EU AI Act ab August 2026: Sechs Punkte für Geschäftsführer.

01. Mai 2026 · KI · 5 Min. Lesezeit

Der EU AI Act ist seit August 2024 in Kraft, die scharfen Pflichten greifen aber gestaffelt. Ab dem 02. August 2026 wird die zweite Welle wirksam — und die trifft praktisch jedes Unternehmen, das KI-Systeme nutzt oder bereitstellt. Sechs Punkte aus unserer Beratungspraxis, die Sie spätestens jetzt prüfen sollten.

1. Inventarisieren: Welche KI-Systeme nutzen Sie überhaupt?

Das klingt trivial, ist es aber nicht. „KI" ist im AI Act weit gefasst — auch fertige SaaS-Tools mit eingebetteten LLMs (Sales-CRM mit Copilot, HR-Software mit Bewerber-Scoring, Vertragsanalyse-Plug-ins) zählen dazu. Erste Aufgabe: ein vollständiges Verzeichnis aller eingesetzten KI-Komponenten, einschließlich Schatten-IT in Fachabteilungen.

2. Risikoklasse je System bestimmen.

Der AI Act unterscheidet vier Klassen: verboten, hochriskant, begrenztes Risiko, minimales Risiko. Verboten sind unter anderem Social Scoring, manipulative Systeme und biometrische Echtzeit-Identifikation im öffentlichen Raum. Hochriskant sind Systeme im Bereich kritischer Infrastruktur, Personalauswahl, Bonitätsprüfung, Strafrechtspflege oder Bildungszugang. Wer im B2B-Mittelstand operiert, landet meistens in „begrenztes Risiko" — mit Transparenzpflichten.

3. Transparenzpflichten dokumentieren.

Selbst bei nicht-hochriskanten Systemen: Nutzer müssen erkennen, dass sie mit einer KI interagieren (Chatbots, Deepfakes, KI-generierte Inhalte). Konkret heißt das: Hinweistexte in Ihren Tools, Wasserzeichen oder Metadaten bei generierten Bildern und Videos, ein Glossar-Eintrag in den AGB.

4. KI-Kompetenz im Unternehmen sicherstellen (Art. 4).

Eine oft übersehene Pflicht: Wer KI-Systeme einsetzt oder bereitstellt, muss „angemessene KI-Kompetenz" der eigenen Mitarbeitenden gewährleisten. Das ist keine Zertifikatspflicht, aber es verlangt nach strukturierten Schulungen, dokumentierten Lernpfaden und einer Person, die intern KI-Fragen verantwortet. In Mittelständlern oft die Geschäftsleitung selbst — was zu Haftungsfragen führt.

5. Lieferantenkette prüfen.

Wenn Ihr Anbieter selbst nicht AI-Act-konform ist, hilft Ihnen die beste interne Compliance nichts. Vertragsklauseln mit KI-Vendoren sollten künftig enthalten: Risikoklasse des Systems, Art der zugrunde liegenden Modelle, Zusicherung der konformen Datenherkunft, Auditrechte. Wir empfehlen eine standardisierte AI-Act-Annex-Klausel, die Sie an alle bestehenden und neuen Verträge anhängen.

6. Audit-Trail aufbauen.

Im Streitfall — sei es eine Behördenprüfung oder ein Schadensersatzanspruch — wird die Frage entscheidend, ob Ihre KI-Systeme nachvollziehbare Entscheidungen treffen. Praktisch heißt das: Logging der Inputs und Outputs, Versionsverwaltung der eingesetzten Modelle, Dokumentation der Re-Trainings und Anpassungen. Tooling dafür gibt es; die rechtliche Frage ist, was genau wie lange gespeichert werden muss — Datenschutz vs. AI-Act-Compliance kollidieren hier regelmäßig.

Das Wichtigste in zwei Sätzen.

Der AI Act ist kein abstraktes EU-Thema, sondern ein operativer Handlungsauftrag — und je früher Sie das Inventar haben, desto entspannter werden die nächsten 18 Monate. Wenn Sie unsicher sind, wo Ihr Unternehmen steht, ist ein 30-Minuten-Erstgespräch der schnellste Weg zu einer ehrlichen Einschätzung.

Daniel Wagner berät Unternehmen zur AI-Act-Readiness von der ersten Inventarisierung bis zum produktiven Compliance-Setup. Mehr zu KI bei EASTKAP oder direkt ein Erstgespräch vereinbaren.