KI-Verordnung 2026: Was Unternehmen jetzt wissen müssen

KI-Verordnung 2026

Immer mehr Unternehmen beschäftigen sich derzeit mit den Anforderungen der EU-KI-Verordnung, dem AI Act. Gleichzeitig wächst in nahezu allen Branchen der Bedarf an KI-Kompetenz, Fortbildungsanbieter reagieren bereits mit eigenen Seminaren zu rechtlichen Rahmenbedingungen, Datenschutz und Haftungsfragen rund um KI. Wer als Gewerbetreibender KI-Systeme einsetzt, kommt am Thema kaum noch vorbei, unabhängig von der Unternehmensgröße.

Was ist die EU-KI-Verordnung?

Der AI Act ist der erste verbindliche Rechtsrahmen der EU für den Einsatz künstlicher Intelligenz. Er teilt KI-Systeme in vier Risikostufen ein: verbotene Systeme mit inakzeptablem Risiko, Hochrisiko-Systeme, Systeme mit begrenztem Risiko und Systeme mit minimalem Risiko. Je höher die Risikostufe, desto umfangreicher die Pflichten, von einfachen Transparenzhinweisen bis zu vollständigem Risikomanagement, technischer Dokumentation und menschlicher Aufsicht.

Wen betrifft die Verordnung?

Ein verbreitetes Missverständnis: Betroffen sind nicht nur Firmen, die KI-Systeme entwickeln oder verkaufen. Auch Unternehmen, die KI lediglich einsetzen, etwa im Recruiting, in der Buchhaltung, im Kundenservice oder im Vertrieb, gelten rechtlich als „Betreiber“ und unterliegen eigenen Pflichten. Wer ein CRM-System mit eingebauter KI-Funktion nutzt oder Bewerbungen automatisiert vorsortieren lässt, ist damit potenziell im Anwendungsbereich, auch ohne selbst ein KI-Unternehmen zu sein.

Diese Fristen gelten aktuell

Die Terminlage ist im Jahr 2026 unübersichtlicher geworden, weil einzelne Fristen im Gesetzgebungsverfahren verschoben wurden, andere aber bestehen bleiben. Der aktuelle Stand im Überblick:

  • Seit 2. Februar 2025: Die KI-Kompetenzpflicht nach Artikel 4 gilt bereits, unabhängig von der Risikostufe eines Systems.
  • Seit August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI) sind in Kraft.
  • Ab 2. August 2026: Die allgemeinen Transparenzpflichten aus Artikel 50 bleiben beim ursprünglichen Termin, dazu zählen die Offenlegungspflicht bei Chatbots, die Kennzeichnung von Deepfakes sowie Hinweise bei Emotionserkennung und biometrischer Kategorisierung.
  • Voraussichtlich 2. Dezember 2027: Nach dem im Frühjahr 2026 vereinbarten „Digital Omnibus“ sollen eigenständige Hochrisiko-Systeme nach Anhang III erst zu diesem späteren Termin vollständig compliant sein müssen, statt wie ursprünglich geplant im August 2026.
  • Voraussichtlich 2. August 2028: Für Hochrisiko-KI in bereits regulierten Produkten nach Anhang I, etwa Medizinprodukten oder Maschinen, ist ebenfalls eine spätere Frist im Gespräch.
  • Zwischen November 2026 und Februar 2027: Die maschinenlesbare Kennzeichnung synthetischer Inhalte nach Artikel 50 Absatz 2 soll für bestehende Systeme in einem noch nicht final festgelegten Zeitfenster greifen.

Wichtig für die Praxis: Die Verschiebung der Hochrisiko-Fristen war noch im April 2026 zwischenzeitlich am Trilog zwischen Parlament, Rat und Kommission gescheitert, bevor im Mai 2026 doch eine Einigung erzielt wurde. Unternehmen sollten sich deshalb nicht allein auf angekündigte Verschiebungen verlassen, sondern den aktuellen Umsetzungsstand vor eigenen Compliance-Entscheidungen noch einmal prüfen, etwa über die eigene Rechtsabteilung oder externe Beratung.

Die KI-Kompetenzpflicht: schon seit Februar 2025 in Kraft

Ein Punkt wird in der öffentlichen Debatte oft unterschätzt: Artikel 4 des AI Act verpflichtet bereits seit dem 2. Februar 2025 alle Unternehmen, die KI-Systeme einsetzen, zu einem ausreichenden Kompetenzniveau bei den Mitarbeitenden, die mit diesen Systemen arbeiten oder deren Ergebnisse nutzen. Diese Pflicht gilt unabhängig von der Risikoklasse, betrifft also auch Unternehmen, die nur einfache KI-Tools wie Chatbots oder Textassistenten verwenden. In der Praxis bedeutet das: Schulungsbedarf ermitteln, geeignete Fortbildungsformate wie interne Trainings oder E-Learnings anbieten und die Maßnahmen nachvollziehbar dokumentieren, damit sie im Prüfungsfall belegbar sind.

Bußgelder bei Verstößen

Die Sanktionen sind kein Bagatellrisiko. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher liegt. Die Verordnung gilt zudem extraterritorial: Auch Unternehmen außerhalb der EU können betroffen sein, sobald ihre KI-Systeme Auswirkungen auf Personen innerhalb der EU haben. Nach einem EU-Kommissionsbericht von Februar 2026 hatten zu diesem Zeitpunkt rund 78 Prozent der Unternehmen noch keine konkreten Schritte zur Hochrisiko-Compliance unternommen, ein deutliches Signal, dass beim Thema in der Breite noch erheblicher Nachholbedarf besteht.

Was der Mittelstand jetzt konkret tun sollte

Auch wenn die Hochrisiko-Fristen sich verschieben, bleibt die Kompetenzpflicht sofort relevant, und Vorbereitung braucht Zeit. Sinnvoll ist ein dreistufiges Vorgehen: Zunächst eine vollständige KI-Inventur, welche Tools werden in welchen Abteilungen genutzt, auch eingebettete KI-Funktionen in Software oder Cloud-Diensten zählen dazu. Danach die Einordnung dieser Systeme in die passende Risikoklasse, wofür unter anderem der offizielle EU AI Act Compliance Checker hilft. Und schließlich die Benennung klarer Zuständigkeiten für KI-Compliance im Unternehmen, damit Verantwortung nicht zwischen Geschäftsführung, IT und Fachabteilungen verloren geht. Der wachsende Markt an Fortbildungsangeboten zu KI-Recht und digitalen Fertigkeiten ist dabei kein Zufall, sondern eine direkte Reaktion auf genau diesen Bedarf.

Häufige Fragen zur KI-Verordnung 2026

Gilt die KI-Verordnung nur für KI-Anbieter?
Nein. Auch Unternehmen, die KI-Systeme lediglich einsetzen, etwa in Recruiting, Buchhaltung oder Kundenservice, gelten als Betreiber und unterliegen eigenen Pflichten.

Sind die Hochrisiko-Fristen jetzt endgültig verschoben?
Eine Verschiebung auf Dezember 2027 beziehungsweise August 2028 wurde im Frühjahr 2026 politisch vereinbart, nachdem Verhandlungen zwischenzeitlich gescheitert waren. Unternehmen sollten den aktuellen Umsetzungsstand vor eigenen Entscheidungen dennoch prüfen.

Was bleibt trotz der Fristverlängerung ab August 2026 verpflichtend?
Die allgemeinen Transparenzpflichten aus Artikel 50, etwa die Offenlegung bei Chatbots und die Kennzeichnung von Deepfakes, bleiben beim ursprünglichen Termin im August 2026.

Was ist die KI-Kompetenzpflicht nach Artikel 4?
Sie verpflichtet Unternehmen bereits seit Februar 2025, ausreichende KI-Kompetenz bei Mitarbeitenden sicherzustellen, die KI-Systeme bedienen oder deren Ergebnisse nutzen, unabhängig von der Risikoklasse des Systems.

Wie hoch sind die Bußgelder bei Verstößen?
Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 4.7 / 5. Anzahl Bewertungen: 55

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.