EU AI Act 2026: Was Geschäftsführer jetzt wissen müssen
TL;DR
- ·Der EU AI Act fordert von jedem Unternehmen, das KI im Geschäftsbetrieb einsetzt, nachweisbare KI-Kompetenz der Belegschaft.
- ·Pflichten greifen schrittweise: ab Februar 2025 für „verbotene Praktiken", ab August 2026 für Hochrisiko-Systeme, ab August 2027 vollständig.
- ·Geschäftsführer haften persönlich für Compliance — Schulung, Dokumentation und Governance sind keine Empfehlung, sondern Pflicht.
Was im Gesetz steht — knapp.
Der EU AI Act ist eine Risiko-basierte Verordnung. Sie kategorisiert KI-Systeme in vier Stufen: verbotene Praktiken, Hochrisiko, begrenztes Risiko, minimales Risiko. Für 90 % der Mittelständler relevant: die Bestimmungen zu „begrenztem Risiko" und vor allem die Pflicht zu KI-Kompetenz im Unternehmen — Artikel 4. Dort steht: Wer KI-Systeme im Geschäft einsetzt, muss sicherstellen, dass die Belegschaft ein „ausreichendes Maß an KI-Kompetenz" hat.
Was „ausreichende KI-Kompetenz" konkret heißt.
Die Verordnung schweigt sich zu Details aus — bewusst, weil die Anforderungen je nach Branche und Einsatzbereich unterschiedlich sind. In der Praxis bedeutet das: Du musst nachweisen können, dass deine Mitarbeitenden wissen, was sie tun, wenn sie KI nutzen. Das umfasst Grundlagen (was ist generative KI, wo sind die Grenzen), branchenspezifische Anwendung (wie nutze ich KI in Marketing, Vertrieb, HR — und wo nicht), und Compliance-Awareness (DSGVO, Urheberrecht, Geschäftsgeheimnisse).
Was du als Geschäftsführer:in jetzt tun solltest.
- ·Schulungen dokumentieren. Wer wann an welcher KI-Schulung teilgenommen hat, mit welchem Inhalt. Eintrag in der Personalakte oder im LMS.
- ·Tool-Stack klar definieren. Welche KI-Tools sind erlaubt, welche nicht? Was darf in welche Datenklasse? Schriftliche Richtlinie, allen Mitarbeitenden zugänglich.
- ·Verantwortlichkeiten benennen. Eine:n KI-Beauftragte:n ernennen — meistens IT- oder Compliance-Leitung. Klare Eskalationswege bei Vorfällen.
- ·Risiko-Bewertung pro Anwendung. Bei Hochrisiko-Anwendungen (HR-Screening, Bonitätsprüfung, biometrische Identifikation) gibt es zusätzliche Pflichten — Folgenabschätzung, technische Dokumentation, menschliche Kontrolle.
„Der EU AI Act bestraft nicht den KI-Einsatz — er bestraft den unkontrollierten KI-Einsatz."
Der zeitliche Ablauf.
- ·Februar 2025: Verbotene Praktiken sind ab sofort untersagt (Social Scoring, manipulative biometrische Identifikation in Echtzeit etc.)
- ·August 2026: Vollständige Anwendung der Verpflichtungen für Hochrisiko-Systeme
- ·August 2027: Vollständige Anwendung aller Vorschriften
Was passiert bei Nicht-Einhaltung.
Bußgelder bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Bei Verstößen gegen die Pflicht zu KI-Kompetenz haftet der Geschäftsführer persönlich. Die Aufsicht übernehmen in Deutschland die Bundesnetzagentur und die Datenschutzbehörden der Länder.
Quellen
- EU-Verordnung 2024/1689 (EU AI Act)
- Bundesnetzagentur: Hinweise zur KI-Verordnung
Bastian Sens
Keynote-Speaker und Vordenker für KI im deutschen Mittelstand. Geschäftsführer der Sensational GmbH, Bastians eigenem KI-Bildungsinstitut. Über 200 Vorträge, sechs Bücher, vier Auszeichnungen.
Speaker anfragen