Der EU AI Act ist seit 1. August 2024 in Kraft. Bis August 2026 greifen die wichtigsten Bestimmungen für Hochrisiko-Systeme. Was Fach- und Führungskräfte im Mittelstand jetzt wissen müssen — kompakt.
Warum jetzt — und warum nicht erst 2026?
Der AI Act unterscheidet vier Risikoklassen. Drei davon greifen schrittweise — die Stichtage liegen zwischen Februar 2025 und August 2027. Wer wartet, bis der eigene Stichtag kommt, hat zu wenig Vorlauf für Datenaufbau, Dokumentation und Schulung.
Im Mittelstand wird zudem oft unterschätzt: Auch wer 'nur' generative KI wie ChatGPT nutzt, fällt unter Transparenzpflichten. Die Frage ist also nicht, ob, sondern in welcher Klasse Sie sich befinden.
Die vier Risikoklassen — auf einen Blick
| Klasse | Beispiele | Geltungsbeginn |
|---|---|---|
| Verboten (Art. 5) | Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Echtzeitüberwachung | 2. Februar 2025 |
| Hochrisiko (Art. 6 ff.) | KI in HR, Bildung, Kreditvergabe, kritischer Infrastruktur, Strafverfolgung | 2. August 2026 |
| Begrenztes Risiko | Chatbots, Deepfakes, generative KI-Inhalte (Transparenzpflicht) | 2. August 2026 |
| Minimales Risiko | Spamfilter, KI in Computerspielen, Empfehlungssysteme im Shop | Keine spezifischen Pflichten |
Was Hochrisiko bedeutet — konkret
Wenn Ihr Unternehmen KI in Personalauswahl, Mitarbeiterbewertung, Schulungsentscheidungen, Kreditvergabe oder kritischer Infrastruktur einsetzt — eigenentwickelt oder zugekauft — gelten ab August 2026:
- Risikomanagement-System über den gesamten Lebenszyklus
- Daten-Governance mit dokumentierter Qualität, Repräsentativität, Bias-Prüfung
- Technische Dokumentation nach Anhang IV (umfangreich, mehrere hundert Seiten realistisch)
- Logging-Pflichten über die gesamte Nutzung
- Menschliche Aufsicht mit klaren Eingriffsmöglichkeiten
- Genauigkeit, Robustheit, Cybersicherheit nachweislich
Was bei generativer KI gilt
Auch wer ChatGPT, Claude oder Gemini nutzt, hat Pflichten — vor allem Transparenz: KI-generierte Texte, Bilder, Audios müssen als solche gekennzeichnet werden. Bei Deepfakes ist die Pflicht verschärft. Mitarbeitende müssen wissen, wenn sie mit KI interagieren — etwa in Chatbots im Service.
Praktisch heißt das: Wer KI in Marketing-Texten, Produktbeschreibungen oder Kundenkommunikation einsetzt, braucht eine Kennzeichnungs-Praxis und eine Schulung der Mitarbeitenden.
Was Sie 2026 tun sollten — konkret
- KI-Inventar: alle KI-Systeme im Unternehmen erfassen, inkl. eingebetteter KI in zugekauften Lösungen (CRM, ERP, Office)
- Klassifizierung: jedes System einer Risikoklasse zuordnen — und dokumentieren, warum
- Verantwortliche benennen: pro System eine Person mit fachlicher Zuständigkeit
- Schulungs-Plan: Mitarbeitende, die mit KI arbeiten, müssen 'AI-Literacy' nachweisen (Art. 4)
- Roadmap für Hochrisiko-Systeme: bis Q2/2026 Dokumentation, Q3/2026 Tests, Q3/2026 Compliance-Nachweis
Der AI Act ist keine Compliance-Übung. Er ist ein Strategie-Werkzeug — er zwingt Unternehmen, KI ernst zu nehmen.
— Prof. Dr. Bloos
Fazit
Der AI Act ist im Kern eine Aufforderung zur Professionalisierung. Wer die Pflichten als Strukturhilfe nutzt — Inventar, Klassifizierung, Verantwortung, Schulung — hat am Ende keine Compliance-Bürokratie, sondern eine echte KI-Infrastruktur.
Im WPT-Bootcamp ist der AI Act ein eigenes Modul. Wir legen mit Teilnehmenden ein konkretes KI-Inventar des eigenen Unternehmens an — und priorisieren danach die nächsten 12 Monate.