zur Blogübersicht

EU AI Act: Was ab August 2026 auf Unternehmen zukommt – Handlungsbedarf jetzt!

Apr. 27, 2026

Am 2. August 2026 läuft eine der wichtigsten Fristen der europäischen Digitalgesetzgebung ab: Dann gelten die zentralen Vorschriften der EU-Verordnung über Künstliche Intelligenz – kurz EU AI Act oder KI-Verordnung – vollständig für Hochrisiko-KI-Systeme. Noch sind es wenige Monate, doch viele Unternehmen in Deutschland haben noch keinen konkreten Compliance-Plan. Die Kanzlei Wetzel erklärt, was auf Sie zukommt, wer betroffen ist und warum Sie jetzt handeln sollten.

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Er wurde im Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten – also auch in Deutschland – ohne weitere nationale Umsetzungsgesetze.

Ziel des AI Act ist es, KI-Systeme sicherer, transparenter und grundrechtskonform zu machen. Er klassifiziert KI-Anwendungen nach ihrem Risikopotenzial und knüpft daran unterschiedlich strenge Pflichten.

Die Verordnung gilt für:

Anbieter von KI-Systemen, die in der EU in Verkehr gebracht oder in Betrieb genommen werden
Betreiber (Deployer), die KI-Systeme im Rahmen ihrer beruflichen Tätigkeit einsetzen
Importeure und Händler von KI-Systemen
auch Unternehmen außerhalb der EU, wenn ihre KI-Systeme Auswirkungen auf Personen in der EU haben

Risikoklassifizierung: Wer ist wie betroffen?

Das Herzstück des EU AI Act ist eine vierstufige Risikoklassifizierung. Je höher das Risiko, desto strenger die Anforderungen:

Verbotene KI-Praktiken (Art. 5): Diese sind seit dem 2. Februar 2025 verboten. Dazu gehören z. B. KI-Systeme zur unterschwelligen Manipulation von Personen, Social Scoring durch Behörden oder biometrische Echtzeit-Fernüberwachung im öffentlichen Raum (mit engen Ausnahmen).

Hochrisiko-KI-Systeme (Art. 6, Anhang III): Ab dem 2. August 2026 gelten die strengsten Anforderungen für Systeme in sensiblen Bereichen wie: Personalentscheidungen (Bewerbungsauswahl, Leistungsbeurteilung), Kreditvergabe und Bonitätsbewertung, Bildungseinrichtungen (z. B. Prüfungsauswertung), kritische Infrastrukturen, Strafverfolgung und Justiz sowie Medizinprodukte und Gesundheitsversorgung.

KI-Systeme mit Transparenzpflichten (Art. 50): Chatbots, KI-generierte Texte und Deepfakes unterliegen Kennzeichnungspflichten – seit August 2026 vollständig anwendbar.

KI-Systeme mit minimalem Risiko: Hierzu gehören z. B. KI-gestützte Spam-Filter oder einfache Empfehlungssysteme. Diese sind weitgehend unkritisch und unterliegen nur freiwilligen Verhaltenskodizes.

„Viele Unternehmen unterschätzen, ob ihre eigenen digitalen Prozesse KI-Systeme im Sinne des AI Act sind – und riskieren damit unbewusst Verstöße.”

Kernpflichten für Hochrisiko-KI ab August 2026

Für Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, gelten ab dem 2. August 2026 folgende zentrale Anforderungen:

Risikomanagementsystem (Art. 9): Ein kontinuierliches Risikomanagementsystem über den gesamten Lebenszyklus des KI-Systems muss eingerichtet und dokumentiert werden. Risiken für Gesundheit, Sicherheit und Grundrechte sind proaktiv zu minimieren.

Daten-Governance (Art. 10): Trainings-, Validierungs- und Testdaten müssen strengen Qualitätskriterien genügen: Sie müssen repräsentativ, fehlerfrei und vollständig sein, um Diskriminierung (Bias) zu vermeiden.

Technische Dokumentation und Protokollierung (Art. 11, 12): Das System muss jeden Schritt automatisch protokollieren. Eine umfangreiche technische Dokumentation ist zu führen und auf Verlangen den Aufsichtsbehörden vorzulegen.

Transparenz und Nutzerinformationen (Art. 13): Betreiber von Hochrisiko-KI-Systemen müssen Nutzern klare, verständliche Informationen über das System bereitstellen, insbesondere über dessen Fähigkeiten und Grenzen.

Menschliche Aufsicht (Art. 14): Es muss technisch und organisatorisch sichergestellt sein, dass eine Person das System jederzeit stoppen oder übersteuern kann. Vollautomatisierte Entscheidungen ohne Kontrollmöglichkeit sind bei Hochrisiko-KI nicht zulässig.

KI-Kompetenz (Art. 4): Der EU AI Act verpflichtet alle Unternehmen, die KI einsetzen, zur Sicherstellung ausreichender KI-Kompetenz bei ihren Mitarbeiterinnen und Mitarbeitern. Schulungen und interne Richtlinien sind zu dokumentieren.

Konformitätsbewertung (Art. 43): Vor dem Inverkehrbringen ist eine Konformitätsbewertung durchzuführen. Je nach KI-System ist eine Selbstbewertung oder eine Prüfung durch benannte Dritte erforderlich. Das CE-Kennzeichen für konforme Hochrisiko-KI-Systeme wird Pflicht.

„Der EU AI Act ist kein abstraktes Zukunftsszenario – er ist geltendes Recht mit konkreten Fristen und empfindlichen Bußgeldern.”

Strafen und Bußgelder: Die Risiken des Nichtstuns

Der EU AI Act sieht erhebliche Sanktionen vor, die je nach Verstoß variieren:

Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die Verbote (Art. 5) oder gegen Datenschutzanforderungen
Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes bei Verstößen gegen die Anforderungen für Hochrisiko-KI-Systeme
Bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes bei der Übermittlung unrichtiger Informationen an Behörden

Für KMU und Startups sieht Art. 62 EU AI Act ausdrücklich Erleichterungen vor – u. a. vereinfachte Dokumentationspflichten, bevorzugter Zugang zu KI-Sandbox-Umgebungen und angepasste Konformitätsbewertungen. Dennoch sind auch kleine Unternehmen nicht vom Anwendungsbereich ausgenommen.

Hinzu kommen zivilrechtliche Risiken: Wer durch eine fehlerhafte oder vorschriftswidrige KI geschädigt wird, kann Schadensersatz geltend machen – auch in Kombination mit der EU-Produkthaftungsrichtlinie, die seit März 2026 KI-Systeme ausdrücklich erfasst.

Was Unternehmen jetzt tun sollten

Die Zeit bis August 2026 ist knapp. Eine strukturierte Vorbereitung in mehreren Schritten ist sinnvoll:

1. KI-Inventar erstellen: Verschaffen Sie sich einen Überblick über alle KI-Systeme, die in Ihrem Unternehmen eingesetzt oder entwickelt werden – auch Drittanbieter-Tools wie HR-Software, Kreditscoring-Tools oder automatisierte Entscheidungssysteme.

2. Risikoklassifizierung vornehmen: Prüfen Sie für jedes identifizierte System, ob es unter die Verbote, die Hochrisiko-Kategorie oder die Transparenzpflichten des EU AI Act fällt. Dies ist eine rechtliche Bewertungsaufgabe, die anwaltliche Unterstützung erfordert.

3. Compliance-Lücken identifizieren: Vergleichen Sie Ihre aktuelle Praxis mit den Anforderungen des AI Act: Haben Sie ein Risikomanagementsystem? Gibt es technische Dokumentation? Sind Mitarbeitende ausreichend geschult?

4. Interne Richtlinien und Schulungen: Entwickeln Sie eine KI-Nutzungsrichtlinie für Ihr Unternehmen und schulen Sie Mitarbeitende in den relevanten Anforderungen des AI Act. Dokumentieren Sie dies sorgfältig.

5. Verträge mit KI-Anbietern prüfen: Wenn Sie KI-Systeme von Drittanbietern nutzen, müssen Ihre Verträge die Pflichten des EU AI Act widerspiegeln – z. B. durch Zusicherungen zur Konformität, Bereitstellung technischer Dokumentation und Regelungen zur Haftung.

„Unternehmen, die jetzt mit der Compliance beginnen, haben einen klaren Wettbewerbsvorteil – und vermeiden empfindliche Bußgelder.”

Die Kanzlei Wetzel berät Unternehmen, Startups und Organisationen bei der rechtssicheren Implementierung des EU AI Act. Von der Risikoklassifizierung über die Vertragsgestaltung bis zur Erstellung von KI-Nutzungsrichtlinien – wir begleiten Sie auf dem Weg zur KI-Compliance.

Besuchen Sie auch unseren „Blog – Recht einfach”, in dem wir juristisch fundierte, aber dabei allgemeinverständliche Artikel zu aktuellen Rechtsthemen veröffentlichen – täglich und tagesaktuell!

Häufige Fragen (FAQ)

Was ist der EU AI Act und für wen gilt er?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er gilt für alle Unternehmen, die KI-Systeme in der EU anbieten, einsetzen oder importieren – unabhängig davon, ob das Unternehmen seinen Sitz in der EU hat oder nicht. Entscheidend ist, dass die KI-Systeme auf Personen in der EU Auswirkungen haben.

Welche Frist gilt ab August 2026 konkret?

Ab dem 2. August 2026 müssen alle Hochrisiko-KI-Systeme gemäß Anhang III des EU AI Act die vollständigen Anforderungen der Verordnung erfüllen. Das bedeutet: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Transparenz, menschliche Aufsicht und Konformitätsbewertung müssen nachweisbar umgesetzt sein.

Ist mein Unternehmen ein Anbieter oder ein Betreiber (Deployer)?

Anbieter entwickeln und vermarkten KI-Systeme. Betreiber (Deployer) setzen KI-Systeme im Rahmen ihrer beruflichen Tätigkeit ein – z. B. ein Unternehmen, das eine KI-gestützte Bewerbungssoftware eines Drittanbieters nutzt. Beide Rollen haben eigene Pflichten. Viele Unternehmen sind gleichzeitig Anbieter und Betreiber, etwa wenn sie eigene KI-Tools entwickeln und intern einsetzen.

Was zählt als Hochrisiko-KI-System?

Hochrisiko-KI-Systeme sind in Anhang III des EU AI Act aufgelistet. Dazu gehören u. a.: KI in der Personalverwaltung (Bewerbungsauswahl, Leistungsbeurteilung), KI für Kreditscoring und Bonitätsbewertung, KI in Bildungseinrichtungen, KI in der Strafverfolgung und Justiz sowie KI in kritischen Infrastrukturen. Auch Medizinprodukte mit KI-Funktionen fallen häufig in diese Kategorie.

Was passiert, wenn mein Unternehmen die Fristen nicht einhält?

Bei Verstößen gegen die Anforderungen für Hochrisiko-KI-Systeme drohen Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Zusätzlich können zivilrechtliche Schadensersatzansprüche von betroffenen Personen entstehen. Aufsichtsbehörden können auch Marktüberwachungsmaßnahmen einleiten, z. B. den Rückruf von KI-Systemen anordnen.

Gilt der EU AI Act auch für den Einsatz von ChatGPT oder ähnlichen Tools?

ChatGPT und ähnliche generative KI-Systeme (sog. General Purpose AI / GPAI-Modelle) unterliegen eigenen Regeln des EU AI Act (Kapitel V). Anbieter solcher Modelle müssen technische Dokumentation bereitstellen und Urheberrechts-Compliance gewährleisten. Für Unternehmen, die solche Tools einsetzen, gelten die Transparenzpflichten (Art. 50) – KI-generierte Inhalte müssen erkennbar gemacht werden.

Wie hängen EU AI Act und DSGVO zusammen?

EU AI Act und DSGVO ergänzen sich. Viele KI-Systeme verarbeiten personenbezogene Daten – hier gelten beide Regelwerke parallel. Datenschutz-Folgenabschätzungen (DSFA) nach DSGVO und Konformitätsbewertungen nach AI Act können teilweise kombiniert werden. Als externer Datenschutzbeauftragter berät die Kanzlei Wetzel Unternehmen bei der integrierten Compliance.

Gibt es Erleichterungen für kleine Unternehmen und Startups?

Ja. Art. 62 EU AI Act sieht für KMU und Startups ausdrückliche Erleichterungen vor: vereinfachte Dokumentationspflichten, bevorzugter Zugang zu regulatorischen KI-Sandboxes und angepasste Konformitätsbewertungen. Dennoch sind auch kleine Unternehmen grundsätzlich verpflichtet, die Anforderungen zu erfüllen, wenn sie Hochrisiko-KI-Systeme einsetzen.

Was ist eine KI-Nutzungsrichtlinie und brauche ich eine?

Eine KI-Nutzungsrichtlinie (AI Policy) ist ein internes Dokument, das regelt, welche KI-Tools Mitarbeitende einsetzen dürfen, wie mit KI-generierten Inhalten umzugehen ist und welche Datenschutz- und Sicherheitsanforderungen zu beachten sind. Art. 4 EU AI Act verpflichtet Unternehmen, KI-Kompetenz sicherzustellen – eine dokumentierte Richtlinie ist hierfür ein wichtiger Nachweis.

Wie kann die Kanzlei Wetzel helfen?

Die Kanzlei Wetzel berät Unternehmen umfassend zur EU AI Act-Compliance: von der rechtlichen Risikoklassifizierung Ihrer KI-Systeme über die Erstellung technischer Dokumentation und KI-Nutzungsrichtlinien bis hin zur Vertragsgestaltung mit KI-Anbietern. Als externe Datenschutzbeauftragte stellen wir auch die nahtlose Verbindung zur DSGVO-Compliance sicher. Nehmen Sie jetzt Kontakt auf!

Auch interessant:

Abschließend möchten wir Sie einladen, regelmäßig einen Blick auf unseren „Blog – Recht einfach” zu werfen. Hier finden Sie täglich spannende und praxisnahe Artikel zu unterschiedlichsten Rechtsthemen, die Ihnen helfen, rechtliche Herausforderungen besser zu meistern. Schauen Sie immer wieder vorbei – es lohnt sich!

Aktuelle Beiträge

Datenpanne im Unternehmen: Was tun in den ersten 72 Stunden? – Der DSGVO-Notfallplan

Jeden Tag werden Unternehmen in Deutschland Opfer von Cyberangriffen, Hackerattacken oder menschlichem Versagen – mit dem Ergebnis: Personenbezogene Daten gelangen in falsche Hände. Was viele nicht wissen: Die DSGVO schreibt in solchen Fällen eine strenge Meldepflicht...

EDPB startet Transparenz-Offensive: Was Unternehmen über die DSGVO-Prüfaktion 2026 wissen müssen

Der Europäische Datenschutzausschuss (EDPB) prüft 2026 europaweit, ob Unternehmen ihre Informationspflichten nach Art. 12–14 DSGVO korrekt erfüllen. 25 Aufsichtsbehörden nehmen an der koordinierten CEF-Aktion teil. Erfahren Sie, was das für Ihr Unternehmen bedeutet und welche Maßnahmen jetzt notwendig sind.

NIS2-Registrierungsfrist abgelaufen: Was jetzt für Ihr Unternehmen gilt

Die Registrierungsfrist für das NIS2-Umsetzungsgesetz ist am 6. März 2026 abgelaufen – und rund 18.500 Unternehmen haben sie verpasst. Was jetzt zu tun ist, welche Sanktionen drohen und wie Sie Ihr Unternehmen schnell in Compliance bringen, erfahren Sie hier.

Handlungsbedarf und Abmahngefahr: Impressum und AGB anpassen – Die OS-Plattform wird abgeschaltet!

Die europäische Plattform zur Online-Streitbeilegung (OS-Plattform) wird endgültig am 20. Juli 2025 abgeschaltet. Bislang mussten Gewerbetreibende auf ihren Websites und in den AGB einen Link auf diese Plattform aufnehmen (Art. 14 ODR-VO). Mit der Abschaltung entfällt...

Erste Hilfe: Inkasso-Mahnbescheid / Abmahnung erhalten – So handeln Sie richtig

Es beginnt oft harmlos: Ein Briefumschlag liegt im Briefkasten, der Absender klingt offiziell – ein Inkassobüro, eine Anwaltskanzlei oder sogar ein Amtsgericht... Was folgt, ist für viele ein Schock: eine Abmahnung, eine Zahlungsaufforderung oder gar ein gerichtlicher...

Erste Hilfe vom Anwalt: Shadowbanning – Was tun, wenn deine Reichweite verschwindet?

Du hast plötzlich das Gefühl, dass deine Posts kaum noch Reichweite generieren? Deine Follower:innen fragen, warum sie deine Livestreams nicht mehr finden? Dann könnte ein Shadowban hinter den Problemen stecken. Als Rechtsanwaltskanzlei mit Schwerpunkt auf...

Datenschutz in Vereinen und NGOs

Als engagierte Akteure der Zivilgesellschaft tragen Sie eine besondere Verantwortung – nicht nur für Ihre Mission, sondern auch für den Schutz personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) gilt uneingeschränkt für alle Organisationen, unabhängig von...

Praxis-Tipps: Anbauvereinigungen (CSCs) und Mitgliederverwaltung

Seit Inkrafttreten des Konsumcannabisgesetzes (CanG) am 1. April 2024 ist der gemeinschaftliche, nicht-gewerbliche Cannabis-Anbau für Erwachsene unter strengen Auflagen legal. Dabei sehen wir immer wieder: Die größten Stolpersteine liegen nicht im Anbau selbst,...

Widerspruch gegen KI-Training mit Meta-Daten: Was Sie jetzt wissen müssen

Meta hat am 14. April 2025 angekündigt, ab dem 27. Mai 2025 die öffentlich zugänglichen Inhalte seiner EU-Nutzer zur Verbesserung seiner Künstlichen Intelligenz (Meta AI) zu verwenden. Betroffen sind alle öffentlichen Inhalte auf Facebook, Instagram und WhatsApp von...

Praxisleitfaden: KI und Automatisierung – RPA (Robotic Process Automation)

Automatisierung ist kein Zukunftstrend mehr, sondern längst gelebte Realität! Robotic Process Automation (RPA) gehört dabei zu den effektivsten Technologien, um repetitive Geschäftsprozesse effizienter zu gestalten. Typische Einsatzgebiete sind etwa die automatisierte...