EU AI Act: Verbindliche Pflichten für Unternehmen ab August

Bereits am 2. August 2026 tritt die erste Welle verbindlicher Pflichten für Unternehmen in Kraft. Um den Übergang zu erleichtern, hat die EU-Kommission am 1. Juni zwei neue Expertengremien berufen, die die technische Umsetzung in den Mitgliedsstaaten überwachen sollen.

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der rechtssicheren Anwendung von KI-Systemen. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle neuen Pflichten, Fristen und Risikoklassen. EU AI Act in 5 Schritten verstehen

Stufenweise Einführung und Risikoklassifizierung

Der EU AI Act (Verordnung (EU) 2024/1689) verlangt von Unternehmen, ihre KI-Anwendungen in bestimmte Risikostufen einzuordnen. Das Spektrum reicht von verbotenen Systemen über Hochrisiko-Anwendungen bis hin zu begrenzten und minimalen Risikokategorien. Grundlegende Pflichten für alle Unternehmen umfassen Transparenzanforderungen – etwa die klare Kennzeichnung von KI-Interaktionen und Deepfakes – sowie interne Dokumentations- und IT-Sicherheitsstandards.

Für Hochrisiko-Anwendungen müssen Anbieter und Betreiber strenge Risikomanagementsysteme implementieren, hohe Datenqualität sicherstellen, detaillierte Protokolle führen und menschliche Aufsicht gewährleisten. Während die erste verbindliche Phase im August 2026 beginnt, hat die Kommission signalisiert, dass spezifische Regeln für bestimmte Hochrisiko-Produkte möglicherweise erst im Dezember 2027 in Kraft treten.

Neue Expertengremien für die Regulierungsaufsicht

Die beiden am 1. Juni eingesetzten Expertengruppen sollen die technische und wissenschaftliche Durchsetzung des Gesetzes bündeln. Das erste Gremium ist ein wissenschaftliches Panel mit 60 Mitgliedern, das systemische Risiken allgemeiner KI-Modelle (GPAI) überwacht und die Marktüberwachung unterstützt. Das zweite ist ein Beratungsforum mit Vertretern aus Industrie, Wissenschaft und Zivilgesellschaft, einschließlich kleiner und mittlerer Unternehmen (KMU). Dieses Forum konzentriert sich auf Standardisierung und Umsetzungsstrategien. Ständige Mitglieder dieser Gremien sind die EU-Agentur für Cybersicherheit (ENISA) und die EU-Agentur für Grundrechte.

Gerichtsurteil: Unternehmen haften für KI-Chatbots

Ein wegweisendes Urteil fällte das Oberlandesgericht (OLG) Hamm am 1. Juni 2026. Es entschied, dass Unternehmen vollständig für Fehler oder irreführende Aussagen ihrer KI-Chatbots haften. Der Fall, den eine Verbraucherschutzorganisation gegen einen medizinischen Dienstleister angestrengt hatte, drehte sich um einen Chatbot, der falsche Angaben zu ärztlichen Titeln machte. Das Gericht stellte klar: KI-Systeme fallen in den Verantwortungsbereich des Betreibers. Technische Sicherheitsvorkehrungen wie Eingabefilter und Prompt-Begrenzungen seien zumutbar und von Unternehmen zu erwarten.

Verstöße gegen die neuen Kennzeichnungs- und Dokumentationspflichten können für Unternehmen teuer werden und rechtliche Konsequenzen nach sich ziehen. Erfahren Sie in diesem kostenlosen Report, welche KI-Systeme als Hochrisiko gelten und wie Sie die Compliance-Anforderungen rechtzeitig erfüllen. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Marktbereitschaft: Viele Unternehmen zögern noch

Trotz der nahenden Fristen klafft eine Lücke zwischen KI-Nutzung und regulatorischer Vorbereitung. Der B2BEST-Barometer vom März 2026, für den 200 Großhändler und Hersteller befragt wurden, zeigt: 54 Prozent der Unternehmen halten KI inzwischen für hochrelevant – ein Anstieg von 49 Prozent im Jahr 2024. Sogar 85 Prozent erwarten, dass KI innerhalb der nächsten fünf Jahre große Bedeutung haben wird.

Die häufigsten Anwendungen sind derzeit Chatbots (48 Prozent), automatisierte Dokumentenerstellung (45 Prozent) und automatisierte Buchhaltung (44 Prozent). Doch 56 Prozent der befragten Unternehmen beobachten den EU AI Act lediglich, ohne aktiv Schritte zur Einhaltung zu unternehmen. Als größte Hürden nennen sie die Integration in bestehende Systeme (44 Prozent), Datenschutz- und Sicherheitsbedenken (37 Prozent) sowie technische Abhängigkeiten (30 Prozent).

Sektorale Regulierung im Wandel

Das regulatorische Umfeld bleibt in Bewegung. Am 26. März 2026 stimmte das EU-Parlament für Änderungen durch ein sogenanntes „Digital-Omnibus“-Paket. Ziel ist es, bestimmte Hochrisiko-Produktkategorien – darunter Medizinprodukte, Maschinen und Spielzeug – aus dem horizontalen Geltungsbereich des KI-Gesetzes herauszunehmen und stattdessen durch sektorspezifische Regelungen zu erfassen.

Dieser Schritt stößt auf Kritik. Der TÜV-Verband warnt davor, dass die Abkehr von einem horizontalen Ansatz zu einem fragmentierten „Flickenteppich“ an Vorschriften führen könnte. Kritiker befürchten eine regulatorische Lücke von fünf bis zehn Jahren für bestimmte Branchen, was die Compliance für Unternehmen, die in mehreren Sektoren tätig sind, erheblich erschweren könnte.

Integrierte Risikomanagement-Strategien

Um die überlappenden Anforderungen des EU AI Act, der NIS-2-Richtlinie (seit Oktober 2024 in Kraft) und des Digital Operational Resilience Act (DORA, seit Januar 2025) zu bewältigen, empfehlen Branchenanalysten einen integrierten Ansatz auf Basis der ISO-31000-Standards. Durch eine einheitliche Risikomatrix für Cyber-, ICT- und KI-Risiken können Unternehmen Doppelarbeit vermeiden. Ein dokumentiertes Risikomanagementsystem bietet zudem rechtlichen Schutz für das Management nach der Business Judgment Rule – vorausgesetzt, die Entscheidungen basieren auf angemessenen Informationen und einer ordnungsgemäßen Dokumentation.

de | wirtschaft | 69474360 |