Governance & Compliance

EU AI Act 2026: Was jetzt gilt, was kommt, was Sie tun müssen

Status Februar 2026: Verbote aktiv, AI Literacy Pflicht, High-Risk-Deadline in sechs Monaten. Timeline, Pflichten, Handlungsempfehlungen.

Gosign 11 Min. Lesezeit

Das erste umfassende KI-Gesetz der Welt

Der EU AI Act ist seit August 2024 in Kraft. Es ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz — und es betrifft jedes Unternehmen, das KI-Systeme entwickelt, einsetzt oder bereitstellt. Im Februar 2026 befinden wir uns mitten in der Umsetzungsphase: Zwei Fristen sind bereits abgelaufen, die nächste kommt in sechs Monaten. Wer sich nicht vorbereitet hat, hat ein Problem. Wer sich jetzt vorbereitet, hat noch Zeit.

Dieser Artikel gibt einen nüchternen Überblick über den aktuellen Stand: Was gilt bereits, was kommt wann, welche Pflichten betreffen Ihr Unternehmen und was Sie in den nächsten 90 Tagen tun sollten.

Timeline: Fünf Meilensteine

Die gestaffelte Umsetzung des EU AI Act erstreckt sich über drei Jahre. Jeder Meilenstein aktiviert andere Pflichten.

August 2024          Februar 2025         August 2025         August 2026          August 2027
    │                    │                    │                   │                    │
    ▼                    ▼                    ▼                   ▼                    ▼
In-Kraft-Treten    Verbotene KI-        GPAI-Pflichten      High-Risk-Systeme    Restliche
                   Praktiken +          gelten              müssen compliant     Bestimmungen
                   AI Literacy                              sein
                   ✅ AKTIV             ✅ AKTIV            ⚠️ IN 6 MONATEN     🔜 2027

Für Unternehmen bedeutet das: Zwei Stufen sind bereits rechtsverbindlich. Die dritte — und für viele Unternehmen kritischste — Stufe tritt in sechs Monaten in Kraft. Die Vorbereitung darauf erfordert typischerweise vier bis sechs Monate. Die Zeit ist knapp.

Was jetzt gilt

Verbotene KI-Praktiken (seit Februar 2025)

Seit dem 2. Februar 2025 sind bestimmte KI-Anwendungen in der EU vollständig verboten. Das betrifft:

  • Social Scoring: KI-Systeme, die Personen auf Basis ihres Sozialverhaltens bewerten und daraus Nachteile in nicht verwandten Kontexten ableiten.
  • Manipulative KI: Systeme, die menschliches Verhalten durch unterschwellige Techniken manipulieren — etwa Dark Patterns, die Kaufentscheidungen oder Zustimmungen erzwingen.
  • Echtzeit-Biometrie im öffentlichen Raum: Biometrische Identifikation in Echtzeit ist grundsätzlich verboten. Eng definierte Ausnahmen bestehen für die Strafverfolgung bei schweren Straftaten, Terrorabwehr und der Suche nach vermissten Personen — jeweils mit richterlicher Genehmigung.
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: KI-Systeme, die Emotionen von Beschäftigten oder Lernenden erkennen, sind unzulässig.
  • Predictive Policing auf Basis individueller Merkmale: Risikoeinschätzungen für Straftaten, die ausschließlich auf persönlichen Eigenschaften basieren.

Sanktionen: Verstöße gegen die Verbotstatbestände werden mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet — je nachdem, welcher Betrag höher ist.

Für die meisten Unternehmen in Deutschland sind diese Verbote nicht unmittelbar handlungsrelevant, weil die beschriebenen Anwendungen im Unternehmenskontext selten vorkommen. Aber die Prüfung ist Pflicht: Stellen Sie sicher, dass keines Ihrer KI-Systeme unter diese Kategorien fällt.

AI Literacy (seit Februar 2025)

Parallel zu den Verboten gilt seit Februar 2025 die AI-Literacy-Pflicht nach Artikel 4: Alle Personen, die KI-Systeme betreiben, einsetzen oder nutzen, müssen über ein ausreichendes Maß an KI-Kompetenz verfügen. Die Kompetenz muss dem jeweiligen Kontext angemessen sein — ein Entwickler benötigt tieferes Wissen als ein Endanwender, der einen Chatbot nutzt.

Was das konkret bedeutet:

  • Schulungspflicht: Unternehmen müssen nachweisen können, dass ihre Mitarbeitenden geschult wurden.
  • Dokumentationspflicht: Schulungsinhalte, Teilnehmerlisten und Auffrischungsintervalle müssen dokumentiert sein.
  • Kontextangemessenheit: Die Schulung muss zur Rolle passen. Ein pauschales E-Learning reicht für Entscheider, die KI-Systeme auswählen und verantworten, nicht aus.

Die AI-Literacy-Pflicht wird häufig unterschätzt, weil sie keine hohen technischen Anforderungen stellt. Aber sie ist bereits durchsetzbar. Und sie betrifft jedes Unternehmen, das KI einsetzt — unabhängig von der Risikoklasse des Systems. Mehr zu den organisatorischen Implikationen finden Sie im Artikel Betriebsrat & AI Literacy: Die Organisationsfragen.

GPAI-Pflichten (seit August 2025)

Seit August 2025 gelten die Transparenz- und Dokumentationspflichten für General-Purpose-AI-Modelle (GPAI). Diese betreffen primär die Anbieter von Sprachmodellen, nicht die Unternehmen, die diese Modelle nutzen. Aber als Deployer — als Unternehmen, das ein GPAI-Modell in eigenen Anwendungen einsetzt — haben Sie Pflichten:

  • Nutzungshinweise: Wenn Ihre Anwendung Inhalte generiert, die als von Menschen erstellt missverstanden werden könnten, müssen Sie das kenntlich machen.
  • Transparenz gegenüber Nutzern: Personen, die mit einem KI-System interagieren, müssen darüber informiert werden.
  • Governance-Infrastruktur: Sie müssen dokumentieren können, welche GPAI-Modelle Sie einsetzen, in welchem Kontext und mit welchen Schutzmaßnahmen.

Die GPAI-Pflichten erfordern eine saubere Inventarisierung: Welche KI-Modelle setzen Sie ein? Von welchem Anbieter? In welcher Anwendung? Mit welcher Risikoeinstufung? Diese Informationen bilden die Grundlage für die High-Risk-Compliance, die in sechs Monaten greift.

Was in sechs Monaten kommt: High-Risk-Systeme (August 2026)

Die High-Risk-Deadline am 2. August 2026 ist für die meisten Unternehmen die kritischste Frist des EU AI Act. Ab diesem Zeitpunkt müssen alle KI-Systeme, die unter Annex III fallen, vollständig compliant sein. Die Anforderungen sind umfangreich.

Welche Systeme fallen unter High Risk?

Annex III des EU AI Act definiert acht Bereiche, in denen KI-Systeme als hochriskant eingestuft werden. Die für Unternehmen relevantesten:

  • Beschäftigung, Personalmanagement und Zugang zu selbstständiger Tätigkeit: KI-Systeme für Stellenausschreibungen, Bewerberauswahl, Leistungsbewertung, Beförderungsentscheidungen und Kündigungen.
  • Kreditwürdigkeit und Versicherungen: Automatisierte Bonitätsbewertung, Risiko-Scoring.
  • Biometrische Identifikation: Gesichtserkennung, Stimmidentifikation — auch im nicht-öffentlichen Raum.
  • Kritische Infrastruktur: KI-Systeme in Energie, Wasser, Verkehr, Telekommunikation.
  • Bildung und Berufsausbildung: Automatisierte Prüfungsbewertung, Zugangssteuerung zu Bildungseinrichtungen.

Anforderungen an High-Risk-Systeme

Wenn eines Ihrer KI-Systeme als High Risk eingestuft wird, müssen Sie bis August 2026 folgende Anforderungen erfüllen:

  1. Risikomanagementsystem: Ein dokumentiertes System zur Identifikation, Analyse und Minimierung von Risiken über den gesamten Lebenszyklus des KI-Systems.
  2. Daten-Governance: Anforderungen an die Qualität, Repräsentativität und Fehlerfreiheit der Trainingsdaten. Bei Nutzung vortrainierter Modelle: Dokumentation der Datenherkunft und der Feinabstimmung.
  3. Technische Dokumentation: Umfassende Dokumentation des Systems vor der Inbetriebnahme — Architektur, Trainingsverfahren, Leistungskennzahlen, Testverfahren, Limitierungen.
  4. Aufzeichnungspflichten: Automatische Protokollierung aller relevanten Vorgänge (Logging), um die Nachvollziehbarkeit von Entscheidungen zu gewährleisten.
  5. Transparenz: Gebrauchsanweisungen für Deployer, die eine sachgerechte Nutzung ermöglichen.
  6. Menschliche Aufsicht (Human Oversight): Technische Maßnahmen, die eine wirksame Überwachung durch Menschen ermöglichen. Der Decision Layer ist eine Architektur, die genau diese Anforderung technisch umsetzt.
  7. Genauigkeit, Robustheit, Cybersicherheit: Das System muss die deklarierte Leistung zuverlässig erbringen und gegen Manipulation geschützt sein.
  8. Konformitätsbewertung: Für bestimmte Kategorien ist eine Bewertung durch eine benannte Stelle (Conformity Assessment Body) erforderlich. Für andere genügt eine Selbstbewertung.

Sanktionen: Verstöße gegen die High-Risk-Pflichten werden mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet.

Besondere Relevanz für HR

Der Personalbereich ist der Unternehmensbereich, in dem KI-Anwendungen am häufigsten unter die High-Risk-Kategorie fallen. Das liegt an Annex III, Nummer 4 — Beschäftigung und Personalmanagement. Die Einstufung betrifft:

Automatisiertes Screening von Bewerbungen: High Risk. Jedes KI-System, das Bewerbungen vorsortiert, bewertet oder filtert, fällt unter die High-Risk-Kategorie. Unabhängig davon, ob die finale Entscheidung ein Mensch trifft. Bereits die Vorselektion ist reguliert.

KI-gestützte Leistungsbeurteilungen: High Risk. Wenn KI-Systeme Leistungsdaten analysieren und daraus Beurteilungen ableiten oder Beurteilungen vorbereiten, ist das High Risk. Das gilt auch für Systeme, die nur Empfehlungen aussprechen.

Predictive Attrition: High Risk. KI-Systeme, die vorhersagen, welche Mitarbeitenden das Unternehmen voraussichtlich verlassen, verarbeiten personenbezogene Daten zur Ableitung von Beschäftigungsentscheidungen. Das ist High Risk.

Automatische Dienstplan-Optimierung: potenziell High Risk. Wenn ein KI-System Schichtpläne erstellt und dabei individuelle Präferenzen, Leistungsdaten oder Gesundheitsinformationen verarbeitet, kann es unter High Risk fallen. Die Einstufung hängt vom konkreten Datenumfang ab.

Für HR-Abteilungen bedeutet das: Inventarisieren Sie alle KI-Systeme, die in Beschäftigungskontexten eingesetzt werden. Prüfen Sie die Einstufung. Beginnen Sie mit der Compliance-Vorbereitung — die sechs Monate bis August 2026 sind für eine vollständige High-Risk-Konformität knapp bemessen. Weiterführende Informationen zum Zusammenspiel von KI und HR finden Sie unter HR & AI Agents.

Digital Omnibus: Mögliche Verschiebung

Die Europäische Kommission hat Ende 2025 ein Digital-Omnibus-Paket vorgeschlagen, das unter anderem die High-Risk-Fristen des EU AI Act auf Dezember 2027 verschieben könnte. Das Paket adressiert auch eine Vereinfachung der Berichtspflichten und eine Anhebung der Schwellenwerte für KMU.

Der aktuelle Stand: Das Digital-Omnibus-Paket ist ein Vorschlag der Kommission. Es muss vom Europäischen Parlament und dem Rat verabschiedet werden. Stand Februar 2026 ist das Verfahren nicht abgeschlossen. Es gibt keine Garantie, dass das Paket in der vorgeschlagenen Form verabschiedet wird. Es gibt keine Garantie, dass es überhaupt verabschiedet wird.

Die Empfehlung: Planen Sie mit August 2026. Wenn das Digital Omnibus tatsächlich eine Verschiebung bringt, haben Sie zusätzliche Zeit gewonnen. Wenn nicht, sind Sie vorbereitet. Compliance-Vorbereitung, die auf eine unsichere Fristverlängerung wettet, ist ein vermeidbares Risiko.

Praxis-Empfehlung: AI-System-Inventar starten

Unabhängig davon, ob Ihre KI-Systeme unter High Risk fallen oder nicht: Der erste Schritt ist immer derselbe. Sie brauchen ein vollständiges Inventar aller KI-Systeme in Ihrem Unternehmen.

Was erfasst werden muss

Für jedes KI-System dokumentieren Sie:

  • System-Bezeichnung und Beschreibung: Was tut das System? Welchen Prozess unterstützt es?
  • Anbieter und Modell: Welches KI-Modell wird eingesetzt? Von welchem Anbieter? Cloud-API oder Self-Hosted?
  • Rolle Ihres Unternehmens: Sind Sie Provider (Anbieter), Deployer (Betreiber) oder beides?
  • Risikoklassifizierung: Fällt das System unter eine der Kategorien in Annex III (High Risk)? Unter die Verbotstatbestände in Artikel 5? Oder handelt es sich um ein System mit geringem Risiko?
  • Betroffene Personen: Welche Personen sind von den Entscheidungen oder Ausgaben des Systems betroffen?
  • Datenverarbeitung: Welche Daten verarbeitet das System? Personenbezogene Daten? Geschäftsgeheimnisse?
  • Schutzmaßnahmen: Welche technischen und organisatorischen Maßnahmen sind implementiert? Human Oversight? Audit-Trail?

Zeitplan

Ein AI-System-Inventar für ein mittelgroßes Unternehmen ist in vier bis acht Wochen erstellbar. Der Aufwand hängt von der Anzahl der Systeme, der Dokumentationslage und der internen Koordination ab. Beginnen Sie mit den offensichtlichen Systemen — den offiziell beschafften KI-Werkzeugen — und erweitern Sie dann auf Shadow AI: KI-Systeme, die Mitarbeitende eigenständig nutzen, ohne dass die IT davon weiß.

Das Inventar ist keine einmalige Aufgabe. Es muss fortlaufend aktualisiert werden, weil neue Systeme hinzukommen, bestehende Systeme verändert werden und die regulatorische Bewertung sich weiterentwickelt. Die Governance-Infrastruktur muss so aufgebaut sein, dass das Inventar ein lebendes Dokument bleibt.

Zusammenfassung: Was Sie jetzt tun sollten

  1. Prüfen Sie die Verbotstatbestände. Stellen Sie sicher, dass keines Ihrer KI-Systeme unter die seit Februar 2025 verbotenen Praktiken fällt.
  2. Erfüllen Sie die AI-Literacy-Pflicht. Dokumentieren Sie Schulungen für alle KI-Nutzer in Ihrem Unternehmen. Die Pflicht gilt jetzt.
  3. Erstellen Sie ein AI-System-Inventar. Erfassen Sie alle KI-Systeme, deren Anbieter, Einsatzkontext und Risikoklassifizierung. Zeitrahmen: vier bis acht Wochen.
  4. Identifizieren Sie High-Risk-Systeme. Prüfen Sie insbesondere den HR-Bereich, Kreditentscheidungen und automatisierte Prozesse mit direkter Auswirkung auf Personen.
  5. Starten Sie die High-Risk-Compliance. Für Systeme, die unter Annex III fallen: Risikomanagementsystem, Daten-Governance, technische Dokumentation und Human Oversight aufbauen. Deadline: August 2026.
  6. Planen Sie nicht mit dem Digital Omnibus. Die mögliche Verschiebung ist ein Bonus, keine Planungsgrundlage.

📘 Enterprise AI-Infrastruktur Blueprint 2026 – Artikel-Serie

← VorherigerÜbersichtNächster →
Was KI wirklich kostet: TCO-Vergleich für UnternehmenZur ÜbersichtBetriebsrat & AI Literacy: Die Organisationsfragen

Alle Artikel dieser Serie: Enterprise AI-Infrastruktur Blueprint 2026

Gosign begleitet Unternehmen bei der EU-AI-Act-Compliance — vom System-Inventar bis zur Konformitätsbewertung. Wenn Sie wissen wollen, wo Ihr Unternehmen steht, sprechen Sie mit uns.

Termin vereinbaren — 30 Minuten, in denen wir Ihren Compliance-Status bewerten.

EU AI Act KI Regulierung High Risk Compliance HR 2026
Artikel teilen

Häufige Fragen

Welche KI-Praktiken sind seit Februar 2025 verboten?

Social Scoring, manipulative KI-Systeme und Echtzeit-Biometrie im öffentlichen Raum (mit eng definierten Ausnahmen für Strafverfolgung). Verstöße: bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes.

Sind KI-Anwendungen im HR-Bereich High Risk?

Fast immer. Automatisiertes Screening von Bewerbungen, KI-gestützte Leistungsbeurteilungen, Predictive Attrition und automatische Dienstplan-Optimierung fallen unter die High-Risk-Kategorie (Annex III). Compliance-Deadline: August 2026.

Was bedeutet die AI-Literacy-Pflicht?

Seit Februar 2025 müssen alle Personen, die KI-Systeme betreiben oder nutzen, über ein ausreichendes Maß an KI-Kompetenz verfügen. Unternehmen müssen Schulungsmaßnahmen nachweisen können.

Gilt die Digital-Omnibus-Verschiebung?

Die Europäische Kommission hat Ende 2025 ein Digital-Omnibus-Paket vorgeschlagen, das die High-Risk-Fristen auf Dezember 2027 verschieben könnte. Das Paket ist noch nicht verabschiedet. Planen Sie mit August 2026.

Welcher Prozess soll Ihr erster Agent übernehmen?

Sprechen Sie mit uns über einen konkreten Use Case.

Termin vereinbaren