erheblich besser geschützt.
Ab August 2026 ja – für veröffentlichte KI-generierte Bilder, Videos, Audioinhalte und Texte gilt Artikel 50. Das betrifft vor allem Marketingmaterial, Social-Media-Posts mit KI-generierten Bildern und synthetische Medien. Die Kennzeichnung muss klar erkennbar sein. Für interne KI-generierte Dokumente (z. B. interne Zusammenfassungen) gilt die Pflicht nicht.
Das KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG) ist das deutsche Ausführungsgesetz zum EU AI Act, das am 11. Februar 2026 vom Bundeskabinett beschlossen wurde. Es benennt die Bundesnetzagentur als zuständige Behörde für Deutschland, regelt nationale Sanktionsmechanismen und schafft die Grundlage für KI-Reallabore. Für Ihr Unternehmen bedeutet das: Die Bundesnetzagentur ist Ihre Anlaufstelle – und die Behörde, die im Falle einer Prüfung aktiv wird.
Die DSGVO schützt personenbezogene Daten. Der EU AI Act schützt Grundrechte allgemein – also nicht nur Datenschutz, sondern auch Diskriminierungsfreiheit, faire Entscheidungen, menschliche Aufsicht über KI. Es gibt erhebliche Überschneidungen (z. B. bei HR-KI, die personenbezogene Daten verarbeitet), aber beide Regelwerke haben unterschiedliche Schutzrichtungen. Ein Unternehmen, das DSGVO-konform ist, hat gute Voraussetzungen – muss aber zusätzliche AI-Act-spezifische Maßnahmen ergreifen.
Eine KI-Inventur ist eine strukturierte Liste aller KI-Systeme, die in Ihrem Unternehmen eingesetzt werden – ähnlich dem DSGVO-Verarbeitungsverzeichnis, aber für KI. Sie enthält: Systemname, Anbieter, Einsatzbereich, betroffene Personengruppen, Datenverarbeitung, aktive KI-Funktionen und vorläufige Risikoklasse. Der einfachste Einstieg: Starten Sie mit Ihrem bestehenden DSGVO-Verarbeitungsverzeichnis und ergänzen Sie alle Tools, die KI-Funktionen haben.
Fazit: Die drei wichtigsten Sofortmaßnahmen
Der EU AI Act ist kein Zukunftsthema mehr. Er gilt bereits in Teilen – und die nächste große Stufe kommt am 2. August 2026. Was Sie jetzt tun sollten:
- KI-Inventur starten – Welche KI-Systeme setzen Sie ein? Erstellen Sie eine Liste, auch von eingebetteten KI-Funktionen in bestehenden Tools.
- Artikel-4-Schulungen dokumentieren – Das gilt seit Februar 2025. Kurze Schulung + Protokoll reichen für den Anfang.
- Risikoklasse bestimmen – Nutzen Sie die Tool-Tabelle in diesem Artikel und holen Sie bei Hochrisiko-Fällen frühzeitig Expertenrat ein.
Wer heute beginnt, hat ausreichend Zeit, bis August 2026 compliant zu sein – ohne Last-Minute-Stress und ohne überhöhte Kosten für kurzfristige Berater.
Quellen
Die in diesem Artikel verwendeten Rechtsquellen, Behördenangaben und Studien basieren auf folgenden Dokumenten:
-
Europäisches Parlament & Rat – Verordnung (EU) 2024/1689 (EU AI Act), in Kraft seit 1. August 2024. eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202401689
-
EU-Rat – Council agrees position to streamline rules on artificial intelligence (Digital Omnibus), Pressemitteilung vom 13. März 2026. consilium.europa.eu/en/press/press-releases/2026/03/13/…
-
Bundesministerium für Digitales und Verkehr – KI-Marktüberwachungs- und Implementierungsgesetz (KI-MIG), Kabinettsbeschluss 11. Februar 2026.
-
Bundesnetzagentur – Informationen zur Marktüberwachung KI-Systeme. bundesnetzagentur.de
-
IHK Stuttgart – FAQ: AI Act / KI-Verordnung für Unternehmen (2025/2026). ihk.de/stuttgart/…/faq-ai-act-ki-verordnung-6086082
-
Europäische Kommission – AI Act Service Desk – Erläuterungen zu Artikel 4 und Artikel 50. ai-act-service-desk.ec.europa.eu
-
caralegal – KI-Kompetenz nach Art. 4 KI-VO: Was Unternehmen jetzt wissen müssen (2025). caralegal.eu/blog/ki-kompetenz-nach-art-4-ki-vo
-
activeMind.legal – DSGVO und AI Act: Gemeinsamkeiten und Unterschiede (2025). activemind.legal/de/guides/dsgvo-ai-act