BREAKING
Staatshacker nutzen Google Gemini: Die dunkle Seite der GenAI-Revolution OpenClaw – Der AI-Security-Albtraum des Jahres
AI Governance NIS2 & Regulierung

Deutschland genehmigt den EU AI Act – Countdown für Unternehmen läuft

Dirk Althaus
3 min read

Deutschland hat den EU AI Act im Februar 2026 als nationales Recht ratifiziert. Damit läuft der Countdown: Bis August 2026 müssen Unternehmen ihre KI-Systeme nach dem Risikoklassensystem der Verordnung einordnen und die entsprechenden Transparenz- und Sicherheitsanforderungen umsetzen. Wer Hochrisiko-KI betreibt – und das sind mehr Unternehmen, als den meisten bewusst ist – steht vor erheblichem Handlungsbedarf.

Was der EU AI Act konkret verbietet

Die Verordnung unterteilt KI-Systeme in vier Risikokategorien: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine besonderen Auflagen). Verboten sind ab sofort:

  • Social Scoring: Die Bewertung natürlicher Personen basierend auf sozialem Verhalten oder persönlichen Eigenschaften, wenn dies zu ungerechtfertigter Benachteiligung führt.
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: KI-Systeme, die Emotionen von Beschäftigten oder Lernenden analysieren, sind untersagt. Ausnahmen gelten nur für medizinische oder sicherheitsrelevante Zwecke.
  • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgungsbehörden – mit eng definierten Ausnahmen für schwere Straftaten.

Für deutsche Unternehmen bedeutet das: Wer intern KI-basierte Tools zur Mitarbeiterüberwachung oder Emotionsanalyse in Bewerbungsgesprächen einsetzt, muss diese Systeme sofort abschalten.

Hochrisiko-KI: Die Kategorie, die fast jeden betrifft

Die Hochrisiko-Kategorie umfasst KI-Systeme in Bereichen wie Personalwesen, Kreditvergabe, Versicherung, kritische Infrastruktur, Bildung und Strafverfolgung. Das schließt weit mehr ein, als die meisten Unternehmen erwarten. Ein KI-gestütztes Bewerbermanagement-System? Hochrisiko. Ein Algorithmus, der Kreditwürdigkeit bewertet? Hochrisiko. Ein KI-basiertes Predictive-Maintenance-System in einem Kraftwerk? Hochrisiko.

Für Hochrisiko-Systeme gelten umfassende Anforderungen:

  1. Risikomanagement-System: Laufende Identifikation und Minimierung von Risiken über den gesamten Lebenszyklus.
  2. Daten-Governance: Dokumentierte Qualitätsstandards für Trainingsdaten.
  3. Technische Dokumentation: Vollständige Beschreibung des Systems, seiner Funktionsweise und seiner Grenzen.
  4. Menschliche Aufsicht: Mechanismen, die eine wirksame menschliche Kontrolle sicherstellen.
  5. Genauigkeit, Robustheit, Cybersicherheit: Nachweisbare Standards für alle drei Bereiche.

«Die meisten haben kein Inventar»

Die Analystin Gogia bringt das Kernproblem auf den Punkt: «Die meisten Unternehmen haben noch kein vollständiges Inventar ihrer KI-Systeme.» Man kann nicht regulieren, was man nicht kennt. Und viele Organisationen setzen KI in Formen ein, die sie nicht als KI klassifizieren – eingebettet in SaaS-Produkte, in automatisierte Entscheidungsprozesse, in Tools, die «einfach funktionieren».

Der erste Schritt ist deshalb kein technischer, sondern ein organisatorischer: Jedes Unternehmen muss wissen, wo überall KI eingesetzt wird. Das betrifft nicht nur selbst entwickelte Systeme, sondern vor allem eingekaufte Lösungen. Und damit wird Vendor Governance zum kritischen Engpass.

Vendor Governance: Die unterschätzte Herausforderung

Wer ein Hochrisiko-KI-System von einem Drittanbieter einsetzt, bleibt als Betreiber verantwortlich. Der Anbieter muss technische Dokumentation bereitstellen, das System muss die Anforderungen erfüllen, und der Betreiber muss dies nachweisen können. In der Praxis fehlt diesen Prozessen oft die Grundlage: Verträge enthalten keine KI-spezifischen Klauseln, Anbieter liefern keine ausreichende Dokumentation, und Einkaufsabteilungen haben kein Verständnis für die regulatorischen Anforderungen.

Die Kombination aus EU AI Act und NIS2-Richtlinie verschärft das Problem. NIS2 verlangt Supply-Chain-Sicherheit, der AI Act verlangt Vendor Due Diligence für KI-Systeme. Wer beides getrennt behandelt, verdoppelt seinen Aufwand. Wer es integriert, hat eine Chance.

ZVEI fordert 24 Monate Aufschub

Der ZVEI – Verband der Elektro- und Digitalindustrie – hat eine 24-monatige Verlängerung der Umsetzungsfrist gefordert. Die Begründung: Harmonisierte europäische Standards seien noch nicht verfügbar, und industrielle KI-Anwendungen sollten vollständig vom AI Act ausgenommen werden, da bestehende sektorale Regulierungen ausreichend seien.

Die Forderung trifft auf eine reale Schwierigkeit: Die Standards, auf die der AI Act verweist, existieren teilweise noch nicht. Unternehmen sollen Anforderungen umsetzen, deren genaue Spezifikation noch in Arbeitsgruppen verhandelt wird. Gleichzeitig läuft die Frist. Das erzeugt Unsicherheit – und Unsicherheit führt bei vielen Unternehmen dazu, abzuwarten statt zu handeln.

Regulatorisches Dickicht: AI Act + CRA + Data Act + DSGVO

Der EU AI Act steht nicht isoliert. Er tritt in ein regulatorisches Umfeld, das bereits durch den Cyber Resilience Act (CRA), den Data Act und die DSGVO geprägt ist. Die Überschneidungen sind erheblich:

  • DSGVO + AI Act: Automated Decision-Making unter Art. 22 DSGVO trifft auf die Transparenzanforderungen des AI Act. Wer beides erfüllen will, braucht eine integrierte Compliance-Strategie.
  • CRA + AI Act: Software mit KI-Komponenten fällt potenziell unter beide Verordnungen. Die Dokumentationspflichten überlappen sich, sind aber nicht identisch.
  • Data Act + AI Act: Datenzugangsrechte kollidieren mit Schutzmaßnahmen für Trainingsdaten und Geschäftsgeheimnisse.

Weder die geplanten AI Regulatory Sandboxes noch der AI Service Desk können hier breite Rechtssicherheit schaffen. Sie sind Instrumente für Einzelfälle, nicht für die Masse der betroffenen Unternehmen. Ein tieferer Blick auf die AI-Security-Landschaft 2026 zeigt, dass Regulierung und technische Sicherheit zunehmend verschmelzen.

Praktische Checkliste: Fünf Schritte bis August 2026

  1. KI-Inventar erstellen: Alle KI-Systeme im Unternehmen identifizieren – eigene Entwicklungen, eingekaufte Lösungen, eingebettete Komponenten in SaaS-Produkten.
  2. Risikoklassifizierung durchführen: Jedes System nach dem vierstufigen Schema des AI Act einordnen. Im Zweifel konservativ bewerten.
  3. Vendor Due Diligence starten: Alle Anbieter von KI-Systemen kontaktieren und technische Dokumentation anfordern. Verträge um KI-spezifische Klauseln ergänzen.
  4. Dokumentation aufbauen: Technische Dokumentation, Risikomanagement-Prozesse und Monitoring-Mechanismen für Hochrisiko-Systeme implementieren.
  5. Governance-Team benennen: Eine verantwortliche Stelle für KI-Compliance einrichten. Keine Einzelperson, sondern ein Team aus Legal, IT, Datenschutz und Fachabteilungen.

Sechs Monate sind wenig Zeit. Unternehmen, die jetzt nicht anfangen, werden im August 2026 nicht bereit sein.

Quellen

  • Europäische Union – Verordnung (EU) 2024/1689 (EU AI Act), Amtsblatt der EU
  • Bundesregierung – Ratifizierung des EU AI Act, Februar 2026
  • ZVEI – Positionspapier zur Umsetzung des EU AI Act, Januar 2026
  • Gogia – Analysteneinschätzung zum KI-Inventar in Unternehmen, 2026
  • Europäische Kommission – AI Regulatory Sandboxes: Leitlinien, 2025
Teilen:
AI Governance NIS2 & Regulierung Deutschland
// Mission Critical

Woechentliches AI Security Briefing erhalten.

Fuer Analysten, Forscher und Verteidiger, die Bedrohungen im AI Stack verfolgen.

Kostenlos abonnieren

Verwandte Artikel