Der EU AI Act tritt im August 2026 vollständig in Kraft. Ein praktischer Leitfaden.
Die wichtigste Frist des EU AI Act fällt auf den 2. August 2026. Wenn Sie ChatGPT, ein KI-Recruiting-Tool oder irgendeine KI in Ihrem Produkt einsetzen, haben Sie Pflichten. Hier erfahren Sie welche, erklärt für CTOs, nicht für Juristen.
Zusammenfassung
Der EU AI Act stuft KI-Systeme in vier Risikoklassen ein und vergibt entsprechende Pflichten. Acht verbotene Praktiken gelten bereits seit Februar 2025. Der entscheidende Stichtag ist der 2. August 2026, ab dem die Regeln für Hochrisiko-Systeme, Transparenzpflichten und Bußgelder bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes vollständig gelten. Die meisten europäischen Unternehmen, die KI-Tools wie ChatGPT oder Copilot nutzen, sind "Betreiber" mit eigenen Compliance-Pflichten, die sie nicht an ihren US-Anbieter delegieren können. Europäische KI-Anbieter wie Mistral und Aleph Alpha haben einen strukturellen Compliance-Vorteil dank offener Modellgewichte, EU-Datenhosting und keiner Exposition gegenüber dem US CLOUD Act.
Der EU AI Act ist das weltweit erste vollständige KI-Gesetz. Er trat am 1. August 2024 in Kraft. Die ersten Regeln gelten bereits. Der große Stichtag, der 2. August 2026, liegt vier Monate entfernt.
Wenn Sie in Ihrem Unternehmen KI einsetzen, unterliegen Sie dem Gesetz wahrscheinlich schon. Wenn Sie KI-Produkte entwickeln, mit Sicherheit. Und die Strafen sind ernst: bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes.
Dies ist kein juristisches Gutachten. Es ist ein praktischer Leitfaden für CTOs und Gründer, die KI-Tools nutzen und verstehen müssen, was sich ändert, was sie tun müssen und wie viel Zeit ihnen bleibt.
Was bereits gilt
Zwei Regelwerke sind seit dem 2. Februar 2025 anwendbar.
Acht KI-Praktiken sind jetzt verboten. Das sind keine künftigen Verbote. Es ist geltendes Recht. Die Liste umfasst: KI-Systeme zur unterschwelligen Verhaltensmanipulation, Ausnutzung von Schwachstellen (Alter, Behinderung), Social Scoring durch Behörden, Vorhersage kriminellen Risikos allein auf Basis von Profiling, ungezieltes Scraping von Gesichtsbildern für Erkennungsdatenbanken, Emotionserkennung am Arbeitsplatz und in Schulen, biometrische Kategorisierung zur Ableitung von Rasse, Religion oder sexueller Orientierung, und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum für die Strafverfolgung (mit engen Ausnahmen).
Konkrete Beispiele gefällig? Ein HR-Tool, das Mimik von Bewerbern in Videointerviews analysiert, um die "kulturelle Passung" zu bewerten? Verboten. Ein SaaS-Produkt, das Gesichtserkennungsdatenbanken durch Scraping von LinkedIn- oder Instagram-Fotos aufbaut? Verboten. Ein Produktivitätstool, das den emotionalen Zustand von Mitarbeitern per Webcam-Analyse überwacht? Verboten.
KI-Kompetenz ist Pflicht. Jedes Unternehmen, das KI nutzt, muss sicherstellen, dass die mit KI-Systemen arbeitenden Mitarbeiter ein ausreichendes Verständnis von Funktionsweise, Fähigkeiten und Grenzen haben. Es gibt keine vorgeschriebene Zertifizierung oder Lehrplan. Aber Unternehmen sollten ihre Schulungsmaßnahmen dokumentieren. Eine Umfrage des AI Office von 2024 ergab, dass weniger als 25% der europäischen Organisationen formelle KI-Kompetenzprogramme hatten.
Seit dem 2. August 2025 haben auch Anbieter von General-Purpose KI-Modellen (GPT-4, Claude, Mistral Large, Gemini) Pflichten: technische Dokumentation, Urheberrechts-Compliance und eine öffentlich verfügbare Zusammenfassung der Trainingsdaten. 26 große KI-Unternehmen haben den GPAI Code of Practice unterzeichnet, darunter OpenAI, Anthropic, Google, Microsoft und Mistral AI. Meta hat die Unterzeichnung abgelehnt.
Die vier Risikostufen mit Beispielen aus dem Alltag
Der AI Act ordnet jedes KI-System einer von vier Kategorien zu.
Unakzeptables Risiko: verboten. Die acht oben genannten Praktiken. Bereits in Kraft.
Hohes Risiko: umfangreiche Pflichten. Hier wird der Stichtag August 2026 relevant. Ein KI-System gilt als hochriskant, wenn es in eine der acht Kategorien in Anhang III der Verordnung fällt:
| Kategorie | Was das konkret bedeutet |
|---|---|
| Biometrie | Gesichtserkennung, biometrische Kategorisierung |
| Kritische Infrastruktur | KI zur Steuerung von Stromnetzen, Wasserversorgung, Verkehr |
| Bildung | KI, die über Zulassungen entscheidet, Noten vergibt, Prüfungen überwacht |
| Beschäftigung & HR | KI zum Sichten von Lebensläufen, Ranking von Bewerbern, Beförderungsentscheidungen, Leistungsüberwachung |
| Grundlegende Dienstleistungen | Kreditscoring, Versicherungs-Risikobewertung, Anspruch auf staatliche Leistungen |
| Strafverfolgung | Beweiswürdigung, Rückfallprognose |
| Migration & Grenzschutz | Bearbeitung von Visa-/Asylanträgen, Identifizierung an Grenzen |
| Justiz & Demokratie | KI als Gerichtsassistenz, KI zur Beeinflussung von Wahlen |
Begrenztes Risiko: Transparenz erforderlich. Enthält Ihr Produkt einen Chatbot, müssen Nutzer wissen, dass sie mit einer KI interagieren. Generiert es Bilder, Audio oder Video, muss der Inhalt maschinenlesbare Kennzeichnungen tragen (Wasserzeichen). Deepfakes müssen gekennzeichnet werden. Emotionserkennungssysteme müssen die analysierte Person informieren.
Minimales Risiko: keine spezifischen Pflichten. Spamfilter, KI in Videospielen, Bestandsmanagement, einfache Empfehlungssysteme. Die große Mehrheit der KI-Systeme. Einzige Anforderung: KI-Kompetenz (gilt für alle).
Anbieter oder Betreiber: Was sind Sie?
Das ist die wichtigste Unterscheidung im AI Act. Sie bestimmt Ihre Pflichten.
Sie sind Betreiber, wenn Sie ein KI-System unter Ihrer Verantwortung in einem beruflichen Kontext nutzen. Das ist der häufigste Fall für europäische Unternehmen. Nutzt Ihr Team ChatGPT zum Verfassen von Texten, Claude für Analysen, Copilot zum Programmieren oder ein beliebiges KI-gestütztes SaaS-Tool, sind Sie Betreiber.
Sie sind Anbieter, wenn Sie ein KI-System entwickeln (oder entwickeln lassen) und es unter Ihrem Namen oder Ihrer Marke auf den Markt bringen. Das schließt den Aufbau von Produkten auf KI-APIs ein.
Hier wird es heikel. Die API von OpenAI nutzen, um ein Bewerber-Screening-Tool zu bauen, das Sie unter Ihrer Marke vertreiben? Sie sind nicht Betreiber des OpenAI-Systems. Sie sind der Anbieter eines neuen KI-Systems. Und fällt dieses System in eine Hochrisiko-Kategorie (Recruiting gehört dazu), tragen Sie die vollen Anbieterpflichten: Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Post-Market-Monitoring, Vorfallmeldung.
Die Falle des "versehentlichen Anbieters" ist real. Ein Hochrisiko-KI-System unter eigenem Label vertreiben, es wesentlich verändern oder seinen Verwendungszweck so ändern, dass es hochriskant wird, all das macht aus einem Betreiber einen Anbieter.
Was Betreiber bis zum 2. August 2026 tun müssen
Wenn Sie als Betreiber Hochrisiko-KI-Systeme einsetzen, verpflichtet Sie Artikel 26 zu 12 konkreten Maßnahmen. Die wichtigsten:
Das System gemäß Anbieteranweisungen nutzen. Klingt offensichtlich, heißt aber: Dokumentation lesen und die angegebenen Einschränkungen beachten.
Die menschliche Aufsicht kompetenten, geschulten und autorisierten Personen übertragen. Jemand in Ihrer Organisation muss die Ergebnisse des KI-Systems verstehen, interpretieren und übersteuern können. Das bedeutet nicht immer, dass ein Mensch jede einzelne Entscheidung prüft. Für viele Systeme reicht eine kontinuierliche Überwachung mit Eingriffsmöglichkeit. Aber die zuständigen Personen müssen die Ausbildung und Befugnis zum Handeln haben.
Das System überwachen und Logs mindestens 6 Monate aufbewahren.
Betroffene Personen informieren. Wird jemand Gegenstand einer durch ein Hochrisiko-KI-System getroffenen oder unterstützten Entscheidung, muss er das wissen. Beschäftigte und ihre Vertreter müssen vor dem Einsatz jeder KI am Arbeitsplatz informiert werden.
Eine Grundrechte-Folgenabschätzung durchführen für bestimmte Anwendungsfälle (Kreditscoring, Versicherung, öffentliche Dienstleistungen).
Schwerwiegende Vorfälle melden an Anbieter und Behörden innerhalb von 15 Tagen.
Für nicht-hochriskante Nutzungen (Marketingtexte, allgemeine Produktivität, Code-Unterstützung) sind Ihre Pflichten einfacher: KI-Kompetenz sicherstellen und den KI-Einsatz offenlegen, wenn das System mit Personen interagiert.
Die Bußgelder
Die Strafen sind proportional zur Schwere:
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken | 35 Millionen Euro oder 7% des weltweiten Umsatzes |
| Hochrisiko- und GPAI-Pflichten | 15 Millionen Euro oder 3% des weltweiten Umsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Millionen Euro oder 1% des weltweiten Umsatzes |
Bis April 2026 wurden noch keine formellen Bußgelder verhängt. Aber die Durchsetzungsinfrastruktur entsteht: Finnland wurde im Januar 2026 das erste EU-Land mit vollständig operativer AI-Act-Durchsetzung, Italien hat ein vollständiges nationales KI-Gesetz mit Strafbestimmungen für Deepfakes erlassen, und Spaniens KI-Aufsichtsbehörde (AESIA) betreibt seit 2023 eine regulatorische Sandbox. In Deutschland wurde die Bundesnetzagentur (BNetzA) als zuständige Behörde bestimmt, der formelle Kompetenzrahmen (KI-MIG) befindet sich aber noch im Gesetzgebungsverfahren.
Warum europäische KI-Tools einen Vorteil haben
Ein US-KI-Tool zu nutzen macht Sie nicht automatisch non-konform. OpenAI, Anthropic, Google und Microsoft haben alle den GPAI Code of Practice unterzeichnet und investieren in Compliance. Sie bieten EU-Hosting-Optionen an.
Aber europäische KI-Anbieter haben strukturelle Vorteile, die Compliance vereinfachen:
Keine CLOUD-Act-Exposition. Mistral AI, Aleph Alpha und DeepL unterliegen nicht dem US CLOUD Act, der US-Behörden Datenzugriff unabhängig vom Hosting-Standort ermöglicht. Für regulierte Branchen beseitigt das einen fundamentalen Rechtskonflikt.
Offene Modellgewichte ermöglichen Prüfbarkeit. Mistrals Open-Weight-Ansatz erlaubt Betreibern und Aufsichtsbehörden, Modellarchitektur und Verhalten zu inspizieren, in direkter Unterstützung der Transparenzanforderungen des AI Act (Artikel 13). Wenn eine Aufsichtsbehörde fragt, wie Ihr KI-System funktioniert, ist der Verweis auf inspizierbare Modellgewichte eine starke Antwort.
Selbsthosting bewahrt die Datensouveränität. Sie können Mistral-Modelle auf europäischer Infrastruktur deployen (OVHcloud, Scaleway), ohne dass Daten die EU verlassen. Die Pharia-Modelle von Aleph Alpha werden als zu 100% AI-Act-konform ab Marktstart beworben.
Einen tieferen Blick auf das europäische KI-Ökosystem bietet unser Artikel über europäische KI-Tools als echte Alternativen zu US-Anbietern. Und die Souveränitätsdimension erklärt unser Leitfaden zur digitalen Souveränität.
Was Sie jetzt tun sollten
Der 2. August 2026 ist in vier Monaten. Hier ein realistischer Zeitplan:
Jetzt (April 2026): Inventarisieren Sie jedes KI-System, das Ihr Unternehmen nutzt oder entwickelt. Shadow AI einbeziehen (persönliche ChatGPT-Konten). Jedes System nach Risikostufe klassifizieren und feststellen, ob Sie Anbieter oder Betreiber sind.
Mai 2026: Folgenabschätzungen für Hochrisiko-Systeme durchführen. Lieferantenverträge aktualisieren, um Compliance-Dokumentation, Vorfallmeldung und Kooperation bei Behördenanfragen einzufordern.
Juni 2026: Verfahren zur menschlichen Aufsicht finalisieren. KI-Kompetenzschulungen für alle Mitarbeiter abschließen. Dokumentationsunterlagen aufbauen.
Juli 2026: Internes Audit und Nachbesserung.
2. August 2026: Vollständige Durchsetzung beginnt.
Ein Hinweis: Die EU hat im November 2025 ein Digital-Omnibus-Paket vorgeschlagen, das einige Hochrisiko-Pflichten auf Dezember 2027 verschieben könnte. Rat und Parlament haben im März 2026 ihre Positionen beschlossen, und die Trilog-Verhandlungen laufen. Aber die Verschiebung ist nicht garantiert. Planen Sie für den 2. August und betrachten Sie jede Verlängerung als Bonus.
Der AI Act Compliance Checker, betrieben vom Service Desk der Kommission, kann Ihnen helfen einzuschätzen, wo Ihre Systeme stehen. Und das europäische KI-Tools-Verzeichnis bei From Europe, With Love hilft Ihnen, EU-native Alternativen für jede Kategorie zu finden.
Das Fazit
Der AI Act ist nicht die DSGVO 2.0. Er ist zielgerichteter. Die meisten KI-Systeme tragen minimales Risiko und erfordern nichts über grundlegende Kompetenzschulungen hinaus. Aber wenn Sie KI für alles einsetzen, was mit Rechten von Personen, Beschäftigung, Finanzen oder Sicherheit zu tun hat, müssen Sie das Thema ernst nehmen.
Die gute Nachricht: Wenn Sie sich bereits um Datensouveränität kümmern und europäische Tools nutzen, haben Sie einen Vorsprung. Der AI Act belohnt Transparenz, Dokumentation und Prüfbarkeit, genau die Eigenschaften, auf die europäische KI-Anbieter ihre Produkte aufgebaut haben.
Beginnen Sie mit Ihrem KI-Inventar. Der Rest ergibt sich daraus.
Wichtigste Erkenntnisse
- 1. Acht KI-Praktiken sind in der EU seit Februar 2025 verboten, darunter Emotionserkennung am Arbeitsplatz, Social Scoring und das ungezieltes Scraping von Gesichtsbildern.
- 2. Wenn Ihr Unternehmen ChatGPT, Claude oder Copilot nutzt, sind Sie "Betreiber" im Sinne des AI Act mit eigenständigen Compliance-Pflichten, die Ihr US-Anbieter nicht für Sie erfüllen kann.
- 3. Wenn Ihr Unternehmen ein Produkt auf einer KI-API aufbaut und unter eigenem Namen vertreibt, sind Sie "Anbieter" mit deutlich schwereren Pflichten inklusive Konformitätsbewertung.
- 4. Bußgelder reichen bis 35 Millionen Euro oder 7% des weltweiten Umsatzes bei verbotenen Praktiken, aber KMU zahlen den jeweils niedrigeren Betrag.
- 5. Europäische KI-Tools (Mistral, Aleph Alpha, DeepL) bieten strukturelle Compliance-Vorteile: prüfbare offene Modellgewichte, ausschließliches EU-Datenhosting und keine Exposition gegenüber dem US CLOUD Act.
Häufig gestellte Fragen
Gilt der EU AI Act für mein Unternehmen, wenn ich ChatGPT nur intern nutze?
Was ist der Unterschied zwischen Anbieter und Betreiber im AI Act?
Welche Bußgelder drohen bei Verstößen gegen den AI Act?
Haben europäische KI-Tools einen Compliance-Vorteil gegenüber US-Tools?
Könnte die August-2026-Frist verschoben werden?
Ähnliche Beiträge
7 europäische KI-Tools, die Ihre US-Alternativen tatsächlich ersetzen können
Europäische KI-Tools sind kein Kompromiss mehr. Von Mistral über DeepL bis n8n haben wir sieben in Europa entwickelte Tools getestet, die ihre US-Pendants in Ihrem Arbeitsalltag ersetzen können. Eines davon erzählt eine kompliziertere Geschichte darüber, wo europäisches Talent am Ende landet.
EU Inc: Europa hat sein größtes Startup-Problem gelöst
Die Europäische Kommission hat am 18. März 2026 den Gesetzesvorschlag zu EU Inc offiziell vorgestellt. Eine Verordnung. Digitale Gründung in 48 Stunden. Kein Mindestkapital. Ein zentrales EU-Register. Hier erfahren Sie, was drinsteht, was sich seit Januar geändert hat und worauf Gründer achten sollten, während der Vorschlag ins Parlament und den Rat geht.
Mistral AI: Wie ein französisches Startup zu Europas Antwort auf OpenAI wurde
Gegründet 2023 von drei ehemaligen Forschern von Google DeepMind und Meta, erreichte Mistral AI in weniger als drei Jahren eine Bewertung von 13,8 Milliarden Dollar. Ihre Strategie: offene Modelle, europäische Souveränität und der Aufbau des gesamten Stacks. So haben sie es geschafft und was als Nächstes kommt.