KIberblick
Inhaltsverzeichnis

EU AI Act: Was ab August 2026 gilt

Die Transparenzpflichten des EU AI Act gelten ab August 2026. Was IT-Teams jetzt wissen müssen und wie man sich vorbereitet.

Alle Rollen
23. März 20266 Min. Lesezeit

Ab August 2026 wird es ernst

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er tritt schrittweise in Kraft, und der nächste große Meilenstein kommt am 2. August 2026: Die Transparenzpflichten nach Artikel 50 und die vollständigen Anforderungen für Hochrisiko-KI-Systeme werden dann verbindlich.

Das betrifft nicht nur KI-Startups oder Tech-Konzerne. Jedes Unternehmen im DACH-Raum, das KI einsetzt, muss prüfen, ob und wie es betroffen ist. Die Bußgelder sind empfindlich: bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes.

Was bisher schon gilt

Der AI Act tritt nicht auf einen Schlag in Kraft, sondern in Stufen:

  • Februar 2025: Verbot bestimmter KI-Praktiken (Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung)
  • August 2025: Pflichten für Anbieter von General-Purpose-KI-Modellen (also Anbieter wie OpenAI, Anthropic, Google)
  • August 2026: Transparenzpflichten (Artikel 50) und Hochrisiko-Anforderungen

Für die meisten IT-Teams ist der August 2026 der relevante Termin, denn dann greifen die Pflichten, die Unternehmen direkt betreffen, die KI einsetzen (nicht nur die, die KI entwickeln).

Transparenzpflichten: Was heißt das konkret?

Artikel 50 des AI Act definiert Transparenzpflichten für bestimmte KI-Systeme. Die wichtigsten Anforderungen:

1. Kennzeichnung von KI-Interaktionen Wenn ein Nutzer mit einem KI-System interagiert (z.B. Chatbot, KI-Assistent), muss er darüber informiert werden, dass er mit einer KI und nicht mit einem Menschen spricht. Ausnahme: Wenn es offensichtlich ist.

2. Kennzeichnung von KI-generierten Inhalten KI-generierte oder manipulierte Inhalte (Text, Bild, Audio, Video) müssen als solche erkennbar sein. Das betrifft insbesondere Deepfakes und synthetische Medien. Die Kennzeichnung muss maschinenlesbar sein.

3. Kennzeichnung bei öffentlichem Interesse Wenn KI-generierter Text zu Themen von öffentlichem Interesse veröffentlicht wird, muss das kenntlich gemacht werden.

Die EU-Kommission hat im Dezember 2025 einen ersten Entwurf eines Code of Practice zur Transparenz-Kennzeichnung veröffentlicht. Der zweite Entwurf erschien im März 2026, die endgültige Version wird für Juni 2026 erwartet.

Hochrisiko-KI: Die größte Baustelle

Neben den Transparenzpflichten werden im August 2026 auch die vollständigen Anforderungen für Hochrisiko-KI-Systeme verbindlich. Ein KI-System gilt als "High Risk", wenn es in bestimmten Bereichen eingesetzt wird:

  • HR und Recruiting, KI-gestützte Bewerbungsfilter, Leistungsbewertungen
  • Kreditvergabe und Versicherung, automatisierte Scoring-Systeme
  • Bildung, KI-gestützte Prüfungsbewertung oder Zugangssteuerung
  • Kritische Infrastruktur, Steuerung von Strom, Wasser, Verkehr
  • Strafverfolgung und Justiz, Risikobewertungen, Predictive Policing

Für Hochrisiko-Systeme gelten umfangreiche Pflichten:

  • Risikobewertung und kontinuierliches Monitoring
  • Technische Dokumentation des gesamten Systems
  • Logging und Audit-Trails, nachvollziehbar wer wann was entschieden hat
  • Menschliche Aufsicht, ein Mensch muss KI-Entscheidungen überprüfen können
  • Konformitätsbewertung und CE-Kennzeichnung
  • Registrierung in der EU-Datenbank für Hochrisiko-KI

Was IT-Teams jetzt tun sollten

Es bleiben noch gut vier Monate bis August 2026. Hier ein pragmatischer Fahrplan:

Schritt 1: Bestandsaufnahme (sofort) Welche KI-Systeme setzt euer Unternehmen ein? Dazu zählen auch eingebettete KI-Features in Software, die ihr nutzt (z.B. KI in CRM, Recruiting-Tools, Analyse-Plattformen). Erstellt eine Liste.

Schritt 2: Klassifizierung (April) Für jedes identifizierte System: Ist es ein Hochrisiko-System? Fallen Transparenzpflichten an? Die EU-Kommission stellt Leitfäden und ein Self-Assessment-Tool bereit.

Schritt 3: Gap-Analyse (Mai) Wo steht ihr heute, wo müsst ihr hin? Typische Lücken: fehlende Dokumentation, kein Logging, keine Kennzeichnung von KI-generierten Inhalten, keine Prozesse für menschliche Aufsicht.

Schritt 4: Umsetzung (Juni-Juli) Die identifizierten Lücken schließen. Technische Dokumentation erstellen, Logging implementieren, Kennzeichnungen einbauen, Prozesse für Human Oversight definieren.

Schritt 5: Konformität sicherstellen (Juli) Für Hochrisiko-Systeme: Konformitätsbewertung abschließen, CE-Kennzeichnung, Registrierung in der EU-Datenbank.

Für Projektleiter: Der AI Act hat direkte Auswirkungen auf Projektpläne. Für jedes Projekt mit KI-Komponenten muss Zeit für Risikobewertung, Dokumentation und Compliance-Checks eingeplant werden. Das sind keine nachträglichen Aufgaben, sondern müssen von Anfang an im Scope sein. Tipp: Eine Spalte "AI Act Compliance" im Projektplan anlegen.

DSGVO und AI Act: Zusammenspiel

Der AI Act ersetzt die DSGVO nicht, er ergänzt sie. Wenn ein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke gleichzeitig. Die EU-Kommission arbeitet an Klarstellungen zur Schnittstelle, aber bis die vorliegen, gilt: Im Zweifelsfall beide Anforderungen erfüllen.

Praktisch heißt das: Die DSGVO regelt den Datenschutz (Rechtsgrundlage, Betroffenenrechte, Datensicherheit), der AI Act regelt die KI-spezifischen Anforderungen (Transparenz, Risikobewertung, menschliche Aufsicht). Beides muss stimmen.

Fazit

Der EU AI Act ist komplex, aber für die meisten IT-Teams im DACH-Raum überschaubar. Die wenigsten Unternehmen betreiben Hochrisiko-KI-Systeme. Die Transparenzpflichten betreffen dagegen fast alle, die KI in kundennahen Anwendungen einsetzen.

Der wichtigste Schritt jetzt: Eine Bestandsaufnahme machen. Welche KI-Systeme nutzt euer Unternehmen? Sobald die Liste steht, lässt sich die Klassifizierung relativ schnell durchführen. Und dann wisst ihr, wo Handlungsbedarf besteht.

Wir halten euch auf dem Laufenden, wenn neue Leitlinien oder der finale Code of Practice veröffentlicht werden.