Zum Hauptinhalt springen
UseAIEasily Logo
UseAIEasily
Kontakt

Der EU AI Act: Ein Praxis-Leitfaden für Unternehmen 2026

DM

Von Dezső Mező

KI-Architekt, UseAIEasily-Gründer

· 11 Min. Lesezeit

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz, und über 2026 treten seine Pflichten schrittweise in Kraft. Die gute Nachricht für die meisten Unternehmen: Wenn du KI für Support-Automatisierung, RAG-Suche oder interne Copilots nutzt, bist du fast sicher in der Kategorie mit geringem Risiko und leichten Pflichten. Die Arbeit besteht darin, zu wissen, in welcher Stufe du bist — und das zu dokumentieren.

Die vier Risikostufen

  • Verboten — eine kleine Menge: Social Scoring, manipulative Systeme, ungezieltes Gesichtserkennungs-Scraping. Ein normales Unternehmen ist hier nicht.
  • Hochriskant — KI in Einstellung, Kreditbewertung, Bildung, wesentlichen Diensten, Medizinprodukten, kritischer Infrastruktur. Strenge Pflichten: Risikomanagement, Daten-Governance, Dokumentation, menschliche Aufsicht, Genauigkeit, Logging.
  • Begrenztes Risiko — KI, die mit Menschen interagiert (Chatbots) oder Inhalte generiert. Die Pflicht ist Transparenz: Nutzer informieren, dass sie es mit KI zu tun haben, und KI-generierte Inhalte kennzeichnen.
  • Minimales Risiko — alles andere: Spam-Filter, Empfehlungssysteme, die meiste interne Produktivitäts-KI. Keine spezifischen Pflichten.

In welcher Stufe ist deine KI?

Die meiste Unternehmens-KI landet bei begrenztem oder minimalem Risiko. Ein Kundensupport-Chatbot ist begrenztes Risiko: du musst offenlegen, dass es KI ist. Ein internes RAG-Suchtool ist typisch minimales Risiko. Hochriskant wird es, wenn die KI eine Entscheidung über eine Person in einem regulierten Bereich wesentlich beeinflusst — Bewerber-Screening, Kreditwürdigkeit, Patienten-Triage. Der Test ist nicht die Technologie, sondern die Konsequenz der Ausgabe für eine Person.

Der Zeitplan 2026

  • Regeln zu verbotenen Nutzungen und KI-Kompetenz-Pflichten gelten bereits seit Anfang 2025.
  • Regeln für General-Purpose-KI-Modelle (die Basismodelle selbst) gelten ab Mitte 2025 — relevant für Modellanbieter, nicht für die meisten Anwender.
  • Hochrisiko-Pflichten treten über 2026 und bis 2027 schrittweise in Kraft, die schwersten Anforderungen zu den späteren Daten.
  • Die praktische Folge: ist deine KI nicht hochriskant, sind deine Pflichten 2026 moderat. Ist sie es, hast du eine definierte Vorlaufzeit — aber die Dokumentation solltest du jetzt beginnen.

Was Unternehmen tatsächlich tun müssen

  • Klassifiziere jedes eingesetzte KI-System in eine Stufe und schreibe die Begründung auf. Dieser eine Schritt ist bei Systemen mit geringem Risiko der Großteil der Compliance-Arbeit.
  • Bei begrenztem Risiko: eine klare Offenlegung, dass Nutzer mit KI interagieren, und KI-generierte Inhalte kennzeichnen.
  • Bei hohem Risiko: ein Risikomanagement-Prozess, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Logging und eine Konformitätsbewertung. Das ist erheblich — budgetiere es.
  • Stelle sicher, dass Mitarbeiter, die KI nutzen, eine grundlegende KI-Kompetenz haben — eine leichte, aber reale Pflicht, die bereits gilt.
  • Halte die Klassifizierung aktuell: ändert sich die Nutzung eines Systems, kann sich seine Stufe ändern.

Wie der AI Act mit DSGVO und DORA zusammenwirkt

Drei getrennte Regime, die sich überlappen. Die DSGVO regelt personenbezogene Daten — sie gilt, sobald deine KI personenbezogene Daten berührt, unabhängig von der AI-Act-Stufe. DORA regelt die operative Resilienz für Finanzunternehmen. Der AI Act fügt die KI-spezifische Schicht hinzu. Die praktische Erkenntnis: ein hochriskantes KI-System bei einem Finanzunternehmen muss alle drei erfüllen — die Dokumentation einmal bauen, strukturiert für alle drei Prüfungen.

Für die meisten Unternehmen ist der EU AI Act keine Mauer — er ist eine Ablage-Übung. Klassifiziere jedes System, dokumentiere die Begründung, ergänze Offenlegung wo nötig.

Dezső Mező, UseAIEasily

Fazit

Lass den EU AI Act kein KI-Projekt aufhalten, das wirklich geringes Risiko hat — das ist der häufigste und teuerste Fehler. Stattdessen: klassifiziere jedes KI-System, schreibe eine kurze Begründung für die Stufe, ergänze Nutzer-Offenlegung für alles Kundenbezogene, und investiere nur in die schwere Compliance-Maschinerie, wenn ein System wirklich hochriskant ist. Baue Klassifizierung und Dokumentation ab Tag eins ins Projekt ein, strukturiert für DSGVO und (bei Finanzunternehmen) DORA — und AI-Act-Compliance wird ein Nebenprodukt guter Entwicklung.

Teilen

War dieser Artikel hilfreich?

Verwandte Artikel

Prompt Engineering

Prompt Engineering für Unternehmen: ein praktischer Leitfaden

Prompt Engineering ist die günstigste Stellschraube für KI-Qualität. Die Bausteine eines guten System-Prompts, häufige Fehler und wann Prompting nicht mehr reicht.

Kundensupport

Kundensupport mit KI automatisieren — ohne die Kundenerfahrung zu ruinieren

Ein Praxis-Leitfaden zur KI-Kundensupport-Automatisierung: was automatisieren, was menschlich behalten, die RAG-Copilot-Architektur, Rollout-Schritte und die Metriken.

KI-Strategie

Warum KI-Projekte scheitern: 10 Gründe — und wie du deins absicherst

Die meisten gescheiterten KI-Projekte scheitern nicht am Modell — sondern an Scope, Daten und der Lücke zwischen Demo und Produktivsystem. 10 Fehlermuster, je mit dem Fix.

Passende Leistung

Leistung

KI-Sicherheits-Audit

Pre-Launch-Red-Team-Audit — Prompt-Injection, Datenleck, RBAC, OWASP LLM Top-10. Ab €1.500.