EU AI Act ab August 2026: Hochrisiko-KI, Omnibus-Paket und was Unternehmen jetzt wissen müssen
DerSchneider
Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz, der KI-Systeme je nach Gefahrenpotenzial in vier Risikostufen einteilt und entsprechend reguliert. Die umfassendsten Pflichten, insbesondere für Hochrisiko-KI-Systeme, gelten planmäßig ab August 2026, doch laufende politische Diskussionen im Rahmen des sogenannten „Digital Omnibus“-Pakets könnten diese Fristen noch verschieben.
Dieser Artikel erklärt ausführlich die vier Risikostufen des AI Act, die zentralen Pflichten für Unternehmen, die Höhe der möglichen Sanktionen sowie die aktuelle Omnibus-Diskussion um eine mögliche Verschiebung der Fristen.
Kern des Gesetzes: Der risikobasierte Ansatz
Der AI Act folgt einer einfachen, aber wirkungsvollen Grundlogik: Je höher das Risiko einer KI-Anwendung für Grundrechte, Gesundheit oder Sicherheit, desto strenger die gesetzlichen Auflagen. Dieser Ansatz vermeidet eine pauschale Überregulierung und konzentriert die staatlichen Ressourcen auf die wirklich gefährlichen Anwendungsfälle, während die Innovationskraft im Niedrigrisikobereich weitgehend unangetastet bleibt.
Das Gesetz unterscheidet vier Risikostufen, die nachfolgend im Detail erläutert werden.
Risikostufe 1: Unvertretbares Risiko (Verbotene Praktiken)
Auf der höchsten Stufe stehen KI-Systeme, die als mit den europäischen Grundwerten unvereinbar gelten – sie sind seit dem 2. Februar 2025 vollständig verboten. Die Verbote umfassen:
- Unterschwellige Manipulation: KI-Systeme, die unbewusste Techniken einsetzen, um das Verhalten von Menschen so zu verzerren, dass sie sich oder anderen Schaden zufügen
- Ausnutzung von Schwachstellen: KI, die gezielt die Verwundbarkeit von Personen aufgrund von Alter, Behinderung oder sozioökonomischer Lage ausnutzt
- Social Scoring: Bewertung oder Klassifizierung von Personen durch Behörden auf Basis ihres Sozialverhaltens mit nachteiligen Konsequenzen für die betroffenen Personen
- Prädiktive Polizeiarbeit: KI-Systeme, die allein auf Basis von Profiling oder Persönlichkeitsmerkmalen das Risiko einer Straftat vorhersagen
- Ungezieltes Scraping: Erstellung oder Erweiterung von Gesichtserkennungsdatenbanken durch ungezieltes Scraping von Gesichtsbildern aus dem Internet oder Überwachungsvideos
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Kategorisierung zur Ableitung sensibler Merkmale wie ethnischer Herkunft oder politischer Meinungen
Wichtig zu verstehen: Die Verbote gelten ausnahmslos für alle Akteure – unabhängig davon, ob sie in der EU ansässig sind oder nicht. Ein US-amerikanischer Softwareanbieter, dessen Social-Scoring-System von einer EU-Behörde genutzt wird, macht sich ebenso strafbar wie ein europäisches Unternehmen.
Risikostufe 2: Hochrisiko-KI
Hochrisiko-KI-Systeme bilden das eigentliche Herzstück des AI Act. Sie bleiben grundsätzlich zulässig, unterliegen aber umfassenden Anforderungen. Ein KI-System fällt in diese Kategorie, wenn es in sensiblen Bereichen eingesetzt wird und ein erhebliches Gefährdungspotenzial für Gesundheit, Sicherheit oder Grundrechte aufweist.
Typische Hochrisiko-Anwendungen finden sich heute bereits in nahezu jeder Branche:
| Einsatzbereich | Beispiele für Hochrisiko-KI |
|---|---|
| Medizintechnik | KI-basierte Diagnostik-Software (CE-pflichtig) |
| Automobilindustrie | Sicherheitskritische Fahrerassistenzsysteme |
| Finanzdienstleistungen | Kredit-Scoring, Bonitätsbewertungen von natürlichen Personen |
| Personalwesen | KI-gestützte Bewerberauswahl, Leistungsbewertung, Entscheidungen über Beförderung oder Kündigung |
| Öffentliche Verwaltung | Entscheidungen über Sozialleistungen, Migration, Asyl |
| Kritische Infrastruktur | Sicherheitsbauteile in Maschinen und Industrieanlagen |
Umfassende Pflichten für Hochrisiko-KI
Die konkreten Pflichten, die ab August 2026 greifen, sind vielschichtig und erfordern ein systematisches Compliance-Management:
- Risikomanagementsystem: Einrichtung eines kontinuierlichen Prozesses zur Identifikation, Bewertung und Kontrolle von Risiken während des gesamten Lebenszyklus der KI
- Datenqualität und -governance: Sicherstellung, dass die verwendeten Trainingsdatensätze relevant, repräsentativ und fehlerfrei sind
- Technische Dokumentation: Erstellung einer umfassenden Dokumentation, die alle Aspekte des KI-Systems, seiner Entwicklung und Leistungsfähigkeit transparent macht
- Konformitätsbewertungsverfahren: Durchführung einer vor der Markteinführung erforderlichen Prüfung, die die Einhaltung aller Anforderungen bestätigt
- Menschliche Aufsicht: Implementierung wirksamer Aufsichtsmechanismen, durch die Menschen die KI-Systeme jederzeit überwachen und eingreifen können
- Genauigkeit, Robustheit und Cybersicherheit: Nachweis, dass das KI-System unter definierten Bedingungen zuverlässig funktioniert und gegen böswillige Angriffe geschützt ist
- Grundrechte-Folgenabschätzung (GRFA): Durchführung einer systematischen Prüfung der Auswirkungen auf Grundrechte vor der Inbetriebnahme
- Meldepflicht für schwere Vorfälle: Verpflichtung, Sicherheitsvorfälle und Funktionsstörungen an die Aufsichtsbehörden zu melden
Risikostufe 3: Begrenztes Risiko (Transparenzpflichten)
Diese Kategorie betrifft KI-Systeme, bei denen insbesondere das Risiko der Täuschung besteht. Hier sind keine aufwendigen Risikomanagementsysteme erforderlich, wohl aber klare Kennzeichnungs- und Transparenzpflichten:
- Chatbots und virtuelle Assistenten müssen als KI-Systeme erkennbar sein – der Nutzer muss wissen, dass er mit einer Maschine und nicht mit einem Menschen interagiert
- Deepfakes und KI-generierte Inhalte sind als solche zu kennzeichnen, und zwar in einer für Menschen und Maschinen gleichermaßen verständlichen Form
- Emotionserkennungssysteme müssen offengelegt werden
Risikostufe 4: Minimales Risiko
Die große Mehrheit der heute auf dem Markt befindlichen KI-Anwendungen fällt in diese Kategorie und bleibt weitgehend unreguliert. Beispiele sind Spam-Filter, Empfehlungssysteme in Videospielen oder KI-gestützte Bestandsverwaltung.
Sanktionen: Hohe Bußgelder für Verstöße
Die finanziellen Sanktionen des AI Act orientieren sich am Vorbild der DSGVO und setzen bewusst hohe Anreize für eine lückenlose Compliance:
| Verstoßkategorie | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken (Artikel 5) | 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (höherer Betrag) |
| Verstöße gegen Hochrisiko-Anforderungen | 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |
| Falsche/irreführende Informationen an Behörden | 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |
Die Bußgelder wurden bewusst so hoch angesetzt, dass sie selbst für große internationale Technologiekonzerne eine spürbare Sanktion darstellen. Für KMU und Start-ups gelten reduzierte Bußgelder, wobei das Gesetz ausdrücklich deren wirtschaftliche Lebensfähigkeit berücksichtigen muss.
Extraterritoriale Reichweite: Das Gesetz gilt weltweit
Eine der folgenreichsten Bestimmungen des AI Act ist seine extraterritoriale Anwendung. Das Gesetz gilt für:
- Anbieter (auch außerhalb der EU), die KI-Systeme auf dem EU-Markt anbieten
- Betreiber von KI-Systemen, die ihren Sitz innerhalb der EU haben
- Anbieter und Betreiber außerhalb der EU, deren KI-Systemausgaben innerhalb der EU verwendet werden
- Importeure und Vertreiber von KI-Systemen in der EU
Für ein nicht in der EU ansässiges Unternehmen bedeutet das: Wenn Sie eine KI-Dienstleistung anbieten, die von EU-Bürgern genutzt werden kann, unterliegen Sie den gleichen Compliance-Pflichten wie ein europäisches Unternehmen. Zudem müssen außereuropäische Anbieter einen autorisierten EU-Vertreter benennen, der als Ansprechpartner für die Aufsichtsbehörden fungiert.
Die Omnibus-Diskussion: Eine mögliche Verschiebung der Fristen
Die bisherige Darstellung beschreibt den rechtlichen Status quo nach dem ursprünglichen AI Act. Dieser Status könnte sich jedoch durch das sogenannte „Digital Omnibus“-Paket ändern – einer Initiative der Europäischen Kommission zur Vereinfachung des digitalen Regelwerks.
Hintergrund und Chronologie
Im November 2025 schlug die Europäische Kommission das „Digital Omnibus on AI“ vor, ein Paket von Änderungen, das den AI Act anpassen und straffen sollte. Auslöser waren erhebliche Verzögerungen bei der praktischen Umsetzung – insbesondere bei der Benennung nationaler Aufsichtsbehörden und der Fertigstellung der harmonisierten Standards, die für die Hochrisiko-Anforderungen benötigt werden.
Kern der vorgeschlagenen Änderungen
Die bedeutendste geplante Änderung ist die Verschiebung des Hochrisiko-Compliance-Termins vom 2. August 2026 auf einen späteren Zeitpunkt:
- Stichtag für selbständige Hochrisiko-KI-Systeme (Anhang III): 2. Dezember 2027
- Stichtag für KI in regulierte Produkte (Medizingeräte, Maschinen, Spielzeug, vernetzte Fahrzeuge): 2. August 2028
Das Europäische Parlament hatte ursprünglich eine kürzere Verlängerung gefordert, während die Kommission eine längere Frist vorschlug. Die Diskussionen scheiterten jedoch an einer grundsätzlichen Frage: Sollen KI-Systeme, die in bereits durch EU-Produktsicherheitsrecht regulierte Produkte eingebettet sind, vollständig vom Anwendungsbereich des AI Act ausgenommen werden? Das Parlament forderte eine solche Ausnahmeregelung, während Rat und Kommission dies ablehnten.
Aktueller Stand und offene Fragen
Der zweite politische Triloge zwischen Parlament, Rat und Kommission am 28. April 2026 endete ohne Einigung. Ein weiterer Triloge ist für den 13. Mai 2026 angesetzt.
Die entscheidende Konsequenz für Unternehmen lautet: Wird das Omnibus-Paket nicht vor dem 2. August 2026 formal verabschiedet, gelten die ursprünglichen Fristen des AI Act – die Hochrisiko-Pflichten werden dann ab diesem Datum durchgesetzt.
Die renommierten Fachleute der International Association of Privacy Professionals (IAPP) empfehlen Unternehmen daher, sich weiterhin am ursprünglichen August-2026-Termin zu orientieren .
Überwachung und Durchsetzung
Die Durchsetzung des AI Act erfolgt durch ein mehrstufiges System:
- Europäisches AI Office: Als zentrale AI-Expertise der EU innerhalb der Europäischen Kommission angesiedelt. Es überwacht und setzt insbesondere die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) durch, führt Bewertungen durch und kann Sanktionen verhängen
- Europäischer AI-Ausschuss: Ein Gremium aus Vertretern der Mitgliedstaaten, das die nationale Zusammenarbeit koordiniert
- Nationale Marktüberwachungsbehörden: Jeder Mitgliedstaat benennt eigene Behörden, die für die Überwachung und Durchsetzung des AI Act auf nationaler Ebene zuständig sind
Die Überwachung der AI-Kompetenzpflicht (Artikel 4) durch die nationalen Behörden wird allerdings erst ab August 2026 starten – ein weiteres Indiz für die praktischen Umsetzungsschwierigkeiten der KI-Verordnung.
Fazit und Ausblick
Die kommenden Monate sind entscheidend für tausende Unternehmen in Europa und weltweit. Die leitende Frage für das operative Geschäft lautet: Wenn das Omnibus-Paket scheitert, ist Ihr Unternehmen am 2. August 2026 bereit?
Ein strategisch kluger Umgang mit dem AI Act erfordert die Beachtung mehrerer Handlungsfelder:
- Klassifizierungsphase: Eine systematische Bestandsaufnahme aller eingesetzten KI-Systeme in HR, Vertrieb, Kundenservice, Produktion und Verwaltung ist erforderlich, um eine fundierte Einstufung in die vier Risikostufen vorzunehmen.
- Bereitstellungsphase: Für als Hochrisiko eingestufte Systeme muss ein strukturiertes Konformitätsprogramm aufgebaut werden, das die Anforderungen des Risikomanagements, der Datenqualität, der Dokumentation, der menschlichen Aufsicht und der Cybersicherheit abdeckt.
- Operative Phase: Die Implementierung der Transparenzpflichten für Chatbots und Deepfakes sowie die Sicherstellung der KI-Kompetenz der Mitarbeiter sind zentrale operative Aufgaben.
Der AI Act ist kein statisches Gesetz. Das Omnibus-Paket, die Ausarbeitung von über 70 delegierten Rechtsakten, Leitlinien und Standards sowie die laufenden Triloge machen deutlich, dass sich die Regeln – und insbesondere die Fristen – noch ändern können. Unternehmen, die ihre Compliance-Strategie als kontinuierlichen Prozess begreifen, sind für die kommenden Herausforderungen am besten gewappnet.
Quellen
- rsw.beck.de: „Grundrechte im Fokus: Folgenabschätzung für Hochrisiko-KI kommt“ (2026)
- dilitrust.com: „Das KI-Gesetz (EU AI Act): Anwendungen und zentrale Grundsätze“ (2026)
- seppmed.de: „Der EU AI Act im Jahr 2026: Was jedes Unternehmen mit KI-Software jetzt wissen muss“ (2026)
- gdprlocal.com: „EU AI Regulations Overview: Risks, Obligations, and Enforcement“ (2026)
- artificialintelligenceact.eu: „Article 5: Prohibited AI Practices“ (offizielle Gesetzestexte)
- quinnemanuel.com: „Initial Prohibitions Under EU AI Act Take Effect“ (2025)
- artificialintelligenceact.eu: „Artikel 99: Sanktionen“ (offizielle Gesetzestexte)
- lexbeam.com: „EU AI Act: Bußgelder und Sanktionen“ (2026)
- iapp.org: „AI Act Omnibus: What just happened and what comes next?“ (2026)
- dlapiper.com: „The Digital AI Omnibus: Proposed deferral of high risk AI obligations under the AI Act“ (2026)
- edpo.com: „GDPR + AI Act + DSA: What It Means For Non-EU Companies“ (2026)
- digital-strategy.ec.europa.eu: „European AI Office“ (offizielle EU-Seite)
- artificialintelligenceact.eu: „The AI Office: What is it, and how does it work?“
Kommentar abschicken