Ratgeber 16 Min. Lesezeit ·

EU AI Act 2026: Was Unternehmen jetzt wissen müssen

Die wichtigste KI-Regulierung der Welt gilt ab August 2026 vollständig. Dieser Leitfaden erklärt die vier Risikoklassen, die bereits geltenden Verbote, die Pflichten für Unternehmen und gibt eine konkrete Compliance-Checkliste an die Hand.

Lurus – KI-Plattform aus Deutschland

Lurus Team

12. März 2026

EU AI Act – Leitfaden 2026

Vollständige Anwendbarkeit ab August 2026

4 Risikoklassen · Verbote seit Feb. 2025 · Bußgelder bis 35 Mio. €

EU
AI
Act

Was eine KI-Lösung für den Unternehmenseinsatz heute erfüllen muss, ist nicht mehr allein eine Frage des Funktionsumfangs. Mit dem EU AI Act hat die Europäische Union das weltweit erste umfassende Regelwerk für künstliche Intelligenz geschaffen – und Unternehmen stehen vor der Aufgabe, ihre KI-Nutzung systematisch zu bewerten und wo nötig anzupassen.

Was eine konforme KI-Lösung für Unternehmen heute leisten muss: DSGVO-Konformität, nachweisbare Datentrennung, Audit Logs, kein Training mit Unternehmensdaten, europäische Partner und ein AVV nach Art. 28 DSGVO. Dieser Leitfaden zeigt Ihnen, was der EU AI Act konkret bedeutet, welche Fristen gelten und wie Sie Ihr Unternehmen systematisch auf Konformität ausrichten.

Die wichtigsten Daten im Überblick

  • 1. August 2024: EU AI Act tritt in Kraft
  • 2. Februar 2025: Verbotene Praktiken gelten
  • 2. August 2026: Vollständige Anwendbarkeit
  • Bußgelder: bis zu 35 Mio. € oder 7 % des Jahresumsatzes

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit. Er klassifiziert KI-Systeme nach ihrem Risikopotenzial und legt je nach Risikoklasse unterschiedliche Anforderungen an Entwickler und Nutzer fest. Ziel ist es, den Einsatz von KI in der EU sicher, transparent und grundrechtskonform zu gestalten, ohne Innovation übermäßig zu bremsen.

Der Act gilt für alle Unternehmen, die KI-Systeme in der EU anbieten oder nutzen – unabhängig davon, wo sie ihren Sitz haben. Damit betrifft er auch US-amerikanische und asiatische Anbieter, sobald ihre Systeme in der EU eingesetzt werden.

Zeitplan der Anwendbarkeit

Der EU AI Act trat am 1. August 2024 in Kraft, wird jedoch schrittweise angewendet:

  • Ab Februar 2025: Verbote für inakzeptable KI-Risiken gelten.
  • Ab August 2025: Verhaltenskodizes für allgemeine KI-Modelle (GPAI) greifen.
  • Ab August 2026: Vollständige Anwendbarkeit für die meisten Hochrisiko-KI-Systeme.
  • Ab August 2027: Restliche Hochrisiko-Systeme (Anhang I) müssen konform sein.

Die vier Risikoklassen

Der EU AI Act unterscheidet KI-Systeme in vier Risikoklassen. Die Einordnung entscheidet darüber, welche Pflichten für Anbieter und Betreiber gelten.

🚫

Inakzeptables Risiko

Verbotene KI-Praktiken: Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen).

Verboten – sofortige Einstellung erforderlich

⚠️

Hohes Risiko

KI in sensiblen Bereichen: HR-Entscheidungen, Kreditvergabe, kritische Infrastruktur, Bildung, Strafverfolgung, Migrationskontrolle.

Strenge Anforderungen: Dokumentation, Audit, menschliche Aufsicht

ℹ️

Begrenztes Risiko

KI-Systeme mit Transparenzpflichten: Chatbots, deepfake-generierende Systeme, KI-erzeugte Inhalte müssen als solche gekennzeichnet werden.

Transparenzpflicht gegenüber Nutzern

Minimales Risiko

KI-Spamfilter, KI-gestützte Videospiele, einfache Empfehlungssysteme ohne sensible Daten. Keine besonderen Anforderungen durch den Act.

Keine besonderen Pflichten

Welche Unternehmen sind betroffen?

Der EU AI Act gilt für zwei Kategorien von Akteuren. Entscheidend ist, welche Rolle Ihr Unternehmen im KI-Ökosystem einnimmt:

Anbieter

Anbieter entwickeln KI-Systeme und bringen sie auf den Markt. Sie tragen die größte Verantwortung: Sie müssen die technische Dokumentation erstellen, Konformitätsbewertungen durchführen und – bei Hochrisiko-KI – eine CE-Kennzeichnung anbringen. Anbieter aus Drittstaaten, die ihre Systeme in der EU einsetzen, müssen einen EU-Bevollmächtigten benennen.

Betreiber

Betreiber nutzen KI-Systeme im eigenen Unternehmen. Ihre Pflichten sind geringer als die der Anbieter, aber nicht zu vernachlässigen: Sie müssen sicherstellen, dass sie das System nur für den vorgesehenen Zweck einsetzen, menschliche Aufsicht gewährleisten und – bei Hochrisiko-KI – Protokolle führen sowie ihre Mitarbeiter schulen.

Praxishinweis: Wer ein Standard-KI-Tool wie Lurus als Assistenzwerkzeug für interne Aufgaben einsetzt, agiert in der Regel als Betreiber mit überschaubaren Pflichten. Die Verantwortung für die technische Konformität der Plattform liegt beim Anbieter.

Verbotene KI-Praktiken (seit Februar 2025)

Seit dem 2. Februar 2025 sind bestimmte KI-Anwendungen in der EU vollständig verboten. Diese Verbote gelten ohne Übergangsfrist und betreffen alle Unternehmen, die solche Systeme anbieten oder einsetzen:

  • Social Scoring durch staatliche Stellen: KI-Systeme, die Menschen auf Basis ihres sozialen Verhaltens bewerten und benachteiligen.
  • Manipulative KI-Techniken: Systeme, die unterbewusste Einflussnahme nutzen oder Schwächen von Personen ausnutzen, um ihr Verhalten gegen ihren Willen zu steuern.
  • Biometrische Echtzeit-Fernidentifizierung: Gesichtserkennung im öffentlichen Raum durch staatliche Stellen (mit sehr engen Ausnahmen für Strafverfolgung).
  • Biometrische Kategorisierung nach sensiblen Merkmalen: Klassifizierung von Personen nach politischer Meinung, religiöser Überzeugung, sexueller Orientierung oder ethnischer Herkunft.
  • Predictive Policing auf Einzelpersonenbasis: Vorhersage künftiger Straftaten einzelner Personen allein auf Basis von Persönlichkeitsmerkmalen.

Pflichten für Hochrisiko-KI-Systeme

Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen des EU AI Acts. Als Hochrisiko gilt KI, die in folgenden Bereichen eingesetzt wird:

  • Personalentscheidungen (Einstellung, Kündigung, Beurteilung)
  • Kreditvergabe und Bonitätsbewertung
  • Kritische Infrastruktur (Energie, Wasser, Verkehr)
  • Bildung und Berufsausbildung
  • Strafverfolgung und Justizverwaltung
  • Migrationskontrolle und Asylverfahren
  • Medizinprodukte mit KI-Komponente

Betreiber solcher Systeme müssen unter anderem:

  • Eine Risiko- und Folgeabschätzung durchführen
  • Lückenlose Protokollierung aller relevanten Interaktionen sicherstellen
  • Menschliche Aufsicht und Eingriffsmöglichkeiten gewährleisten
  • Das System nur für seinen vorgesehenen Zweck einsetzen
  • Mitarbeiter im Umgang mit dem System schulen
  • Zuständigen Behörden auf Anfrage Informationen bereitstellen

Wichtig: Ein Standard-KI-Assistent, der für allgemeine Aufgaben wie Texterstellung, Recherche oder interne Kommunikation genutzt wird, ist in der Regel kein Hochrisiko-System. Kritisch wird es, wenn KI-Ausgaben direkt und ohne menschliche Prüfung in Personalentscheidungen oder Kreditbewertungen einfließen.

EU AI Act vs. DSGVO: Was gilt wann?

Viele Unternehmen fragen sich, wie sich EU AI Act und DSGVO zueinander verhalten. Beide Regelwerke existieren nebeneinander und ergänzen sich.

Kriterium DSGVO EU AI Act
Regelungsgegenstand Schutz personenbezogener Daten Sicherer Einsatz von KI-Systemen
Geltungsbereich Jede Verarbeitung personenbezogener Daten KI-Systeme nach Risikoklasse
Betroffene Akteure Verantwortliche, Auftragsverarbeiter Anbieter, Betreiber, Importeure, Händler
Zentrale Anforderung Rechtmäßige, zweckgebundene Verarbeitung Risikobasierte Konformitätsanforderungen
Durchsetzungsbehörde Nationale Datenschutzbehörden Nationale Marktüberwachungsbehörden
Höchstbußgeld 20 Mio. € oder 4 % des Umsatzes 35 Mio. € oder 7 % des Umsatzes (bei Verbotsverstößen)

Kurz gesagt: Wer DSGVO-konform ist, erfüllt damit nicht automatisch die Anforderungen des EU AI Acts – und umgekehrt. Für Unternehmen, die personenbezogene Daten mit KI verarbeiten, gelten beide Regelwerke gleichzeitig.

Compliance-Checkliste: 10 Schritte für Unternehmen

Die folgende Checkliste hilft Ihnen, Ihren aktuellen Stand zu bewerten und notwendige Maßnahmen zu identifizieren. Für jeden Punkt ist angegeben, wie Lurus Unternehmen dabei unterstützt.

1

Inventar aller eingesetzten KI-Systeme erstellen

Dokumentieren Sie, welche KI-Tools in Ihrem Unternehmen im Einsatz sind und zu welcher Risikoklasse sie gehören.

Lurus: Lurus ist als generelles KI-Assistenz-Werkzeug einzustufen und fällt in der Regel in die Kategorie des begrenzten oder minimalen Risikos.

2

Rolle als Anbieter oder Betreiber klären

Stellen Sie fest, ob Sie KI-Systeme entwickeln (Anbieter) oder lediglich nutzen (Betreiber). Beide Rollen haben unterschiedliche Pflichten.

Lurus: Beim Einsatz von Lurus agieren Sie als Betreiber. Lurus übernimmt als Anbieter die Verantwortung für die technische Konformität der Plattform.

3

Auftragsverarbeitungsvertrag (AVV) abschließen

Für jede Verarbeitung personenbezogener Daten durch einen externen KI-Anbieter ist ein AVV nach Art. 28 DSGVO erforderlich.

Lurus: Lurus stellt einen AVV nach Art. 28 DSGVO bereit. Sprechen Sie uns an.

4

Sicherstellen, dass keine Daten für Modelltraining genutzt werden

Können Sie nachweisen, dass Ihre Unternehmensdaten nicht für das Training von KI-Modellen verwendet werden?

Lurus: Lurus verarbeitet keine Nutzerdaten für das Training von KI-Modellen.

5

Protokollierungs- und Audit-Funktionen prüfen

Bei Hochrisiko-KI ist eine lückenlose Protokollierung aller relevanten Interaktionen erforderlich. Auch bei allgemeiner KI-Nutzung empfiehlt sich Transparenz.

Lurus: Lurus bietet vollständige Audit Logs für alle KI-Interaktionen im Unternehmen.

6

Menschliche Aufsicht gewährleisten

KI-Entscheidungen dürfen insbesondere in sensiblen Bereichen nicht ohne menschliche Kontrolle bleiben. Definieren Sie Prozesse zur Überprüfung von KI-Ausgaben.

Lurus: Lurus ist als Assistenzwerkzeug konzipiert, das den Menschen unterstützt, nicht ersetzt. Alle Ausgaben bleiben unter Ihrer Kontrolle.

7

Mitarbeiter sensibilisieren und schulen

Der EU AI Act verpflichtet Betreiber, den verantwortungsvollen Umgang mit KI sicherzustellen. Schulungen zu KI-Risiken und -Grenzen sind empfehlenswert.

8

Datenverarbeitung in Europa sicherstellen

Prüfen Sie, wo Ihre KI-Anbieter Daten verarbeiten. Datenübertragungen in Drittländer unterliegen besonderen Anforderungen.

Lurus: Lurus setzt auf europäische Partner für die Infrastruktur.

9

Transparenzpflichten gegenüber Nutzern erfüllen

Wenn Ihre Kunden oder Mitarbeiter mit einem KI-System interagieren, sind sie in der Regel darüber zu informieren, dass sie mit KI kommunizieren.

10

Interne KI-Richtlinie verabschieden

Definieren Sie schriftlich, welche KI-Systeme wie eingesetzt werden dürfen, welche Daten nicht eingegeben werden dürfen und wie mit KI-Ausgaben umzugehen ist.

Wie Lurus Unternehmen bei der Konformität unterstützt

Lurus ist als KI-Plattform von Anfang an auf Transparenz, Nachvollziehbarkeit und Datenschutz ausgelegt. Die Anforderungen, die der EU AI Act an KI-Betreiber stellt, spiegeln sich in den Funktionen wider, die Lurus Unternehmen bereits heute bietet.

Audit Logs für vollständige Nachvollziehbarkeit

Können Sie nachweisen, welche KI-Interaktionen in Ihrem Unternehmen stattgefunden haben? Lurus protokolliert alle KI-Interaktionen lückenlos und stellt diese als Audit Logs zur Verfügung. Das ermöglicht Transparenz gegenüber Behörden, internen Compliance-Teams und – wo erforderlich – gegenüber betroffenen Personen.

Kein Training mit Unternehmensdaten

Werden Ihre Eingaben genutzt, um KI-Modelle zu trainieren? Bei Lurus lautet die Antwort klar: Nein. Lurus verarbeitet keine Nutzerdaten für das Training von KI-Modellen. Das ist ein zentraler Aspekt für Unternehmen, die mit sensiblen Daten arbeiten.

Lokale Speicherung ohne Serverübertragung

Lurus bietet die Möglichkeit, Chat-Verläufe ausschließlich lokal im Browser zu speichern – ohne Übertragung auf externe Server. Das minimiert den Verarbeitungsumfang und unterstützt eine datenschutzfreundliche KI-Nutzung.

Europäische Partner und AVV

Lurus setzt auf europäische Partner für seine Infrastruktur und stellt auf Anfrage einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bereit. Damit können Unternehmen ihre Verarbeitungstätigkeiten vollständig dokumentieren.

Fazit

Der EU AI Act ist kein bürokratisches Hindernis, sondern eine Chance: Unternehmen, die ihre KI-Nutzung jetzt systematisch aufstellen, schaffen Vertrauen bei Kunden, Partnern und Behörden – und vermeiden kostspielige Nachbesserungen unter Zeitdruck.

Die wesentlichen Handlungsfelder sind klar: Inventar der KI-Systeme erstellen, Risikoklassen bestimmen, Protokollierung sicherstellen, AVV abschließen und interne Richtlinien verabschieden. Wer diese Schritte konsequent umsetzt, ist für August 2026 gut vorbereitet.

Lurus unterstützt Unternehmen dabei, KI transparent, nachvollziehbar und regelkonform einzusetzen – mit Audit Logs, lokaler Speicherung, europäischen Partnern und einem klaren Bekenntnis zum Datenschutz.

FAQ

Ab wann gilt der EU AI Act vollständig?
Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die vollständige Anwendbarkeit gilt ab dem 2. August 2026. Verbote für inakzeptable KI-Risiken gelten bereits seit dem 2. Februar 2025. Pflichten für Hochrisiko-KI-Systeme, die unter Anhang I fallen, gelten ab August 2026, für alle anderen Hochrisiko-Systeme ab August 2027.
Welche Unternehmen sind vom EU AI Act betroffen?
Betroffen sind grundsätzlich alle Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen – unabhängig davon, ob sie ihren Sitz in der EU haben. Unterschieden wird zwischen Anbietern (die KI-Systeme entwickeln und auf den Markt bringen) und Betreibern (die KI-Systeme im eigenen Unternehmen nutzen). Beide Rollen können gleichzeitig zutreffen.
Was sind die vier Risikoklassen des EU AI Acts?
Der EU AI Act unterscheidet vier Risikoklassen: (1) Inakzeptables Risiko – verbotene Praktiken wie Social Scoring oder manipulative KI. (2) Hohes Risiko – strenge Anforderungen für KI in sensiblen Bereichen wie HR, Kreditvergabe oder kritische Infrastruktur. (3) Begrenztes Risiko – Transparenzpflichten, z.B. für Chatbots. (4) Minimales Risiko – keine besonderen Anforderungen, z.B. KI-Spamfilter.
Was sind verbotene KI-Praktiken nach dem EU AI Act?
Seit Februar 2025 gelten folgende Verbote: Social-Scoring-Systeme durch staatliche Stellen, manipulative KI-Techniken, die das Verhalten von Personen gegen deren Willen beeinflussen, Echtzeit-Gesichtserkennung im öffentlichen Raum (mit engen Ausnahmen), biometrische Kategorisierung nach politischer Meinung, Religion oder sexueller Orientierung sowie die gezielte Ausnutzung von Schwächen besonderer Personengruppen.
Was ist der Unterschied zwischen EU AI Act und DSGVO?
Die DSGVO regelt den Schutz personenbezogener Daten und gilt für jede Datenverarbeitung. Der EU AI Act regelt den Einsatz von KI-Systemen und bewertet diese nach Risikopotenzial. Beide Regelwerke ergänzen sich: Ein KI-System, das personenbezogene Daten verarbeitet, muss sowohl DSGVO- als auch EU-AI-Act-konform sein. Bei Hochrisiko-KI kommen zusätzliche Anforderungen wie Transparenz, Protokollierung und menschliche Aufsicht hinzu.
Welche Bußgelder sieht der EU AI Act vor?
Der EU AI Act sieht gestaffelte Bußgelder vor: Verstöße gegen verbotene Praktiken können mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden. Verstöße gegen sonstige Pflichten mit bis zu 15 Millionen Euro oder 3 % des Umsatzes. Falsche Angaben gegenüber Behörden können mit bis zu 7,5 Millionen Euro oder 1 % des Umsatzes bestraft werden. Für KMU und Start-ups gelten reduzierte Höchstgrenzen.
Was müssen Betreiber von Hochrisiko-KI-Systemen beachten?
Betreiber von Hochrisiko-KI-Systemen müssen unter anderem eine Risikobewertung durchführen, die technische Dokumentation bereithalten, Protokollierungs- und Audit-Funktionen sicherstellen, menschliche Aufsicht gewährleisten, das System nur für den vorgesehenen Zweck einsetzen und den zuständigen Behörden auf Anfrage Informationen bereitstellen. Die genauen Anforderungen variieren je nach Kategorie des Systems.
Wie unterstützt Lurus Unternehmen bei der EU-AI-Act-Konformität?
Lurus stellt Unternehmen die Werkzeuge zur Verfügung, die für eine nachweisliche KI-Nutzung nach EU-AI-Act-Anforderungen notwendig sind: lückenlose Audit Logs für jede KI-Interaktion, lokale Chat-Speicherung ohne Serverübertragung, kein Training von KI-Modellen mit Nutzerdaten, Auftragsverarbeitungsvertrag nach Art. 28 DSGVO sowie der Einsatz europäischer Partner. Diese Kombination ermöglicht es Unternehmen, KI transparent, nachvollziehbar und regelkonform einzusetzen.

Weiterführende Artikel

DSGVO-konforme KI für Unternehmen: Checkliste & Anforderungen 2026

Was Unternehmen bei der DSGVO-konformen KI-Nutzung beachten müssen

KI aus Deutschland: Warum Unternehmen auf deutsche KI-Plattformen setzen

Datensouveränität und europäische Standards im Fokus

KI im Unternehmen einführen: Der komplette Leitfaden 2026

Von der Bedarfsanalyse bis zur Skalierung in 7 Schritten

KI konform und sicher einsetzen?

Lurus bietet Audit Logs, lokale Speicherung, europäische Partner und einen AVV nach Art. 28 DSGVO. Starten Sie kostenlos.

Lurus kostenlos testen

Keine Kreditkarte erforderlich · Sofort einsatzbereit · Dauerhaft kostenloser Free-Plan

Zurück zum Blog