Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

Funktionen

Dokumentation, Diagnose, PDF-Export

Europäische Souveränität

100% in Frankreich gehostet

FunktionenPreiseBlogAnmelden
ai act août 2026systèmes ia haut risqueobligations ai actconformité ai act 2026annexe iii ai acttransparence ia

AI Act August 2026: Was sich für Hochrisiko-KI-Systeme und Transparenzpflichten ändert

9. Februar 202610 min20
AI Act August 2026: Was sich für Hochrisiko-KI-Systeme und Transparenzpflichten ändert

En bref

Am 2. August 2026 treten die AI Act-Verpflichtungen für Hochrisiko-KI-Systeme (Anhang III) und Transparenzregeln (Artikel 50) in Kraft. Hier erfahren Sie, was sich konkret für Anbieter und Betreiber ändert und wie Sie sich vorbereiten können.

In sechs Monaten, am 2. August 2026, wird die Europäische Verordnung über Künstliche Intelligenz (Verordnung EU 2024/1689) vollständig anwendbar. Dieses Datum markiert das gleichzeitige Inkrafttreten zweier großer Blöcke: der Verpflichtungen für Hochrisiko-KI-Systeme aus Anhang III und der Transparenzregeln aus Artikel 50. Für Unternehmen, die KI-Systeme in Europa entwickeln, importieren oder nutzen, hat der Countdown begonnen — und die Vorbereitungszeit wird jetzt in Wochen, nicht in Jahren gemessen.

Warum der 2. August 2026 ein Wendepunkt ist

Der AI Act ist am 1. August 2024 in Kraft getreten, aber seine Anwendung folgt einem schrittweisen Zeitplan. Zwei Verpflichtungswellen sind bereits vorüber: das Verbot inakzeptabler KI-Praktiken seit Februar 2025 und die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) seit August 2025. Die dritte Welle am 2. August 2026 ist in Bezug auf die betrieblichen Auswirkungen für Unternehmen die schwerste.

Konkret geschehen an diesem Datum drei Dinge:

  • Hochrisiko-KI-Systeme (Anhang III) — Anbieter und Betreiber von KI-Systemen, die in acht sensiblen Bereichen eingesetzt werden, müssen alle Anforderungen von Kapitel III der Verordnung erfüllen.
  • Transparenzpflichten (Artikel 50) — Jedes KI-System, das mit Menschen interagiert, synthetische Inhalte erzeugt oder Deepfakes produziert, muss Offenlegungs- und Kennzeichnungsregeln einhalten.
  • Sanktionsregelung — Die Mitgliedstaaten müssen die Sanktionsregeln umgesetzt haben, einschließlich Verwaltungsbußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes.

Eine vierte Welle folgt im August 2027 für KI-Systeme, die in bereits regulierte Produkte integriert sind (Medizinprodukte, Spielzeug, Fahrzeuge — Anhang I). Aber es ist tatsächlich August 2026, der den großen betrieblichen Wandel darstellt.

Die 8 Hochrisikobereiche des Anhangs III

Anhang III der Verordnung definiert acht Kategorien von Anwendungsfällen, für die ein KI-System automatisch als Hochrisiko gilt. Jedes Unternehmen, dessen KI in einem dieser Bereiche operiert, ist direkt von der Frist im August 2026 betroffen.

1. Biometrie

Fernbiometrische Identifizierung (in Echtzeit oder nachträglich), biometrische Kategorisierung basierend auf sensiblen Attributen und Emotionserkennung. Einfache Identitätsüberprüfungssysteme (Bestätigung, dass eine Person die ist, für die sie sich ausgibt) sind ausgeschlossen.

2. Kritische Infrastrukturen

KI-Systeme, die als Sicherheitskomponenten in der Verwaltung der Wasser-, Strom-, Gas-, Wärmeversorgung sowie im Straßenverkehrsmanagement und in kritischen digitalen Infrastrukturen eingesetzt werden.

3. Bildung und Berufsausbildung

KI, die den Zugang zu Bildungseinrichtungen bestimmt, Lernergebnisse bewertet oder den akademischen und beruflichen Werdegang von Personen lenkt.

4. Beschäftigung und Arbeitnehmerverwaltung

Automatisches CV-Screening, Bewerbungsanalyse, Bewertung der Mitarbeiterleistung, Entscheidungen über Beförderungen oder Kündigungen. Dies ist einer der häufigsten Bereiche in Unternehmen.

5. Zugang zu wesentlichen Diensten

Bewertung der Berechtigung für Sozialleistungen, Kredit-Scoring, Versicherungstarife, Bewertung finanzieller Risiken natürlicher Personen.

6. Strafverfolgung

Bewertung der Zuverlässigkeit von Beweisen, Profiling im Rahmen von Ermittlungen, Bewertung des Rückfallrisikos.

7. Migration und Grenzkontrolle

Bewertung von Migrationsrisiken, Prüfung von Asylanträgen, Erkennung gefälschter Dokumente.

8. Justizverwaltung und demokratische Prozesse

KI-Systeme zur Unterstützung von Gerichten bei der Ermittlung und Auslegung von Fakten und Recht oder zur Beeinflussung von Wahlergebnissen.

„KI-Systeme, die in Anhang III aufgeführt sind, gelten als Hochrisiko-Systeme [...], wenn sie ein erhebliches Risiko einer Schädigung der Gesundheit, Sicherheit oder Grundrechte natürlicher Personen darstellen." — Artikel 6, Verordnung (EU) 2024/1689

Die Ausnahmeklausel: Wann ein Anhang-III-System kein Hochrisiko ist

Artikel 6 Absatz 3 führt eine wichtige Ausnahme ein. Ein in Anhang III aufgeführtes KI-System kann als nicht hochriskant gelten, wenn es eine der folgenden Bedingungen erfüllt:

  • Eng begrenzte Verfahrensaufgabe — Das System führt eine klar definierte Aufgabe mit geringem Risiko aus, wie z. B. die Umwandlung unstrukturierter Daten in strukturierte Daten oder das Sortieren eingehender Dokumente.
  • Verbesserung menschlicher Aktivität — Die KI ergänzt eine menschliche Handlung ohne Entscheidungsautonomie, z. B. durch Umformulierung von Text oder Rechtschreibprüfung.
  • Mustererkennung — Das System identifiziert Abweichungen von früheren menschlichen Entscheidungen, ohne das menschliche Urteil zu ersetzen.
  • Vorbereitende Aufgabe — Die KI führt Vorarbeiten durch, die anschließend von einem Menschen bewertet werden.

Achtung: Diese Ausnahme gilt niemals für Profiling-Systeme, die personenbezogene Daten verarbeiten, um Aspekte des Lebens einer Person zu bewerten (Leistung, Gesundheit, Zuverlässigkeit, Verhalten...). Diese Systeme bleiben immer hochriskant. Wenn Sie glauben, dass Ihr System unter diese Ausnahme fällt, müssen Sie Ihre Bewertung vor jeder Markteinführung dokumentieren und sie den Behörden auf Anfrage vorlegen.

Was Anbieter von Hochrisiko-Systemen tun müssen

Die Verpflichtungen der Anbieter (jede Einheit, die ein Hochrisiko-KI-System entwickelt oder entwickeln lässt und es unter ihrem Namen auf den Markt bringt) sind in den Artikeln 8 bis 21 der Verordnung aufgeführt. Hier sind die wichtigsten Anforderungen, die vor dem 2. August 2026 zu erfüllen sind:

  1. Risikomanagementsystem (Art. 9) — Ein kontinuierlicher, geplanter und iterativer Prozess, der den gesamten Systemlebenszyklus abdeckt. Er umfasst die Identifizierung bekannter und vorhersehbarer Risiken, die Schätzung und Bewertung dieser Risiken sowie die Annahme geeigneter Managementmaßnahmen.
  2. Daten-Governance (Art. 10) — Trainings-, Validierungs- und Testdatensätze müssen relevant, ausreichend repräsentativ und soweit wie möglich fehlerfrei sein. Spezifische Praktiken gelten bei der Verarbeitung personenbezogener Daten.
  3. Technische Dokumentation (Art. 11 + Anhang IV) — Detaillierte Dokumentation, die das System, seinen Zweck, seine Leistung, seine Grenzen und die zur Einhaltung getroffenen Maßnahmen beschreibt. Sie muss vor der Markteinführung erstellt und aktuell gehalten werden.
  4. Automatische Protokollierung (Art. 12) — Das System muss relevante Ereignisse während seines Betriebs automatisch aufzeichnen, um Rückverfolgbarkeit zu gewährleisten.
  5. Transparenz und Information (Art. 13) — Betreiber müssen klare Gebrauchsanweisungen erhalten, einschließlich der Merkmale, Fähigkeiten und Grenzen des Systems.
  6. Menschliche Aufsicht (Art. 14) — Das System muss so konzipiert sein, dass eine wirksame menschliche Überwachung während seiner Nutzung möglich ist.
  7. Genauigkeit, Robustheit und Cybersicherheit (Art. 15) — Angemessene Niveaus müssen erreicht und dokumentiert werden, einschließlich Widerstandsfähigkeit gegen Manipulationsversuche.
  8. CE-Kennzeichnung und Konformitätserklärung (Art. 16, 47, 48) — Vor der Markteinführung muss der Anbieter die CE-Kennzeichnung anbringen und eine EU-Konformitätserklärung erstellen.
  9. Registrierung in der EU-Datenbank (Art. 49, 71) — Hochrisiko-Systeme aus Anhang III müssen in der öffentlichen EU-Datenbank registriert werden.
  10. Marktüberwachung nach dem Inverkehrbringen (Art. 72) — Ein kontinuierlicher Überwachungsplan muss eingerichtet werden, um Probleme nach der Markteinführung zu erkennen und zu beheben.

Dieses Volumen an Anforderungen stellt eine erhebliche Arbeit dar, die oft auf 40 bis 80 Stunden allein für die technische Dokumentation eines komplexen KI-Systems geschätzt wird. Plattformen wie AiActo ermöglichen die Strukturierung und Beschleunigung dieses Prozesses durch geführte Formulare und KI-gestützte Generierung, Abschnitt für Abschnitt, konform mit Anhang IV.

Die Pflichten der Betreiber sollten nicht vernachlässigt werden

Betreiber — jede juristische Person, die ein Hochrisiko-KI-System im Rahmen ihrer beruflichen Tätigkeit nutzt — haben eigenständige, aber ebenso bindende Verpflichtungen (Artikel 26). Der Begriff „Betreiber" ersetzt den früheren Begriff „Nutzer", um Verwechslungen mit Endnutzern zu vermeiden.

Als Betreiber müssen Sie insbesondere:

  • Das System gemäß den Anweisungen verwenden, die vom Anbieter bereitgestellt wurden.
  • Menschliche Aufsicht gewährleisten durch kompetente und geschulte Personen.
  • Die Relevanz der Eingabedaten überprüfen in Bezug auf den vorgesehenen Zweck des Systems.
  • Den Betrieb des Systems überwachen und jeden schwerwiegenden Vorfall dem Anbieter und den Behörden melden.
  • Eine Grundrechte-Folgenabschätzung (FRIA) durchführen, wenn Sie eine öffentliche Stelle oder eine private Einrichtung sind, die wesentliche öffentliche Dienstleistungen erbringt.
  • Protokolle aufbewahren, die automatisch vom System generiert werden, für einen angemessenen Zeitraum.

Für Betreiber, die auch der DSGVO unterliegen, ergänzen sich die Datenschutz-Folgenabschätzung (DSFA) und die FRIA gegenseitig. Die Verordnung sieht tatsächlich vor, dass sich der Betreiber bei der Durchführung seiner eigenen Folgenabschätzung auf die Dokumentation des Anbieters stützen kann.

Artikel 50: Transparenzpflichten für alle

Artikel 50, der ebenfalls ab dem 2. August 2026 anwendbar ist, betrifft eine viel breitere Kategorie von KI-Systemen — nicht nur Hochrisiko-Systeme. Er gilt für vier spezifische Situationen:

Systeme, die mit Menschen interagieren

Jedes KI-System, das für die direkte Interaktion mit natürlichen Personen entwickelt wurde (Chatbots, Sprachassistenten, Konversationsagenten), muss den Nutzer informieren, dass er mit einer KI interagiert, es sei denn, dies ist aus den Umständen offensichtlich.

Von KI erzeugter synthetischer Inhalt

Anbieter von KI-Systemen, die Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen sicherstellen, dass ihre Ausgaben in einem maschinenlesbaren Format markiert und als künstlich erzeugt erkennbar sind. Ein Verhaltenskodex zur Kennzeichnung und Etikettierung von KI-Inhalten wird vom AI Office finalisiert, eine endgültige Fassung wird im Juni 2026 erwartet.

Emotionserkennung und biometrische Kategorisierung

Betreiber von Emotionserkennungs- oder biometrischen Kategorisierungssystemen müssen exponierte Personen über den Betrieb des Systems informieren und Daten gemäß DSGVO verarbeiten.

Deepfakes

Betreiber von KI-Systemen, die Deepfakes (Bilder, Audio oder Video) produzieren, müssen offenlegen, dass der Inhalt künstlich erzeugt oder manipuliert wurde. Ausnahmen bestehen für künstlerische, satirische Inhalte oder Inhalte, die in strafrechtlichen Ermittlungen verwendet werden.

Sanktionen bei Nichteinhaltung

Das Sanktionsregime des AI Act ist je nach Schwere der Verstöße abgestuft. Ab dem 2. August 2026 müssen die Mitgliedstaaten die folgenden Regeln umgesetzt haben:

  • 35 Millionen Euro oder 7 % des weltweiten Umsatzes für Verstöße gegen verbotene Praktiken (Artikel 5) — bereits seit Februar 2025 in Kraft.
  • 15 Millionen Euro oder 3 % des weltweiten Umsatzes für Nichteinhaltung der Verpflichtungen im Zusammenhang mit Hochrisiko-Systemen (Dokumentation, CE-Kennzeichnung, Registrierung, Risikomanagement...).
  • 7,5 Millionen Euro oder 1 % des weltweiten Umsatzes für Verstöße gegen Transparenzpflichten.

Für KMU und Start-ups sieht die Verordnung verhältnismäßige Bußgelder vor, aber das finanzielle Risiko bleibt erheblich. Über die Sanktionen hinaus führt die Nichteinhaltung des AI Act zu Markteinführungsverboten und einem erheblichen Reputationsrisiko.

6 Schritte zur Vorbereitung vor August 2026

Sechs Monate sind kurz. Hier ist ein realistischer Aktionsplan, um die Frist gelassen anzugehen:

  1. Inventarisieren Sie Ihre KI-Systeme — Identifizieren Sie alle KI-Systeme, die Ihre Organisation entwickelt, importiert oder nutzt. Dies schließt Drittanbieter-Tools ein, die KI integrieren (Scoring, Empfehlung, Entscheidungsautomatisierung).
  2. Klassifizieren Sie jedes System — Bestimmen Sie das Risikoniveau jedes Systems nach den AI Act-Kriterien. Die kostenlose AiActo-Diagnose ermöglicht diese Klassifizierung in wenigen Minuten.
  3. Identifizieren Sie Ihre Rolle — Sind Sie Anbieter, Betreiber, Importeur oder Händler für jedes System? Ihre Verpflichtungen unterscheiden sich je nach Ihrer Rolle in der Wertschöpfungskette.
  4. Erstellen Sie die technische Dokumentation — Für Hochrisiko-Systeme ist Dokumentation gemäß Anhang IV obligatorisch. Beginnen Sie mit den kritischsten Systemen.
  5. Richten Sie Governance ein — Benennen Sie Personen, die für die menschliche Aufsicht verantwortlich sind, schulen Sie Ihre Teams in KI-Kompetenz und definieren Sie Überwachungsverfahren.
  6. Bereiten Sie die Konformitätsbewertung vor — Je nach Kategorie Ihres Systems kann die Bewertung intern erfolgen oder die Intervention einer benannten Stelle erfordern. Planen Sie Verzögerungen ein.

Bereits auf dem Markt befindliche Systeme: Was sagt Artikel 111?

Wenn Ihr Hochrisiko-KI-System vor dem 2. August 2026 bereits vermarktet oder in Betrieb ist, gelten folgende Regeln:

Die Verordnung gilt nur, wenn das System ab diesem Datum wesentliche Designänderungen erfährt. Mit anderen Worten, ein unverändertes System unterliegt nicht sofort neuen Anforderungen — aber jede größere Weiterentwicklung löst die Verpflichtung zur vollständigen Einhaltung aus.

Wichtige Ausnahme: Hochrisiko-KI-Systeme, die von öffentlichen Behörden genutzt werden, müssen spätestens am 2. August 2026 der Verordnung entsprechen, unabhängig davon, ob sie geändert wurden oder nicht. Verwaltungen, öffentliche Einrichtungen und Stellen, die mit öffentlichen Dienstaufgaben betraut sind, haben in diesem Punkt keinen Spielraum.

Häufig gestellte Fragen

Wann treten die AI Act-Verpflichtungen für Hochrisiko-Systeme in Kraft?

Die Verpflichtungen für Hochrisiko-KI-Systeme, die in Anhang III der Verordnung (EU) 2024/1689 aufgeführt sind, treten am 2. August 2026 in Kraft. Systeme, die in bereits regulierte Produkte nach Anhang I integriert sind (Medizinprodukte, Spielzeug, Fahrzeuge), erhalten eine zusätzliche Frist bis zum 2. August 2027.

Wie weiß ich, ob mein KI-System nach dem AI Act als Hochrisiko eingestuft wird?

Ein KI-System wird als Hochrisiko eingestuft, wenn es in einen der acht Bereiche von Anhang III fällt (Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Migration, Justiz) oder wenn es eine Sicherheitskomponente eines von Anhang I abgedeckten Produkts ist. Ein Klassifizierungs-Diagnosetool kann Ihnen helfen, Ihr Risikoniveau in wenigen Minuten zu bestimmen.

Was sind die Sanktionen bei Nichteinhaltung des AI Act im Jahr 2026?

Die Bußgelder reichen von 7,5 Millionen Euro (oder 1 % des Umsatzes) für Transparenzverstöße bis zu 15 Millionen Euro (oder 3 % des Umsatzes) für Nichteinhaltung von Verpflichtungen im Zusammenhang mit Hochrisiko-Systemen. Bei verbotenen Praktiken steigen die Sanktionen auf 35 Millionen Euro oder 7 % des weltweiten Umsatzes.

Was ist der Unterschied zwischen Anbieter und Betreiber im AI Act?

Der Anbieter ist die Einheit, die ein KI-System entwickelt oder entwickeln lässt und es unter ihrem Namen oder ihrer Marke auf den Markt bringt. Der Betreiber ist die Einheit, die dieses System im Rahmen ihrer beruflichen Tätigkeit nutzt. Ihre Verpflichtungen unterscheiden sich: Der Anbieter trägt die Last der konformen Gestaltung, der technischen Dokumentation und der CE-Kennzeichnung, während der Betreiber für menschliche Aufsicht, Überwachung und Vorfallmeldung sorgen muss.

Betrifft Artikel 50 über Transparenz nur Hochrisiko-Systeme?

Nein. Artikel 50 gilt für alle KI-Systeme, die mit Menschen interagieren, synthetische Inhalte erzeugen oder Deepfakes produzieren, unabhängig von ihrem Risikoniveau. Dies schließt Chatbots, Bildgeneratoren und Sprachsynthese-Tools ein, auch wenn sie nicht als Hochrisiko eingestuft sind.

Mein KI-System ist bereits vor August 2026 in Betrieb, bin ich betroffen?

Wenn Ihr System nach dem 2. August 2026 keine wesentliche Änderung erfährt, gelten die Verpflichtungen nicht sofort (Artikel 111). Wenn Sie jedoch eine öffentliche Behörde sind oder wenn sich Ihr System wesentlich weiterentwickelt, ist die Einhaltung ab diesem Datum erforderlich.

Der 2. August 2026 ist keine abstrakte Frist: Es ist der Zeitpunkt, an dem die Einhaltung des AI Act von der Empfehlung zur Verpflichtung wird, mit echten Sanktionen als Konsequenz. Mit einer Inventarisierung und Klassifizierung Ihrer KI-Systeme zu beginnen, bleibt der erste Schritt — derjenige, der alle folgenden bedingt. Der vollständige AI Act-Zeitplan auf AiActo ermöglicht es Ihnen, alle wichtigen Daten zu visualisieren und Ihre Compliance zu planen.

Partager cet article