EU AI Act Hochrisiko: Was Unternehmen bis August 2026 umsetzen müssen

Avatar of Boris Friedrich
Boris Friedrich
28. Februar 2026
Künstliche Intelligenz - KI

EU AI Act Hochrisiko: Was Unternehmen bis August 2026 umsetzen müssen

Meta-Title: EU AI Act Hochrisiko – Pflichten bis August 2026

Meta-Description: Hochrisiko-KI nach EU AI Act: Alle Pflichten, Fristen und Sanktionen bis August 2026. Konformitätsbewertung, Dokumentation und Umsetzungsfahrplan für Unternehmen.

6 Monate bis zur Deadline — was jetzt passieren muss

Am 2. August 2026 wird es ernst: Ab diesem Stichtag gelten die vollständigen Anforderungen des EU AI Act für Hochrisiko-KI-Systeme. Unternehmen, die KI-Systeme entwickeln, vertreiben oder einsetzen, müssen bis dahin Konformitätsbewertungen abgeschlossen, technische Dokumentationen finalisiert, CE-Kennzeichnungen angebracht und ihre Systeme in der EU-Datenbank registriert haben.

Wer das nicht schafft, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Dieser Artikel zeigt, was Hochrisiko-KI-Systeme sind, welche Pflichten konkret gelten und wie Unternehmen die verbleibende Zeit nutzen sollten.

1. Was sind Hochrisiko-KI-Systeme?

Der EU AI Act definiert zwei Wege, über die ein KI-System als hochriskant eingestuft wird:

Weg 1: Sicherheitskomponente in regulierten Produkten (Artikel 6 Abs. 1)

KI-Systeme, die als Sicherheitskomponente in Produkte eingebettet sind, die unter die in Anhang I gelisteten EU-Harmonisierungsrechtsvorschriften fallen — etwa Medizinprodukte, Maschinen, Spielzeug, Aufzüge oder Luftfahrttechnik. Für diese Systeme gilt eine verlängerte Übergangsfrist bis 2. August 2027.

Weg 2: Eigenständige Hochrisiko-Bereiche (Artikel 6 Abs. 2 + Anhang III)

KI-Systeme in den folgenden acht Bereichen gelten immer als hochriskant — es sei denn, sie stellen kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte dar:

Handlungsempfehlung: Erstellen Sie ein vollständiges KI-Inventar aller im Unternehmen eingesetzten KI-Systeme. Prüfen Sie jedes System gegen Anhang III. Dokumentieren Sie die Bewertung — auch wenn Sie zum Ergebnis kommen, dass ein System *nicht* hochriskant ist (Art. 6 Abs. 3 verpflichtet zur dokumentierten Begründung).

2. Die Zeitachse: Was gilt ab wann?

Der EU AI Act trat am 1. August 2024 in Kraft. Die Pflichten werden stufenweise scharf:

Parallel dazu hat das Bundeskabinett im Februar 2026 das KI-MIG (KI-Maßnahmen- und Innovationsgesetz) beschlossen — das deutsche Durchführungsgesetz zum AI Act. Es regelt unter anderem die nationale Marktüberwachung und konkretisiert Sanktionen.

Handlungsempfehlung: Arbeiten Sie rückwärts vom 2. August 2026. Eine Konformitätsbewertung dauert erfahrungsgemäß 3–6 Monate. Wer im März 2026 noch nicht begonnen hat, wird die Frist kaum halten.

3. Konformitätsbewertung: Der Kern der Compliance

Die Konformitätsbewertung ist das zentrale Verfahren, um nachzuweisen, dass ein Hochrisiko-KI-System alle Anforderungen des AI Act erfüllt. Für die meisten Anhang-III-Systeme ist eine interne Konformitätsbewertung ausreichend (Art. 43 Abs. 2). Ausnahme: KI-Systeme für biometrische Fernidentifizierung — hier ist eine Drittprüfung durch eine notifizierte Stelle erforderlich.

Was umfasst die Bewertung?

  1. Qualitätsmanagementsystem (Art. 17) — dokumentierte Prozesse für Entwicklung, Betrieb und ÜberwachungTechnische Dokumentation (Art. 11) — vollständige Beschreibung des Systems, seiner Zweckbestimmung, Architektur und LeistungsmetrikenRisikomanagement (Art. 9) — kontinuierlicher Prozess zur Identifikation und Minderung von RisikenDaten-Governance (Art. 10) — Qualität, Repräsentativität und Bias-Prüfung der Trainings-, Validierungs- und TestdatenAufzeichnungspflichten (Art. 12) — automatische Protokollierung (Logging) während des BetriebsCE-Kennzeichnung (Art. 48) — physische oder digitale AnbringungEU-Datenbank-Registrierung (Art. 49) — Eintrag in die öffentliche EU-Datenbank für Hochrisiko-KI

Handlungsempfehlung: Beginnen Sie mit einer Gap-Analyse: Welche der sieben Anforderungen erfüllen Sie bereits (z. B. durch bestehende ISO-27001- oder ISO-9001-Prozesse)? Wo bestehen Lücken? Priorisieren Sie nach Aufwand und Risiko.

4. Technische Dokumentation: Was rein muss

Artikel 11 in Verbindung mit Anhang IV des AI Act definiert die Mindestinhalte der technischen Dokumentation. Diese muss vor dem Inverkehrbringen erstellt und danach 10 Jahre aufbewahrt werden.

Pflichtinhalte (Auszug)

  • Allgemeine Beschreibung des KI-Systems und seiner ZweckbestimmungDetaillierte Beschreibung der Entwicklungsmethodik und des TrainingsverfahrensInformationen über Trainings-, Validierungs- und TestdatensätzeMetriken zur Bewertung von Genauigkeit, Robustheit und CybersicherheitBeschreibung der Maßnahmen zur menschlichen AufsichtBeschreibung des RisikomanagementsystemsAufzeichnungen über Änderungen während des gesamten Lebenszyklus

Die Dokumentation muss so gestaltet sein, dass Marktüberwachungsbehörden die Konformität des Systems bewerten können.

Handlungsempfehlung: Nutzen Sie bestehende Dokumentationsstandards (z. B. ISO/IEC 42001 für KI-Managementsysteme) als Grundlage. Automatisieren Sie die Dokumentation so weit wie möglich — bei mehreren KI-Systemen wird manuelle Pflege schnell zur Engstelle.

5. Risikomanagement: Kein einmaliges Projekt

Das Risikomanagementsystem nach Art. 9 muss den gesamten Lebenszyklus eines Hochrisiko-KI-Systems abdecken — von der Konzeption über die Entwicklung bis zum Betrieb und zur Außerbetriebnahme.

Kernanforderungen

  • Risikoidentifikation: Systematische Erfassung bekannter und vorhersehbarer Risiken für Gesundheit, Sicherheit und GrundrechteRisikobewertung: Analyse der Eintrittswahrscheinlichkeit und Schwere potenzieller Schäden — unter Berücksichtigung von bestimmungsgemäßem Gebrauch *und* vernünftigerweise vorhersehbarem MissbrauchRisikominderung: Technische und organisatorische Maßnahmen zur Reduktion identifizierter Risiken auf ein akzeptables NiveauRestrisiken: Dokumentation und Kommunikation verbleibender Risiken an Betreiber und NutzerTesting: Geeignete Testverfahren zur Validierung der Risikominderungsmaßnahmen, einschließlich Testen unter realen Bedingungen (Art. 60)

Handlungsempfehlung: Integrieren Sie das KI-Risikomanagement in Ihr bestehendes Enterprise-Risk-Management. Isolierte KI-Risikobetrachtungen führen zu Redundanzen und blinden Flecken. Die ENISA hat hierzu [Leitlinien für die Cybersicherheit von KI](https://www.enisa.europa.eu/topics/artificial-intelligence) veröffentlicht.

6. Human Oversight: Mensch bleibt in der Schleife

Artikel 14 verlangt, dass Hochrisiko-KI-Systeme so konzipiert werden, dass sie wirksam von natürlichen Personen beaufsichtigt werden können. Das ist mehr als ein Notaus-Knopf.

Konkret bedeutet das

  • Betreiber müssen kompetente Personen benennen, die das System beaufsichtigenDiese Personen müssen die Fähigkeiten und Grenzen des Systems verstehenSie müssen in der Lage sein, die Ausgabe des Systems korrekt zu interpretierenSie müssen Entscheidungen des Systems übersteuern oder außer Kraft setzen könnenSie müssen den Betrieb des Systems unterbrechen können (Stop-Funktion)Bei automatisierten Entscheidungen im HR-Bereich darf KI keine autonomen Personalentscheidungen treffen

Handlungsempfehlung: Definieren Sie klare Rollen und Eskalationspfade. Schulen Sie die beaufsichtigenden Personen nachweisbar. Dokumentieren Sie Fälle, in denen menschliche Eingriffe stattfinden — das ist gleichzeitig ein Nachweis für die Wirksamkeit der Aufsicht und Datenbasis für Systemverbesserungen.

7. Transparenz und Informationspflichten

Hochrisiko-KI-Systeme unterliegen umfangreichen Transparenzanforderungen:

  • Betreiber informieren: Anbieter müssen Betreibern eine klare Gebrauchsanweisung bereitstellen (Art. 13), die Zweckbestimmung, Leistungsmetriken, bekannte Risiken und Anforderungen an die menschliche Aufsicht beschreibtBetroffene informieren: Personen, die einer Entscheidung durch ein Hochrisiko-KI-System unterliegen, haben das Recht auf eine Erklärung der Entscheidung (Art. 86)Kennzeichnung: KI-generierte Inhalte müssen als solche erkennbar seinRegistrierung: Eintrag in die öffentlich zugängliche EU-Datenbank (Art. 71) mit Informationen über das System, den Anbieter und die Konformitätsbewertung

Handlungsempfehlung: Erstellen Sie standardisierte Informationsblätter für jedes Hochrisiko-KI-System. Nutzen Sie die von der EU-Kommission bereitgestellten Templates für die Datenbankregistrierung. Prüfen Sie, ob Ihre Datenschutz-Folgenabschätzungen (DSFA) nach DSGVO bereits Überschneidungen mit den Transparenzanforderungen abdecken.

8. Post-Market-Monitoring und Vorfallmeldung

Die Pflichten enden nicht mit der Konformitätsbewertung. Artikel 72 verlangt ein Post-Market-Monitoring-System, das proportional zur Art und dem Risiko des KI-Systems ist.

Laufende Pflichten

  • Kontinuierliches Monitoring: Systematische Überwachung der Systemleistung im ProduktivbetriebVorfallmeldung: Schwerwiegende Vorfälle (Serious Incidents) müssen innerhalb von 15 Tagen an die zuständige Marktüberwachungsbehörde gemeldet werden (Art. 73)Korrekturmaßnahmen: Bei Abweichungen vom erwarteten Verhalten müssen Anbieter unverzüglich handeln — inklusive Rückruf vom Markt, wenn nötigUpdates und Re-Evaluation: Wesentliche Änderungen am System erfordern eine erneute Konformitätsbewertung

Handlungsempfehlung: Implementieren Sie automatisierte Monitoring-Pipelines, die Drift-Detection, Performance-Degradation und Bias-Shifts in Echtzeit erkennen. Definieren Sie klare Schwellenwerte, ab denen eine Eskalation und Meldung erfolgt.

9. Sanktionen: Was bei Verstößen droht

Der EU AI Act sieht ein gestaffeltes Sanktionsregime vor:

Jeweils der höhere Betrag ist maßgeblich. Für KMU und Start-ups gelten angepasste Obergrenzen.

Neben Geldbußen können Marktüberwachungsbehörden:

  • Die Marktrücknahme nicht konformer KI-Systeme anordnenDen Betrieb untersagenÖffentliche Warnungen aussprechen

Das deutsche KI-MIG konkretisiert die Zuständigkeiten: Die Bundesnetzagentur wird voraussichtlich als federführende Marktüberwachungsbehörde fungieren.

Handlungsempfehlung: Behandeln Sie AI Act Compliance nicht als "Nice-to-have". Die Sanktionen sind mit der DSGVO vergleichbar — und die Durchsetzung wird kommen. Wer proaktiv handelt, spart langfristig Kosten und vermeidet Reputationsschäden.

10. Umsetzungsfahrplan: So gehen Sie vor

Sechs Monate sind wenig Zeit. Die folgende Reihenfolge hat sich in der Praxis bewährt:

Phase 1: Bestandsaufnahme (sofort)

  • Vollständiges KI-Inventar erstellen — alle Systeme, die unter den AI Act fallen könntenRisikoklassifizierung nach Art. 6 durchführen und dokumentierenVerantwortlichkeiten klären: Wer ist Anbieter, wer Betreiber?

Phase 2: Gap-Analyse (März 2026)

  • Bestehende Prozesse gegen AI-Act-Anforderungen abgleichenSynergien mit ISO 27001, ISO 42001, DSGVO identifizierenCompliance-Roadmap mit Meilensteinen erstellen

Phase 3: Implementierung (April–Juni 2026)

  • Risikomanagementsystem aufsetzen oder erweiternTechnische Dokumentation erstellenHuman-Oversight-Prozesse definieren und schulenMonitoring-Infrastruktur implementieren

Phase 4: Konformitätsbewertung (Juni–Juli 2026)

  • Interne Konformitätsbewertung durchführenEU-Konformitätserklärung erstellenCE-Kennzeichnung anbringenRegistrierung in der EU-Datenbank

Phase 5: Laufender Betrieb (ab August 2026)

  • Post-Market-Monitoring aktivierenVorfallmeldeprozesse testenRegelmäßige Re-Evaluierung planen

Wie ADVISORI unterstützt

ADVISORI begleitet Unternehmen von der Bestandsaufnahme bis zur laufenden Compliance — mit einem Team, das KI-Expertise, regulatorisches Know-how und technische Umsetzungskompetenz vereint.

  • [KI-Compliance](https://advisori.de/leistungen/digitale-transformation/ki-kuenstliche-intelligenz/ki-compliance): Bewertung Ihrer KI-Systeme nach EU AI Act, Risikokategorisierung und Compliance-Roadmap[EU AI Act Beratung](https://eu-ai-act.advisori.de/): End-to-End-Begleitung von der Klassifizierung bis zur Konformitätsbewertung[AI Governance](https://www.advisori.de/services/ki-governance-en): Aufbau eines KI-Governance-Frameworks mit Register, Rollen und Monitoring[AI Security](https://www.advisori.de/leistungen/ai-security): Systematische Analyse Ihrer KI-Architektur auf Schwachstellen und Compliance-Lücken[Datenschutz für KI](https://advisori.de/leistungen/digitale-transformation/ki-kuenstliche-intelligenz/datenschutz-fuer-ki): DSGVO-konforme KI-Implementierung und Datenschutz-Folgenabschätzungen

Mit Synthara, der ADVISORI Multi-Agenten-KI-Plattform, automatisieren wir zentrale Compliance-Prozesse: vom automatisierten KI-Inventar über die kontinuierliche Risikobewertung bis zum Post-Market-Monitoring — herstellerunabhängig und mit über 1.500 Schnittstellen.

FAQ: Häufig gestellte Fragen zum EU AI Act Hochrisiko

Was ist ein Hochrisiko-KI-System nach dem EU AI Act?

Ein Hochrisiko-KI-System ist entweder eine Sicherheitskomponente in einem regulierten Produkt (Anhang I) oder ein eigenständiges System in einem der acht Hochrisiko-Bereiche nach Anhang III — darunter Biometrie, kritische Infrastruktur, HR, Bildung und Strafverfolgung. Die Klassifizierung erfolgt nach Artikel 6 der KI-Verordnung.

Wann müssen Unternehmen die Hochrisiko-Anforderungen erfüllen?

Die Pflichten für eigenständige Hochrisiko-KI-Systeme (Anhang III) gelten ab dem 2. August 2026. Für Hochrisiko-Systeme in regulierten Produkten (Anhang I) gilt eine verlängerte Frist bis zum 2. August 2027.

Was kostet ein Verstoß gegen den EU AI Act?

Verstöße gegen die Hochrisiko-Pflichten können mit bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet werden. Bei Einsatz verbotener KI-Praktiken steigt die Obergrenze auf 35 Millionen Euro oder 7 % des Umsatzes.

Brauche ich eine externe Konformitätsbewertung?

In den meisten Fällen reicht eine interne Konformitätsbewertung aus. Eine externe Prüfung durch eine notifizierte Stelle ist nur bei biometrischen Fernidentifizierungssystemen verpflichtend (Art. 43).

Wie unterscheidet sich der AI Act von der DSGVO?

Die DSGVO schützt personenbezogene Daten, der AI Act reguliert KI-Systeme unabhängig davon, ob personenbezogene Daten verarbeitet werden. Beide Verordnungen überschneiden sich bei KI-Systemen, die personenbezogene Daten verarbeiten — dort gelten beide Regelwerke parallel. Eine DSFA nach DSGVO kann Teile der AI-Act-Compliance abdecken.

Was ist das KI-MIG?

Das KI-Maßnahmen- und Innovationsgesetz (KI-MIG) ist das deutsche Durchführungsgesetz zum EU AI Act. Es wurde im Februar 2026 vom Bundeskabinett beschlossen und regelt unter anderem die nationale Marktüberwachung, Zuständigkeiten und Sanktionsmechanismen. Mehr dazu im [ADVISORI-Artikel zum KI-MIG](https://www.advisori.de/blog/ki-mig-ai-act-durchfuehrungsgesetz-unternehmen).

Gilt der AI Act auch für KI-Systeme, die vor August 2026 in Betrieb waren?

Ja. KI-Systeme, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, müssen ebenfalls die Anforderungen erfüllen — sofern sie nach diesem Datum wesentlich verändert werden (Art. 111).

Wie kann ich prüfen, ob mein KI-System hochriskant ist?

Prüfen Sie zunächst, ob Ihr System in einen der Bereiche von Anhang III fällt. Falls ja, dokumentieren Sie die Bewertung. Wenn Sie der Auffassung sind, dass trotz Anhang-III-Zugehörigkeit kein erhebliches Risiko besteht, müssen Sie dies schriftlich begründen und in der EU-Datenbank registrieren (Art. 6 Abs. 3). Die EU-Kommission hat [Leitlinien zur praktischen Umsetzung von Artikel 6](https://artificialintelligenceact.eu/article/6/) veröffentlicht.

Quellen und weiterführende Links

  • [EU AI Act Volltext (deutsch)](https://ai-act-law.eu/de/)[Anhang III — Hochrisiko-KI-Systeme](https://ai-act-law.eu/de/anhang/3/)[Artikel 6 — Einstufungsregeln](https://ai-act-law.eu/de/artikel/6/)[EU-Kommission: Implementation Timeline](https://artificialintelligenceact.eu/implementation-timeline/)[AI Act Service Desk der EU-Kommission](https://ai-act-service-desk.ec.europa.eu/)[ENISA: KI-Cybersicherheit](https://www.enisa.europa.eu/topics/artificial-intelligence)[EU-Kommission: Gestaltung der digitalen Zukunft](https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai)

*Dieser Artikel wurde am 28. Februar 2026 veröffentlicht und spiegelt den aktuellen Stand der EU AI Act-Umsetzung wider. Für eine individuelle Bewertung Ihrer KI-Systeme kontaktieren Sie das [ADVISORI-Team für KI-Compliance](https://advisori.de/leistungen/digitale-transformation/ki-kuenstliche-intelligenz/ki-compliance).*

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten