Abstract background
Alle Artikel
AI ActEU-RegulierungComplianceKI-RechtDSGVO

AI Act 2026: Was trotz Verschiebung JETZT schon gilt

Die EU hat die Hochrisiko-KI-Pflichten auf Dezember 2027 verschoben. Aber viele Regeln gelten bereits seit Februar 2025 — und betreffen jedes Unternehmen, das KI einsetzt. Ein sachlicher Überblick, was Sie jetzt tun müssen.

Die Verschiebung, die keine Entwarnung ist

Im Rahmen des Digital Omnibus hat die EU die Pflichten für Hochrisiko-KI-Systeme von August 2026 auf Dezember 2027 verschoben. 44 CEOs europäischer Konzerne — darunter Airbus, Philips und SAP — hatten sogar ein vollständiges Moratorium gefordert. Die EU hat abgelehnt.

Die Verschiebung betrifft nur einen Teil der Verordnung. Die allgemeinen Pflichten — Transparenz, KI-Kompetenz, verbotene Praktiken — gelten bereits seit dem 2. Februar 2025. Wer jetzt denkt "wir haben noch Zeit", irrt sich.

Laut einer Bitkom-Umfrage brauchen 69 % der deutschen Unternehmen Hilfe bei der Umsetzung des AI Act. Nur 24 % haben sich bisher überhaupt damit beschäftigt. Das ist eine riskante Lücke — denn bei schweren Verstößen drohen Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.

Was gilt wann? Die Timeline im Überblick

Feb 2025  ██████████  JETZT GÜLTIG
│ ✓ Art. 5: Verbotene KI-Praktiken
│ ✓ Art. 4: KI-Kompetenzpflicht für ALLE Unternehmen
│ ✓ Art. 7: Grundlegende Transparenzpflichten
│
Aug 2025  ██████████  IN WENIGEN MONATEN
│ ✓ Pflichten für General Purpose AI (GPAI)
│ ✓ Governance-Strukturen müssen stehen
│
Aug 2026  ██████████  VERSCHOBEN → Dez 2027
│ ✗ Hochrisiko-KI: Konformitätsbewertung, CE-Kennzeichnung
│ ✗ Detaillierte Dokumentationspflichten
│ ✗ Vollständige Marktüberwachung
│
Dez 2027  ██████████  NEUER TERMIN
  → Alle Hochrisiko-Pflichten treten in Kraft

Die Verschiebung gibt Ihnen mehr Zeit für die technische Dokumentation und Konformitätsbewertung von Hochrisiko-Systemen. Sie gibt Ihnen keine zusätzliche Zeit für die Grundlagen, die bereits gelten.

Was jetzt schon gilt — und was das konkret bedeutet

1. Verbotene KI-Praktiken (Art. 5) — seit Februar 2025

Bestimmte KI-Anwendungen sind in der EU komplett verboten:

  • Social Scoring durch Behörden oder Unternehmen
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  • Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (mit eng definierten Ausnahmen für Strafverfolgung)
  • Manipulative KI-Systeme, die das Verhalten von Personen unterschwellig beeinflussen
  • Ausnutzung von Schwächen bestimmter Personengruppen (Alter, Behinderung, soziale Lage)

Für die meisten Mittelständler sind diese Verbote nicht direkt relevant. Aber wenn Sie KI im HR-Bereich einsetzen — etwa für Bewerbungs-Screening oder Mitarbeiter-Monitoring — sollten Sie genau prüfen, ob Ihre Systeme in eine verbotene Kategorie fallen.

2. KI-Kompetenzpflicht (Art. 4) — seit Februar 2025

Das ist die Pflicht, die wirklich jeden betrifft. Art. 4 des AI Act verlangt: Alle Unternehmen, die KI-Systeme einsetzen oder bereitstellen, müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen.

Es gibt keine Ausnahmen nach Unternehmensgröße. Es gibt keine Übergangsfrist. Diese Pflicht gilt jetzt.

Konkret heißt das:

  • Mitarbeiter, die mit KI-Systemen arbeiten, müssen verstehen, was diese Systeme tun und wo ihre Grenzen liegen
  • Das Kompetenzniveau muss dem Risiko angemessen sein — wer KI für Personalentscheidungen nutzt, braucht mehr Schulung als jemand, der ChatGPT für E-Mail-Entwürfe verwendet
  • Die Schulung muss dokumentiert sein

3. Transparenzpflichten (Art. 50) — seit Februar 2025

Nutzer müssen wissen, wenn sie mit einer KI interagieren. Unternehmen müssen offenlegen:

  • Dass ein KI-System im Einsatz ist
  • Welche Art von KI eingesetzt wird
  • Welche Daten verarbeitet werden

Das AI-Act-Durchführungsgesetz: Deutschland wird konkret

Am 11. Februar 2026 hat das Bundeskabinett das AI-Act-Durchführungsgesetz beschlossen. Damit wird der europäische AI Act in deutsches Recht überführt.

Die wichtigsten Punkte:

  • Die Bundesnetzagentur wird KI-Aufsichtsbehörde — sie überwacht die Einhaltung des AI Act in Deutschland
  • Datenschutzbehörden setzen Prüfungsschwerpunkte — insbesondere KI im HR-Bereich und im Marketing stehen im Fokus
  • Bußgeldrahmen orientiert sich am EU-Maximum: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes bei schweren Verstößen

Das bedeutet: Es gibt jetzt eine deutsche Behörde, die Verstöße ahndet. Die Umsetzung ist kein theoretisches Szenario mehr.

KMU-Erleichterungen: Was der Mittelstand wissen muss

Die EU hat erkannt, dass der AI Act kleine und mittlere Unternehmen überproportional belasten könnte. Deshalb gibt es gezielte Erleichterungen:

  • Vereinfachte Dokumentation: KMU müssen keine vollständigen technischen Dossiers erstellen, wenn sie KI-Systeme nur einsetzen (nicht entwickeln)
  • KI-Sandboxes: Die Mitgliedstaaten richten regulatorische Sandboxes ein, in denen Unternehmen KI-Systeme testen können, bevor sie den vollen Compliance-Anforderungen unterliegen
  • Erweiterte Small-Mid-Cap-Kategorie: Unternehmen mit bis zu 750 Mitarbeitern fallen in eine Kategorie mit reduzierten Anforderungen

Das heißt nicht, dass KMU von allen Pflichten befreit sind. Die KI-Kompetenzpflicht und die Transparenzanforderungen gelten uneingeschränkt. Aber der administrative Aufwand für Hochrisiko-Systeme ist deutlich geringer.

Checkliste: Was Ihr Unternehmen jetzt tun sollte

Unabhängig von der Verschiebung der Hochrisiko-Pflichten — diese Schritte sollten Sie jetzt angehen:

Sofort (gilt bereits):

  • KI-Inventar erstellen: Welche KI-Systeme setzen Sie ein? Welche Anbieter? Welche Daten werden verarbeitet?
  • KI-Kompetenz sicherstellen: Schulungen für alle Mitarbeiter, die mit KI arbeiten — dokumentiert
  • Verbotene Praktiken prüfen: Fällt eines Ihrer Systeme unter Art. 5? Besonders im HR- und Marketing-Bereich genau hinsehen
  • Transparenz herstellen: Nutzer und Mitarbeiter informieren, wo KI eingesetzt wird

In den nächsten 6 Monaten:

  • Risikobewertung durchführen: Welche Ihrer KI-Systeme könnten als Hochrisiko eingestuft werden?
  • Anbieter prüfen: Stellen Ihre KI-Anbieter die nötige Dokumentation bereit? Sind sie DSGVO-konform?
  • Verantwortlichkeiten klären: Wer ist in Ihrem Unternehmen für KI-Compliance zuständig?
  • DSGVO-Synergien nutzen: Viele AI-Act-Anforderungen überschneiden sich mit bestehenden DSGVO-Pflichten

Bis Dezember 2027:

  • Konformitätsbewertung für Hochrisiko-Systeme abschließen
  • Technische Dokumentation erstellen
  • Qualitätsmanagementsystem für KI implementieren

Worauf Sie bei KI-Anbietern achten sollten

Nicht nur Ihr eigenes Unternehmen muss compliant sein — auch die KI-Systeme, die Sie einsetzen. Fragen Sie Ihre Anbieter:

  1. Wo werden die Daten verarbeitet? EU-Hosting ist keine Garantie für Compliance, aber ein wichtiger Baustein
  2. Ist das System transparent? Können Sie nachvollziehen, wie Ergebnisse zustande kommen?
  3. Werden personenbezogene Daten verarbeitet? Wenn ja: Gibt es eine DSGVO-konforme Rechtsgrundlage?
  4. Gibt es eine technische Dokumentation? Seriöse Anbieter stellen diese bereit
  5. Wie deterministisch ist das System? Liefert es bei gleicher Eingabe das gleiche Ergebnis — oder rät es?

Wie oneAgent by Design konform ist

Bei der Entwicklung von oneAgent haben wir Compliance nicht nachträglich angeschraubt, sondern von Anfang an mitgedacht:

  • Deterministisch: oneAgent übersetzt Ihre Fragen in präzise Datenbankabfragen. Es gibt keine Halluzinationen, weil keine generativen Modelle auf Ihre Geschäftsdaten losgelassen werden. Ein automatischer Prüf-Layer verifiziert jede Antwort gegen Ihre echten Daten.
  • Transparent: Sie sehen jederzeit, welche Datenquellen abgefragt wurden und wie das Ergebnis zustande kommt.
  • Keine Personendaten-Analyse: oneAgent analysiert Geschäftskennzahlen — Umsatz, Lagerbestände, Conversion Rates. Keine Mitarbeiter-Überwachung, kein Scoring, keine biometrischen Daten.
  • DSGVO-konform: Hosting in Frankfurt, Daten verlassen nie Ihr Netzwerk. Kein Training auf Ihren Daten. Mehr zu unserem Datenschutz-Ansatz.
  • On-Premise möglich: Für Unternehmen mit besonders strengen Anforderungen kann oneAgent vollständig in Ihrer eigenen Infrastruktur betrieben werden.

Das heißt nicht, dass jedes KI-System so gebaut sein muss. Aber es zeigt, dass KI-Datenanalyse und volle Compliance kein Widerspruch sein müssen.

Fazit: Die Verschiebung ist kein Grund zum Abwarten

Der AI Act kommt — die Frage ist nur, wie gut Sie vorbereitet sind. Die Grundpflichten gelten bereits seit Februar 2025. Die Bundesnetzagentur steht als Aufsichtsbehörde bereit. Und die Datenschutzbehörden setzen bereits Prüfungsschwerpunkte.

Unternehmen, die jetzt mit der Umsetzung beginnen, haben einen klaren Vorteil: Sie vermeiden Last-Minute-Panik, bauen intern KI-Kompetenz auf und können KI-Systeme bewusster auswählen.

Wenn Sie nach einer KI-Lösung für Ihre Datenanalyse suchen, die von Anfang an auf Compliance, Transparenz und Datensicherheit setzt — testen Sie oneAgent 14 Tage kostenlos. Keine Kreditkarte nötig, keine versteckten Kosten.

oneAgent 14 Tage kostenlos testen →

Bereit, Ihre Daten sicher abzufragen?

oneAgent bringt die KI zu Ihren Daten — nicht umgekehrt. DSGVO-konform, gehostet in Frankfurt, 14 Tage kostenlos.

Kostenlos testenDemo anfragen
AI Act 2026: Was trotz Verschiebung JETZT schon gilt | oneAgent