EU AI Act August 2026: die wichtigsten Pflichten für Hochrisiko-KI-Systeme

EU AI Act August 2026: Sind Sie bereit für die wichtigste Frist?

Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten und wird stufenweise umgesetzt. Am 2. August 2026 erreichen wir den wichtigsten Meilenstein: Ab diesem Datum gelten die Pflichten für Hochrisiko-KI-Systeme. Für viele Organisationen bedeutet dies, dass die Zeit zum Handeln wirklich knapp wird.

Zeitplan des AI Act

Der AI Act folgt einer stufenweisen Umsetzung:

1. August 2024 — Die Verordnung tritt in Kraft

2. Februar 2025 — Verbot von KI-Systemen mit inakzeptablem Risiko (Social Scoring, manipulative KI, massenhafte Gesichtserkennung) und KI-Kompetenzpflicht

2. August 2025 — Regeln für allgemeine KI-Modelle (wie große Sprachmodelle), Governance-Struktur und Sanktionsrahmen

2. August 2026 — Alle Pflichten für Hochrisiko-KI-Systeme gemäß Anhang III, Konformitätsbewertung, CE-Kennzeichnung und EU-Datenbankregistrierung

2. August 2027 — Pflichten für Hochrisiko-KI in regulierten Produkten (Medizinprodukte, Maschinen)

2. August 2030 — Anforderungen für Hochrisiko-KI-Systeme bei öffentlichen Organisationen, die vor August 2026 auf den Markt gebracht wurden

Was ändert sich am 2. August 2026?

Dies ist das Datum, an dem die meisten Regeln tatsächlich gelten. Konkret geht es um:

Pflichten für Anbieter von Hochrisiko-KI

Risikomanagementsystem — Kontinuierliche Identifikation, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus des KI-Systems

Data Governance — Anforderungen an Qualität, Repräsentativität und Verzerrungsfreiheit von Trainingsdaten

Technische Dokumentation — Umfassende Dokumentation über Design, Entwicklung und Betrieb, mindestens 10 Jahre aufzubewahren

Protokollierung und Rückverfolgbarkeit — Automatische Aufzeichnung von Systemaktivitäten

Transparenz — Klare Gebrauchsanweisungen für Betreiber

Menschliche Aufsicht — Das KI-System muss für effektive menschliche Aufsicht konzipiert sein

Genauigkeit, Robustheit und Cybersicherheit — Nachweisbare Leistungsanforderungen

Konformitätsbewertung — Pflichtbewertung vor dem Inverkehrbringen

CE-Kennzeichnung — Erforderlich für Hochrisiko-KI-Systeme

EU-Datenbankregistrierung — Registrierung in der europäischen Datenbank für Hochrisiko-KI

Pflichten für Betreiber von Hochrisiko-KI

Nutzung gemäß Anbieteranweisungen

Kompetente menschliche Aufsicht organisieren

Betrieb überwachen und Risiken melden

Protokolldateien mindestens 6 Monate aufbewahren

Bei bestimmtem öffentlichen Einsatz: eine Grundrechte-Folgenabschätzung durchführen

KI-Regulierungssandboxen

Jeder EU-Mitgliedstaat muss bis zum 2. August 2026 mindestens eine operative KI-Sandbox haben — eine kontrollierte Umgebung, in der Organisationen innovative KI-Systeme entwickeln und testen können.

Welche KI-Systeme sind Hochrisiko?

Der AI Act klassifiziert KI-Systeme in vier Risikokategorien:

Kategorie	Regulierung	Beispiele
Inakzeptables Risiko	Verboten (seit Feb. 2025)	Social Scoring, manipulative KI, massenhafte Gesichtserkennung
Hohes Risiko	Streng reguliert (ab Aug. 2026)	Biometrie, kritische Infrastruktur, Bildung, Personalauswahl, Kreditbewertung, Strafverfolgung
Begrenztes Risiko	Transparenzpflichten	Chatbots, Deepfakes, Emotionserkennung
Minimales Risiko	Keine spezifischen Anforderungen	Spamfilter, KI in Spielen

Hochrisiko-KI-Systeme umfassen unter anderem Anwendungen in:

Biometrie — Identifikation und Kategorisierung von Personen

Kritische Infrastruktur — Energie, Wasser, Verkehr

Bildung — Zulassung, Bewertung von Studierenden

Beschäftigung — Rekrutierung, Auswahl, Leistungsbewertung

Wesentliche Dienste — Kreditbewertung, Versicherungen

Strafverfolgung — Risikobewertung, Beweisanalyse

Migration und Grenzkontrolle — Visumanträge, Asylanträge

Was sind die Bußgelder?

Die Sanktionen sind erheblich, vergleichbar mit der DSGVO:

Verstoß	Maximales Bußgeld
Verbotene KI-Praktiken	Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes
Sonstige Pflichten (Hochrisiko)	Bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes
Falsche Informationen bereitstellen	Bis zu 7,5 Mio. EUR oder 1% des weltweiten Jahresumsatzes

Wichtig: Für KMU und Start-ups gilt der *niedrigere* der beiden Beträge.

Konformitätsbewertung: zwei Wege

Bevor ein Hochrisiko-KI-System auf den Markt gebracht werden darf, ist eine Konformitätsbewertung verpflichtend. Es gibt zwei Wege:

1.Interne Kontrolle (Anhang VI) — Der Anbieter bewertet selbst, ob das System alle Anforderungen erfüllt. Dies gilt für die meisten Hochrisiko-Kategorien. Keine externe Stelle erforderlich, aber vollständige Dokumentation ist verpflichtend.

2.Bewertung durch eine benannte Stelle (Anhang VII) — Eine externe Partei prüft das Qualitätsmanagementsystem und die technische Dokumentation. Erforderlich für biometrische KI-Systeme, wenn harmonisierte Standards nicht vollständig angewendet werden.

Was sollten Sie jetzt tun? Eine praktische Checkliste

Mit weniger als 5 Monaten bis zur Frist ist es Zeit, jetzt zu beginnen:

Schritt 1: KI-Bestandsaufnahme

Erfassen Sie alle KI-Systeme in Ihrer Organisation. Denken Sie auch an KI, die in bestehender Software und Diensten von Drittanbietern eingebettet ist.

Schritt 2: Risikoklassifizierung

Bestimmen Sie, in welche Risikokategorie jedes KI-System fällt. Verwenden Sie die Anhang-III-Kriterien, um festzustellen, ob Ihre Systeme als Hochrisiko eingestuft werden.

Schritt 3: Gap-Analyse

Vergleichen Sie Ihre aktuelle Situation mit den Anforderungen des AI Act. Wo sind die größten Lücken in Dokumentation, Risikomanagement und Governance?

Schritt 4: Governance einrichten

Legen Sie Verantwortlichkeiten fest. Wer ist für KI-Compliance verantwortlich? Wie wird menschliche Aufsicht organisiert?

Schritt 5: Dokumentation und Registrierung

Beginnen Sie mit dem Aufbau technischer Dokumentation, Risikobewertungen und Protokollaufzeichnungen. Dies braucht Zeit und muss gründlich erfolgen.

Schritt 6: Konformitätsbewertung vorbereiten

Bestimmen Sie, welcher Weg gilt, und beginnen Sie rechtzeitig mit der Vorbereitung.

Die Verbindung zu ISO/IEC 42001

ISO/IEC 42001 ist der internationale Standard für KI-Managementsysteme. Dieser Standard bietet einen strukturierten Rahmen, der eng an die Anforderungen des AI Act anknüpft. Durch die Implementierung von ISO/IEC 42001 schaffen Sie eine solide Grundlage für AI Act-Compliance:

Risikomanagement für KI-Systeme

Governance und Verantwortlichkeiten

Dokumentation und Rückverfolgbarkeit

Kontinuierliche Verbesserung von KI-Prozessen

Erfahren Sie mehr über ISO/IEC 42001 und was dieser Standard für Ihre Organisation bedeutet.

Wie uComply bei der AI Act-Compliance hilft

uComply hilft Organisationen, nachweisbare Compliance zu beschleunigen — auch für den AI Act. Mit dem [ISO/IEC 42001](/normen/iso42001) Content Pack in uComply erhalten Sie sofortigen Zugang zu:

Fertigen Controls und Maßnahmen basierend auf ISO/IEC 42001, abgestimmt auf die AI Act-Anforderungen

Risikoanalyse-Templates speziell für KI-Systeme

Richtlinien und Verfahren für KI-Governance

Dashboards mit Echtzeit-Einblick in Ihren Compliance-Status

Integration mit bestehenden Standards — Kombinieren Sie den AI Act mit ISO 27001, NIS2 oder anderen Standards? uComply verhindert Doppelarbeit durch automatische Verknüpfung gemeinsamer Controls

Zusätzlich unterstützt das uComply-Team Organisationen mit Beratung beim Aufbau und der Implementierung von KI-Compliance-Programmen, einschließlich Gap-Analysen und internen Audits.

Fazit

Der AI Act ist keine Zukunftsmusik mehr — die Verordnung ist seit 2024 in Kraft und die wichtigsten Pflichten gelten ab dem 2. August 2026. Organisationen, die Hochrisiko-KI-Systeme anbieten oder nutzen, müssen jetzt handeln. Die Kombination aus ISO/IEC 42001 und einem soliden Compliance-Management-System wie uComply macht den Unterschied zwischen rechtzeitiger Compliance und dem Hinterherlaufen.

Möchten Sie wissen, wo Ihre Organisation steht? Vereinbaren Sie eine kostenlose Demo und entdecken Sie, wie uComply Ihnen hilft, nachweisbar den AI Act einzuhalten.