Während die ersten Regelungen des EU AI Act bereits greifen und Regeln für General Purpose AI (GPAI) seit 2025 relevant sind, blicken Experten mit Spannung auf ein ganz bestimmtes Datum: den 2. August 2026. An diesem Stichtag endet die 24-monatige Übergangsfrist für den Großteil der sogenannten Hochrisiko-KI-Systeme (High-Risk AI) gemäß Anhang III der Verordnung.
Für Unternehmen bedeutet dies: Die Schonfrist ist vorbei. Was bisher als “Good Practice” in der Corporate Compliance galt, wird zur harten gesetzlichen Pflicht – mit Bußgeldern, die selbst die DSGVO in den Schatten stellen können. Wir analysieren, was ab Mitte 2026 auf Geschäftsführer und IT-Verantwortliche zukommt.
- Hochrisiko-Systeme im Fadenkreuz
Ab August 2026 greift die volle Härte des Gesetzes für KI-Systeme, die in sensiblen Bereichen eingesetzt werden. Viele Unternehmen unterschätzen, dass sie bereits betroffen sind. Zu den Hochrisiko-Bereichen gehören unter anderem:
- HR & Recruiting: KI-Tools zur Vorauswahl von Bewerbern oder zur Analyse von Mitarbeiterleistung.
- Kritische Infrastruktur: KI-Komponenten in der Verkehrssteuerung oder Wasserversorgung.
- Bildung: Systeme, die über Zugang zu Bildungseinrichtungen oder Bewertungen entscheiden.
- Kreditwürdigkeit: Scoring-Algorithmen, die im E-Commerce oder Finanzwesen über Verträge entscheiden.
Wer solche Systeme entwickelt oder anwendet, muss ab diesem Stichtag ein lückenloses Compliance-Management nachweisen.
- Mehr als nur Dokumentation
Die Anforderungen, die ab 2026 “scharfgeschaltet” werden, zwingen IT, Rechtsabteilung und das Management zur engen Zusammenarbeit. Silos müssen aufgebrochen werden.
- Risikomanagementsystem: Ein fortlaufender Prozess über den gesamten Lebenszyklus der KI ist Pflicht. Risiken für Gesundheit, Sicherheit und Grundrechte müssen proaktiv minimiert werden.
- Data Governance & Datenschutz: Hier zeigt sich die enge Verzahnung mit der DSGVO. Trainings-, Validierungs- und Testdaten müssen strengen Qualitätskriterien genügen. Sie müssen repräsentativ, fehlerfrei und vollständig sein, um Diskriminierung (Bias) zu verhindern.
- Technische Dokumentation & Logging: Das System muss jeden Schritt protokollieren. Eine Art “Black Box”, in die niemand hineinschauen kann, ist für Hochrisiko-Anwendungen ab 2026 faktisch nicht mehr verkehrsfähig.
- Menschliche Aufsicht (Human Oversight): Es muss technisch und organisatorisch sichergestellt sein, dass ein Mensch das System jederzeit stoppen oder überstimmen kann.
- Sanktionen: Ein teures Erwachen
Verstöße gegen die Auflagen für Hochrisiko-KI können ab 2026 mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden. Damit liegt der Strafrahmen deutlich über den 4 % der DSGVO. Auch das Fehlen eines korrekten Impressums oder falsche Transparenzhinweise bei Chatbots (z.B. “Ich bin eine KI”) können empfindliche Folgen haben.
Fazit
Der 2. August 2026 markiert den eigentlichen Beginn der KI-Regulierung für die breite Masse der europäischen Wirtschaft. Wer KI im Personalwesen, im Scoring oder in der kritischen Infrastruktur einsetzt, darf nicht warten. Die Implementierung von Risikomanagementsystemen und die Bereinigung von Datenbeständen dauern erfahrungsgemäß Monate, wenn nicht Jahre. Corporate Compliance ist ab 2026 keine reine Abhak-Liste mehr, sondern eine zentrale Voraussetzung für den Marktzugang.