Kostenlos beraten
EU AI Act August 2026 Frist Checkliste Unternehmen Deutschland
compliance

EU AI Act August 2026: Pflichten-Checkliste für Unternehmen in Deutschland

Kurzantwort

Die wesentlichen Pflichten der EU KI-Verordnung (AI Act) gelten ab dem 2. August 2026. Unternehmen in Deutschland, die KI im Kundenkontakt, bei automatisierten Entscheidungen oder als Hochrisiko-KI einsetzen, müssen ihre Compliance bis zu diesem Datum abschließen oder Bußgelder von bis zu 15 Millionen Euro riskieren.

  • Transparenzpflichten für KI-Chatbots und kundenseitige KI gelten ab dem 2. August 2026 verbindlich.
  • Hochrisiko-KI in Bereichen wie HR, Kreditvergabe oder kritischer Infrastruktur erfordert eine Konformitätsbewertung.
  • KI-Verträge mit Anbietern müssen die Betreiberpflichten aus Art. 25 und 26 KI-VO abbilden.
  • Die Bundesnetzagentur (BNetzA) ist für Deutschland als Marktüberwachungsbehörde benannt.

Die wesentlichen Pflichten der EU KI-Verordnung (EU AI Act) für Hochrisiko-KI-Systeme und Transparenzanforderungen gelten ab dem 2. August 2026. Unternehmen in Deutschland, die kundenseitige KI, automatisierte Entscheidungssysteme oder Modelle mit allgemeinem Verwendungszweck einsetzen, müssen ihre Compliance bis zu diesem Datum abschließen — andernfalls drohen Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.

Diese Frist ist nicht neu, aber viele Unternehmen haben den Vorbereitungsaufwand unterschätzt. Compliance-Verantwortliche, Rechtsabteilungen und CTOs brauchen jetzt einen strukturierten Aktionsplan. Diese Seite liefert eine praxisnahe Checkliste und erläutert, welche Pflichten ab dem 2. August 2026 verbindlich gelten.

Was passiert am 2. August 2026?

Der 2. August 2026 ist nicht der erste Durchsetzungstermin des AI Act — aber für die meisten Unternehmen der wichtigste. Die Verordnung trat schrittweise in Kraft:

DatumWas gilt
1. August 2024EU AI Act tritt in Kraft
2. Februar 2025Verbotene KI-Praktiken untersagt (Art. 5)
2. August 2025Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (Art. 51–56)
2. August 2026Hochrisiko-KI-Pflichten, Transparenzregeln (Art. 50), vollständiges Bußgeldregime
2. August 2027Hochrisiko-KI, die bereits unter EU-Produktsicherheitsrecht fällt

Ab dem 2. August 2026 gelten verbindlich:

  • Art. 50: Transparenzpflichten für kundenseitige KI (Chatbots, Emotionserkennung, KI-generierte Inhalte)
  • Art. 8–15: Technische Dokumentation, Konformitätsbewertung, menschliche Aufsicht und Protokollierung für Hochrisiko-KI
  • Art. 25–26: Betreiberpflichten beim Einsatz von Drittanbieter-KI
  • Art. 71: Vollständiges Bußgeldregime für alle Verstoßkategorien

Falls Ihr Unternehmen die GPAI-Pflichten bereits seit August 2025 umgesetzt hat, ist die nächste Compliance-Schicht jetzt die Hochrisiko-KI und die Transparenzpflichten.

Wer ist vom EU AI Act betroffen?

Der EU AI Act gilt für alle Unternehmen, die KI-Systeme auf dem EU-Markt in Betrieb nehmen oder bereitstellen — unabhängig davon, wo das Unternehmen seinen Sitz hat. Das betrifft:

  • Unternehmen mit Sitz in Deutschland, die KI in Produkten oder Geschäftsprozessen einsetzen
  • Nicht-EU-Unternehmen, die KI-Systeme in der EU bereitstellen oder Kunden in der EU haben
  • Anbieter (Provider), die KI-Systeme entwickeln und bereitstellen: Anbieterpflichten
  • Betreiber (Deployer), die Drittanbieter-KI einsetzen: Betreiberpflichten nach Art. 25–26

Die Unterscheidung zwischen Anbieter und Betreiber ist praxisrelevant. Wer eine CRM-Software mit eingebetteter KI-Empfehlungsfunktion kauft und im Kundenbetrieb nutzt, ist Betreiber — und Art. 26 gilt unmittelbar.

KMU-Erleichterungen: Kleinstunternehmen und kleine Unternehmen (Gesellschaften mit beschränkter Haftung oder andere Rechtsformen) profitieren von vereinfachten Anforderungen. Die nationalen Behörden müssen vereinfachte Leitlinien bereitstellen. Kernpflichten wie Verbotsklassifizierung, Transparenz und Hochrisiko-Konformität gelten jedoch auch für KMU.

Die Checkliste für den 2. August 2026

Nutzen Sie diese Checkliste, um Ihre Compliance-Vorbereitungen vor dem 2. August 2026 zu strukturieren.

Schritt 1: KI-Systeme inventarisieren

  • Alle KI-Systeme erfassen — intern genutzte und kundenseitige
  • Drittanbieter-KI in eingesetzter Software erfassen (CRM-KI, HR-Tools, Chatbots, Scoring-Engines, Empfehlungssysteme)
  • Für jedes System dokumentieren: Funktion, Anbieter, verarbeitete Personendaten
  • Prüfen, ob Ihr Unternehmen als Anbieter, Betreiber oder beides handelt

Schritt 2: KI-Systeme klassifizieren

  • Verbotene KI (Art. 5): Social Scoring, biometrische Echtzeitüberwachung, manipulative KI — mussten bereits seit dem 2. Februar 2025 abgeschaltet sein
  • Hochrisiko-KI (Anhang III): Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht, Registrierung erforderlich
  • Beschränkte Risiken: Transparenzpflichten gelten (Chatbots, Emotionserkennungssysteme, Deepfakes)
  • Minimale Risiken: Keine gesetzlichen Pflichten — gute Governance dennoch empfehlenswert

Schritt 3: Hochrisiko-KI-Systeme absichern

  • Konformitätsbewertung nach Art. 9–15 durchführen oder von Anbieter anfordern
  • Technische Dokumentation gemäß Anhang IV erstellen und pflegen
  • Verfahren zur menschlichen Aufsicht implementieren — keine rein automatisierten Entscheidungen mit erheblichen Folgen
  • System in der öffentlichen EU-Datenbank für Hochrisiko-KI registrieren, sofern vorgeschrieben
  • Verfahren zur Marktüberwachung und Meldung von Vorfällen einrichten

Schritt 4: Kundenseitige KI absichern (Art. 50)

  • Klare Offenlegung hinzufügen, wenn Kunden mit einem KI-Chatbot oder automatisierten Assistenten interagieren
  • KI-generierte Inhalte kennzeichnen: synthetische Bilder, Audiodateien, Videos und Texte müssen als KI-generiert erkennbar sein
  • Prüfen, ob KI-Systeme Emotionen von Nutzern analysieren — zusätzliche Offenlegungspflichten gelten
  • Offenlegung muss zu Beginn der Interaktion erfolgen, nicht im Kleingedruckten der AGB

Schritt 5: KI-Verträge prüfen und anpassen

  • Bestätigen, dass Anbieter die erforderliche technische Dokumentation nach Art. 25 bereitstellen
  • Sicherstellen, dass Betreiberpflichten nach Art. 26 in bestehenden Verträgen abgebildet sind
  • Compliance-Dokumentation nach AI Act von Anbietern anfordern — vergleichbar mit der Prüfung eines AVV nach DSGVO
  • Vertragsvorlagen aktualisieren, um AI Act-Klauseln zu ergänzen

Schritt 6: Interne AI-Act-Zuständigkeit festlegen

  • Interne Ansprechperson für AI-Act-Compliance benennen (keine Volljuristen-Qualifikation erforderlich)
  • Koordination zwischen Rechtsabteilung, IT und Geschäftsbetrieb sicherstellen
  • Betroffene Teams zu ihren Pflichten nach dem AI Act schulen

Schritt 7: KI-Governance dokumentieren

  • Risikomanagementsystem für KI-Systeme einrichten (Art. 9)
  • Entscheidungen durch oder mit KI-Systemen dokumentieren, soweit Personendaten betroffen
  • Interne Eskalationsverfahren für KI-bezogene Vorfälle festlegen

Schritt 8: DSGVO-Schnittstellen überprüfen

  • KI-Systeme identifizieren, die vollautomatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen treffen (Art. 22 DSGVO)
  • Auftragsverarbeitungsverträge (AVV) mit KI-Anbietern auf AI Act-Konformität prüfen und anpassen
  • Datensparsamkeitspflichten bei KI-Trainingsdaten prüfen
  • Bestehende Datenschutz-Folgenabschätzungen auf AI-Act-Risiken erweitern

Hinweise zur DSGVO-Konformität bei KI-Tools finden Sie in unseren Leitfäden zu KI-Chatbots und EU AI Act sowie zu KI-Beauftragten und Claude Enterprise.

Hochrisiko-KI: Welche Systeme fallen unter Anhang III?

Anhang III der KI-Verordnung listet abschließend die Bereiche, in denen KI-Systeme als Hochrisiko eingestuft werden. Für deutsche Unternehmen sind diese Kategorien am häufigsten relevant:

Anhang III-KategoriePraxisbeispiele in Deutschland
Beschäftigung und HR (Nr. 4)KI-gestützte Bewerbungsfilterung, Leistungsbewertung, Schichtplanungs-KI
Kreditvergabe und Finanzdienstleistungen (Nr. 5b)Automatisierte Kreditentscheidungen, Risikobeurteilung, Bonitätsprüfung
Biometrische Identifikation (Nr. 1)Gesichtserkennung zur Zugangskontrolle, biometrische Zeiterfassung
Bildung und Ausbildung (Nr. 3)KI zur Leistungsbewertung, Bewerbungsauswahl in Ausbildungseinrichtungen
Kritische Infrastruktur (Nr. 2)KI in Energienetzmanagement, Wasserversorgung, Logistiknetzen
Öffentliche Leistungen (Nr. 5a)KI bei Leistungsbewilligungen, öffentlichen Ausschreibungen

Besonders relevant für Unternehmen im HR-Bereich: KI, die bei der Personalauswahl, Leistungsbeurteilung, Beförderungsentscheidungen oder Kündigungen eingesetzt wird oder diese wesentlich beeinflusst, fällt unter Anhang III Nr. 4. Das erfordert eine Konformitätsbewertung, menschliche Aufsicht, Transparenz gegenüber Betroffenen und eine vollständige technische Dokumentation. Eine Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG ist in der Regel ebenfalls erforderlich.

Weiterführende Informationen finden Sie in unseren Leitfäden zu KI-gestützten Einstellungstools und AI Act sowie zur KI-Überwachung am Arbeitsplatz.

Transparenzpflichten für kundenseitige KI (Art. 50)

Artikel 50 der KI-Verordnung betrifft alle Unternehmen, die Chatbots, virtuelle Assistenten oder KI einsetzen, die direkt mit Kundinnen und Kunden interagiert.

Ab dem 2. August 2026 sind Betreiber verpflichtet:

1. Nutzer über die KI-Interaktion zu informieren. Wenn Ihr Kundenservice einen KI-Chatbot einsetzt, müssen Nutzerinnen und Nutzer klar und verständlich informiert werden — vor oder zu Beginn der Interaktion. Ein Hinweis im Kleingedruckten der AGB reicht nicht aus.

2. KI-generierte Inhalte zu kennzeichnen. Synthetische Bilder, Tonaufnahmen, Videos und Texte, die durch KI erzeugt wurden, müssen als KI-generiert erkennbar sein. Das gilt für Marketingmaterialien, Produktbilder, Sprachaufnahmen und kundenseitige Kommunikation.

3. Emotionserkennung offenzulegen. Wenn Ihr KI-System den emotionalen Zustand von Kundinnen und Kunden während eines Serviceanrufs oder Video-Gesprächs analysiert, muss dies offengelegt werden — vor Beginn der Analyse.

4. Was gilt als ausreichende Offenlegung? Die KI-Verordnung schreibt keine genaue Formulierung vor. Maßstab ist, dass eine verständige Person erkennen kann, dass sie mit einem KI-System interagiert. Eine klare Aussage zu Beginn der Interaktion ist der rechtssicherere Weg.

Die Transparenzpflicht gilt unabhängig vom Risikoniveau des KI-Systems. Auch ein Chatbot mit minimalem Risiko unterliegt Art. 50. Für Unternehmen mit KI im Kundenservice empfehlen wir unseren Leitfaden zu KI im Kundenservice und Compliance.

DSGVO und AI Act: Wo die Pflichten sich überschneiden

KI-Verordnung und DSGVO gelten nebeneinander. Für Unternehmen in Deutschland, die bereits der DSGVO unterliegen, entsteht durch den AI Act eine zweite Compliance-Schicht.

Automatisierte Entscheidungen: Art. 22 DSGVO schützt Betroffene vor rein automatisierten Entscheidungen mit rechtlichen oder erheblich beeinträchtigenden Auswirkungen. Der AI Act ersetzt Art. 22 nicht — er fügt eigene Pflichten für die eingesetzten KI-Systeme hinzu.

Auftragsverarbeitung und Vertragsgestaltung: Wer KI über einen Drittanbieter einsetzt, benötigt in der Regel einen Auftragsverarbeitungsvertrag (AVV) nach DSGVO. Die Betreiberpflichten nach Art. 25–26 KI-VO müssen nun zusätzlich in diesen Verträgen abgebildet werden. Standard-AVV-Vorlagen sind häufig nicht ausreichend.

Datenschutz-Folgenabschätzungen: Eine DSFA nach DSGVO ist häufig schon erforderlich, wenn KI-Systeme personenbezogene Daten mit hohem Risiko verarbeiten. Wo zugleich Hochrisiko-KI nach dem AI Act vorliegt, können beide Bewertungen kombiniert werden — müssen aber beide vollständig durchgeführt werden.

Datensparsamkeit beim KI-Training: Wer KI-Modelle mit Personendaten trainiert oder fine-tuned, unterliegt den Datenvorgaben nach Art. 10 KI-VO — die inhaltlich mit dem DSGVO-Grundsatz der Datensparsamkeit übereinstimmen, aber zusätzliche Anforderungen an Datenqualität und Bias-Prüfung hinzufügen.

Für den Einsatz von KI zur Mitarbeiterüberwachung — der sich an der Schnittstelle von Hochrisiko-KI nach AI Act, DSGVO und Betriebsverfassungsrecht (§ 87 BetrVG) bewegt — lesen Sie unseren Leitfaden zu KI-Mitarbeiterüberwachung in Deutschland.

Bußgelder und Durchsetzung in Deutschland

Das vollständige Bußgeldregime der KI-Verordnung tritt ab dem 2. August 2026 in Kraft:

VerstoßkategorieMaximales Bußgeld
Verbotene KI (Art. 5)35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
Verstöße gegen Hochrisiko-KI-Pflichten15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behörden7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes

Bei KMU und Start-ups gilt in der Regel der prozentuale Wert, wenn dieser niedriger ist als der absolute Betrag.

Durchsetzung in Deutschland: Die Bundesnetzagentur (BNetzA) ist als nationale Marktüberwachungsbehörde für den AI Act in Deutschland für die meisten Sektoren benannt. Das Europäische KI-Büro koordiniert auf EU-Ebene. Datenschutzaufsichtsbehörden der Länder können tätig werden, soweit AI-Act-Verstöße die DSGVO berühren.

Die BNetzA hat einen abgestuften Durchsetzungsansatz signalisiert — mit Fokus auf die schwerwiegendsten Verstöße (verbotene KI, Hochrisiko-KI ohne Konformitätsbewertung) vor der Verfolgung von Transparenzverstößen. Compliance-Planung auf Basis der Durchsetzungstoleranz ist jedoch keine tragfähige Strategie. Der 2. August 2026 ist ein verbindliches Rechtsdatum.

Branchenspezifische Leitfäden zum AI Act

Die Anforderungen des AI Act unterscheiden sich je nach Branche — insbesondere durch die Sektorbezüge in Anhang III. Weiterführende Informationen für Ihre Branche:

Was jetzt zu tun ist

Für die meisten Unternehmen in Deutschland ergibt sich folgende Prioritätenreihenfolge:

  1. Inventarisieren — Compliance lässt sich nicht planen, wenn keine vollständige KI-Übersicht vorliegt
  2. Klassifizieren — Verbotene KI hätte bereits seit Februar 2025 abgeschaltet sein müssen
  3. Hochrisiko-KI zuerst angehen — Konformitätsbewertungen brauchen Zeit; jetzt beginnen
  4. Transparenzhinweise für kundenseitige KI einführen — Art. 50 ist vergleichsweise rasch umsetzbar und liefert ein sichtbares Compliance-Signal
  5. Verträge mit KI-Anbietern aktualisieren — AVV-Aktualisierung und AI-Act-Betreiberpflichten gemeinsam angehen
  6. Governance dokumentieren — Risikokontrollen sind sowohl Rechtspflicht als auch Verteidigung in Aufsichtsverfahren

Compound Law begleitet Unternehmen bei der Umsetzung des EU AI Act — von der ersten KI-Inventarisierung und Risikoklassifizierung über die Vertragsgestaltung mit Anbietern bis zur laufenden Compliance-Dokumentation. Dieser Leitfaden ist allgemeine rechtliche Information; konkrete Situationen erfordern individuelle Rechtsberatung.

Weitere Compliance-Guides

EU AI Act Rechtsberatung DSGVO Kanzlei Deutschland
Leitfäden

EU AI Act Rechtsberatung für Unternehmen in Deutschland

Compound Law berät Unternehmen in Deutschland zur EU AI Act-Compliance und DSGVO. Rechtliche Unterstützung bei KI-Regulierung im DACH-Raum.
KI-Bildgenerierung Compliance in Deutschland
compliance

KI-Bildgenerierung DSGVO 2026: Compliance-Leitfaden fuer Deutschland

KI-Bildgenerierung DSGVO-konform nutzen: Midjourney, DALL-E, Adobe Firefly und Stable Diffusion im Compliance-Check fuer deutsche Unternehmen 2026.
Enterprise Search DSGVO KI-Unternehmenssuche Compliance Deutschland
compliance

Enterprise Search DSGVO: KI-Unternehmenssuche rechtssicher einsetzen

KI-Unternehmenssuche DSGVO: Was Unternehmen bei Microsoft Copilot und Google Workspace AI bezüglich AVV, BetrVG und SCCs beachten müssen.

Häufige Fragen

Wann gilt der EU AI Act vollständig?

Die wesentlichen Pflichten des EU AI Act — einschließlich Transparenzregeln, Anforderungen an KI-Modelle und Hochrisiko-KI-Verpflichtungen — gelten ab dem 2. August 2026 vollumfänglich.

Gilt der AI Act auch für kleine und mittelständische Unternehmen in Deutschland?

Ja. KMU sind grundsätzlich verpflichtet, aber Kleinstunternehmen und kleine Unternehmen profitieren von erleichterten Anforderungen. Kernpflichten wie Verbote, Transparenz und Hochrisiko-Bewertungen gelten auch für sie.

Welche Bußgelder drohen bei Verstößen gegen den AI Act?

Bei verbotenen KI-Systemen drohen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Bei Verletzung von Hochrisiko-Pflichten bis zu 15 Millionen Euro oder 3 %. Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro.

Muss ich offenlegen, dass mein Chatbot ein KI-System ist?

Ja. Art. 50 KI-VO verpflichtet Betreiber von KI-Chatbots, Nutzerinnen und Nutzer klar darüber zu informieren, dass sie mit einem KI-System interagieren — sofern dies nicht aus dem Kontext offensichtlich ist.

Welche KI-Systeme sind nach dem AI Act verboten?

Verboten sind u. a. Social Scoring durch staatliche Stellen, Echtzeit-Biometrie-Überwachung im öffentlichen Raum (mit engen Ausnahmen), manipulative KI sowie KI zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen.

Was ist ein Hochrisiko-KI-System nach dem AI Act?

Hochrisiko-KI-Systeme sind in Anhang III der KI-VO aufgeführt. Dazu zählen KI in der Personalauswahl, bei Kreditentscheidungen, biometrischer Identifikation, in der Bildung und kritischen Infrastruktur.

Welche Behörde ist in Deutschland für den AI Act zuständig?

Die Bundesnetzagentur (BNetzA) ist als nationale Marktüberwachungsbehörde für den AI Act in Deutschland benannt. Das Europäische KI-Büro koordiniert auf EU-Ebene.

Müssen KI-Verträge mit Anbietern angepasst werden?

Ja. Betreiber müssen sicherstellen, dass ihre Verträge mit KI-Anbietern die Pflichten aus Art. 25 und 26 KI-VO abdecken, einschließlich technischer Dokumentation, menschlicher Aufsicht und Datenvorgaben.

Kostenlos beraten