EU AI Act Compliance-Leitfaden für Unternehmen: Was Sie bis zum 2. August 2026 tun müssen

Am 2. August 2026 wird der EU AI Act allgemein anwendbar. Wenn Ihr Unternehmen einen Chatbot auf der Website betreibt, ein KI-Scoring-System nutzt, Automatisierungen mit LLMs einsetzt oder irgendeine KI-Integration hat, die Kunden oder Mitarbeiter in der EU berührt, gelten ab diesem Datum konkrete rechtliche Pflichten — unabhängig davon, ob Sie das System selbst entwickelt haben oder es nur nutzen.

Die gute Nachricht: Für die meisten Unternehmen bedeutet Compliance kein einjähriges Rechtsprojekt, sondern eine Handvoll klarer Maßnahmen. Die schlechte Nachricht: Die Bußgelder reichen bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes, und „wir wussten nicht, dass das für uns gilt" ist keine Verteidigung.

Dieser Leitfaden zeigt Ihnen genau: ob Sie betroffen sind, in welcher Rolle, welche Pflichten zu welchem Stichtag gelten und womit Sie heute beginnen sollten.

Was der EU AI Act ist — kurz gefasst

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er ist eine Verordnung, keine Richtlinie — er gilt unmittelbar in jedem Mitgliedstaat, ohne nationale Umsetzung.

Die Logik des Gesetzes ist einfach: Die Pflichten wachsen mit dem Risiko. KI-Systeme werden in vier Kategorien eingeteilt:

• Unannehmbares Risiko — vollständig verboten (seit Februar 2025): unterschwellige Manipulation, Social Scoring, Emotionserkennung am Arbeitsplatz, ungezieltes Auslesen von Gesichtsbildern.
• Hohes Risiko — erlaubt, aber unter strengen Auflagen: KI in Recruiting und Mitarbeiterbewertung, Kreditscoring, Bildung, kritische Infrastruktur, Medizinprodukte, biometrische Identifizierung.
• Begrenztes Risiko — Transparenzpflichten: Chatbots müssen offenlegen, dass sie KI sind; generierte Inhalte müssen gekennzeichnet werden.
• Minimales Risiko — keine spezifischen Pflichten: Spam-Filter, Produktempfehlungen, die meisten internen Automatisierungen.

Der reale Zeitplan (Stand 2026)

Der Zeitplan wurde kürzlich durch das Digital-Omnibus-Paket geändert — viele Artikel aus 2024–2025 sind daher veraltet. Der aktuelle Stand:

• 2. Februar 2025 (bereits anwendbar) — Verbote für Praktiken mit unannehmbarem Risiko + Pflicht zur KI-Kompetenz der Mitarbeiter (Art. 4).
• 2. August 2025 (bereits anwendbar) — Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) + Governance-Struktur und Sanktionen.
• 2. August 2026 — Allgemeine Anwendbarkeit: Transparenzpflichten für Chatbots (Art. 50), Anbieterpflichten (Art. 9–17) und Betreiberpflichten (Art. 26) für Hochrisiko-Systeme.
• 2. Dezember 2026 — Verpflichtende Kennzeichnung KI-generierter Inhalte.
• 2. Dezember 2027 — Pflichten für bestimmte Hochrisiko-Kategorien nach Anhang III (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration).

Sind Sie betroffen? Der 3-Fragen-Test

1. Nutzen Sie irgendein KI-System?

Website-Chatbot, interner Dokumenten-Assistent, Kunden-Scoring, Automatisierungen mit GPT/Claude/Gemini, KI im Recruiting, intelligente Rechnungs-OCR — alles zählt. Lautet die Antwort ja, betrifft Sie das Gesetz.

2. Sind Sie Anbieter oder Betreiber?

Das ist die zentrale Unterscheidung des Gesetzes — und die Stelle, an der sich die meisten Unternehmen falsch einordnen:

• Anbieter — entwickelt ein KI-System und bringt es unter eigenem Namen auf den Markt. Die schweren Pflichten (technische Dokumentation, Risikomanagement, CE-Kennzeichnung) liegen hier.
• Betreiber — nutzt ein KI-System im beruflichen Kontext. Leichtere, aber reale Pflichten: Nutzung gemäß Anleitung, menschliche Aufsicht, Information der Betroffenen.

Achtung, Falle: Wenn Sie ein bestehendes Modell in ein Produkt integrieren, das Sie unter eigener Marke verkaufen, oder es wesentlich verändern, können Sie unbemerkt zum Anbieter werden — mit dem vollen Pflichtenpaket.

3. Erreichen Sie Personen in der EU?

Das Gesetz gilt extraterritorial: Entscheidend ist, wo die Ergebnisse des Systems verwendet werden — nicht, wo Ihr Unternehmen oder Ihre Server stehen.

Typische KMU-Situation: KI-Chatbot im Kundensupport + interner Dokumenten-Assistent + automatisiertes Scoring beim Onboarding. Einstufung: Betreiber in allen drei Fällen. Pflichten bis 2. August 2026: Chatbot muss offenlegen, dass er KI ist; Scoring muss als potenziell high-risk geprüft werden; Mitarbeiter müssen geschult werden. Realistischer Aufwand: 2–4 Wochen.

Compliance-Checkliste bis zum 2. August 2026

Schritt 1: KI-Inventar (Woche 1)

Erfassen Sie jedes KI-System im Unternehmen — auch die „versteckten" in Ihren SaaS-Tools (CRM mit Scoring, HR-Software mit CV-Filterung, Marketing-Automation mit Content-Generierung). Für jedes System: Was tut es, wer liefert es, welche Daten verarbeitet es, wen betreffen die Ergebnisse?

Schritt 2: Risikoklassifizierung (Woche 1–2)

Ordnen Sie jedes System ein: verboten / high-risk / begrenztes Risiko / minimal. Die sensiblen Bereiche, die schnell high-risk werden: Recruiting und Mitarbeiterbewertung, Zugang zu Krediten oder Versicherungen, Bildung, Gesundheit.

Schritt 3: Rollenbestimmung (Woche 2)

Für jedes System: Sind Sie Anbieter oder Betreiber? Dokumentieren Sie die Entscheidung.

Schritt 4: Transparenz (Woche 2–3)

• Chatbots und KI-Assistenten müssen Nutzer darüber informieren, dass sie mit einem KI-System interagieren — klar und beim ersten Kontakt.
• Bereiten Sie die Kennzeichnung KI-generierter Inhalte vor (verpflichtend ab 2. Dezember 2026).

Schritt 5: Minimale Governance (Woche 3–4)

• Benennen Sie einen internen KI-Verantwortlichen (oft genügt die Erweiterung des DSB-Mandats).
• Schulen Sie die Mitarbeiter, die KI-Systeme nutzen (gilt seit Februar 2025).
• Fordern Sie von Ihren KI-Lieferanten die Compliance-Dokumentation an.
• Bei Hochrisiko-Systemen: Stellen Sie echte menschliche Aufsicht über Entscheidungen sicher und bewahren Sie die Logs auf.

Schritt 6: Technische Überprüfung

Compliance auf dem Papier hält nicht ohne Compliance im Code: Wo werden Daten gehostet, wer hat Zugriff auf Prompts und Logs, wie werden Kundendaten isoliert? Ein technisches KI-Sicherheitsaudit prüft AI-Act-Anforderungen und DSGVO-Konformität in einem Durchgang.

Die Fehler, die teuer werden

1. „Wir nutzen nur ChatGPT, das gilt nicht für uns." Berufliche Nutzung macht Sie zum Betreiber.
2. „Wir sind ein kleines Unternehmen, das Gesetz ist für Konzerne." Es gibt keine Größenausnahme.
3. Anbieter/Betreiber-Verwechslung. Sie verkaufen ein Produkt mit integrierter KI unter eigener Marke? Dann sind Sie wahrscheinlich Anbieter.
4. Die KI im SaaS-Stack ignorieren. Das HR-System mit CV-Filterung gehört in Ihr Compliance-Inventar.
5. Aufschieben, weil „sich das Gesetz noch ändert". Transparenz tritt am 2. August 2026 verbindlich in Kraft.
6. Compliance als rein juristisches Projekt behandeln. Die Hälfte der Anforderungen ist technisch.

Die Bußgelder, konkret

• bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes — für verbotene Praktiken;
• bis zu 15 Mio. € oder 3 % — für Verstöße gegen die meisten Pflichten;
• bis zu 7,5 Mio. € oder 1 % — für falsche Angaben gegenüber Behörden.

Wie Visual-AI-Labs hilft

Wir bauen KI-Systeme, die compliant by design sind — EU-Hosting, private Modelle, Datenisolation und integriertes Logging vom ersten Tag an. Für bestehende Systeme prüft unser KI-Sicherheitsaudit in einem Durchgang: AI-Act-Risikoklassifizierung, Transparenzanforderungen, Datenflüsse zu externen Modellen und DSGVO-Konformität.

KI-Audit vor dem 2. August buchen →