EU AI Act 2026: Diese Pflichten gelten jetzt für jedes Unternehmen

Der Zeitplan: was wann gilt

Der AI Act trat am 1. August 2024 in Kraft, gilt aber gestaffelt:

• Februar 2025: Verbot unzulässiger KI-Praktiken + Pflicht zu AI Literacy (Art. 4)
• August 2025: Pflichten für General Purpose AI Models (GPAI)
• August 2026: Vollständige Anwendung für Hochrisiko-KI in Produkten
• August 2027: Übergangsfrist für KI in regulierten Produkten (z. B. Medizin)

Artikel 4: AI Literacy – die Pflicht, die alle betrifft

Seit dem 2. Februar 2025 müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen – angemessen zu Vorkenntnissen, Einsatzkontext und betroffenen Personen. Konkret heißt das: Wenn in Ihrem Unternehmen jemand ChatGPT, Copilot, Gemini, Claude oder eine Recruiting-KI nutzt, brauchen Sie nachweisbare Schulungen. Es gibt keine Mindestdauer, aber dokumentierte Inhalte, Teilnehmerlisten und Zertifikate werden im Streitfall geprüft.

Die vier Risikoklassen

Der AI Act ordnet jedes KI-System einer Risikoklasse zu. Daraus ergeben sich die Pflichten:

• Unzulässig: Social Scoring, Emotionserkennung am Arbeitsplatz, Echtzeit-biometrische Identifikation – verboten
• Hochrisiko: KI in HR (Bewerber-Screening!), Bildung, kritischer Infrastruktur – Dokumentation, Risikomanagement, menschliche Aufsicht
• Begrenztes Risiko: Chatbots, Deepfakes – Transparenzpflicht (Nutzer muss wissen, dass KI im Spiel ist)
• Minimales Risiko: Spamfilter, KI in Spielen – keine spezifischen Pflichten

Achtung HR-Verantwortliche: KI-Recruiting ist Hochrisiko

Sobald ein KI-System bei der Auswahl, Beförderung oder Kündigung von Mitarbeitenden mitwirkt, gilt es als Hochrisiko-KI. Das betrifft auch CV-Parser, automatische Vorauswahl in Recruiting-Tools und KI-gestützte Skill-Matching-Lösungen. Pflicht: Bias-Tests, Transparenz gegenüber Bewerbern, menschliche Letztentscheidung, technische Dokumentation.

Bußgelder: bis zu 35 Millionen Euro

Der AI Act sieht drei Bußgeldstufen vor:

• Unzulässige KI-Praktiken: bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
• Verstoß gegen Hochrisiko-Pflichten: bis 15 Mio. € oder 3 % Umsatz
• Falsche Angaben gegenüber Behörden: bis 7,5 Mio. € oder 1 % Umsatz

Ihre Compliance-Checkliste 2026

Sieben Schritte, die jedes Unternehmen mit KI-Einsatz jetzt gehen sollte:

• KI-Inventar erstellen: Welche KI-Tools nutzt das Team (auch Schatten-IT)?
• Risikoklasse je Tool bestimmen und dokumentieren
• AI-Literacy-Schulung für alle KI-Nutzer durchführen (Art. 4)
• KI-Richtlinie / AI Usage Policy verabschieden
• Datenschutz-Folgeabschätzung bei personenbezogenen Daten
• Anbieterverträge prüfen (DPA, EU-Hosting, Modell-Training opt-out)
• Verantwortliche Person (AI Officer / KI-Beauftragter) benennen

Was passiert, wenn ich nichts tue?

Realistisch wird es 2026/2027 noch keine flächendeckenden Audits geben. Aber: Bei Datenschutzvorfällen, Diskriminierungsklagen oder Audits durch Kunden (Lieferkette!) wird AI-Literacy-Nachweis bereits 2026 zum Standard. Wer dokumentiert hat, ist auf der sicheren Seite – wer nicht, riskiert nicht nur Bußgelder, sondern auch verlorene Kunden.