Noch vier Monate bis zur vollen EU-KI-Gesetz-Durchsetzung: Was jeder CEO wissen muss

Thumbnail image

Der 2. August 2026 ist das Datum, an dem die Durchsetzungsbestimmungen des EU-KI-Gesetzes für Hochrisiko-KI-Systeme vollständig in Kraft treten. Wenn Ihr Unternehmen in Europa tätig ist, an europäische Kunden verkauft oder KI-Tools einsetzt, die Personalentscheidungen, Kreditbewertungen oder Kunden-Scoring berühren, gilt diese Frist direkt für Sie. Die Uhr läuft.

Laut einer detaillierten regulatorischen Analyse von LegalNodes trat das EU-KI-Gesetz im August 2024 in Kraft und wird schrittweise eingeführt. Verbote für unzulässige KI-Praktiken und KI-Kompetenzpflichten traten im Februar 2025 in Kraft. Governance-Verpflichtungen für Allzweck-KI-Modelle wurden bis August 2025 eingeführt. Der Meilenstein August 2026 ist der Zeitpunkt, an dem die vollständige Durchsetzung für Hochrisiko-KI-Systeme beginnt – die Klassifizierung, die die meisten KI-Anwendungsfälle in Unternehmen erfasst, die Unternehmen nicht als „KI-Produkte" betrachtet haben.

Die Strafstruktur ist nicht theoretisch. Verstöße gegen Hochrisiko-KI-Pflichten können zu Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen – je nachdem, welcher Betrag höher ist. Für ein Unternehmen mit 500 Millionen US-Dollar Umsatz bedeutet das ein potenzielles Risiko von 35 Millionen US-Dollar aus KI-Tools, die Sie nicht entwickelt, sondern nur eingesetzt haben.

Die Annahme, die Unternehmen in Schwierigkeiten bringt

Das häufigste Missverständnis über das EU-KI-Gesetz ist, dass es primär für KI-Entwickler gilt: die OpenAIs, Anthropics und Mistral AIs dieser Welt. Diese Annahme ist falsch und schafft derzeit das größte Compliance-Risiko für B2B-Unternehmen.

Der regulatorische Rahmen der EU erstreckt die Pflichten auf die Betreiber von KI-Systemen, nicht nur auf die Entwickler. Wenn Ihr Unternehmen ein KI-gestütztes ATS für die Personalbeschaffung, eine KI-Leistungsmanagement-Plattform für Mitarbeiterbewertungen oder ein Kreditentscheidungstool in Ihrem Finanz-Workflow erworben hat, sind Sie ein Betreiber. Die Compliance-Pflichten liegen nicht ausschließlich beim Anbieter. Sie liegen auch bei Ihnen.

Das ist wichtiger, als die meisten Führungsteams derzeit erkennen. Die Standardannahme bei B2B-Beschaffungen ist, dass SaaS-Anbieter ihre eigene Compliance verwalten. Unter dem EU-KI-Gesetz stimmt das teilweise – aber Betreiberpflichten hinsichtlich menschlicher Aufsicht, Dokumentation und Risikomanagement müssen Sie erfüllen, unabhängig davon, ob Ihr Anbieter compliant ist. Ihr KI-Governance-Framework muss diese Betreiberverantwortung explizit ansprechen – Anbieter-Compliance und interne Compliance sind zwei separate Audit-Spuren.

Was „Hochrisiko" in der Praxis bedeutet

Die Hochrisiko-Einstufung des EU-KI-Gesetzes basiert nicht darauf, wie anspruchsvoll die KI ist. Sie basiert darauf, welche Entscheidungen das KI-System informiert oder trifft. Ein einfaches KI-Tool, das CVs für ein HR-Team sichtet, ist Hochrisiko. Ein komplexes KI-System, das Blog-Themen vorschlägt, ist es nicht.

Die für B2B-Unternehmen relevantesten Hochrisikokategorien umfassen laut LegalNodes-Analyse:

Beschäftigung und Workforce-Management. KI-Tools für die Personalbeschaffung (einschließlich CV-Screening, Kandidatenranking und Interview-Scoring), Performance-Monitoring, Beförderungsentscheidungen und Kündigungsprozesse fallen in diese Kategorie. Wenn Ihr ATS oder Ihre Performance-Management-Plattform einen KI-Scoring-Layer hat (was bei den meisten modernen Lösungen der Fall ist), betreiben Sie ein Hochrisiko-KI-System. Die KI-Sicherheits- und Compliance-Überlegungen für diese Tools gehen über die Datenschutzrichtlinie des Anbieters hinaus – sie schließen Ihre eigene operative Dokumentation ein.

Kredit- und Finanzentscheidungen. KI, die Bonitätsbewertungen, Kreditvergabe oder Risikoscoring für Finanzprodukte informiert, ist Hochrisiko. Das erstreckt sich über das Bankwesen hinaus auf B2B-Vertriebskontexte, in denen KI-Tools Kreditlinienentscheidungen oder Zahlungskonditionen unterstützen.

Bildung und Berufsausbildung. KI-Systeme zur Bewertung von Studierenden, Empfehlung von Lernpfaden oder Entscheidungen über den Zugang zu Bildungsprogrammen fallen unter die Hochrisiko-Klassifizierung.

Strafverfolgung und Grenzkontrolle. Für die meisten B2B-Unternehmen weniger relevant, der Vollständigkeit halber erwähnt.

Der praktische Test lautet: Trifft Ihr KI-Tool eine konsequente Entscheidung über eine Person oder informiert es diese stark? Wenn ja, behandeln Sie es als potenzielles Hochrisiko, bis Ihr Rechtsteam das Gegenteil bestätigt.

Was Compliance wirklich erfordert

Die Einhaltung der Hochrisiko-KI-Pflichten des EU-KI-Gesetzes bedeutet nicht nur, eine Datenschutzrichtlinie zu haben, die KI erwähnt. Es erfordert dokumentierte Prozesse, die Regulatoren vorgeführt werden können. Die Kernanforderungen für Betreiber von Hochrisiko-KI-Systemen umfassen laut Compliance-Leitfaden von SecurePrivacy:

System-Inventar und Klassifizierung. Sie müssen wissen, welche KI-Systeme Ihre Organisation einsetzt, welche Entscheidungen sie informieren und ob sie die oben genannten Hochrisikokategorien berühren. Die meisten Unternehmen haben dieses Inventar noch nicht – und es ist schwieriger zu erstellen, als es klingt, weil KI-Funktionen jetzt in Dutzenden von SaaS-Tools eingebettet sind, die nicht als „KI-Systeme" beschafft wurden.

Risikobewertungen. Für jedes eingesetzte Hochrisiko-KI-System benötigen Sie dokumentierte Risikobewertungen, die den beabsichtigten Zweck, das Potenzial für Vorurteile oder diskriminierende Ergebnisse und Datenkontrollmaßnahmen abdecken.

Menschliche Aufsichtsmechanismen. Hochrisiko-KI-Systeme müssen so gestaltet sein, dass eine sinnvolle menschliche Überprüfung vor endgültigen Entscheidungen möglich ist. „Die KI hat es empfohlen" ist kein ausreichender Prozess für Beschäftigungs- oder Kreditentscheidungen.

Datenverwaltungsdokumentation. Sie müssen nachweisen, dass die zur Ausbildung oder zum Betrieb von KI-Systemen verwendeten Daten korrekt, vollständig und möglichst frei von Verzerrungen sind. Das ist oft der schwierigste Teil, weil die relevanten Daten bei Ihrem SaaS-Anbieter liegen können, nicht bei Ihnen. Für RevOps-Teams, die KI-gestütztes Lead-Scoring und Forecasting-Tools betreiben, deckt die RevOps-Compliance-Checkliste die spezifischen Dokumentationsschritte für diese Workflows ab.

Anbieter-Compliance-Verifizierung. Sie müssen bestätigen, dass Ihre KI-Tool-Anbieter selbst compliant mit den Anforderungen des Gesetzes für KI-Entwickler und -Anbieter sind. Nehmen Sie nichts als selbstverständlich hin. Fragen Sie schriftlich nach ihrer Compliance-Dokumentation.

Die Lücke, die die meisten Führungsteams nicht adressiert haben

Eine spezifische Lücke taucht wiederholt in Gesprächen über die EU-KI-Gesetz-Bereitschaft auf: die Diskrepanz zwischen Rechts- und Compliance-Teams und den operativen Funktionen, die KI-Tools tatsächlich einsetzen.

Die meisten Rechtsabteilungen wissen, dass das EU-KI-Gesetz existiert. Aber die Personen, die wissen, welche KI-Tools tatsächlich im Unternehmen laufen (in HR, Vertriebsoperationen, Finanzen und Customer Success), sind nicht immer in diesen rechtlichen Gesprächen. Der HR-Leiter, der letztes Jahr das ATS aktualisiert hat, weiß möglicherweise nicht, dass die KI-Scoring-Funktion als Hochrisiko-System gilt. Der RevOps-Director, der das KI-Lead-Scoring-System konfiguriert hat, bemerkt vielleicht nicht, dass es kreditähnliche Entscheidungen berührt, die Betreiberdokumentation erfordern.

Diese Lücke zu schließen erfordert einen funktionsübergreifenden Inventarprozess, keine isolierte Rechtsüberprüfung. Unternehmen, die im August 2026 gut aufgestellt sein werden, sind diejenigen, die dieses funktionsübergreifende Gespräch jetzt beginnen.

Ein Compliance-Aktionsrahmen

Dies ist keine Rechtsberatung. Arbeiten Sie mit qualifizierten Rechtsanwälten zu Ihren spezifischen Verpflichtungen zusammen. Aus einer Perspektive der Führungsebene ergibt sich in den nächsten vier Monaten folgende Reihenfolge:

  1. Beauftragen Sie ein KI-System-Inventar. Bitten Sie innerhalb der nächsten zwei bis drei Wochen jeden Abteilungsleiter, jedes KI-Tool oder jede KI-aktivierte Funktion aufzulisten, die ihr Team nutzt – einschließlich Tools, die in bestehenden SaaS-Plattformen eingebettet sind. Das Ergebnis wird Sie überraschen.

  2. Wenden Sie den Hochrisiko-Klassifizierungstest an. Führen Sie jedes identifizierte Tool gegen die Hochrisiko-Kategorien des EU-KI-Gesetzes. Beschäftigung, Kredit, Bildung und Strafverfolgungskontexte sind die primären Filter. Ihr Rechtsteam sollte diese Überprüfung durchführen – aber ohne das Inventar kann es das nicht.

  3. Fordern Sie Compliance-Dokumentation von Anbietern an. Wenden Sie sich für alle Tools, die als Hochrisiko gelten könnten, an den Anbieter und fragen Sie nach dem EU-KI-Gesetz-Compliance-Status. Wenn sie keine Dokumentation vorlegen können, eskalieren Sie an Ihr Beschaffungsteam. Anbieter-Compliance ist jetzt ein Beschaffungskriterium, keine Sicherheitscheckliste.

  4. Kartieren Sie Ihre menschlichen Aufsichtsprozesse. Dokumentieren Sie für eingesetzte Hochrisiko-KI-Systeme, wie menschliche Überprüfungen tatsächlich stattfinden, bevor konsequente Entscheidungen finalisiert werden. Wenn die ehrliche Antwort lautet „das tut sie nicht", ist das eine Prozesslücke, die Sie schließen müssen.

  5. Beauftragen Sie Rechtsanwälte für die formelle Bewertung. Mit dem Inventar und der vorläufigen Hochrisiko-Klassifizierung haben Sie, was Sie für ein substanzielles Gespräch mit Ihrem Rechtsteam oder externen Anwälten benötigen. Diese können zu spezifischen Dokumentationsanforderungen und Ihrem Risikoexposure beraten.

Was Sie diese Woche tun sollten

Eine konkrete Maßnahme: Beginnen Sie mit dem KI-System-Inventar.

Senden Sie eine kurze Nachricht an Ihr Führungsteam (HR, RevOps, Finanzen, Produkt, Customer Success) und bitten Sie um eine Liste aller aktiv genutzten KI-Tools oder KI-aktivierten Funktionen in deren Bereichen – einschließlich eingebetteter Funktionen in bereits vorhandenen Tools. Geben Sie ihnen eine Woche Zeit zu antworten. Kompilieren Sie die Antworten zentral.

Dieser eine Schritt bringt Sie vor die meisten Unternehmen, die im August 2026 noch herausfinden werden, was sie betreiben. Der Compliance-Zeitplan ist festgelegt. Ihr Vorbereitungszeitraum ist es nicht – aber er ist kürzer, als die meisten Führungskräfte derzeit annehmen.

Quellen: EU AI Act 2026 Updates (LegalNodes), EU Digital Strategy Regulierungsrahmen und SecurePrivacy-Compliance-Leitfaden. Dieser Artikel ist ein Briefing zur Führungskräftebewusstsein, keine Rechtsberatung. Wenden Sie sich an qualifizierte Rechtsanwälte für Ihre spezifische Situation.