Am 2. August 2026 – in weniger als zwei Monaten – tritt der EU AI Act (Verordnung (EU) 2024/1689) mit seinen zentralen Pflichten für Hochrisiko-KI-Systeme vollumfänglich in Kraft. Damit endet die zweijaehrige Übergangsfrist, die Unternehmen nach Inkrafttreten der Verordnung im August 2024 zur Vorbereitung erhalten haben. Wer bis dahin kein Compliance-Framework aufgebaut hat, riskiert empfindliche Bußgelder und einen Betriebsstopp für seine KI-Anwendungen. Der EU AI Act ist das erste umfassende KI-Regulierungswerk der Welt und stellt die bisher weitreichendsten Anforderungen an Unternehmen, die künstliche Intelligenz in Europa einsetzen oder vermarkten.
Der EU AI Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko, das ein KI-System für Grundrechte, Gesundheit oder Sicherheit darstellt, desto strenger sind die Anforderungen. Neben dem vollständigen Verbot besonders gefährlicher KI-Anwendungen – etwa Social Scoring oder biometrische Massenüberwachung im öffentlichen Raum – und besonderen Transparenzpflichten für KI-Systeme mit begrenztem Risiko bilden die sogenannten Hochrisiko-KI-Systeme das regulatorische Herzstück. Für diese Kategorie gilt ab dem 2. August 2026 ein umfassendes Compliance-Regime, das technische, organisatorische und rechtliche Anforderungen miteinander verbindet. Unternehmen, die in diesem Bereich aktiv sind, müssen jetzt handeln.
Die Klassifizierung als Hochrisiko-KI richtet sich nach Anhang III der Verordnung, der abschließend definiert, welche Anwendungsbereiche als besonders risikoreich eingestuft werden. Erfasst sind Systeme aus den Bereichen Biometrie, kritische Infrastruktur, Bildung, Personalwesen, Kreditvergabe, Versicherung und Strafverfolgung, Migration sowie Justiz und Demokratie. Bereits heute nutzen viele Unternehmen KI-Tools, die in diese Kategorien fallen – etwa automatisierte Bewerbervorauswahl-Systeme, KI-gestützte Bonitätsprüfungen oder biometrische Zeiterfassungssysteme. Besonders im Bereich Human Resources und Finanzdienstleistungen besteht erheblicher Handlungsbedarf.
Wichtig ist, dass die Einstufung nicht von der eingesetzten Technologie selbst abhängt, sondern vom konkreten Einsatzzweck. Ein und dasselbe KI-System kann je nach Verwendungskontext als Hochrisiko eingestuft sein oder nicht. Wer beispielsweise ein Sprachmodell für interne Wissensmanagement-Zwecke nutzt, unterliegt anderen Anforderungen als derjenige, der dasselbe Modell zur automatisierten Personalentscheidung einsetzt. Diese Zweckgebundenheit der Klassifizierung macht eine sorgfältige Einzelfallprüfung für jedes eingesetzte KI-System unerlässlich. Die EU-Kommission war verpflichtet, bis zum 2. Februar 2026 konkretisierende Leitlinien zur Klassifizierung zu veröffentlichen – diese Frist wurde jedoch nicht eingehalten, sodass Unternehmen derzeit auf Basis des Verordnungstextes und der Erwägungsgründe klassifizieren müssen.
Für Hochrisiko-KI-Systeme sieht der EU AI Act ein umfassendes Set an Anforderungen vor, die primär die Anbieter (Provider) treffen – also Unternehmen, die solche Systeme entwickeln oder auf dem Markt in Verkehr bringen. Ein kontinuierliches Risikomanagement-System muss für jedes Hochrisiko-KI-System eingerichtet und über den gesamten Lebenszyklus des Systems betrieben werden. Dieses System muss Risiken systematisch identifizieren, bewerten und durch geeignete technische oder organisatorische Maßnahmen minimieren. Das Risikomanagement-System ist kein einmaliges Projekt, sondern ein iterativer Prozess, der regelmäßige Überprüfungen und Anpassungen erfordert.
Jedes Hochrisiko-KI-System muss vor seiner Inbetriebnahme vollständig technisch dokumentiert werden. Die Dokumentation muss Systemarchitektur, Trainingsverfahren, verwendete Datensätze, Testprotokolle und Leistungskennzahlen umfassen und stets auf dem aktuellen Stand gehalten werden. Ergänzend schreibt der EU AI Act strenge Anforderungen an die Daten-Governance vor: Trainings- und Testdaten müssen nach angemessenen Daten-Governance-Praktiken ausgewählt und aufbereitet werden, bekannte Verzerrungen (Bias) müssen identifiziert und soweit möglich behoben werden. KI-Systeme müssen Protokolle erstellen, die eine nachträgliche Überprüfung aller relevanten Entscheidungen ermöglichen, und gegenüber Nutzern und zuständigen Behörden gilt eine weitgehende Transparenzpflicht.
Ein zentrales Prinzip des EU AI Act für Hochrisiko-KI ist die Gewährleistung einer wirksamen menschlichen Aufsicht. Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass natürliche Personen die Ausgaben des Systems wirksam überwachen, verstehen, überprüfen, übersteuern, anhalten oder abschalten können. Das bedeutet in der Praxis, dass vollautomatische Entscheidungsprozesse ohne menschliche Überprüfungsmöglichkeit für Hochrisiko-Anwendungen nicht zulässig sind. Unternehmen müssen technische Mechanismen implementieren, die eine solche Aufsicht strukturell ermöglichen. Schließlich muss vor der Inbetriebnahme eine Konformitätsbewertung durchgeführt und das System in einer zentralen EU-Datenbank registriert werden, bevor die CE-Kennzeichnung angebracht werden darf.
Der EU AI Act unterscheidet zwischen Anbietern, die Hochrisiko-KI-Systeme entwickeln oder in Verkehr bringen, und Betreibern (Deployer), die solche Systeme im eigenen Unternehmen einsetzen. Auch für Betreiber gelten erhebliche Pflichten: Sie müssen das System ausschließlich im vom Anbieter vorgesehenen Zweckrahmen nutzen, angemessene technische und organisatorische Maßnahmen ergreifen, ihre Mitarbeitenden schulen und die menschliche Aufsicht gemäß den Anbieter-Vorgaben implementieren. Schwerwiegende Fehlfunktionen und Vorfälle müssen dem Anbieter und unter Umständen der zuständigen Marktüberwachungsbehörde gemeldet werden. Für Unternehmen, die kommerziell verfügbare Hochrisiko-KI-Systeme einsetzen, bedeutet das: Die Compliance-Verantwortung endet nicht mit dem Erwerb einer KI-Lizenz. Wer ein Hochrisiko-KI-System in seinem Unternehmen betreibt, trägt eigenständige rechtliche Verantwortung gegenüber dem Gesetzgeber.
Der EU AI Act sieht empfindliche Bußgelder vor, die je nach Art des Verstoßes variieren. Verstöße gegen die Pflichten für Hochrisiko-KI-Systeme können mit bis zu 15 Millionen Euro oder 3 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, wobei der jeweils höhere Betrag gilt. In Deutschland ist primär das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nationale Marktüberwachungsbehörde zuständig. Das BSI hat angekündigt, ab August 2026 aktiv Kontrollen durchzuführen und kann neben Bußgeldern auch den Betrieb eines nicht-konformen KI-Systems untersagen oder einen Marktrückruf anordnen. Für Kleinstunternehmen und KMU gelten reduzierte Bußgeldobergrenzen, jedoch keine inhaltlichen Ausnahmen von den technischen Anforderungen.
Mit weniger als zwei Monaten bis zum Stichtag ist die Zeit für tiefgreifende Systemumbauten kurz. Unternehmen sollten als erstes eine vollständige Bestandsaufnahme aller KI-Systeme im Unternehmen vornehmen und diese anhand der Risikoklassen des EU AI Act klassifizieren. Dabei ist für jedes System zu klären, ob das Unternehmen als Anbieter oder als Betreiber agiert – beide Rollen begründen unterschiedliche, aber gleichermaßen ernst zu nehmende Pflichten. Systeme, die als Hochrisiko eingestuft werden oder einzustufen sein könnten, sind unverzüglich zu priorisieren und einer detaillierten Compliance-Gap-Analyse zu unterziehen.
Im Anschluss ist zu prüfen, welche der gesetzlichen Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht. Fehlt ein Risikomanagementsystem? Ist die technische Dokumentation unvollständig oder nicht auf dem aktuellen Stand? Können Nutzer das System wirksam übersteuern oder abschalten? Auf Basis dieser Analyse sollte ein priorisierter Umsetzungsplan erstellt werden, der die wichtigsten Maßnahmen bis zum 2. August 2026 bündelt. Die Konformitätsbewertung und – soweit erforderlich – die Zusammenarbeit mit einer notifizierten Stelle sollten frühzeitig geplant werden, da die Kapazitäten akkreditierter Stellen begrenzt sind. Spezialisierter rechtlicher Rat ist angesichts der noch fehlenden finalen Leitlinien der EU-Kommission unverzichtbar, um zu einer belastbaren Klassifizierung und einem rechtssicheren Compliance-Konzept zu gelangen.
Der EU AI Act verändert die Spielregeln für den Einsatz künstlicher Intelligenz in Europa grundlegend und nachhaltig. Unternehmen, die Hochrisiko-KI einsetzen oder entwickeln, müssen bis zum 2. August 2026 ein umfassendes Compliance-Framework aufgebaut haben – anderenfalls drohen empfindliche Sanktionen und ein Betriebsstopp für ihre KI-Anwendungen. Die verbleibende Zeit bis zum Stichtag ist kurz, und die noch ausstehenden finalen Leitlinien der EU-Kommission erhöhen die Rechtsunsicherheit zusätzlich. Handeln Sie jetzt, identifizieren Sie Ihre Hochrisiko-KI-Systeme und schaffen Sie die notwendigen rechtlichen und technischen Grundlagen für eine nachhaltige Compliance.
Haben Sie Fragen zum EU AI Act oder zu den Compliance-Pflichten für KI-Systeme in Ihrem Unternehmen? Die Anwälte von HUFELD PartGmbB beraten Sie umfassend. Nehmen Sie jetzt Kontakt auf.
Sie sind auf der Suche nach einem ganz bestimmten Thema?
.png)
.png)