EU AI Act 2026: Status, Fristen, Handlungsbedarf

Der EU AI Act trat am 1. August 2024 in Kraft und ist das weltweit erste Gesetz, das KI-Systeme nach Risikostufen reguliert. Zwei Fristen sind abgelaufen, die kritische Hochrisiko-Deadline greift am 2. August 2026 - und die meisten Unternehmen sind nicht vorbereitet. Laut einer Erhebung von Gartner haben weniger als 10% der betroffenen Organisationen ihr KI-System-Inventar abgeschlossen. Dieser Artikel zeigt, was gilt, was kommt und welche Schritte Unternehmen jetzt umsetzen sollten.

Ein konkretes Szenario macht die Tragweite greifbar. Ein mittelständischer Personaldienstleister mit 400 Beschäftigten setzt HireVue für automatisiertes Bewerbungsscreening ein. Das System filtert Lebensläufe vor, bewertet Videointerviews und schlägt Kandidaten vor. 15 Recruiter arbeiten täglich damit. Daneben nutzt das Team ChatGPT von OpenAI für Stellenanzeigen. Ab August 2026 fällt das Screening-System in die Hochrisiko-Kategorie. Was das für Risikomanagement, Daten-Governance und menschliche Aufsicht bedeutet, zeigen die folgenden Abschnitte.

Meilenstein	Datum	Status	Kernpflichten
Inkrafttreten	1. Aug. 2024	Aktiv	Rahmenwerk etabliert
Verbote + AI Literacy	2. Feb. 2025	Aktiv	Social Scoring und Manipulation verboten, Schulungspflicht
GPAI-Pflichten	2. Aug. 2025	Aktiv	Transparenz, Kennzeichnung, technische Dokumentation
Hochrisiko (Annex III)	2. Aug. 2026	In 4 Monaten	Risikomanagement, Daten-Governance, Human Oversight
Produktintegrierte KI (Annex I)	2. Aug. 2027	2027	Branchenspezifische Regeln, CE-Kennzeichnung

Drei EU-Institutionen und eine nationale Behörde setzen den AI Act durch

Das Europäische Parlament und der Rat der Europäischen Union verabschiedeten die Verordnung (EU) 2024/1689 am 13. Juni 2024. Die Europäische Kommission koordiniert die Umsetzung über das European AI Office in Brüssel. Direktorin Lucilla Sioli leitet die Behörde seit Juni 2024. Das AI Office überwacht GPAI-Modelle mit systemischem Risiko, beschäftigt über 100 Mitarbeitende und koordiniert die grenzüberschreitende Durchsetzung. Das European Artificial Intelligence Board stimmt die 27 nationalen Aufsichtsbehörden ab.

In Deutschland wird die Bundesnetzagentur zur zentralen Marktüberwachungsbehörde. Das KI-MIG (KI-Marktüberwachungs- und Innovationsförderungsgesetz) regelt die nationale Durchführung. Der Bundestag beriet den Entwurf am 20. März 2026 in erster Lesung. Eine KI-Marktüberwachungskammer bei der Bundesnetzagentur soll Hochrisiko-Systeme prüfen. Die Bußgeldkompetenz verbleibt bei den sektoralen Fachbehörden - BaFin für Finanzprodukte, BfArM für Medizinprodukte.

Für unseren Personaldienstleister bedeutet das: Die Bundesnetzagentur in Bonn prüft, ob das HireVue-Bewerbungsscreening die Anforderungen erfüllt. Die Aufsicht liegt nicht in Brüssel.

Fünf verbotene KI-Praktiken kosten bis zu 35 Mio. EUR

Seit dem 2. Februar 2025 sind fünf KI-Praktiken verboten. Die Bußgelder sind die höchsten in der gesamten Verordnung.

• Social Scoring: KI, die Personen auf Basis ihres Sozialverhaltens bewertet und daraus Nachteile ableitet.
• Manipulative KI: Systeme mit unterschwelligen Techniken, die Verhalten verzerren. Dazu zählen Dark Patterns, die Kaufentscheidungen erzwingen.
• Echtzeit-Biometrie im öffentlichen Raum: Biometrische Fernidentifikation in Echtzeit. Ausnahmen gelten nur für Strafverfolgung mit richterlicher Genehmigung.
• Emotionserkennung am Arbeitsplatz: KI, die Emotionen von Beschäftigten oder Lernenden erkennt. HireVue hat seine Gesichtsanalyse bereits 2021 nach Kritik entfernt und analysiert nur noch Antwortinhalte. Aber jedes HR-System mit Emotionserkennung ist nicht nur Hochrisiko - es ist verboten.
• Predictive Policing: Risikoeinschätzungen für Straftaten, die nur auf persönlichen Merkmalen basieren.

Verstöße kosten bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes. Für KMU gilt der niedrigere Betrag. Unser Personaldienstleister hat geprüft: HireVue setzt keine Emotionserkennung mehr ein. Kein Verbotsverstoß. Aber die Prüfung selbst muss dokumentiert sein.

Die AI-Literacy-Pflicht gilt seit demselben Datum. Jede Person, die ein KI-System nutzt, braucht angemessene Kompetenz. Die 15 Recruiter des Personaldienstleisters brauchen dokumentierte Schulungen. Inhalt, Teilnehmer und Auffrischungszyklen müssen nachweisbar sein. Die Kosten sind überschaubar: zwei Schulungstage und ein jährliches Update.

Mehr zu den organisatorischen Folgen im Artikel Betriebsrat & AI Literacy: Die Organisationsfragen.

GPAI-Pflichten betreffen auch Unternehmen, die nur Modelle nutzen

Seit dem 2. August 2025 regulieren die Artikel 51 bis 56 General-Purpose AI. Die Pflichten betreffen primär Anbieter. OpenAI muss für GPT-4 technische Dokumentation liefern. Google DeepMind dokumentiert Gemini. Anthropic veröffentlicht für Claude System Cards mit Sicherheitsbewertungen. Aber auch Deployer - also Unternehmen, die diese Modelle einsetzen - haben drei Pflichten:

• Kennzeichnung: Generierte Inhalte müssen maschinenlesbar als KI-erzeugt markiert sein.
• Transparenz: Personen müssen wissen, dass sie mit KI interagieren.
• Inventarisierung: Welche GPAI-Modelle sind im Einsatz? Diese Dokumentation bildet die Basis für die Hochrisiko-Compliance.

Das betrifft Großunternehmen wie Deutsche Telekom, SAP und BMW ebenso wie Mittelständler. Unser Personaldienstleister nutzt neben HireVue auch ChatGPT für Stellenanzeigen. Dieses System muss im GPAI-Inventar stehen - mit Anbieter (OpenAI), Version und Einsatzkontext. Das Inventar deckte bei unserem Personaldienstleister drei weitere KI-Tools auf, die Mitarbeitende eigenständig nutzten. Shadow AI ist ein reales Risiko.

Anbieter von GPAI-Modellen mit systemischem Risiko - ab 10^25 FLOP Rechenleistung - haben Zusatzpflichten: Red-Teaming, Cybersicherheit und Vorfallmeldung an das European AI Office.

HR-KI ist fast immer Hochrisiko - und die Frist läuft in vier Monaten ab

Anhang III Nr. 4 der Verordnung (EU) 2024/1689 erfasst Beschäftigung, Personalmanagement und Zugang zu selbstständiger Tätigkeit. Der Personalbereich hat die höchste Hochrisiko-Dichte aller Unternehmensbereiche. Vier typische Systeme:

Automatisiertes Bewerbungsscreening: SAP SuccessFactors, Workday Talent Acquisition und HireVue - jedes System, das Bewerbungen vorsortiert oder bewertet, ist Hochrisiko. Auch wenn ein Mensch die finale Entscheidung trifft.

KI-gestützte Leistungsbeurteilungen: Microsoft Viva Insights oder Personio Performance-Module, die Leistungsdaten analysieren. Reine Empfehlungssysteme fallen ebenfalls darunter.

Predictive Attrition: KI, die vorhersagt, welche Mitarbeitenden kündigen. Personenbezogene Daten für Beschäftigungsentscheidungen - klassisches Hochrisiko.

Automatische Dienstplan-Optimierung: Wenn individuelle Präferenzen oder Gesundheitsdaten einfließen, potenziell Hochrisiko.

Unser Personaldienstleister muss das HireVue-System bis August 2026 in sieben Bereichen compliant machen: Risikomanagementsystem, Daten-Governance, technische Dokumentation, automatische Protokollierung, Transparenz, Human Oversight und Robustheit. Die gute Nachricht: HireVue hat bereits Bias-Audits mit DCI Consulting durchgeführt und stellt Compliance-Dokumentation bereit. Anbieter, die vorarbeiten, reduzieren den Aufwand für Deployer erheblich. Details zum Zusammenspiel von KI und HR unter HR & AI Agents.

Sieben Compliance-Pflichten machen Hochrisiko-Systeme rechtskonform

Jedes Hochrisiko-System muss die Anforderungen der Artikel 8 bis 15 erfüllen:

1. Risikomanagement: Dokumentierte Identifikation, Analyse und Minimierung von Risiken über den gesamten Lebenszyklus. Kein einmaliger Check - ein iterativer Prozess.
2. Daten-Governance: Trainingsdaten müssen repräsentativ, fehlerfrei und auf Verzerrungen geprüft sein. Unser Personaldienstleister muss nachweisen, dass die HireVue-Trainingsdaten keine Diskriminierung nach Geschlecht oder Herkunft erzeugen.
3. Technische Dokumentation: Architektur, Trainingsverfahren, Leistungskennzahlen und Limitierungen - alles vor Inbetriebnahme.
4. Aufzeichnung: Automatische Protokollierung aller Entscheidungen für Nachvollziehbarkeit.
5. Transparenz: Gebrauchsanweisungen für Deployer, die sachgerechte Nutzung ermöglichen.
6. Human Oversight: Technische Maßnahmen für wirksame menschliche Aufsicht. Der Decision Layer setzt genau diese Anforderung architektonisch um.
7. Genauigkeit und Cybersicherheit: Das System muss die deklarierte Leistung zuverlässig erbringen.

Für bestimmte Kategorien verlangt Artikel 43 eine Konformitätsbewertung durch eine benannte Stelle wie TÜV Süd oder Bureau Veritas. Für andere reicht die Selbstbewertung. Der Engpass: Die Kapazitäten der benannten Stellen sind begrenzt. Wer bis August 2026 einen Prüftermin braucht, sollte jetzt anfragen. Bußgelder bei Verstößen: bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes.

Das Digital Omnibus könnte die Frist auf Dezember 2027 verschieben - aber noch ist nichts beschlossen

Die Europäische Kommission legte Ende 2025 das Digital-Omnibus-Paket vor. Der zentrale Grund: CEN und CENELEC entwickeln über das Joint Technical Committee JTC 21 die harmonisierten Normen für den AI Act. Aber Stand April 2026 ist keine harmonisierte Norm im Amtsblatt der EU gelistet. Die Entwurfsnorm prEN 18286 (AI Quality Management System) durchlief bis Januar 2026 die öffentliche Kommentierungsphase. CEN und CENELEC beschlossen im Oktober 2025 beschleunigte Verfahren, die eine direkte Veröffentlichung ohne separaten Formal Vote erlauben. Die Veröffentlichung von prEN 18286 ist für Ende 2026 geplant. Ohne fertige Normen fehlt Unternehmen die Konformitätsvermutung.

Aktueller Stand (April 2026): Das Europäische Parlament stimmte am 26. März 2026 mit 569 zu 45 Stimmen für seine Verhandlungsposition. Der Rat der Europäischen Union beschloss sein Mandat am 13. März 2026. Beide Institutionen setzen den 2. Dezember 2027 als neue Frist für Annex-III-Systeme und den 2. August 2028 für produktintegrierte KI. Die Europäische Kommission hatte ursprünglich einen bedingten Mechanismus vorgeschlagen - beide Co-Gesetzgeber ersetzen ihn durch feste Daten.

Die Trilogue-Verhandlungen zwischen den drei Institutionen laufen. Das nächste politische Trilogue-Treffen ist für den 28. April 2026 angesetzt. Die zypriotische Ratspräsidentschaft strebt eine Einigung bis Mai 2026 an. Eine Veröffentlichung im Amtsblatt wäre frühestens im Juli 2026 möglich - knapp vor dem 2. August 2026.

Die Empfehlung bleibt: Planen Sie mit August 2026. Wer jetzt vorbereitet ist, gewinnt im besten Fall zusätzliche Zeit. Wer auf die Verschiebung wettet, riskiert ein vermeidbares Compliance-Problem. Unser Personaldienstleister richtet sein HireVue-System auf August 2026 aus - eine spätere Frist wäre Bonus, kein Plan.

ISO/IEC 42001 gibt Unternehmen jetzt eine Struktur - auch ohne fertige EU-Normen

Da keine harmonisierte europäische Norm im Amtsblatt steht, greifen Unternehmen auf internationale Standards zurück. ISO/IEC 42001 ist der weltweit erste internationale Standard für KI-Managementsysteme. Er bietet eine Struktur für Risikobewertung, Governance und kontinuierliche Verbesserung.

SAP hat 2025 die ISO/IEC 42001-Zertifizierung für SAP AI Core und den KI-Assistenten Joule erhalten. Siemens und Allianz nutzen den Standard als Grundlage für ihre KI-Governance. Ergänzend hilft ISO 27001 bei der Informationssicherheit, die Artikel 15 der Verordnung verlangt.

Aber: ISO/IEC 42001 zertifiziert nicht die Genauigkeit eines Modells zu einem Zeitpunkt. Der Standard validiert, ob eine Organisation ein System zur kontinuierlichen Identifikation und Steuerung von KI-Risiken etabliert hat. Die spezifischen Anforderungen der Artikel 8 bis 15 müssen zusätzlich abgedeckt werden.

Für unseren Personaldienstleister ist ISO/IEC 42001 eine pragmatische Wahl. Der Standard gibt dem Team eine Methodik, ohne auf die noch fehlenden CEN/CENELEC-Normen warten zu müssen. Die Investition zahlt sich doppelt aus: als Compliance-Grundlage und als Differenzierungsmerkmal gegenüber Kunden, die zunehmend KI-Governance bei Dienstleistern voraussetzen.

Sechs Schritte sichern die Compliance bis August 2026

1. Verbotstatbestände prüfen. Stellen Sie sicher, dass keines Ihrer Systeme unter Artikel 5 fällt. Emotionserkennung in HR-Kontexten ist verboten, nicht nur Hochrisiko. Unser Personaldienstleister hat diese Prüfung in zwei Tagen abgeschlossen.
2. AI Literacy dokumentieren. Schulungen für alle KI-Nutzer nachweisen. Die Pflicht gilt seit Februar 2025. Zwei Schulungstage pro Mitarbeitendem reichen als Basis.
3. AI-System-Inventar erstellen. Alle Systeme mit Anbieter, Kontext und Risikoklasse erfassen. Offiziell beschaffte Systeme zuerst. Dann Shadow AI - KI, die Mitarbeitende ohne Wissen der IT nutzen. Bei unserem Personaldienstleister kamen so drei unbekannte Tools ans Licht.
4. Hochrisiko-Systeme identifizieren. HR, Kreditentscheidungen und automatisierte Prozesse gegen die acht Kategorien von Anhang III prüfen. SAP SuccessFactors, Workday und HireVue sind fast immer betroffen.
5. Compliance aufbauen. Für Hochrisiko-Systeme: Risikomanagement, Daten-Governance, technische Dokumentation und Human Oversight. ISO/IEC 42001 als Rahmenwerk nutzen. Konformitätsbewertung bei TÜV Süd oder Bureau Veritas frühzeitig anfragen. Deadline: 2. August 2026.
6. Digital Omnibus beobachten, nicht darauf bauen. Die Trilogue-Verhandlungen laufen, das nächste Treffen am 28. April 2026. Eine Einigung ist möglich, aber kein Planungsfundament.

Unser Personaldienstleister hat Schritt 5 seit vier Wochen begonnen. Die Governance-Infrastruktur behandelt das Inventar als lebendes Dokument. Der Aufwand für ein Unternehmen mit 400 Beschäftigten und drei Hochrisiko-Systemen: eine halbe Vollzeitstelle für sechs Monate und etwa 30.000 EUR für externe Beratung und Prüfung. Das ist weniger als ein Bußgeldbescheid.

---

Enterprise AI-Infrastruktur Blueprint 2026 - Artikel-Serie

Vorheriger	Übersicht	Nächster
Was KI wirklich kostet: TCO-Vergleich für Unternehmen	Zur Übersicht	Betriebsrat & AI Literacy: Die Organisationsfragen

Alle Artikel dieser Serie: Enterprise AI-Infrastruktur Blueprint 2026

---

Gosign begleitet Unternehmen bei der Compliance mit dem EU AI Act - vom System-Inventar über die Konformitätsbewertung bis zur Registrierung in der EU-Datenbank. Wenn Sie wissen wollen, wo Ihr Unternehmen steht, sprechen Sie mit uns.

Termin vereinbaren. 30 Minuten, in denen wir Ihren Compliance-Status bewerten.