Compliance

AI Act Compliance: Was IT-Leiter jetzt umsetzen müssen

Die EU-KI-Verordnung ist in Kraft. Ein pragmatischer Leitfaden für Risikoklassifizierung, Fristen und die ersten konkreten Compliance-Schritte.

CIO-Wissen Redaktion· 2026-03-26 ·3 Min.

Der EU AI Act (Verordnung 2024/1689) ist seit August 2024 in Kraft und entfaltet seine Wirkung in Stufen. Für IT-Leiter im Mittelstand bedeutet das: Jetzt handeln, nicht abwarten. Denn die ersten Verbote gelten bereits seit Februar 2025, und die Anforderungen für Hochrisiko-KI greifen ab August 2026. Wer seine KI-Anwendungen nicht kennt, kann sie nicht klassifizieren — und wer nicht klassifiziert, riskiert Bußgelder bis zu 35 Millionen Euro.

Die vier Risikoklassen

Der AI Act klassifiziert KI-Systeme in vier Stufen — und je höher das Risiko, desto strenger die Anforderungen:

  • Verboten: Social Scoring, manipulative Systeme, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (seit Februar 2025)
  • Hochrisiko: KI in Personalauswahl, Kreditwürdigkeitsprüfung, kritischer Infrastruktur, Bildung — hier gelten die strengsten Auflagen
  • Begrenztes Risiko: Chatbots, Deepfakes — Transparenzpflichten (Nutzer müssen wissen, dass sie mit KI interagieren)
  • Minimales Risiko: Spamfilter, Empfehlungssysteme — keine besonderen Pflichten

Die Herausforderung: Viele Mittelständler wissen nicht, in welche Kategorie ihre KI-Anwendungen fallen. Eine systematische Bestandsaufnahme ist der erste Schritt.

Fristen, die Sie kennen müssen

Der AI Act tritt gestaffelt in Kraft:

  • Februar 2025: Verbotene KI-Praktiken müssen eingestellt sein
  • August 2025: Regeln für General-Purpose AI (GPAI) wie ChatGPT, Gemini — betrifft Anbieter, aber auch Nutzer mit Integrationspflichten
  • August 2026: Vollständige Anwendung für Hochrisiko-KI — Konformitätsbewertung, technische Dokumentation, menschliche Aufsicht
  • August 2027: Nachrüstpflicht für bestehende Hochrisiko-Systeme in regulierten Bereichen

Wer erst 2026 mit der Vorbereitung beginnt, wird die Fristen nicht halten. Die Dokumentationsanforderungen allein können Monate in Anspruch nehmen.

Die meisten Unternehmen unterschätzen den AI Act, weil sie glauben, nur Tech-Konzerne seien betroffen. In Wahrheit trifft er jedes Unternehmen, das KI in HR-Prozessen, Kundenbewertung oder Qualitätskontrolle einsetzt.

Der Compliance-Fahrplan

Eine pragmatische Umsetzung folgt vier Phasen:

  1. Inventarisierung (sofort): Erstellen Sie ein zentrales KI-Register aller eingesetzten Systeme — auch eingekaufte SaaS-Tools mit KI-Komponenten
  2. Klassifizierung (Monat 1–2): Ordnen Sie jedes System einer Risikoklasse zu. Nutzen Sie die Checklisten der EU-Kommission als Orientierung
  3. Gap-Analyse (Monat 2–4): Für Hochrisiko-Systeme: Welche Dokumentation fehlt? Gibt es menschliche Aufsicht? Ist das Training der Daten nachvollziehbar?
  4. Umsetzung (Monat 4–12): Technische und organisatorische Maßnahmen implementieren — Logging, Bias-Tests, Dokumentation, Schulungen

GPAI und die Lieferkette

Besondere Aufmerksamkeit verdienen General-Purpose AI Modelle. Wenn Sie GPT-4, Claude oder Gemini über APIs in Ihre Prozesse integrieren, sind Sie als "Deployer" mitverantwortlich:

  • Transparenzpflicht: Kunden und Mitarbeiter müssen wissen, wenn sie mit KI-generierten Inhalten interagieren
  • Risikofolgenabschätzung: Bei Integration in Hochrisiko-Kontexte müssen Sie eine eigene Bewertung durchführen
  • Datenschutz-Schnittstelle: DSGVO und AI Act greifen ineinander — personenbezogene Trainingsdaten unterliegen beiden Regelwerken

Was das für Ihre IT-Strategie bedeutet

  1. Starten Sie diese Woche mit dem KI-Register — eine einfache Tabelle mit System, Anbieter, Einsatzzweck und Risikoeinschätzung genügt zunächst
  2. Benennen Sie einen AI-Act-Verantwortlichen, der die Koordination zwischen IT, Recht und Fachbereichen übernimmt
  3. Prüfen Sie Ihre HR- und Finanz-Tools auf KI-Komponenten — hier lauern die häufigsten Hochrisiko-Überraschungen
  4. Fordern Sie von SaaS-Anbietern AI-Act-Konformitätserklärungen ein — das wird Standard in Beschaffungsprozessen
  5. Planen Sie Budget für Compliance-Dokumentation und ggf. externe Konformitätsbewertung ein — unterschätzen Sie den Aufwand nicht

Weitere Artikel

Daten & Analytics

Datenqualität als KI-Fundament: Warum Garbage In, Garbage Out teurer wird

KI-Modelle sind nur so gut wie ihre Daten. Wie Sie Datenqualität messbar machen und systematisch verbessern — bevor Ihre KI-Projekte daran scheitern.

Cloud-Strategie

FinOps im Mittelstand: Cloud-Kosten verstehen, steuern, optimieren

Cloud-Ausgaben wachsen schneller als der Nutzen? FinOps bringt Transparenz und Kostenkontrolle — ohne die Agilität zu opfern.

IT-Leadership

IT-Budget vor dem Board: So überzeugen Sie die Geschäftsführung

IT-Leiter sprechen Technologie, Vorstände sprechen Geschäftswert. Ein Leitfaden für die Übersetzungsarbeit, die Budgets sichert.