Alle Artikel
KI-Verordnung2. April 202612 min

Was muss mein Unternehmen vor August 2026 für die KI-Verordnung tun?

Ein praktischer Monat-für-Monat-Fahrplan für Compliance-Verantwortliche: Von der KI-Inventur bis zum Go-Live der Hochrisiko-Pflichten.

Am 2. August 2026 werden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III der KI-Verordnung (Verordnung (EU) 2024/1689) durchsetzbar. Das sind noch etwa vier Monate. Wer bis dahin kein Compliance-Framework aufgebaut hat, riskiert Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist (Art. 99 Abs. 3).

Ich habe in den letzten Jahren über ein Dutzend Compliance- und Legal-Tech-Lösungen für europäische Großunternehmen gebaut. Dieser Artikel ist das, was ich meinen eigenen Kunden empfehle: kein Berater-Deutsch, keine abstrakten Frameworks, sondern ein konkreter Plan mit Kalenderwochen.

Die Deadline im August 2026 - was auf dem Spiel steht

Die KI-Verordnung ist seit dem 1. August 2024 in Kraft. Sie wird stufenweise wirksam, und die nächste große Stufe betrifft alle Hochrisiko-KI-Systeme nach Anhang III. Das sind Systeme in Bereichen wie:

  • Personalwesen: KI-gestützte Bewerberauswahl, Leistungsbewertung, Kündigungsentscheidungen (Anhang III Nr. 4)
  • Kreditwürdigkeitsprüfung: Scoring-Modelle bei Banken und Versicherungen (Anhang III Nr. 5a)
  • Biometrische Kategorisierung: Emotionserkennung am Arbeitsplatz, biometrische Klassifizierung (Anhang III Nr. 1)
  • Kritische Infrastruktur: KI in Energie-, Wasser- oder Verkehrsnetzen (Anhang III Nr. 2)
  • Bildung: Automatisierte Prüfungsbewertung, Zugangsentscheidungen (Anhang III Nr. 3)

Für diese Systeme gelten ab August 2026 umfassende Pflichten: Risikomanagementsysteme (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11), Aufzeichnungspflichten (Art. 12), Transparenz (Art. 13), menschliche Aufsicht (Art. 14) sowie Genauigkeits- und Robustheitsanforderungen (Art. 15).

Wichtig: Hochrisiko-KI-Systeme in regulierten Produkten nach Anhang I (Medizinprodukte, Maschinen, Spielzeug etc.) haben eine Frist bis zum 2. August 2027. Dieser Artikel konzentriert sich auf die Anhang-III-Frist im August 2026.

Die Bußgelder sind keine Theorie

Die Sanktionsstruktur der KI-Verordnung ist gestaffelt (Art. 99):

  • Verbotene Praktiken (Art. 5): bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes
  • Hochrisiko-Verstöße: bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes
  • Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. Euro oder 1 % des Jahresumsatzes

Jeder Mitgliedstaat muss eine nationale Marktüberwachungsbehörde benennen (Art. 70). In Deutschland wird das voraussichtlich die Bundesnetzagentur sein. Die Behörden werden nicht am 3. August 2026 anfangen, proaktiv Unternehmen zu durchleuchten. Aber: Beschwerden von Mitarbeitern, Bewerbern oder Verbrauchern werden kommen. Und dann zählt, ob Sie ein dokumentiertes Compliance-System vorweisen können oder nicht.

Was JETZT SCHON gilt - und viele Unternehmen nicht wissen

Bevor wir zum Countdown kommen, eine unangenehme Wahrheit: Zwei Stufen der KI-Verordnung sind bereits in Kraft. Seit Monaten.

Verbotene Praktiken seit 2. Februar 2025

Seit Februar 2025 sind bestimmte KI-Praktiken in der EU verboten (Art. 5). Dazu gehören:

  • Social Scoring: Bewertung von Personen basierend auf Sozialverhalten über mehrere Kontexte hinweg (Art. 5 Abs. 1 lit. c)
  • Unterschwellige Manipulation: KI-Systeme, die Verhalten durch unterschwellige Techniken manipulieren (Art. 5 Abs. 1 lit. a)
  • Ausnutzung von Vulnerabilitäten: Targeting von Alter, Behinderung oder sozialer Lage (Art. 5 Abs. 1 lit. b)
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit Ausnahmen, Art. 5 Abs. 1 lit. f)
  • Echtzeit-Biometrie im öffentlichen Raum durch Strafverfolgung (mit engen Ausnahmen, Art. 5 Abs. 1 lit. h)

Praxisbeispiel: Wenn Ihr Unternehmen ein Tool nutzt, das Bewerber-Videos auf "emotionale Eignung" analysiert, könnte das seit Februar 2025 verboten sein. Das ist kein zukünftiges Risiko. Das ist ein aktuelles.

KI-Kompetenz seit 2. Februar 2025

Ebenfalls seit Februar 2025 gilt Art. 4: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das bedeutet nicht "alle Mitarbeiter müssen einen KI-Kurs machen". Es bedeutet: Wer KI-Systeme entwickelt, einsetzt oder beaufsichtigt, muss verstehen, was das System tut, welche Risiken bestehen und wie man es überwacht.

Fragen Sie sich: Haben Ihre HR-Mitarbeiter, die ein KI-gestütztes Recruiting-Tool nutzen, eine dokumentierte Schulung erhalten? Falls nein, besteht hier bereits eine Compliance-Lücke.

GPAI-Pflichten seit 2. August 2025

Seit August 2025 gelten die Pflichten für Anbieter von General-Purpose AI Models (Art. 51-56). Das betrifft primär die Modell-Anbieter selbst (OpenAI, Google, Mistral etc.), nicht die meisten Unternehmen. Aber: Wenn Sie intern ein eigenes Foundation Model trainieren oder ein Open-Source-Modell feintunen und Dritten zur Verfügung stellen, könnten Sie selbst als GPAI-Anbieter gelten.

Der Compliance-Countdown: April bis August 2026

Vier Monate sind nicht viel, aber sie reichen, wenn Sie strukturiert vorgehen. Hier ist der Fahrplan.

April 2026: Inventur und Klassifizierung

Ziel: Vollständige Übersicht aller KI-Systeme im Unternehmen, klassifiziert nach Risikoklasse.

Konkret:

  1. KI-Inventar erstellen. Gehen Sie durch jede Abteilung und erfassen Sie: Welche Tools nutzen KI? Das sind nicht nur die offensichtlichen (ChatGPT, Copilot). Denken Sie an Recruiting-Software, Kreditscoring, automatisierte Qualitätskontrolle, Predictive Maintenance, Betrugserkennungssysteme.
  1. Klassifizierung durchführen. Für jedes System prüfen: Fällt es unter Anhang III? Ist es ein verbotenes System nach Art. 5? Ist es ein GPAI-Modell? Oder ist es unkritisch (z.B. ein Spam-Filter)?
  1. Rollen klären. Sind Sie Anbieter (Provider) oder Betreiber (Deployer) des Systems? Dazu gleich mehr.

Deliverable: Eine Tabelle mit allen KI-Systemen, ihrer Risikoklasse und Ihrer Rolle.

Mai 2026: Gap-Analyse

Ziel: Für jedes Hochrisiko-System wissen, was fehlt.

Nehmen Sie die Anforderungen aus Kapitel III Abschnitt 2 der Verordnung und prüfen Sie System für System:

  • Risikomanagementsystem vorhanden? (Art. 9)
  • Daten-Governance dokumentiert? (Art. 10)
  • Technische Dokumentation erstellt? (Art. 11)
  • Automatische Aufzeichnungen (Logs) aktiviert? (Art. 12)
  • Gebrauchsanweisung für Betreiber vorhanden? (Art. 13)
  • Menschliche Aufsicht definiert? (Art. 14)
  • Genauigkeit, Robustheit, Cybersicherheit getestet? (Art. 15)

Erstellen Sie für jedes System eine Checkliste. Markieren Sie grün (vorhanden), gelb (teilweise) und rot (fehlt). Diese Gap-Analyse ist Ihr Arbeitsplan für Juni und Juli.

Juni 2026: Frameworks implementieren

Ziel: Risikomanagement und Dokumentation für alle Hochrisiko-Systeme aufbauen.

  • Risikomanagementsystem (Art. 9): Iterativer Prozess - Risiken identifizieren, bewerten, mitigieren, überwachen. Kein einmaliges Dokument, sondern ein lebender Prozess.
  • Technische Dokumentation (Art. 11 i.V.m. Anhang IV): Zweckbestimmung, Entwicklungsprozess, Trainingsdaten, Leistungskennzahlen, bekannte Einschränkungen.
  • Daten-Governance (Art. 10): Wie werden Trainings- und Testdaten ausgewählt, aufbereitet, auf Bias geprüft?

Pragmatischer Tipp: Fangen Sie mit dem System an, das am meisten Menschen betrifft. In den meisten Unternehmen ist das HR-Software oder ein Kundenbewertungssystem. Ein gutes Template für das erste System lässt sich für die weiteren adaptieren.

Juli 2026: Testen, Validieren, Schulen

Ziel: Systeme getestet, Personal geschult, Aufsichtsmechanismen aktiv.

  • Tests durchführen: Genauigkeit und Robustheit überprüfen (Art. 15). Bias-Tests mit repräsentativen Datensätzen. Dokumentieren Sie die Ergebnisse.
  • Menschliche Aufsicht einrichten (Art. 14): Wer überwacht das System? Wer kann es stoppen? Wer prüft die Outputs? Definieren Sie klare Rollen und Eskalationswege.
  • Schulungen durchführen: Art.-4-Kompetenz sicherstellen. Schulen Sie die operativen Nutzer UND das Management. Dokumentieren Sie Datum, Inhalt, Teilnehmer.

August 2026: Go-Live-Checks und Monitoring

Ziel: Compliance nachweisbar, Monitoring aktiv.

  • Registrierung: Hochrisiko-KI-Systeme müssen in der EU-Datenbank registriert werden (Art. 49). Prüfen Sie, ob die Registrierung abgeschlossen ist.
  • Monitoring einrichten (Art. 72): Ein Post-Market-Monitoring-System ist Pflicht für Anbieter. Betreiber müssen die Nutzung überwachen und bei Vorfällen melden (Art. 26).
  • Compliance-Akte zusammenstellen: Alle Dokumente an einem Ort. Wenn die Behörde fragt, müssen Sie liefern können.

Anbieter vs. Betreiber: Zwei verschiedene Checklisten

Die KI-Verordnung unterscheidet strikt zwischen Anbietern (Providern) und Betreibern (Deployern). Ihre Pflichten sind unterschiedlich.

Sie sind Anbieter, wenn Sie:

  • ein KI-System entwickeln und unter eigenem Namen auf den Markt bringen (Art. 3 Nr. 3)
  • ein bestehendes System wesentlich verändern (dann werden Sie selbst zum Anbieter, Art. 25)

Ihre Kernpflichten: Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank-Registrierung, Post-Market-Monitoring.

Sie sind Betreiber, wenn Sie:

  • ein KI-System eines Drittanbieters in Ihrem Unternehmen einsetzen (Art. 3 Nr. 4)

Ihre Kernpflichten (Art. 26): Einsatz gemäß Gebrauchsanweisung, menschliche Aufsicht sicherstellen, Eingabedaten-Qualität, Überwachung, Vorfälle melden, Datenschutz-Folgenabschätzung (wo erforderlich), Betroffene informieren.

Praxisbeispiel: Sie setzen ein KI-gestütztes Recruiting-Tool von Anbieter X ein. Anbieter X ist Provider und muss die technische Dokumentation liefern. Sie als Betreiber müssen sicherstellen, dass Ihre HR-Abteilung das System bestimmungsgemäß nutzt, die Outputs überprüft und Bewerber über den KI-Einsatz informiert.

Vorsicht bei der Abgrenzung: Wenn Sie ein zugekauftes KI-System unter eigenem Namen einsetzen, dessen Zweckbestimmung ändern oder wesentlich modifizieren, werden Sie selbst zum Anbieter (Art. 25 Abs. 1). Das verschiebt die Pflichten erheblich.

Quick Wins - was Sie DIESE WOCHE tun können

Sie müssen nicht auf einen großen Projektstart warten. Fünf Dinge, die Sie sofort tun können:

  1. Art.-5-Schnellcheck: Gehen Sie die Liste der verbotenen Praktiken durch. Nutzen Sie irgendwo Emotionserkennung, Social Scoring oder unterschwellige Manipulation? Falls ja: sofort stoppen. Das ist seit Februar 2025 verboten.
  1. KI-Systeme auflisten: Schicken Sie eine Mail an alle Abteilungsleiter: "Welche Tools mit KI-Funktionen nutzt ihr?" Keine perfekte Inventur, aber ein Startpunkt.
  1. Verträge mit KI-Anbietern prüfen: Steht etwas zu Compliance-Pflichten, Dokumentation, Haftung drin? Wenn nicht, muss das ergänzt werden.
  1. Art.-4-Schulung planen: Identifizieren Sie die Mitarbeiter, die KI-Systeme operativ nutzen. Planen Sie eine Basisschulung. Das kann intern sein, mit einem einstündigen Workshop.
  1. Verantwortlichkeit festlegen: Wer im Unternehmen ist für KI-Compliance zuständig? Wenn die Antwort "niemand" ist, ändern Sie das heute.

Der Digital Omnibus: Kein Grund zum Abwarten

Im Dezember 2025 hat die EU-Kommission im Rahmen des Digital Omnibus vorgeschlagen, bestimmte Fristen der KI-Verordnung zu verschieben. Dieser Vorschlag ist nicht geltendes Recht. Er muss noch durch das Europäische Parlament und den Rat, und selbst wenn er angenommen wird, ist unklar, welche Fristen betroffen wären und in welchem Umfang.

Mein klarer Rat: Planen Sie auf Basis des geltenden Rechts. Wenn eine Fristverlängerung kommt, haben Sie mehr Zeit für Feinschliff. Wenn nicht, sind Sie vorbereitet. Wer jetzt auf eine mögliche Verschiebung wartet, spielt Compliance-Roulette.

Wann Sie externe Hilfe brauchen - und wann nicht

Nicht jedes Unternehmen braucht eine Big-Four-Beratung für KI-Compliance. Hier meine ehrliche Einschätzung:

Das können Sie intern:

  • KI-Inventar erstellen (IT + Fachabteilungen zusammenbringen)
  • Art.-4-Schulungen durchführen (mit guten Materialien)
  • Bestehende Verträge mit KI-Anbietern prüfen
  • Interne Verantwortlichkeiten klären
  • Monitoring-Prozesse in bestehende Compliance-Strukturen integrieren

Hier lohnt sich externe Unterstützung:

  • Klassifizierung komplexer Systeme: Ist Ihr System wirklich "Hochrisiko"? Die Grenzfälle sind knifflig.
  • Konformitätsbewertung für Anbieter: Wenn Sie selbst Anbieter sind, ist die Konformitätsbewertung (Art. 43) anspruchsvoll.
  • Technische Dokumentation nach Anhang IV: Der Detailgrad ist hoch, besonders bei selbst entwickelten Systemen.
  • Automatisierbare Compliance-Prozesse: Wenn Sie viele KI-Systeme haben, lohnt sich ein toolgestützter Ansatz statt manueller Excel-Listen.
  • Regulatorische Grenzfälle: Art. 6 Abs. 3 ermöglicht Anbietern, unter bestimmten Bedingungen zu argumentieren, dass ihr System trotz Anhang-III-Einstufung kein Hochrisiko darstellt. Das erfordert saubere juristische Argumentation.

Fazit

Die KI-Verordnung ist kein Papiertiger. Zwei Stufen gelten bereits, die dritte kommt im August. Vier Monate sind knapp, aber machbar, wenn Sie heute anfangen.

Der wichtigste Schritt ist der erste: Wissen, welche KI-Systeme Sie haben und welche Risikoklasse sie betrifft. Alles Weitere baut darauf auf.

Wer jetzt anfängt, schafft es. Wer auf den Digital Omnibus wartet, hat im August ein Problem.

WP

Autor

Werner Plutat

Legal Engineer x AI

Weiterführende Artikel

KI-VerordnungWie klassifiziere ich KI-Systeme nach der KI-Verordnung?

The Legal Engineer's Daily Brief

KI, Legal Tech & Automatisierung - 3x pro Woche.

Abonnieren

Dieses Thema betrifft Ihr Unternehmen?

Lassen Sie uns in 30 Minuten klären, wie Sie die Anforderungen konkret umsetzen - mit funktionierender Technologie statt Foliensätzen.

Erstgespräch vereinbaren