Redaktionshinweis: Dieser Artikel wurde mit Unterstützung von KI-Tools (Claude von Anthropic) recherchiert und verfasst. Alle rechtlichen Angaben basieren auf öffentlich zugänglichen Quellen; dieser Artikel ersetzt keine Rechtsberatung. Stand: Mai 2026.
⏱ In 30 Sekunden: Das Wichtigste
- Februar 2025: 7 KI-Praktiken sind in der EU bereits verboten – darunter Emotionserkennung im Recruiting und Social Scoring.
- August 2025: Das EU-Sanktionsregime ist in Kraft. Bußgelder bis 35 Mio. € oder 7 % Konzernumsatz sind möglich.
- August 2026: Bundesnetzagentur erhält volle Durchsetzungskompetenz. Transparenzpflichten für KI-Systeme werden scharf.
- Dezember 2027: Hochrisiko-Pflichten (KI im Recruiting, Kreditvergabe, HR) treten in Kraft (nach Omnibus-Verschiebung).
- Jetzt handeln: KI-Inventur, Art.-5-Prüfung, AI-Literacy-Schulung und – in Deutschland – Betriebsrat nach § 87 BetrVG einbinden.
Stellen Sie sich vor, Ihr Unternehmen hat seit einem Jahr ein KI-Tool im Einsatz, das Bewerbungsvideos analysiert und dabei Mimik und Stimmton auswertet. Klingt modern – ist seit dem 2. Februar 2025 in der EU illegal. Kein Übergangszeitraum, kein Bestandsschutz.
Genau das ist die Realität des EU AI Act (EU-Verordnung 2024/1689): Während viele Unternehmen noch auf den „richtigen Zeitpunkt" warten, gilt ein erheblicher Teil des Gesetzes bereits. Und ab August 2026 beginnt die Bundesnetzagentur mit der aktiven Durchsetzung – inklusive Bußgeldern, die die DSGVO-Strafen in der Spitze übertreffen.
Dieser Artikel erklärt konkret: Was gilt bereits heute? Was müssen Unternehmen bis August 2026 erledigt haben? Und was passiert, wenn sie es nicht tun?
Was der EU AI Act überhaupt ist – in drei Minuten
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung mit verbindlichem Charakter. Er gilt direkt in allen 27 EU-Mitgliedstaaten – ohne nationale Umsetzungsgesetze abwarten zu müssen. Anders als die DSGVO, die Datenschutz regelt, steuert der AI Act das Risiko von KI-Systemen: Je mehr Schaden ein System anrichten kann, desto strenger die Anforderungen.
Das Gesetz unterscheidet vier Risikostufen: Verbotene Praktiken (Art. 5), die schlicht nicht erlaubt sind; Hochrisiko-Systeme (Anhang III), die umfangreiche Dokumentation und Aufsicht erfordern; begrenzte Risikosysteme mit Transparenzpflichten; und minimale Risikosysteme, die praktisch unreguliert bleiben. Für Unternehmen ist entscheidend: Sie können in verschiedenen Rollen auftreten – als Anbieter (entwickeln ein KI-System), als Betreiber (setzen ein fremdes System ein), als Importeur oder Händler. Wer ChatGPT, Microsoft Copilot oder ähnliche Tools über einen Unternehmens-Account betreibt, ist bereits jetzt Betreiber im Sinne des AI Act.
Das Stufenmodell: Was gilt wann?
Der AI Act trat am 1. August 2024 in Kraft, wird aber schrittweise angewendet. Für DACH-Unternehmen sind fünf Daten entscheidend:
| Datum | Was gilt ab dann | Status |
|---|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4) | ✅ Bereits in Kraft |
| 2. August 2025 | GPAI-Pflichten, EU-Sanktionsregime (Art. 99), Governance-Strukturen | ✅ Bereits in Kraft |
| 2. August 2026 | Volle Durchsetzung durch BNetzA, Transparenzpflichten (Art. 50), Reallabore | ⏳ In 2 Monaten |
| 2. Dezember 2027 | Hochrisiko-Pflichten Anhang III (HR, Kredit, Infrastruktur) – nach Omnibus | 📅 Geplant |
| 2. August 2028 | Hochrisiko-Pflichten Anhang I (Medizinprodukte, Maschinen) – nach Omnibus | 📅 Geplant |
⚠️ Wichtig zum Digital Omnibus: Der politische Trilog-Kompromiss vom 7. Mai 2026 verschiebt die Hochrisiko-Fristen auf Dezember 2027 bzw. August 2028. Dieser Beschluss war im Mai 2026 noch nicht im EU-Amtsblatt veröffentlicht – bis dahin gelten die ursprünglichen Fristen formell. Außerdem verschiebt der Omnibus nur die Hochrisiko-Pflichten – Verbote, KI-Kompetenz und Transparenzpflichten bleiben unverändert.
Diese 7 KI-Praktiken sind seit Februar 2025 verboten
Art. 5 des EU AI Act listet Anwendungen auf, die in der EU grundsätzlich nicht mehr betrieben werden dürfen. Die EU-Kommission hat dazu im Februar 2025 ausführliche Leitlinien veröffentlicht. Für Unternehmens-Entscheider sind vor allem diese Verbote praxisrelevant:
1. Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
KI-Systeme, die aus Mimik, Stimme oder Körpersprache auf emotionale Zustände schließen, sind in beruflichen und schulischen Kontexten verboten – es sei denn, der Zweck ist medizinisch oder sicherheitsbezogen. Das betrifft direkt: KI-gestützte Video-Interview-Analysen, die „Soft Skills" aus Gesichtsausdrücken ableiten, und Mitarbeiter-Monitoring-Tools, die emotionale Erschöpfung aus Webcam-Feeds erkennen sollen.
2. Social Scoring durch private Akteure
Systeme, die Personen anhand ihres sozialen Verhaltens bewerten und diese Bewertung auf unverbundene Lebensbereiche übertragen, sind verboten. Das klingt nach China – trifft aber auch manche westlichen Ansätze in der Personalentscheidung oder Kreditvergabe, die Verhaltensdaten aus sozialen Netzwerken mit Kreditwürdigkeit verknüpfen.
3. Biometrische Echtzeit-Identifizierung im öffentlichen Raum
Gesichtserkennung in öffentlich zugänglichen Räumen in Echtzeit ist für private Unternehmen grundsätzlich verboten. Enge Ausnahmen gelten nur für Strafverfolgungsbehörden unter strengen Voraussetzungen.
4. Ungezieltes Scraping von Gesichtsbildern
Der Aufbau von Gesichtserkennungs-Datenbanken durch massenhaftes Scraping von Bildern aus dem Internet oder von Überwachungskameras ist verboten. Tools wie PimEyes, ClearviewAI oder ähnliche Dienste, die auf diese Weise trainieren, dürfen in der EU weder betrieben noch genutzt werden – und der Bundestag hat die Bundesregierung im März 2026 ausdrücklich aufgefordert, deren Angebote konsequent zu unterbinden.
5.–7. Weitere Verbote
Ebenfalls verboten: unterschwellige Beeinflussung und manipulative Techniken (z. B. KI-Chatbots, die sich per Stimmsynthese als Angehörige ausgeben), die Ausnutzung von Verletzlichkeiten (z. B. geistige Beeinträchtigungen, Alter) zum Verkauf von Produkten, und Predictive Policing ausschließlich auf Profiling-Basis.
🚨 Praxis-Check: Setzen Sie aktuell ein KI-Tool im Recruiting ein, das Video-Interviews analysiert? Prüfen Sie sofort, ob das System Emotionen oder Mimik auswertet. Falls ja, muss es abgeschaltet oder durch ein konformes System ersetzt werden – unabhängig davon, was der Anbieter behauptet.
Was bis August 2026 verpflichtend ist
Ab dem 2. August 2026 kann die Bundesnetzagentur aktiv Bußgelder verhängen und Untersuchungen einleiten. Das ist der faktische Startschuss für die KI-Compliance-Praxis in Deutschland. Bis dahin müssen Unternehmen drei Kernpflichten erfüllt haben:
KI-Kompetenzpflicht (Art. 4) – seit Februar 2025 Pflicht
Jedes Unternehmen, das KI-Systeme einsetzt, muss sicherstellen, dass das beteiligte Personal über ausreichende KI-Kompetenz verfügt. Das gilt auch für Freelancer und externe Dienstleister, die im Unternehmensauftrag mit KI arbeiten. Art. 4 nennt kein konkretes Format – entscheidend ist die Dokumentation: Wer hat welche Schulung wann absolviert?
Für ein mittelständisches Unternehmen mit 50 KI-Nutzern kostet eine dokumentierte Basis-Schulung über einen AZAV-zertifizierten Anbieter typischerweise zwischen 50 und 150 Euro pro Person. Über das Qualifizierungschancengesetz (QCG) können bis zu 100 % der Kosten gefördert werden.
Transparenzpflichten (Art. 50) – ab August 2026
Unternehmen, die KI-Systeme im Kundenkontakt einsetzen, müssen ab August 2026 klar kennzeichnen: wenn Personen mit einem KI-Chatbot statt einem Menschen interagieren, und wenn KI-generierte Inhalte (Texte, Bilder, Videos) nicht von Menschenhand stammen. Für generative KI-Systeme mit systemischem Risiko kommt die Pflicht hinzu, synthetische Inhalte mit maschinenlesbarem Wasserzeichen zu versehen.
KI-Inventar und Risikoklassifizierung – Dokumentationspflicht
Art. 6 Abs. 3 verlangt, dass Unternehmen für jedes eingesetzte KI-System dokumentieren, warum es kein Hochrisiko-System ist – falls das tatsächlich so ist. Das setzt voraus, dass überhaupt bekannt ist, welche KI-Systeme wo im Unternehmen eingesetzt werden. Erfahrungswerte aus Beratungsprojekten zeigen: Bei einer systematischen Inventur finden Unternehmen typischerweise zwischen 15 und 25 KI-Funktionen, die der zentralen IT nicht bekannt waren (sog. Schatten-KI).
Was bei Nichteinhaltung droht: Die Bußgelder im Detail
Art. 99 des EU AI Act sieht ein dreistufiges Sanktionssystem vor – und die Obergrenzen übersteigen die DSGVO-Strafen in der Spitze um fast 75 %:
| Verstoß | Bußgeld (Festbetrag) | Alternativ (% Umsatz) |
|---|---|---|
| Verstoß gegen verbotene Praktiken (Art. 5) | bis 35 Mio. € | bis 7 % weltweiter Jahresumsatz |
| Sonstige Anbieter-/Betreiberpflichten, Transparenzpflichten | bis 15 Mio. € | bis 3 % Jahresumsatz |
| Falsche Auskünfte gegenüber Behörden | bis 7,5 Mio. € | bis 1 % Jahresumsatz |
Für KMU gilt: Es gilt jeweils der niedrigere Wert aus Festbetrag und Prozentsatz. Ein Start-up mit 2 Mio. € Umsatz riskiert bei einem Hochrisiko-Verstoß theoretisch also 60.000 € statt 15 Mio. €. Eine echte Befreiung ist das nicht – und die Grundpflichten (Inventur, Verbote einhalten, Schulung) gelten für alle gleich.
⚠️ Kein Versicherungsschutz: KI-Act-Bußgelder sind nach gefestigter Rechtsprechung nicht versicherbar, weil dies dem Sanktionszweck zuwiderliefe. Auch D&O-Policen decken behördliche Bußgelder nicht ab. Die Strafe trägt das Unternehmen direkt.
Der Realitätscheck: Wie vorbereitet sind DACH-Unternehmen?
Laut einer Bitkom-Studie vom September 2025 (n=604 Unternehmen ab 20 Beschäftigten) haben sich zusammengerechnet rund 40 % der Befragten noch gar nicht oder nicht ausreichend mit dem AI Act beschäftigt: 30 % prüfen noch ihre Betroffenheit, 11 % haben sich noch gar nicht mit dem Thema befasst. Von den als betroffen identifizierten Unternehmen erwarten 49 % einen „sehr hohen" und 44 % einen „eher hohen" Compliance-Aufwand.
Das bedeutet: KI-Act-Compliance ist faktisch ein Wettbewerbsvorteil. Wer jetzt strukturiert vorgeht, kann das als Qualitätsmerkmal im B2B-Vertrieb und in Ausschreibungen ausspielen – während die Mehrheit noch aufholt.
DSGVO und AI Act: Keine Wahl zwischen beiden
Ein häufiger Irrtum: Der EU AI Act ersetzt die DSGVO nicht. Beide Regelwerke gelten parallel. Jedes KI-System, das personenbezogene Daten verarbeitet – also praktisch jeder Kunden-Chatbot, jedes HR-Tool, jede Analyse-Plattform – unterliegt beiden Regimes gleichzeitig.
Das erzeugt eine institutionelle Doppelzuständigkeit: Die Landesdatenschutzbehörden prüfen DSGVO-Verstöße, die Bundesnetzagentur AI-Act-Verstöße. Ein einziges KI-System kann parallel zwei behördliche Untersuchungen auslösen. Die gute Nachricht: Art. 27 des AI Act erlaubt es ausdrücklich, die Grundrechte-Folgenabschätzung (FRIA) gemeinsam mit der Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) durchzuführen – das spart erheblichen Aufwand, wenn man es von Anfang an integriert plant.
Der deutsche Sonderfall: BetrVG § 87 als heimlicher Zeitdruck
Für deutsche Unternehmen mit Betriebsrat gibt es einen weiteren, oft unterschätzten Compliance-Hebel: das Betriebsverfassungsgesetz. § 87 Abs. 1 Nr. 6 BetrVG sieht erzwingbare Mitbestimmung vor, wenn technische Einrichtungen eingesetzt werden, die objektiv geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen.
Das trifft praktisch jeden KI-Einsatz, der über Firmen-Accounts läuft: Copilot im Unternehmenseinsatz, KI-gestützte Leistungs-Dashboards, automatisierte Qualitätskontrolle in der Produktion, KI-Recruiting. Wer den Betriebsrat nicht einbezieht, riskiert Unterlassungsklagen und ein De-facto-Verbot des Systems. Hinzu kommen: § 90 BetrVG (Unterrichtung in der Planungsphase), § 80 Abs. 3 BetrVG (Sachverständige auf Arbeitgeberkosten) und § 95 Abs. 2a BetrVG (Mitbestimmung bei KI-Auswahlrichtlinien).
Empfehlung: Den Betriebsrat vor der KI-Inventur einbinden, nicht danach. Eine frühzeitig ausgehandelte Betriebsvereinbarung KI (Mustertexte von kk-bildung, IG Metall und ver.di sind kostenlos verfügbar) schafft Rechtssicherheit und erhöht die Akzeptanz im Unternehmen erheblich.
Der 10-Punkte-Aktionsplan: Was Unternehmen jetzt tun müssen
✅ Phase 1 – Sofortmaßnahmen (nächste 4–8 Wochen)
- KI-Inventur starten: Alle KI-Systeme über alle Abteilungen erfassen – inklusive Schatten-KI. IT, Datenschutzbeauftragter und Abteilungsleiter gemeinsam.
- Art.-5-Prüfung: Jedes System gegen die 7 Verbote prüfen. Emotionserkennung, biometrische Kategorisierung, Social Scoring → sofort abschalten oder anwaltlich prüfen.
- AI-Literacy-Schulung aufsetzen: Mindestens Basis-Schulung für alle KI-Nutzer, Spezial-Schulung für HR, Compliance, IT. Nachweise dokumentieren.
- Betriebsrat einbeziehen (D): Informationspflicht nach § 90 BetrVG – frühzeitig, nicht erst wenn ein System bereits läuft.
✅ Phase 2 – Governance aufbauen (bis Ende Q3 2026)
- Risikoklassifizierung dokumentieren: Für jedes System festhalten, warum es Hochrisiko ist oder nicht (Art. 6 Abs. 3). Schriftlich, mit Datum.
- AI Compliance Officer benennen: Kann beim DSB angesiedelt werden, braucht aber eigene KI-Qualifikation.
- DSFA + FRIA kombinieren: Für jedes KI-System mit Personenbezug gemeinsame Folgenabschätzung nach Art. 35 DSGVO und Art. 27 AI Act durchführen.
- Transparenzpflichten umsetzen: Chatbot-Kennzeichnung, Disclaimer für KI-generierte Inhalte – bis spätestens 2. August 2026.
✅ Phase 3 – Verträge und Monitoring (Q4 2026 – Q4 2027)
- Anbieter-Verträge anpassen: Zusicherung der AI-Act-Konformität, Lieferung technischer Dokumentation (Annex IV), Bias-Reports, Regressmechanismus bei Bußgeldern fordern.
- Hochrisiko-Compliance vorbereiten: Risikomanagementsystem (Art. 9), technische Dokumentation, Logging-Pipeline für Hochrisiko-Systeme aufbauen – Vorlauf: 6–12 Monate.
Häufige Fragen (FAQ)
Gilt der EU AI Act auch für Schweizer Unternehmen?
Ja, extraterritorial: Wenn ein Schweizer Unternehmen KI-Systeme entwickelt oder betreibt, deren Output in der EU genutzt wird, greift der AI Act. Für Hochrisiko-Systeme ist ein bevollmächtigter EU-Vertreter (Art. 22) Pflicht.
Wir sind ein kleines KMU mit 20 Mitarbeitenden. Müssen wir wirklich alle Pflichten erfüllen?
Die Grundpflichten (Verbote einhalten, KI-Kompetenz sichern, Transparenz) gelten für alle Unternehmen. Bei Bußgeldern gilt für KMU der jeweils niedrigere Wert aus Festbetrag und Prozentsatz. Die Bundesnetzagentur hat angekündigt, KMU besonders zu beraten (Art. 62 AI Act). Erste Anlaufstelle: bundesnetzagentur.de.
Was ist mit dem „Digital Omnibus"? Hat sich die Frist nicht verschoben?
Der politische Kompromiss vom Mai 2026 verschiebt die Hochrisiko-Pflichten auf Dezember 2027. Aber: Er ist noch nicht förmlich verabschiedet und verschiebt ausdrücklich nur die Hochrisiko-Pflichten. Die Verbote (Art. 5), die KI-Kompetenzpflicht (Art. 4) und die Transparenzpflichten (Art. 50) bleiben auf den ursprünglichen Terminen.
Gibt es bereits Bußgelder nach dem AI Act?
Öffentlich bekannte AI-Act-Bußgeldverfahren gab es Anfang 2026 noch nicht. Allerdings zeigen DSGVO-Verfahren gegen KI-Anbieter (15 Mio. € gegen OpenAI in Italien, Verbote gegen DeepSeek und Replika) das zu erwartende Vorgehen. Ab August 2026 wird die BNetzA aktiv.
Fazit: August 2026 ist keine Warnung mehr – es ist die Deadline
Der EU AI Act ist kein Zukunftsprojekt mehr. Zwei von fünf entscheidenden Compliance-Terminen liegen bereits in der Vergangenheit, der dritte ist in zwei Monaten. Laut Bitkom hat sich ein erheblicher Teil der deutschen Unternehmen noch immer nicht ausreichend mit dem Thema befasst.
Die gute Nachricht: Wer jetzt systematisch vorgeht, hat noch Zeit. Ein KI-Inventar, eine Art.-5-Prüfung, eine dokumentierte AI-Literacy-Schulung und – in Deutschland – die Einbindung des Betriebsrats sind in acht bis zwölf Wochen umsetzbar. Das reicht, um für den August 2026 grundlegend compliant zu sein.
Wer auf den Digital Omnibus als Entwarnung setzt, übersieht: Die Verbote gelten bereits. Die Bußgelder sind bereits möglich. Und ab August 2026 sucht die Bundesnetzagentur aktiv nach Verstößen.
📋 EU AI Act Compliance: Weiterlesen auf ai-fabrik.com
Tiefer einsteigen? Diese Artikel helfen Ihnen weiter:
- Der EU AI Act: Europas regulatorische Antwort auf die KI-Revolution (Deep Dive)
- AI Act 2026: Was deutsche Unternehmen jetzt wissen müssen
Nichts verpassen: Tragen Sie sich für den ai-fabrik.com Newsletter ein und erhalten Sie alle wichtigen KI-Compliance-Updates direkt in Ihr Postfach.
Quellen
- EU-Kommission: AI Act – Shaping Europe's Digital Future
- EU AI Act Service Desk: Artikel 99 – Sanktionen (Originaltext)
- Bundesnetzagentur: Verbotene KI-Praktiken nach Art. 5
- AI Act Akademie: KI-MIG und nationale KI-Aufsicht in Deutschland
- Gibson Dunn: EU AI Act Omnibus – Postponed High-Risk Deadlines (Mai 2026)
- Bitkom: Künstliche Intelligenz in Deutschland – Studie September 2025
- Mayer Brown: GPAI-Pflichten ab August 2025 (August 2025)
- Paperclipped: KI-Agenten, Betriebsrat und Mitbestimmung – § 87 BetrVG (2026)
- Datenschutzticker: 15-Mio.-€-Bußgeld gegen OpenAI (Januar 2025)
- Skill-Sprinters: EU AI Act Bußgelder ab August 2026 – was den Mittelstand wirklich droht
