Zurück zum Blog
AI Regulation2026-03-3110 min read

EU AI Act: Die August-2026-Frist rückt näher – nur noch 60 Tage bis zur Frist

Ab dem 2. August 2026 unterliegen Hochrisiko-KI-Systeme der vollständigen Durchsetzung mit Bußgeldern von bis zu 7 % des globalen Jahresumsatzes. Wenn Ihre KI EU-Nutzer, Vertragspartner oder Märkte berührt, sind Sie daran gebunden – egal ob Sie in Berlin, Boston oder Bangalore ansässig sind. Hier ist der Compliance-Fahrplan für die nächsten 60 Tage.

Warum Diese Frist Sich Von Allen Anderen Compliance-Fristen Unterscheidet

Enterprise-Compliance-Teams haben eine gesunde Skepsis gegenüber Fristankündigungen entwickelt. Die DSGVO hatte Übergangsfristen. Der CCPA hatte Durchsetzungsverzögerungen. SOC-2-Fristen haben die Eigenschaft zu rutschen. Die Frist des 2. August 2026 verdient eine andere Behandlung – und der Grund liegt in der Sanktionsstruktur.

Bußgelder für Verstöße bei Hochrisiko-KI-Systemen belaufen sich auf 35 Millionen Euro oder 7 % des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dies ist die größte regulatorische Bußgeldstruktur, die jemals in ein Gesetz geschrieben wurde. Es ist kein Rundungsfehler in einem Quartalsergebnis. Bei einem multinationalen Konzern mit 10 Milliarden Euro globalem Umsatz sind 7 % gleich 700 Millionen Euro. Regulierungsbehörden müssen keine Absicht nachweisen. Sie müssen keinen Schaden nachweisen. Sie müssen lediglich nachweisen, dass ein Hochrisiko-KI-System ohne die erforderliche Konformitätsbewertung, technische Dokumentation und Prüfspuren betrieben wurde.

Der 2. August 2026 ist nicht der Beginn der Compliance-Diskussion. Es ist das Datum, an dem ein Versäumnis rechtliche Konsequenzen hat. Die Hochrisiko-Verpflichtungen des EU AI Act gelten seit Februar 2025 in modifizierter Form. Die 18 Monate seitdem waren die Implementierungsphase. Diese Phase endet in 60 Tagen.

Die extraterritoriale Reichweite ist der Teil, der die meisten US- und Nicht-EU-Unternehmen überrascht. Der EU AI Act gilt für jede Organisation, die KI-Systeme auf den EU-Markt bringt oder KI-Systeme einsetzt, die EU-Nutzer betreffen – unabhängig davon, wo die Organisation eingetragen ist. Eine US-Bank, die ein KI-System zur Bewertung von Kreditanträgen von in der EU ansässigen Vertragspartnern einsetzt, ist davon betroffen. Ein US-Krankenhausnetzwerk, das ein KI-gestütztes Triage-Tool einsetzt, das Daten von EU-Patienten verarbeitet, ist davon betroffen. Ein britisches Fintech, das KI-gestützte Risikobewertung für Transaktionen mit EU-Kunden verwendet, ist davon betroffen.

Die Drei-Parteien-Verpflichtungsstruktur erhöht die Komplexität. Wenn ein US-Unternehmen ein KI-System verwendet, das von OpenAI oder Anthropic bereitgestellt wird, in einem Hochrisiko-Workflow, der EU-Nutzer betrifft, haben der Modellbereitsteller, der Systemintegrator und die bereitstellende Organisation separate Verpflichtungen nach dem Gesetz. Der AI Act ist keine einzelne Compliance-Checkbox. Es ist eine Kette von Verpflichtungen, die durch jede Ebene des KI-Stacks verläuft.

Wissen Sie, In Welche Risikostufe Ihre KI-Systeme Fallen?

Der EU AI Act unterteilt KI-Systeme in vier Risikostufen. Die meisten Unternehmen haben KI-Systeme in mindestens zwei davon. Die Risikostufe bestimmt Ihre Verpflichtungen – und Ihre Bußgelder.

Unannehmbares Risiko – Untersagt. Bestimmte KI-Praktiken sind in der EU verboten, unabhängig davon, wo die bereitstellende Organisation ansässig ist. Dazu gehören KI-Systeme, die subliminale Manipulationstechniken verwenden, um Verhalten zu verzerren, Social-Scoring-Systeme, die von Behörden betrieben werden, und Echtzeit-Fernbiometrie-Identifikation in öffentlichen Bereichen zu Strafverfolgungszwecken. Wenn eines Ihrer KI-Systeme in diese Kategorien fällt, ist die August-Frist irrelevant – sie sollten in EU-Kontexten überhaupt nicht betrieben werden.

Hochrisiko – Vollständige Compliance erforderlich. Anhang III des EU AI Act legt die Kategorien von Hochrisiko-KI-Systemen fest, die den vollständigen Compliance-Rahmen auslösen. Diese Kategorien sind für Enterprise-Deployments am relevantesten: KI-Systeme, die bei Beschäftigungsentscheidungen eingesetzt werden – Einstellung, Beförderung, Leistungsbewertung und Kündigung. KI-Systeme, die bei Kreditentscheidungen und Bewertungen von Finanzinstituten eingesetzt werden. KI-Systeme, die in kritischen Infrastrukturen eingesetzt werden – Energie, Transport, Gesundheitswesen und Wassersysteme. KI-Systeme, die von Strafverfolgungs- oder Justizbehörden eingesetzt werden. KI-Systeme, die wesentliche öffentliche Dienste verwalten, einschließlich Sozialversicherung und Einwanderung.

Wenn Ihre Organisation KI in einer dieser Kategorien bereitstellt und diese KI EU-Nutzer oder Vertragspartner betrifft, unterliegen Sie dem vollständigen Hochrisiko-Compliance-Rahmen. Dies ist keine Risikobewertung, die Sie aufschieben können. Dies ist eine rechtliche Klassifizierung, unter der Sie bereits operieren.

Begrenztes Risiko – Nur Transparenzpflichten. KI-Systeme wie Chatbots und Systeme, die synthetische Medien generieren, müssen den Menschen, mit denen sie interagieren, mitteilen, dass sie KI sind. Die Verpflichtungen sind geringer, aber Nichtoffenlegung ist immer noch ein Verstoß.

Minimales Risiko – Keine spezifischen Verpflichtungen. Die überwältigende Mehrheit der KI-Systeme fällt hierher. Aber „minimales Risiko" ist keine Kategorie, die Sie selbst auswählen – wenn Ihr KI-System EU-Nutzer hat oder EU-Märkte berührt und in eine Kategorie fällt, die nicht als verboten oder hochriskant eingestuft ist, gilt es als minimales Risiko. Die meisten Empfehlungsmaschinen, Spam-Filter und internen Analysetools fallen hierher.

Das praktische Compliance-Problem: Die meisten Unternehmen haben keine systematische Klassifizierung ihres KI-Portfolios nach Anhang-III-Kategorien abgeschlossen. Sie wissen nicht, wie viele ihrer KI-Systeme hochriskant sind. Das ist das Erste, was sich in 60 Tagen ändert.

Die Hochrisiko-Compliance-Checkliste – Was Das Gesetz Tatsächlich Erfordert

Für KI-Systeme, die nach Artikel 6 als hochriskant eingestuft werden, schreibt der EU AI Act einen spezifischen Compliance-Rahmen vor. Dies sind keine Vorschläge. Dies sind die Bedingungen, unter denen ein Hochrisiko-KI-System nach dem 2. August 2026 legal in der EU betrieben werden darf.

Klassifizieren Sie Ihre KI-Systeme. Ordnen Sie jedes KI-System in Ihrem Portfolio – einschließlich KI-Agenten, ML-Modelle und automatisierte Entscheidungssysteme – den Anhang-III-Kategorien mit hohem Risiko zu. Dies ist die Voraussetzung für jeden anderen Compliance-Schritt. Sie können keine Anforderungen nicht erfüllen, die Sie nicht identifiziert haben.

Konformitätsbewertung. Hochrisiko-KI-Systeme müssen vor der Bereitstellung eine Konformitätsbewertung bestehen. Abhängig vom Systemtyp wird diese entweder von einer akkreditierten Konformitätsbewertungsstelle oder, für bestimmte Systemtypen, durch eine Selbsteinschätzung der bereitstellenden Organisation durchgeführt. Die Bewertung prüft, ob die technische Dokumentation des Systems, sein Risikomanagementsystem und seine Governance-Kontrollen die Anforderungen des Gesetzes erfüllen. Bewertungen müssen vor dem 2. August abgeschlossen und dokumentiert sein.

Technische Dokumentation. Artikel 11 erfordert umfangreiche Dokumentation für jedes Hochrisiko-KI-System. Diese Dokumentation muss den Zweck des Systems, seine Architektur, die Governance der Trainingsdaten, das implementierte Risikomanagementsystem, die Überwachungsverfahren für den Betrieb nach der Bereitstellung und die ergriffenen Maßnahmen zur Sicherstellung von Genauigkeit, Robustheit und Cybersecurity gemäß Artikel 15 beschreiben. Diese Dokumentation muss kontinuierlich gepflegt und aktualisiert werden – nicht einmal geschrieben und abgelegt.

Qualitätsmanagementsystem. Organisationen, die Hochrisiko-KI-Systeme bereitstellen, müssen über ein dokumentiertes Qualitätsmanagementsystem verfügen, das den Lebenszyklus der KI-Systeme abdeckt. Dies umfasst definierte Rollen und Verantwortlichkeiten für die KI-Governance, dokumentierte Verfahren für den Betrieb und die Überwachung von KI-Systemen sowie einen Prozess zur Bearbeitung von Vorfällen und Beschwerden.

Menschliche Aufsicht. Artikel 14 erfordert, dass Hochrisiko-KI-Systeme so konzipiert sind, dass sie menschliche Aufsicht ermöglichen – eingebaute Mechanismen, die es Menschen ermöglichen, das System zu überwachen, zu korrigieren und bei Bedarf zu deaktivieren. Der Standard ist nicht, dass Menschen jede Entscheidung überprüfen müssen. Es ist, dass Menschen effektiv eingreifen können müssen, wenn das System Ausgaben erzeugt, die menschliches Urteil erfordern, oder wenn das System außerhalb seiner vorgesehenen Parameter operiert.

Protokollierung und Prüfspuren. Artikel 12 erfordert automatische Protokollierung des Betriebs von Hochrisiko-KI-Systemen, einschließlich Eingaben, Ausgaben und des Kontexts, in dem Entscheidungen getroffen wurden. Dies ist die Bestimmung, die EU-AI-Act-Compliance direkt mit Shadow-AI-Governance und MCP-Sicherheit verbindet. Ein KI-Agent, der ohne strukturierte Protokollierung arbeitet – oder ein MCP-Server ohne Telemetrie – betreibt einen Verstoß gegen Artikel 12, es sei denn, er qualifiziert sich für eine Begrenztes-Risiko-Ausnahme.

Genauigkeit, Robustheit und Cybersecurity. Artikel 15 erfordert, dass Hochrisiko-KI-Systeme so konzipiert sind, dass sie angemessene Niveaus an Genauigkeit, Robustheit und Cybersecurity erreichen, und dass sie während ihres gesamten Lebenszyklus konsequent in diesen Bereichen funktionieren. Dies ist keine einmalige Zertifizierung. Es ist eine kontinuierliche Leistungsanforderung.

EU-Datenbankregistrierung. Gemäß Artikel 51 müssen Hochrisiko-KI-Systeme in einer öffentlich zugänglichen EU-Datenbank registriert werden, bevor sie bereitgestellt werden. Diese Registrierung muss den Anbieter des Systems, seinen vorgesehenen Verwendungszweck, seine Konformitätsbewertungsinformationen und seine grundlegende technische Dokumentation enthalten. Die Registrierung ist eine Voraussetzung für den rechtmäßigen Betrieb, keine nachträgliche Formalität.

EU-Bevollmächtigter Vertreter. Für Organisationen mit Sitz außerhalb der EU, die Hochrisiko-KI-Systeme auf dem EU-Markt platzieren oder für EU-Nutzer bereitstellen, schreibt der AI Act die Bestellung einer natürlichen oder juristischen Person mit Sitz in der EU als Bevollmächtigten Vertreter vor. Dieser Vertreter dient als Kontaktstelle für EU-Aufsichtsbehörden und ist die Entität, an der Compliance-Verpflichtungen formal durchgesetzt werden.

Der 60-Tage-Compliance-Fahrplan

60 Tage reichen nicht aus, um ein Compliance-Programm von Grund auf aufzubauen. Es reicht aus, um zu wissen, wo Sie stehen, Ihre Lücken zu identifizieren und sich in einem aktiven Behebungsprozess zu befinden, der guten Glauben vor dem Durchsetzungsdatum demonstriert. Hier ist, wie Sie sie nutzen.

Tage 1–15: Auditieren Sie Ihr KI-Portfolio. Ordnen Sie jedes derzeit in Ihrer Organisation betriebene KI-System den Anhang-III-Kategorien mit hohem Risiko zu. Identifizieren Sie jedes KI-System, das EU-Nutzer, EU-Vertragspartner oder EU-Märkte berührt – einschließlich KI-Agenten, die auf persönlichen Geräten unter BYOAI-Richtlinien laufen. Dieses Audit erstellt das Inventar, von dem alle anderen Schritte abhängen.

Der „Schnelle Gewinn" in diesem Fenster: Die meisten Organisationen werden mindestens ein KI-System finden, von dem sie nicht wussten, dass es in Hochrisiko-Anwendung war. Es in einem Audit während der Tage 1–15 mit einem Behebungsplan zu finden, ist deutlich besser, als es am 3. August in einem Durchsetzungsverfahren zu finden.

Tage 16–30: Klassifizieren Sie nach Risikostufe und weisen Sie Verantwortlichkeiten zu. Dokumentieren Sie für jedes KI-System in Ihrem Inventar seine Risikostufeneinstufung gemäß Artikel 6 und Anhang III. Weisen Sie für Hochrisiko-Systeme einen internen Verantwortlichen zu – eine namentlich genannte Person, die für die Compliance dieses Systems verantwortlich ist. Diese Verantwortungszuweisung ist das, was ein Compliance-Programm von einer Dokumentationsübung unterscheidet.

Tage 31–45: Lückenanalyse und Planung der Konformitätsbewertung. Vergleichen Sie für jedes Hochrisiko-System Ihre aktuelle technische Dokumentation, Ihre Qualitätsmanagementverfahren, Ihre menschlichen Aufsichtsmechanismen und Ihre Protokollierungsinfrastruktur mit den Artikelanforderungen. Identifizieren Sie, welche Systeme Konformitätsbewertungen durch Dritte benötigen versus Selbsteinschätzungen. Beginnen Sie mit der Kontaktaufnahme mit Konformitätsbewertungsstellen, wenn Sie Hochrisiko-Systeme haben, die eine Prüfung durch Dritte erfordern – diese Stellen buchen wahrscheinlich vor der August-Frist.

Dies ist auch das Fenster zur Behebung der Prüfspurlücke. Die Protokollierungsanforderungen von Artikel 12 sind dort, wo EU-AI-Act-Compliance direkt auf Shadow-AI-Governance trifft: KI-Agenten, die ohne strukturierte Protokollierung laufen, entsprechen nicht Artikel 12. Die Arbeit, die erforderlich ist, um diese Lücke zu schließen – Inventarisierung, Telemetrie, Verhaltensüberwachung – überschneidet sich mit dem Shadow-AI-Reparaturrahmen.

Tage 46–60: Rechtliche Einbindung und Registrierungsvorbereitung. Beauftragen Sie Anwälte mit EU-AI-Act-Expertise für eine Compliance-Prüfung Ihrer Hochrisiko-Systeme. Dies ist für Organisationen mit wesentlichem EU-Umsatz keine Option – die Bußgelder machen die Rechtsberatungskosten zu einem Rundungsfehler bei potenziellen Bußgeldern. Bestellen Sie Ihren EU-Bevollmächtigten Vertreter, wenn Sie eine Nicht-EU-Organisation sind. Bereiten Sie Registrierungseinreichungen für die EU-Datenbank vor. Für Systeme, bei denen Konformitätsbewertungen noch nicht abgeschlossen sind, dokumentieren Sie den Behebungszeitplan als Nachweis des aktiven Compliance-Fortschritts.

EU-AI-Act, NIS2, DSGVO – Dies Ist Jetzt Ein System

Der EU AI Act operiert nicht isoliert. Für Unternehmen, die bereits NIS2-Verpflichtungen für kritische Infrastruktur, DSGVO-Datengovernance-Anforderungen und ISO-27001-Informationssicherheitsrahmen verwalten, ist der EU AI Act eine zusätzliche Schicht – aber er überschneidet sich erheblich mit Rahmenwerken, die Sie möglicherweise bereits implementiert haben.

Der Konvergenzpunkt sind Prüfspuren. Die Protokollierungsanforderungen von Artikel 12 für Hochrisiko-KI-Systeme sind strukturell ähnlich den NIS2-Vorfallprotokollierungsverpflichtungen. Die Aufzeichnungen über Datenverarbeitungstätigkeiten nach DSGVO überschneiden sich mit den technischen Dokumentationsanforderungen in Artikel 11. Das Risikomanagementrahmen von ISO 27001 bildet direkt auf die Anforderungen des Risikomanagementsystems von Artikel 9 ab.

Für Organisationen, die KI-Agenten bereitstellen – insbesondere solche, die über MCP-Server verbunden sind – schaffen die Prüfspuranforderungen des EU AI Act einen zusätzlichen regulatorischen Treiber für Shadow-AI-Reparaturarbeiten. Ein KI-Agent ohne strukturierte Protokollierung verstößt gegen Artikel 12. Ein MCP-Server ohne Telemetrie verstößt gegen die Genauigkeits- und Robustheitsanforderungen von Artikel 15. Dies sind keine separaten Governance-Anliegen – sie sind Komponenten der EU-AI-Act-Compliance für jede Organisation mit wesentlichem KI-Exposure in EU-Märkten.

Die Konsequenz der Nichteinhaltung ver(compound)et sich über Rahmenwerke hinweg. Ein Verstoß gegen den EU AI Act erzeugt das primäre Bußgeld. Er erzeugt auch Beweise für unzureichende Governance, die NIS2-Regulierer bemerken werden. Er schafft Dokumentationslücken, auf die DSGVO-Aufsichtsbehörden verweisen werden. Das Bußgeld ist die Schlagzeilenzahl. Das regulatorische Engagement, das folgt, ist die dauerhafte Konsequenz.

Der 2. August 2026 ist 60 Tage entfernt. Die Organisationen, die vorbereitet sind, kennen ihr KI-Portfolio, haben ihre Hochrisiko-Systeme klassifiziert und befinden sich in aktiver Behebung. Die Organisationen, die nicht vorbereitet sind, laufen nicht gegen eine Frist – sie laufen gegen die größte regulatorische Bußgeldstruktur, die jemals in ein Gesetz geschrieben wurde.

EU-AI-Act-Compliance-Checkliste (für KI-Systeme mit EU-Marktexposure)

Klassifizierung

  • [ ] Jedes KI-System wurde der Risikostufe gemäß Artikel 6 und Anhang III zugeordnet
  • [ ] EU-Markt-/Vertragspartner-/Nutzer-Berührungspunkte für jedes System identifiziert
  • [ ] Hochrisiko-Systeme mit internen Verantwortlichen zugewiesen

Dokumentation

  • [ ] Technische Dokumentation für jedes Hochrisiko-System (Artikel 11)
  • [ ] Qualitätsmanagementsystem dokumentiert und ausgestattet
  • [ ] Konformitätsbewertung abgeschlossen oder in Bearbeitung
  • [ ] Menschliche Aufsichtsmechanismen für jedes Hochrisiko-System dokumentiert

Protokollierung und Prüfspuren

  • [ ] Automatische Protokollierung für Hochrisiko-Systeme aktiv (Artikel 12)
  • [ ] Protokolle enthalten Eingaben, Ausgaben und Entscheidungskontext
  • [ ] Protokollierungsinfrastruktur deckt KI-Agenten und MCP-Server ab

Registrierung und Vertretung

  • [ ] Hochrisiko-Systeme in EU-Datenbank registriert (Artikel 51)
  • [ ] EU-Bevollmächtigter Vertreter bestellt (Nicht-EU-Organisationen)

Verifizierung

  • [ ] Rechtliche Beratung für Compliance-Prüfung eingeholt
  • [ ] Behebungszeitplan für verbleibende Lücken dokumentiert

Forschungszusammenfassung von Agencie. Quellen: Europäische Kommission – EU AI Act (artificialintelligenceact.eu), Artikel 6 (Klassifizierung), Artikel 9 (Risikomanagement), Artikel 11 (Technische Dokumentation), Artikel 12 (Protokollierung und Prüfspuren), Artikel 14 (Menschliche Aufsicht), Artikel 15 (Genauigkeit, Robustheit und Cybersecurity), Artikel 51 (EU-Datenbankregistrierung), Anhang III (Kategorien von Hochrisiko-KI-Systemen). Alle zitierten Quellen sind offizieller EU-Gesetzestext.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.