Vom Papier in die Praxis
Der EU AI Act ist seit August 2024 in Kraft, aber die operativen Pflichten greifen gestaffelt. Im Februar 2026 sind die Regeln für Hochrisiko-Systeme aktiv geworden. Im August 2026 folgen die Pflichten für General-Purpose-AI-Anbieter. Und damit ist die Diskussion in den meisten Unternehmen erst jetzt im Maschinenraum angekommen.
Auffällig: Die Mehrheit der Anfragen, die bei uns landen, basiert auf Missverständnissen. Manche Kunden glauben, sie seien betroffen, obwohl sie es nicht sind. Andere halten sich für sicher, obwohl sie genau in den Hochrisiko-Bereich fallen. Zeit für eine pragmatische Sortierung.
Wer wirklich betroffen ist
Der AI Act unterscheidet vier Risikoklassen, aber für die meisten Unternehmen ist nur eine Frage relevant: Bauen oder betreiben wir ein Hochrisiko-System? Die Antwort hängt nicht davon ab, ob KI „mächtig" oder „autonom" ist, sondern davon, wofür sie eingesetzt wird.
Hochrisiko-Anwendungen umfassen unter anderem:
- KI im Recruiting (Bewerber-Screening, Lebenslauf-Analyse, Interview-Auswertung)
- KI in der Personalbeurteilung (Promotion-Entscheidungen, Performance-Bewertung)
- KI in kritischer Infrastruktur (Energie, Wasser, Verkehrsleitsysteme)
- KI in Bildungs- und Prüfungskontexten
- KI im Kreditscoring und Versicherungs-Pricing
- KI in der Strafverfolgung und im Grenzmanagement
Wenn eines dieser Felder beschrieben wird, gelten umfangreiche Pflichten – Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht, Logging, Konformitätsbewertung. Wer dagegen nur einen Chatbot für interne Wissenssuche betreibt, eine Kampagne mit Bildgenerierung fährt oder Code mit Claude refactoren lässt, bewegt sich in der Regel außerhalb der Hochrisiko-Klasse.
Die Pflicht, die fast alle trifft
Eine Pflicht greift breiter, als viele denken: Transparenz. Wer KI-generierte Inhalte veröffentlicht, KI-gestützte Interaktionen anbietet oder Deepfakes erzeugt, muss das kennzeichnen. Das gilt auch für Marketing-Texte, automatisierte Kundenkommunikation, KI-Avatare und synthetische Stimmen.
Konkret bedeutet das: Webseiten mit KI-generierten Artikeln, automatisierte Antwort-E-Mails, Bots im Support – alle brauchen einen Hinweis. Nicht versteckt im Impressum, sondern dort, wo der Nutzer ihn wahrnimmt. Die Kennzeichnungspflicht ist die niedrigste Hürde des AI Act, aber die mit der höchsten Reichweite.
Was Anbieter von Foundation-Modellen jetzt liefern müssen
Ab August 2026 gelten neue Pflichten für Anbieter sogenannter General-Purpose-AI-Modelle – also OpenAI, Anthropic, Google, Mistral und alle, die ähnliche Modelle in den europäischen Markt bringen. Sie müssen unter anderem:
- Trainingsdaten dokumentieren (mit Fokus auf urheberrechtlich geschütztes Material)
- Modell-Spezifikationen offenlegen
- Risikoanalysen für besonders leistungsfähige Modelle durchführen
- Einen technischen Compliance-Bericht vorhalten
Für Unternehmen, die diese Modelle nur einsetzen, hat das einen praktischen Effekt: Bei der Auswahl eines Foundation-Modells wird die Compliance-Dokumentation zum Auswahlkriterium. Anbieter, die diese Anforderungen sauber erfüllen, gewinnen Enterprise-Deals. Anbieter, die sich um die EU drücken, verlieren sie.
Die typischen Fehler in der Umsetzung
Drei Muster sehen wir immer wieder:
Über-Compliance aus Unsicherheit. Unternehmen behandeln jeden KI-Einsatz wie ein Hochrisiko-System – mit Risikoanalyse, Folgenabschätzung, Konformitätsbewertung. Das ist nicht nur unnötig, sondern bremst KI-Initiativen so massiv, dass sie versanden. Eine saubere Risikoeinordnung am Anfang spart Monate.
Ignorieren der Transparenzpflicht. Während alle über die großen Hochrisiko-Anforderungen reden, vergessen viele die einfache Kennzeichnung von KI-Inhalten. Genau hier wird die erste Welle von Bußgeldern fallen, weil es leicht prüfbar ist.
Compliance ohne Tooling. Die Anforderungen an Logging, Dokumentation und menschliche Aufsicht lassen sich nicht in einem PDF erschlagen. Sie brauchen technische Umsetzung – Audit-Logs in den KI-Workflows, dokumentierte Modell-Versionen, nachvollziehbare Eingaben und Ausgaben. Wer das erst zur Audit-Vorbereitung baut, ist zu spät.
Was jetzt konkret zu tun ist
Für Unternehmen, die ihre KI-Compliance ordnen wollen, gibt es eine pragmatische Reihenfolge:
Schritt 1: Inventarisieren. Welche KI-Systeme nutzen wir, in welchen Bereichen, mit welchen Daten? Diese Liste fehlt in 80 % der Unternehmen, mit denen wir sprechen.
Schritt 2: Klassifizieren. Welches dieser Systeme fällt in eine der Hochrisiko-Kategorien? Welche sind reine Produktivitäts-Tools? Welche generieren Inhalte mit Außenwirkung?
Schritt 3: Transparenz herstellen. Alle KI-generierten Inhalte und KI-Interaktionen kennzeichnen. Das ist die schnellste, billigste und sichtbarste Compliance-Maßnahme.
Schritt 4: Hochrisiko-Systeme absichern. Nur dort, wo die Klassifizierung es nötig macht, in Risikomanagement, Datenqualitätsprozesse und Konformitätsbewertung investieren.
Schritt 5: Verträge prüfen. Verträge mit KI-Anbietern müssen Compliance-Zusagen, Audit-Rechte und Datenherkunfts-Klauseln enthalten. Standard-Verträge von 2023 reichen nicht mehr.
Was das für die Auswahl von KI-Tools bedeutet
Die EU-Compliance-Anforderungen werden zum Filter im Tooling-Markt. Anbieter, die transparente Modell-Dokumentation, EU-konforme Datenhaltung und nachvollziehbare Audit-Logs bieten, werden im B2B-Geschäft bevorzugt. Wer als Käufer 2026 noch Tools ohne diese Eigenschaften einführt, baut sich technische Schulden, die in zwei Jahren teuer werden.
Wir bei nh labs arbeiten bei jedem KI-Projekt mit einer kurzen Compliance-Triage am Anfang: Risikoklasse, Transparenzpflicht, Datenflüsse, Audit-Bedarf. Das spart später erheblich – sowohl an juristischen Diskussionen als auch an Architektur-Umbauten.
Fazit
Der EU AI Act ist weniger furchteinflößend, als viele glauben – und gleichzeitig weniger trivial. Die meisten Unternehmen müssen keine Konformitätsbewertung durchführen, aber fast alle müssen ihre KI-Inhalte kennzeichnen und ihre Lieferanten neu bewerten. Wer jetzt strukturiert vorgeht – inventarisieren, klassifizieren, transparent machen – ist gut aufgestellt. Wer wartet, bis das erste Bußgeld in der Branche fällt, hat dann nur noch Wochen, um aufzuholen. Und Wochen reichen für saubere AI-Governance nicht aus.