Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
EU AI Act: Pflichten, Risikoklassen & Fristen 2026 erklärt
EU AI ActZuletzt aktualisiert: 2026-06-23

EU AI Act: Pflichten, Risikoklassen und Fristen für Unternehmen

Zuletzt aktualisiert: 23.06.2026

Der EU AI Act (Verordnung (EU) 2024/1689) ist das erste umfassende Gesetz weltweit, das den Einsatz von Künstlicher Intelligenz reguliert. Er betrifft nicht nur Tech-Konzerne und KI-Entwickler, sondern praktisch jedes Unternehmen, das KI im Arbeitsalltag nutzt – vom KI-gestützten Bewerbungs-Screening über Microsoft Copilot bis zum Chatbot auf der Website. Diese Themenseite erklärt verständlich, was der EU AI Act ist, wer betroffen ist, welche Risikoklassen und Pflichten gelten und welche Fristen Sie kennen müssen. So gewinnen Sie in wenigen Minuten den Überblick, den die Geschäftsleitung 2026 braucht.

Zur AI-Act-Beratung · oder direkt unsere AI-Act-Checkliste herunterladen.

Hinweis: Diese Seite ist eine Orientierungshilfe und ersetzt keine Rechtsberatung im Einzelfall. Alle regulatorischen Angaben entsprechen dem Stand 23.06.2026; bei tagesaktuellen Veröffentlichungen (insbesondere zur Verschiebung der Hochrisiko-Pflichten, siehe unten) bitte die Primärquelle gegenprüfen.

Inhaltsverzeichnis

  1. Was ist der EU AI Act?
  2. Wer ist betroffen? – EU AI Act für Unternehmen
  3. Die vier Risikoklassen des EU AI Act
  4. EU AI Act Fristen: Was gilt wann?
  5. Bußgelder und Sanktionen
  6. Aufsicht in Deutschland
  7. EU AI Act und DSGVO
  8. In 6 Schritten zur AI-Act-Konformität
  9. Praxis: Drei typische Fälle aus dem Mittelstand
  10. Häufige Fragen zum EU AI Act
  11. Nächster Schritt: AI-Act-Beratung

Was ist der EU AI Act? {#was-ist-der-eu-ai-act}

Der EU AI Act ist eine EU-Verordnung, die seit dem 1. August 2024 in Kraft ist und schrittweise wirksam wird. Als Verordnung gilt er unmittelbar in allen EU-Mitgliedstaaten – es braucht also kein zusätzliches deutsches Umsetzungsgesetz, damit die Pflichten greifen (geregelt werden national lediglich Aufsicht und Durchsetzung).

Der zentrale Gedanke des EU AI Act ist ein risikobasierter Ansatz: Nicht jede KI wird gleich behandelt. Je höher das Risiko, das von einer KI-Anwendung für Sicherheit, Gesundheit oder Grundrechte ausgeht, desto strenger sind die Pflichten. Anwendungen mit geringem Risiko bleiben weitgehend frei nutzbar, während besonders riskante Einsätze entweder strengen Anforderungen unterliegen oder ganz verboten sind.

Wichtig zum Verständnis: Der EU AI Act unterscheidet verschiedene Rollen. Eine andere Pflichtenlage trifft den Anbieter (wer ein KI-System entwickelt oder unter eigenem Namen auf den Markt bringt) als den Betreiber (wer ein KI-System im eigenen Unternehmen einsetzt). Die große Mehrheit der mittelständischen Unternehmen ist Betreiber – sie kaufen KI ein und nutzen sie. Genau diese Gruppe unterschätzt ihre Pflichten häufig, weil sie davon ausgeht, „nur Anwender" zu sein.

Diese Seite gehört zum Themencluster EU AI Act der vsquadrat compliance advisory GmbH. Wenn Sie Ihre konkrete Betroffenheit klären und die Umsetzung angehen möchten, führt Sie unsere EU-AI-Act-Beratung durch alle Schritte.

Wer ist betroffen? – EU AI Act für Unternehmen {#wer-ist-betroffen}

Die häufigste Fehleinschätzung lautet: „Der EU AI Act betrifft nur, wer KI entwickelt." Tatsächlich ist der EU AI Act für Unternehmen in nahezu jeder Branche relevant – auch dann, wenn Sie KI ausschließlich nutzen, statt sie selbst zu bauen.

Betroffen sind insbesondere:

  • Betreiber von KI-Systemen – also Unternehmen, die eingekaufte KI-Tools im Arbeitsalltag einsetzen (z. B. ChatGPT, Microsoft Copilot, KI-gestützte HR-, Marketing- oder Service-Tools).
  • Anbieter – Unternehmen, die KI-Systeme entwickeln oder unter eigenem Namen vertreiben.
  • Importeure und Händler, die KI-Systeme in der EU in Verkehr bringen.

Ein entscheidender Punkt für den Mittelstand: Schon die bloße Nutzung von KI löst Pflichten aus. Die wichtigste davon greift bereits jetzt. Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht (Art. 4) für jeden, der KI nutzt. Unternehmen müssen sicherstellen, dass die Mitarbeitenden, die KI einsetzen, über ausreichende KI-Kompetenz verfügen – ein angemessenes Verständnis von Funktionsweise, Grenzen und Risiken der eingesetzten Systeme. Das gilt ausdrücklich auch für die reine Nutzung von Tools wie ChatGPT oder Copilot.

Daraus folgt: Die Frage ist für die meisten Unternehmen nicht ob, sondern in welchem Umfang sie betroffen sind. Der Umfang hängt davon ab, welche KI-Anwendungen Sie einsetzen und in welche Risikoklasse diese fallen.

Die vier Risikoklassen des EU AI Act {#risikoklassen}

Der risikobasierte Ansatz des EU AI Act teilt KI-Anwendungen in vier Stufen ein. Die Einordnung Ihrer konkreten Anwendungen ist der wichtigste erste Schritt, denn sie entscheidet darüber, welche Pflichten überhaupt auf Sie zukommen.

1. Verbotene Praktiken (unannehmbares Risiko)

Bestimmte KI-Anwendungen sind innerhalb der EU verboten, weil sie Grundrechte gefährden. Dazu zählen etwa Social Scoring durch öffentliche oder private Stellen, manipulative Systeme, die das Verhalten in schädlicher Weise unterlaufen, oder bestimmte Formen biometrischer Kategorisierung. Hier gilt: Hände weg.

2. Hochrisiko-KI (Annex III und Sicherheitskomponenten)

Hochrisiko-KI unterliegt den strengsten Pflichten – von Risikomanagement und Datenqualität über technische Dokumentation und menschliche Aufsicht bis zur Konformitätsbewertung. In Annex III des EU AI Act sind die Anwendungsbereiche aufgeführt, dazu gehören unter anderem bestimmte KI-Systeme in den Bereichen Beschäftigung (z. B. Bewerber-Auswahl), Kreditwürdigkeitsprüfung, kritische Infrastruktur oder Bildung. Gerade HR-Tools und Scoring-Anwendungen können hier hineinfallen, ohne dass es auf den ersten Blick offensichtlich ist.

3. Begrenztes Risiko (Transparenzpflichten)

Hierunter fallen Systeme mit überschaubarem Risiko, für die vor allem Transparenzpflichten gelten. Beispiel: Chatbots müssen erkennbar machen, dass Nutzer:innen mit einer KI und nicht mit einem Menschen kommunizieren; KI-generierte oder -manipulierte Inhalte (z. B. Deepfakes) sind zu kennzeichnen.

4. Minimales Risiko

Die große Mehrheit der KI-Anwendungen – etwa Spam-Filter oder KI in einfachen Office-Funktionen – fällt in diese Kategorie und ist weitgehend frei nutzbar. Dennoch ist es sinnvoll, auch diese Anwendungen zu erfassen, denn die KI-Kompetenzpflicht (Art. 4) gilt unabhängig von der Risikoklasse.

Sonderfall GPAI: Für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, z. B. große Sprachmodelle) gelten eigene Transparenz- und Dokumentationspflichten. Diese sind seit dem 2. August 2025 wirksam und betreffen primär die Anbieter solcher Modelle.

EU AI Act Fristen: Was gilt wann? {#fristen}

Der EU AI Act tritt stufenweise in Kraft. Diese EU-AI-Act-Fristen sind für Ihre Planung maßgeblich (Stand: 23.06.2026):

DatumWas greift
2. Februar 2025KI-Kompetenzpflicht (Art. 4) – gilt für jeden, der KI nutzt, auch bei reiner ChatGPT-/Copilot-Nutzung. Bereits aktiv.
2. August 2025Sanktionsrahmen (Art. 99) sowie Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI). Bereits in Kraft.
2. August 2026Pflichten für Hochrisiko-KI nach Annex III. Rechtlich gilt aktuell dieser Termin (siehe Unsicherheits-Hinweis).

Wichtiger Unsicherheits-Hinweis: Eine Verschiebung der Hochrisiko-Pflichten (Annex III) auf voraussichtlich den 2. Dezember 2027 ist politisch beschlossen (Digital Omnibus; Zustimmung des Europäischen Parlaments am 16.06.2026). Diese Verschiebung ist jedoch noch nicht im EU-Amtsblatt veröffentlicht. Rechtlich verbindlich bleibt deshalb bis zur Veröffentlichung weiterhin der 2. August 2026. Planen Sie so, dass Sie unabhängig vom finalen Termin auf der sicheren Seite sind – wer früh strukturiert, hat in jedem Szenario einen Vorsprung.

Eine laufend gepflegte, vertiefte Übersicht aller Termine mit Einordnung finden Sie in unserem Ratgeber EU-AI-Act-Fristen.

Bußgelder und Sanktionen {#bussgelder}

Verstöße gegen den EU AI Act können empfindlich sanktioniert werden. Den höchsten Rahmen sieht der EU AI Act für verbotene Praktiken vor: Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (Art. 99) – maßgeblich ist jeweils der höhere Betrag.

Für kleine und mittlere Unternehmen (KMU) gilt eine wichtige, oft übersehene Erleichterung: Hier ist jeweils der niedrigere der beiden Werte maßgeblich (Art. 99 Abs. 6). Das nimmt dem Bußgeldrahmen für den Mittelstand etwas von seiner Schärfe – ändert aber nichts daran, dass Verstöße teuer werden und zusätzlich Reputations-, Haftungs- und Datenschutzrisiken nach sich ziehen können. Andere Verstöße (etwa gegen Pflichten für Hochrisiko-KI oder Transparenzpflichten) sind mit geringeren Höchstbeträgen sanktioniert.

Aufsicht in Deutschland {#aufsicht}

Die nationale Aufsicht über den EU AI Act regelt jeder Mitgliedstaat selbst. In Deutschland soll die Aufsicht voraussichtlich die Bundesnetzagentur übernehmen – über die neu geschaffene KI-Marktüberwachungs- und Innovationsstelle (KI-MIG). Der Bundestag hat dem entsprechenden Gesetz am 11.06.2026 zugestimmt; die Zustimmung des Bundesrats steht noch aus. Bis zum endgültigen Abschluss des Gesetzgebungsverfahrens ist die Aufsichtsstruktur daher noch nicht final.

EU AI Act und DSGVO {#dsgvo}

EU AI Act und Datenschutz lassen sich nicht trennen. Sobald eine KI personenbezogene Daten verarbeitet – etwa im Recruiting, im Kundenservice oder bei der Auswertung von Kommunikationsdaten – gelten DSGVO und EU AI Act parallel. In der Praxis heißt das:

  • Sie brauchen eine Rechtsgrundlage für die Datenverarbeitung durch die KI.
  • Bei riskanten Verarbeitungen kann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein.
  • Verträge mit KI-Anbietern (z. B. ein Auftragsverarbeitungsvertrag / AVV) müssen rechtssicher gestaltet sein.
  • Transparenz- und Betroffenenrechte aus der DSGVO bleiben vollumfänglich bestehen.

Wer KI-Governance aufbaut, sollte AI Act und DSGVO deshalb von Anfang an zusammen denken. Unsere TÜV-zertifizierten Datenschutzbeauftragten verbinden beide Perspektiven in der EU-AI-Act-Beratung.

In 6 Schritten zur AI-Act-Konformität {#schritte}

Der Weg zur Konformität ist machbar, wenn er strukturiert angegangen wird. Diese sechs Schritte haben sich in der Praxis bewährt:

  1. KI-Inventar erstellen: Erfassen Sie systematisch, welche KI-Systeme bei Ihnen im Einsatz oder in Planung sind – inklusive der „Schatten-KI", die Mitarbeitende eigeninitiativ nutzen.
  2. Risikoklassifizierung: Ordnen Sie jede Anwendung den vier Risikoklassen zu. Das entscheidet darüber, welche Pflichten greifen.
  3. KI-Kompetenz aufbauen: Erfüllen Sie die Pflicht aus Art. 4, indem Sie die einsetzenden Mitarbeitenden schulen.
  4. Governance & Richtlinie etablieren: Definieren Sie Verantwortlichkeiten, Freigabeprozesse für neue Tools und eine verbindliche KI-Richtlinie für den Arbeitsalltag.
  5. Datenschutz absichern: Prüfen Sie Datenverarbeitung, Verträge (AVV) und den DSFA-Bedarf gemeinsam mit der AI-Act-Klassifizierung.
  6. Dokumentieren & nachweisbar machen: Halten Sie Klassifizierung, Maßnahmen und Schulungen so fest, dass Sie Ihre Konformität auf Knopfdruck belegen können.

Diese Schritte lassen sich nach dem Baukastenprinzip einzeln oder als Gesamtpaket umsetzen – je nachdem, wo Sie heute stehen.

Praxis: Drei typische Fälle aus dem Mittelstand {#praxis}

KI im Recruiting: Ein Unternehmen setzt ein Tool ein, das Bewerbungen automatisiert vorsortiert. Solche Anwendungen können als Hochrisiko-KI (Annex III, Bereich Beschäftigung) einzuordnen sein – mit entsprechend strengen Pflichten zu menschlicher Aufsicht, Dokumentation und Transparenz. Hier lohnt eine genaue Prüfung, bevor das Tool produktiv läuft.

Chatbot auf der Website: Ein Kundenservice-Chatbot fällt typischerweise unter „begrenztes Risiko". Pflicht ist hier vor allem die Transparenz: Nutzer:innen müssen erkennen, dass sie mit einer KI sprechen. Mit einer klaren Kennzeichnung ist diese Pflicht schnell erfüllt.

ChatGPT & Copilot im Tagesgeschäft: Marketing-, HR- und Fachteams nutzen generative KI für Texte, Auswertungen und Recherchen. Auch wenn die meisten dieser Anwendungen in der Risikoklasse niedrig liegen, greift die KI-Kompetenzpflicht (Art. 4) in vollem Umfang – und der Datenschutz, sobald personenbezogene oder vertrauliche Daten ins Spiel kommen. Eine KI-Richtlinie und gezielte Schulungen schaffen hier schnell Sicherheit.

Häufige Fragen zum EU AI Act {#faq}

Gilt der EU AI Act auch für uns, wenn wir KI nur nutzen und nicht entwickeln? Ja. Bereits die Nutzung von KI-Systemen löst Pflichten aus. Die KI-Kompetenzpflicht nach Art. 4 gilt seit dem 2. Februar 2025 für jedes Unternehmen, das KI einsetzt – auch bei reiner Nutzung von Tools wie ChatGPT oder Microsoft Copilot. Je nach Anwendung können weitere Transparenz- oder Hochrisiko-Pflichten hinzukommen.

Welche EU-AI-Act-Fristen muss ich kennen? Aktiv sind bereits die KI-Kompetenzpflicht (seit 2.2.2025) sowie der Sanktionsrahmen und die GPAI-Pflichten (seit 2.8.2025). Für die Hochrisiko-Pflichten nach Annex III gilt rechtlich derzeit der 2. August 2026. Eine politisch beschlossene Verschiebung auf voraussichtlich den 2. Dezember 2027 (Digital Omnibus) ist noch nicht im EU-Amtsblatt veröffentlicht – bis dahin bleibt der 2. August 2026 maßgeblich.

Wie hoch können die Bußgelder beim EU AI Act ausfallen? Bei verbotenen Praktiken drohen Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (Art. 99). Für kleine und mittlere Unternehmen gilt dabei jeweils der niedrigere der beiden Werte (Art. 99 Abs. 6). Andere Verstöße sind mit geringeren Höchstbeträgen sanktioniert.

Was sind die vier Risikoklassen des EU AI Act? Der EU AI Act unterscheidet verbotene Praktiken (unannehmbares Risiko), Hochrisiko-KI (Annex III), begrenztes Risiko (vor allem Transparenzpflichten, z. B. bei Chatbots) und minimales Risiko (weitgehend frei nutzbar). Die KI-Kompetenzpflicht aus Art. 4 gilt unabhängig von der Risikoklasse.

Wer ist in Deutschland die Aufsichtsbehörde für den EU AI Act? Voraussichtlich übernimmt die Bundesnetzagentur über die KI-Marktüberwachungs- und Innovationsstelle (KI-MIG) die nationale Aufsicht. Der Bundestag hat am 11.06.2026 zugestimmt; die Zustimmung des Bundesrats steht noch aus.

Wie hängen EU AI Act und DSGVO zusammen? Eng. Sobald KI personenbezogene Daten verarbeitet, gelten DSGVO und EU AI Act parallel. Datenverarbeitungsprozesse, Verträge (z. B. AVV) und der Bedarf an einer Datenschutz-Folgenabschätzung sollten zusammen mit der AI-Act-Klassifizierung geprüft werden.

AI-Act-Checkliste – Ihr schneller Einstieg {#checkliste}

Sie möchten wissen, wo Ihr Unternehmen beim EU AI Act steht? Unsere kostenlose AI-Act-Checkliste führt Sie kompakt durch die wichtigsten Fragen: Welche KI nutzen Sie, in welche Risikoklasse fällt sie, ist die KI-Kompetenzpflicht erfüllt, gibt es eine KI-Richtlinie? So erkennen Sie Ihre dringendsten Handlungsfelder auf einen Blick – noch bevor wir miteinander sprechen.

Nächster Schritt: AI-Act-Beratung {#cta}

Der EU AI Act lässt sich gut bewältigen – wenn Sie ihn strukturiert und risikobasiert angehen, statt formalistisch alles auf einmal zu wollen. Genau dabei unterstützt Sie die vsquadrat compliance advisory GmbH: Wir erstellen Ihr KI-Inventar, klassifizieren Ihre Anwendungen, bauen Governance und KI-Kompetenz auf und denken Datenschutz konsequent mit – pragmatisch und ohne erzwungene Langfristbindung.

Zur AI-Act-Beratung

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: EU-AI-Act-Beratung – KI rechtssicher umsetzen · EU-AI-Act-Fristen im Überblick

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben nach bestem Wissen zum Stand 23.06.2026; bei tagesaktuellen Veröffentlichungen (insbesondere Digital Omnibus / Verschiebung der AI-Act-Hochrisiko-Pflichten) bitte die Primärquelle gegenprüfen. Dieser Text ersetzt keine Rechtsberatung im Einzelfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.