EU AI Act 2026: Auf was sich Unternehmen 2026 vorbereiten müssen
Warum 2026 zum entscheidenden Jahr für den EU AI Act wird
2026 wird zu einem zentralen Jahr der KI-Regulierung in Europa. Neben dem Stichtag am 2. August 2026, ab dem sämtliche verbleibenden Bestimmungen des EU AI Acts gelten, wird 2026 auch ein Digitales Omnibus-Paket erwartet, das die Umsetzung der Verordnung vereinfachen soll. Dieses Paket schlägt gezielte Anpassungen vor, um die Pflichten klarer, handhabbarer und innovationsfreundlicher zu gestalten. Dazu gehören ein begrenzter Anwendungszeitrahmen für Hochrisiko-Regeln, stärkere Befugnisse des AI Office, erweiterte Vereinfachungen für KMU sowie Maßnahmen zur Kompetenzförderung und besseren Unterstützung von Unternehmen.
Die Übergangsfristen laufen seit Mai 2024, und mit 2026 beginnt die vollständige Anwendung fast aller regulatorischen Pflichten – mit Ausnahme von Artikel 6 Absatz 1, der erst 2027 wirksam wird. Für Unternehmen bedeutet das: KI-Systeme müssen spätestens ab August 2026 risikobasiert eingestuft, dokumentiert und nach den entsprechenden Anforderungen betrieben werden.
Die wichtigsten Deadlines und Phasen 2026 im Überblick
Zeitplan 2026: Die wichtigsten Termine des EU AI Acts
Die Europäische Kommission legt Leitlinien zur praktischen Umsetzung von Artikel 6 vor. Dazu gehört auch ein Plan für das Post-Market-Monitoring von Hochrisiko-KI-Systemen.
Betroffene Inhalte: Artikel 6 Absatz 5, Artikel 72 Absatz 3.
Der Hauptteil des EU AI Acts tritt in Kraft. Ab diesem Datum gelten alle verbleibenden Bestimmungen der Verordnung, mit Ausnahme von Artikel 6 Absatz 1.
Welche Regelungen das sind, erklären wir im Absatz „Welche Pflichten ab August 2026 vollständig greifen“.
Betroffene Inhalte: Artikel 113.
Die Regelung für Betreiber bereits bestehender Hochrisiko-KI-Systeme wird wirksam. Sie betrifft Systeme, die vor diesem Datum in Betrieb waren und ab dem Stichtag wesentliche Änderungen an ihrem Design erfahren. Nur in diesen Fällen gilt die volle Anwendung der Hochrisiko-Anforderungen.
Betroffene Inhalte: Artikel 111 Absatz 2.
Mitgliedstaaten müssen mindestens eine nationale KI-Regulierungs-Sandbox eingerichtet haben. Diese Sandbox soll ab diesem Datum betriebsbereit sein und kontrollierte Testumgebungen für KI-Innovationen ermöglichen.
Betroffene Inhalte: Artikel 57 Absatz 1.
Spätere Deadlines
- 2. August 2027 – Artikel 6 Absatz 1 wird für alle Unternehmen, die KI Modelle nutzen, angewendet.
- 2. August 2027 – Es endet die Übergangsfrist für GPAI-Modelle (General Purpose AI, dazu zählen zum Beispiel LLMs von OpenAI, Meta, Google, etc.).
2. August 2028 – Regelmäßige Bewertungsperioden der EU-Kommissionen zum Annex, Verhaltenskodizes und Bericht zu energieeffizienten GPAI-Modellen beginnen
(Stand: Dez. 2025)
- 1. August 2029 – Ablauf delegierter Befugnisse der Kommission
- Ab 2. August 2029 – Regelmäßiger Evaluierungsbericht zur gesamten Verordnung
(Stand: Dez. 2025)
- 2. August 2030 – Hochrisiko-KI von Anbietern und Nutzern der Systeme muss im öffentlichen Sektor vollständig compliant sein. Sie müssen alle regulatorischen Anforderungen umgesetzt haben.
- 31. Dezember 2030 – Anpassung von Betreibern großer IT-Systeme muss vollständig abgeschlossen und die Compliance nachgewiesen werden.
2. August 2031 – Bericht über die Umsetzung durch EU-Kommission.
(Stand: Dez. 2025)
Welche Pflichten ab August 2026 vollständig greifen
Mit dem 2. August 2026 treten die verbleibenden Bestimmungen des EU AI Acts in Kraft.
Ab diesem Zeitpunkt gelten für Unternehmen Anforderungen, die sich aus den Risikoklassen der jeweiligen KI-Systeme ableiten. Je höher ein KI-System eingestuft wird, desto größer ist der Einfluss auf die Grundrechte, Sicherheit oder demokratische Prinzipien. Aufgrund der hohen Verantwortung und potenziellen Schaden sind diese Systeme von strengeren Vorschriften betroffen.
Die Pflichten müssen also nach dem Prinzip der Selbstklassifizierung eingehalten werden. Kontrollen der Einhaltung des EU AI Acts geschehen Stichprobenartig oder bei Beschwerden – ausgenommen davon sind Hochrisiko-KI-Systeme.
Die Pflichten nach Risikoklassen:
Verbotene KI-Systeme mit inakzeptablen Risiko
- Umfasst KI-Systeme, die eine erhebliche Gefahr für Grundrechte, Sicherheit oder demokratische Prinzipien darstellen.
- Folgende Praktiken dürfen nicht genutzt werden:
- Manipulative oder täuschende KI-Techniken
- Ausnutzen persönlicher Schwachstellen
- Profiling oder Vorhersagen anhand persönlicher Merkmale
- Straftatprognosen allein durch Persönlichkeitsprofile
- Aufbau von Datenbanken zur Gesichtserkennung
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
- Biometrische Kategorisierung nach sensiblen Merkmalen
- Echtzeit-Identifizierung in öffentlichen Räumen
- Manipulative oder täuschende KI-Techniken
- Ausnutzen persönlicher Schwachstellen
- Profiling oder Vorhersagen anhand persönlicher Merkmale
- Straftatprognosen allein durch Persönlichkeitsprofile
- Aufbau von Datenbanken zur Gesichtserkennung
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
- Biometrische Kategorisierung nach sensiblen Merkmalen
- Echtzeit-Identifizierung in öffentlichen Räumen
KI-Systeme mit hohem Risiko
- Umfasst KI-Systeme, die erhebliche Auswirkungen auf Menschen haben, indem sie wichtige Entscheidungen (Kreditvergabe, Bewerbungsprozesse, roboterassistierte Chirurgie etc.) treffen oder sicherheitskritische Prozesse (z.B. im Straßenverkehr oder der Strafverfolgung) steuern.
- Unternehmen, die Hochrisiko-KI-Systeme anbieten oder nutzen, müssen:
- die KI in der EU registrieren und eine Konformitätsprüfung durchführen
- Risiken im Rahmen eines Risikomanagementsystems bewerten und minimieren
- Anforderungen an die Datenverwaltung erfüllen, insbesondere bei Trainings- und Testdaten
- eine vollständige technische Dokumentation erstellen (Funktionsweise, Risikomanagement, Datenbasis)
- menschliche Kontrolle sicherstellen, um Fehlentscheidungen zu vermeiden
- Datenschutz- und Sicherheitsmaßnahmen einhalten, insbesondere bei sensiblen Informationen
- Transparenz- und Informationspflichten gegenüber Nutzern erfüllen
- die KI in der EU registrieren und eine Konformitätsprüfung durchführen
- Risiken im Rahmen eines Risikomanagementsystems bewerten und minimieren
- Anforderungen an die Datenverwaltung erfüllen, insbesondere bei Trainings- und Testdaten
- eine vollständige technische Dokumentation erstellen (Funktionsweise, Risikomanagement, Datenbasis)
- menschliche Kontrolle sicherstellen, um Fehlentscheidungen zu vermeiden
- Datenschutz- und Sicherheitsmaßnahmen einhalten, insbesondere bei sensiblen Informationen
- Transparenz- und Informationspflichten gegenüber Nutzern erfüllen
KI-Systeme mit niedrigem Risiko
- Umfasst KI-Systeme, die keine unmittelbare Gefahr für Menschen darstellen, aber potenziell das Verhalten von Nutzern beeinflussen oder die Wahrnehmung von Informationen verändern können.
- Dazu zählen zum Beispiel Chatbots, die zur Interaktion mit Menschen bestimmt ist, KI die digitale Inhalte erstellt oder verändert (z. B. Deepfakes, Bildgeneratoren), Emotionserkennung oder biometrische Kategorisierung nutzt, um persönliche Merkmale abzuleiten
- Unternehmen, die KI-Systemen mit niedrigem Risiko anbieten oder nutzen, müssen folgende Punkte beachten:
- Transparenzpflichten: Nutzer müssen klar erkennbar informiert werden, dass sie mit einer KI interagieren oder KI-generierte Inhalte sehen
- Offenlegungspflichten: Unternehmen müssen öffentlich darlegen, wie die KI trainiert wurde und welche Datensätze verwendet wurden
- freiwillige Verhaltenskodizes werden empfohlen
- Transparenzpflichten: Nutzer müssen klar erkennbar informiert werden, dass sie mit einer KI interagieren oder KI-generierte Inhalte sehen
- Offenlegungspflichten: Unternehmen müssen öffentlich darlegen, wie die KI trainiert wurde und welche Datensätze verwendet wurden
- freiwillige Verhaltenskodizes werden empfohlen
KI-Systeme mit minimalen Risiko
- Umfasst KI-Systeme, die kein erkennbares Risiko für Menschen oder deren Rechte darstellen.
- Unternehmen können freiwillig ethische Richtlinien oder Verhaltenskodizes einführen
- Eine technische Dokumentation und Risikobewertung sind sinnvoll, aber nicht vorgeschrieben
To-Do Liste für EU AI Act 2026
- Alle eingesetzten KI-Systeme im Unternehmen identifizieren
- Auch zugekaufte, eingebettete oder in SaaS-Tools enthaltene KI-Funktionen erfassen
- Zweck, Einsatzbereich und Nutzerkreis jedes Systems dokumentieren
- Prüfen, in welche Risikoklassifizierung die jeweiligen Systeme fallen
- Klassifizierung dokumentieren (kurze Begründung je System)
Für Hochrisiko-KI:
- Risikomanagementsystem einrichten
- Datenqualität und Data Governance prüfen
- Technische Dokumentation erstellen
- Monitoring-Prozesse definieren
- Menschliche Aufsicht sicherstellen
- Konformitätsbewertung durchführen (intern oder durch Notified Body)
- Registrierung in der EU-Datenbank vornehmen
Für geringe Risiken:
- Transparenzhinweise für Nutzer bereitstellen
- Kennzeichnung KI-generierter Inhalte umsetzen
- Offenlegung der Trainingsdatentypen sicherstellen
Für minimale Risiken:
- Keine Pflichten – freiwillige Dokumentation prüfen
- Interne Verantwortliche für KI-Compliance benennen
- Governance-Struktur dokumentieren
- Prozesse für Updates, Modelländerungen und Überwachung festlegen
- Prüfen, ob externe Anbieter ihre eigenen AI-Act-Pflichten erfüllen
- Technische Dokumentation und Compliance-Angaben anfordern
- Vertragliche Nachweise und Zusicherungen absichern
- GPAI-Modelle auf korrekte Dokumentation und Offenlegung prüfen
- Nutzer über KI-Einsatz informieren
- Mechanismen zur Kennzeichnung automatisierter Inhalte integrieren
- interne Schulungen für Mitarbeitende durchführen
- Abgleich mit DSGVO durchführen
- Technische und organisatorische Maßnahmen aktualisieren
- Datenflüsse und Trainingsdatensätze dokumentieren
- Cybersicherheitsstandards prüfen
- Alle Nachweise, Bewertungen und Prozesse zentral ablegen
- Auditfähigkeit sicherstellen
- Verantwortlichkeiten dokumentieren
Wo die größten Risiken & Herausforderungen 2026 entstehen
Falsche Einstufung der KI-Systeme
Fehlende oder unvollständige Dokumentation
Unklare Verantwortlichkeiten
Technische Systeme ohne CE-Konformität
Bußgelder bei Verstößen
Ihr Ansprechpartner für den EU AI Act
Ausblick nach 2026
2026 wird zum zentralen Jahr für die Umsetzung des EU AI Acts. Ab dem 2. August gelten nahezu alle verbleibenden Bestimmungen, sodass Unternehmen ihre KI-Systeme korrekt einstufen, dokumentieren und entlang der gesetzlichen Vorgaben betreiben müssen. Die größten Herausforderungen entstehen dort, wo Verantwortlichkeiten fehlen, Dokumentation unvollständig ist oder technische Systeme nicht den vorgesehenen Standards entsprechen. Wer frühzeitig Strukturen schafft, Risiken bewertet und transparente Prozesse etabliert, schafft eine belastbare Grundlage für rechtskonforme und verantwortungsvolle KI-Anwendungen.
Gleichzeitig kann das erwartete Omnibus-Paket der EU ein entscheidender Faktor werden. Es sieht nicht nur eine Verschiebung der Deadlines (auch 2026) vor, sondern auch Vereinfachungen, Klarstellungen und strukturelle Anpassungen, die einzelne Vorgaben verändern oder neu ausrichten. Damit bleibt 2026 ein Jahr, in dem Unternehmen sowohl bestehende Regelungen umsetzen als auch mögliche Anpassungen im Blick behalten müssen.
Jetzt unverbindliches Erstgespräch vereinbaren
- Zukunftssicher: Frühzeitige Vorbereitung auf alle zentralen EU AI Act-Deadlines und sichere Umsetzung der neuen gesetzlichen Anforderungen für 2026.
- Strukturiert: Schritt-für-Schritt-Checklisten und klare Fahrpläne für die Compliance: Von der KI-Bestandsaufnahme über Risikoklassifizierung bis zur vollständigen Dokumentation.
- Risikominimierung: Identifikation und Vermeidung typischer Fehlerquellen bei der Selbstklassifizierung, Dokumentation und Verantwortungszuordnung – um Bußgelder und Projektrisiken zu reduzieren.
- Anpassungsfähig: Laufende Berücksichtigung neuer EU-Vorgaben und flexibler Anpassung Ihrer KI-Prozesse, auch bei kurzfristigen Änderungen durch das Omnibus-Paket oder Aktualisierungen im Gesetz.
TISAX und ISO-Zertifizierung nur für den Standort in München
Ihre Nachricht
