EU AI Act: Konkrete Umsetzungsschritte für Unternehmen bis August 2026

Warum Unternehmen den August 2026 als harte Deadline ernst nehmen müssen

Wer KI-Systeme nur als einzelnes Tool betrachtet, unterschätzt den Umstellungsdruck. Nach dem derzeitigen Stand gelten die Transparenzanforderungen nach Art. 50 des AI Act sowie weitere Pflichtenpakete ab August 2026 [1]. Für Unternehmen heißt das: Kennzeichnung, Prozessanpassung und Nachweisfähigkeit dürfen dann nicht erst im Projekt aufgesetzt werden. Sie müssen vorher in Modelle, Datenflüsse und Freigabeworkflows eingebaut sein.

Der eigentliche Engpass entsteht schon früher. Seit dem 2. Februar 2025 sind Teile der KI-Kompetenzpflicht anwendbar; laut Quelle wird dabei auf Schulungen, Dokumentation von Zeitpunkt und Teilnehmenden sowie auf die jeweiligen Einsatzkontexte abgestellt [2] [3]. Wenn Ihre Fachbereiche heute bereits ChatGPT, Copilot oder eigene Modelle einsetzen, brauchen Sie damit nicht nur eine Policy, sondern ein belastbares Schulungskonzept mit Rollenlogik. Sonst fehlen Ihnen im Sommer 2026 die Grundlagen, um Transparenz- und Governance-Pflichten sauber zu erfüllen.

Der wirtschaftliche Druck ist ebenfalls konkret. Für Verstöße nennt die Quelle einen Bußgeldrahmen von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes, je nach Verstoßart und Adressatenkreis [2]. Das verschiebt das Thema aus dem Bereich „Compliance begleitend“ in die Kategorie „Managementrisiko“. Besonders relevant wird das für Unternehmen mit vielen Fachbereichslösungen, weil dort oft mehrere KI-Anwendungen parallel laufen, aber keiner die Gesamtverantwortung für Inhalte, Trainingsdaten und Ausgabeprozesse übernimmt.

Die richtige Reihenfolge ist deshalb klar: Erst Inventur, dann Kompetenzaufbau, dann technische und organisatorische Anpassung. Wer bis Mitte 2026 noch nicht weiß, welche Systeme Transparenz auslösen oder als Hochrisiko einzuordnen sind, wird die Frist nicht mit einem letzten Audit, sondern nur mit Notfallmaßnahmen erreichen. Der August 2026 ist damit keine ferne Rechtsmarke, sondern der Termin, an dem operative Unklarheit teuer wird.

Inventur der KI-Systeme: Wie Sie Risiken, Rollen und Datenflüsse sauber kartieren

Wer KI-Systeme ohne Inventur betreibt, verliert genau dort den Überblick, wo der AI Act ansetzt: beim Risiko. Der EU AI Act folgt einem risikobasierten Ansatz; je höher das potenzielle Schadensrisiko, desto strenger fallen die Anforderungen aus [4]. Für die Praxis heißt das nicht, dass Sie jedes Tool gleich behandeln. Sie brauchen zuerst eine belastbare Systemliste mit einer ersten Einordnung, damit Sie Hochrisiko-Anwendungen, Transparenzpflichten und interne Governance voneinander trennen können.

Eine solche Inventur muss mehr erfassen als nur Produktnamen. Relevant sind auch Einsatzkontext, betroffene Personengruppen und die Frage, ob ein System intern genutzt, extern bereitgestellt oder in einen Geschäftsprozess eingebettet ist [3]. Genau an dieser Stelle scheitern viele Unternehmen: Ein Modell läuft im Fachbereich, ein weiteres im Customer Service, dazu kommen Analyse-Tools in der Datenplattform. Ohne zentrales Register lassen sich Pflichten nicht sauber zuordnen.

Risikoklassifizierung als Fundament

Die erste operative Aufgabe besteht darin, jedes KI-System entlang des risikobasierten Ansatzes zu markieren. Die Quelle beschreibt, dass der AI Act auf vier Risikokategorien aufbaut und mit steigendem Risiko strengere Anforderungen auslöst [4]. Für Ihre Inventur reicht deshalb keine reine Tool-Liste. Sie brauchen eine Klassifizierung, die zeigt, welche Anwendung nur intern assistiert, welche Entscheidungen vorbereitet und welche möglicherweise in einen regulierten Hochrisiko-Kontext fällt.

Praktisch bewährt sich eine einfache Dreistufung für den Start: niedriges Risiko, erhöhtes Risiko mit Transparenzbedarf und potenziell Hochrisiko. Diese Vorstruktur ersetzt keine juristische Endbewertung, sie macht aber sichtbar, wo Sie zuerst prüfen müssen. Wenn Sie die Einordnung von Beginn an an Verantwortliche im Fachbereich und in der IT koppeln, vermeiden Sie spätere Nacharbeiten bei Schulung, Dokumentation und Freigabe.

Datenflüsse und Verarbeitungsketten dokumentieren

Die Inventur endet nicht beim Modell. Sie muss zeigen, welche Datenquellen ein System nutzt, welche Vorverarbeitung stattfindet und wohin Ergebnisse weitergegeben werden. Je nach Verarbeitung können eine Rechtsgrundlagenprüfung, Zweckbindung und gegebenenfalls eine Datenschutz-Folgenabschätzung erforderlich sein [5]. Für KI-Umgebungen ist das besonders wichtig, weil Eingaben aus Chats, Tickets, E-Mails oder Bewerbungsprozessen oft ohne klare Trennung in Trainings-, Test- und Produktivdaten fließen. Dies stellt keine Rechtsberatung dar.

Wenn Ihre Daten- und Analyseinfrastruktur mehrere Systeme speist, sollten Sie den Weg eines Datensatzes vom Ursprung bis zur Ausgabe einmal vollständig nachzeichnen. Genau hier entstehen die typischen Lücken: Ein LLM bekommt Kundendaten aus einem Support-Workflow, ein anderes Tool verarbeitet die gleiche Information in einem Reporting-Schritt weiter. Ohne dokumentierte Verarbeitungskette können Sie weder Datenschutz noch AI-Act-Pflichten konsistent prüfen. Eine saubere Kartierung schafft die Basis für spätere Kennzeichnung und Freigabeprozesse. [5]

Rollenklärung zwischen Anbieter und Betreiber

Für die spätere Umsetzung zählt auch, wer welches System bereitstellt und wer es im Alltag einsetzt. Die IHK-Quelle stellt klar, dass Anbieter und Betreiber Maßnahmen ergreifen müssen, um nach besten Kräften sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt [3]. Damit wird die Rollentrennung zur organisatorischen Kernfrage. Wer ein System einkauft, integriert oder nur anwendet, hat nicht automatisch dieselben Pflichten.

Für Ihr Register sollten Sie deshalb mindestens drei Zuständigkeiten festhalten: fachliche Verantwortung, technische Verantwortung und Freigabeverantwortung. Erst wenn diese Zuordnung steht, können Sie die Schulungspflichten nach Art. 4 gezielt ausrollen und Nachweise so führen, dass sie auditierbar bleiben. Auf Basis der Inventur lässt sich die technische Umsetzung der Schulungs- und Nachweispflichten priorisieren.

Schulungspflichten nach Art. 4: So bauen Sie ein belastbares Kompetenzprogramm

Wenn Ihre Teams KI schon im Tagesgeschäft einsetzen, scheitert die Umsetzung selten am Tool. Sie scheitert an unterschiedlichem Wissen, unklaren Zuständigkeiten und fehlender Dokumentation. Seit dem 2. Februar 2025 sind Teile der KI-Kompetenzpflicht anwendbar [2]; Art. 4 verlangt außerdem, dass Anbieter und Betreiber nach besten Kräften sicherstellen, dass ihr Personal und andere beauftragte Personen über ein ausreichendes Maß an KI-Kompetenz verfügen [3].

Für die Praxis heißt das: Ein Kompetenzprogramm darf nicht bei einer Einmal-Schulung stehen bleiben. Es muss rollenbasiert aufsetzen, den Einsatzkontext berücksichtigen und die Entwicklung des Wissensstands abbilden [3]. Wer nur generische Awareness-Inhalte ausrollt, bekommt zwar Teilnahmequoten, aber keine belastbare Grundlage für Audit, Freigabe und Betrieb.

Kompetenzprofile für Daten- und KI-Teams erstellen

Art. 4 nennt drei Faktoren, die Sie bei der Kompetenzvermittlung berücksichtigen müssen: technische Kenntnisse, Erfahrung und Ausbildung sowie den Kontext, in dem die KI-Systeme eingesetzt werden sollen [3]. Genau daraus sollten Sie Ihre Kompetenzprofile ableiten. Ein Data-Scientist braucht andere Inhalte als ein Fachanwender im Reporting oder ein Produktverantwortlicher, der ein KI-System in einen Prozess einbettet.

Bewährt hat sich eine einfache Matrix mit drei Fragen: Welche Systeme nutzt die Rolle? Welche Daten verarbeitet sie? Welche Risiken entstehen im jeweiligen Einsatzkontext? So trennen Sie Schulungsbedarf nach Nutzung, Verantwortung und Eskalationspflichten. Die KI-Kompetenzdefinition der Quelle umfasst Fähigkeiten, Kenntnisse und Verständnis, damit Personen KI sachkundig einsetzen und Risiken sowie mögliche Schäden erkennen können [3].

Lernpfade und Schulungszyklen planen

Die Frist ist eng. Wenn die Pflicht seit Februar 2025 anwendbar ist, reicht ein späterer Rollout nicht mehr aus [2]. Sie brauchen deshalb einen ersten Lernpfad, der die Kernrisiken sofort abdeckt, und danach wiederkehrende Zyklen für neue Tools, neue Einsatzfelder und veränderte Prozesse. Wer KI im Unternehmen ausrollt, sollte Schulungen nicht als Projekt, sondern als Betriebsprozess behandeln.

Für die operative Steuerung bietet sich ein dreistufiges Modell an: Einstieg für alle Nutzenden, Vertiefung für Fachbereiche mit produktivem Einsatz und Spezialmodule für Teams mit Modell- oder Integrationsverantwortung. So vermeiden Sie Überforderung bei Einsteigern und Unterqualifizierung bei Teams, die Freigaben treffen oder Datenpipelines betreiben. Entscheidend ist, dass Schulungsinhalte zum tatsächlichen Arbeitskontext passen und nicht nur allgemeine KI-Begriffe wiederholen [3].

Wenn Ihre Organisation mehrere KI-Anwendungen parallel betreibt, sollten Sie den Lernzyklus an Releases und Prozessänderungen koppeln. Jede neue Funktion, jeder neue Datenstrom und jede neue Nutzergruppe kann zusätzliche Kompetenzanforderungen auslösen. Genau hier entsteht der Unterschied zwischen Pflichtschulung und belastbarem Kompetenzprogramm.

Nachweisführung und Auditfähigkeit sicherstellen

Die EU-Kommission empfiehlt laut IHK-Quelle, Zeitpunkt und Teilnehmende der Schulungen zu dokumentieren [3]. Das ist operativ wichtiger als jede Zertifikatslogik, weil Sie damit im Audit zeigen können, wann welche Zielgruppe welche Inhalte erhalten hat. Für die Nachweisführung genügt deshalb keine Teilnahme-E-Mail. Sie brauchen eine konsistente Dokumentation, die Rolle, Termin, Inhalt und verantwortliche Stelle zusammenführt.

Praktisch sollte Ihr Nachweis mindestens drei Ebenen abdecken: den Schulungsanlass, die geschulte Zielgruppe und den Bezug zum eingesetzten KI-System. So lässt sich später prüfen, ob ein Team tatsächlich für den jeweiligen Einsatzkontext qualifiziert war. Das hilft auch intern, wenn sich Verantwortlichkeiten zwischen Fachbereich, IT und Compliance überschneiden [3].

Nach der Qualifizierung folgt die technische Umsetzung der Transparenzanforderungen. Genau dort entscheidet sich, ob Ihre Prozesse ab 2026 rechtssicher und im Betrieb handhabbar bleiben.

Transparenzpflichten ab 2026: Anforderungen an Modelle, Workflows und Kennzeichnung

Wenn KI-Systeme Inhalte erzeugen, reicht ein sauber trainiertes Modell nicht mehr aus. Nach dem derzeitigen Stand greifen ab August 2026 die Transparenzanforderungen des Art. 50 [1]. Für IT- und Data-Teams wird damit der Ausgabekanal selbst zum Compliance-Thema. Entscheidend ist dann nicht nur, was das Modell kann, sondern wie Sie die Herkunft, Verarbeitung und Weitergabe seiner Ergebnisse im Prozess abbilden. Wer diese Frist als festen Planungsparameter behandelt, verhindert teure Umbauten kurz vor dem Stichtag.

Technische Umsetzung der Transparenzanforderungen

Für die technische Umsetzung brauchen Sie zuerst ein belastbares Zielbild für August 2026. Genau dieser Zeitpunkt gilt laut Quelle als relevante Anwendungsmarke für die Transparenzanforderungen [1]. Daraus folgt ein klarer Engineering-Auftrag: Modellausgaben müssen so erzeugt werden, dass Kennzeichnung, Protokollierung und Weitergabe nicht erst nachgelagert ergänzt werden, sondern bereits im Workflow mitlaufen. Wenn Sie heute Datenprodukte bauen, sollten Sie die Transparenzlogik direkt in API-Schichten, Content-Pipelines und Freigabeschritte einziehen.

Praktisch heißt das: Jede Stelle, an der ein KI-Ergebnis erzeugt, verändert oder veröffentlicht wird, braucht eine definierte Informationsspur. Das betrifft etwa Generierungsdienste, Redaktionssysteme, Analyseportale und automatisierte Benachrichtigungen. Wer hier früh standardisiert, spart spätere Sonderlösungen für einzelne Fachbereiche. Die Frist ab August 2026 sollte deshalb wie ein technischer Meilenstein in der Roadmap stehen, nicht wie ein juristischer Nebenaspekt.

Kennzeichnungspflichten in User Journeys integrieren

Die Pflicht zur KI-Kompetenz aus Art. 4 zeigt, dass Unternehmen ihre Mitarbeitenden und andere beteiligte Personen nicht blind in KI-Prozesse laufen lassen dürfen [3]. Daraus folgt im Betrieb ein zweiter Punkt: Betroffene müssen verstehen können, wann sie mit KI-Ergebnissen arbeiten. Deshalb gehört die Kennzeichnung nicht ans Ende eines Projekts, sondern an die Kontaktpunkte der User Journey. Das gilt besonders dort, wo Kundinnen, Kunden oder interne Nutzende KI-generierte Inhalte mit menschlich erstellten Ergebnissen verwechseln könnten.

Für die Umsetzung sollten Sie die Journey an drei Stellen prüfen: vor der Interaktion, während der Ausgabe und beim Export in andere Systeme. So lassen sich Hinweise dort platzieren, wo sie tatsächlich gelesen werden. Ein kurzer, konsistenter Hinweis in einem Formular, im Chat oder in einem Reporting-Export wirkt deutlich besser als eine allgemeine Policy-Seite, die niemand im Alltag aufruft. Genau hier zahlt sich die Verknüpfung von Kompetenzvermittlung und verständlicher Kennzeichnung aus: Wer die Risiken kennt, kann Hinweise auch so formulieren, dass sie im Prozess funktionieren.

Daten- und Modellartefakte für Auditierung vorbereiten

Der risikobasierte Ansatz des AI Act verlangt, dass Sie Systeme nicht nur einsetzen, sondern auch einordnen können [4]. Für die Auditierung braucht Ihr Team deshalb Daten- und Modellartefakte, die die jeweilige Risikokategorie stützen. Dazu gehören mindestens die Beschreibung des Einsatzkontexts, die Zuordnung der betroffenen Personengruppen und der Nachweis, welche Datenflüsse ein System beeinflussen. Ohne diese Dokumentation bleibt jede Transparenzpflicht eine Behauptung, kein prüfbarer Prozess.

In der Praxis sollten Sie Modellversionen, Prompt-Logik, Freigabestatus und Ausgabekanäle so ablegen, dass ein Audit die Entwicklung eines Ergebnisses rückverfolgen kann. Das ist vor allem für Unternehmen wichtig, die mehrere KI-Anwendungen parallel in einer Daten- und Analyseinfrastruktur betreiben. Dann reicht es nicht, nur das Modell zu kennen. Sie müssen auch nachvollziehen, welcher Workflow die Ausgabe erzeugt und welche Rolle das System im Gesamtprozess einnimmt. Sind Transparenzmechanismen integriert, folgt die Umsetzung der Governance- und Kontrollprozesse.

Finanzielle und organisatorische Auswirkungen: Ressourcen, Kosten und Priorisierung bis 2026

Wenn Sie den AI Act nur als Rechtsprojekt behandeln, verpassen Sie den eigentlichen Kostentreiber: Zeit, Personal und Reibungsverluste in der Umsetzung. Ab 2026 laufen mehrere EU-Vorgaben zeitlich zusammen, und Unternehmen müssen verbindliche Anforderungen erfüllen [6]. Für KI-Programme heißt das: Die Compliance-Arbeit konkurriert direkt mit Produktentwicklung, Datenarbeit und IT-Betrieb. Wer diese Belastung nicht früh in die Roadmap einplant, baut später teurer um als nötig.

Kostenrahmen realistisch kalkulieren

Für die Budgetplanung braucht es eine harte Zahl statt einer Bauchschätzung. Laut Quelle können für KI-Compliance Zusatzkosten von 10 bis 20 Prozent der Investitionssumme anfallen [6]. Dieser Korridor ist für Unternehmen relevant, die Modelle, Datenpipelines und Freigabeprozesse nicht nur dokumentieren, sondern technisch nachrüsten müssen. Wer etwa Kennzeichnung, Nachweisführung und Governance erst am Ende ergänzt, verschiebt Aufwand in Change-Budgets und Betriebsaufwände. Besser ist eine frühe Trennung zwischen Basisprojekt und Compliance-Anpassung. So sehen Sie, welche Kosten aus dem eigentlichen Use Case kommen und welche aus der Regulierung. Für den Einkauf von Plattformen und Services sollte die Frage daher nicht lauten, ob Compliance etwas kostet, sondern wo die Anpassung in der Projektkalkulation landet.

Ressourcen für Governance und Dokumentation planen

2026 steht für den Punkt, an dem digitale Vorgaben nicht mehr einzeln betrachtet werden können [6]. Die Folge ist ein spürbarer Druck auf Governance, Dokumentation und Schnittstellen zwischen Fachbereich, IT und Compliance. Wenn Sie KI-Systeme parallel zu anderen regulierten Vorhaben betreiben, brauchen Sie klare Verantwortlichkeiten für Freigaben, Protokolle und Nachweise. Sonst verteilt sich die Arbeit auf zu viele Köpfe, und niemand hält die Linie über alle Systeme hinweg. Sinnvoll ist ein schlanker Steuerungskreis mit festen Rollen: Systemverantwortung, Rechtsprüfung, Datenverantwortung und operatives Tracking. So priorisieren Sie die Systeme, die bis August 2026 wirklich umgebaut sein müssen, statt alle Anwendungen gleich stark zu behandeln. Genau diese Bündelung entscheidet darüber, ob Ihr Team nur reagiert oder den Umbau aktiv steuert.

Der konkrete Fahrplan bis August 2026 – Maßnahmen in drei Phasen

Wenn Sie bis August 2026 erst mit der Detailarbeit beginnen, verteilen sich Schulung, Transparenz und Systemumbau auf zu wenig Zeit. Die Pflichten greifen gestaffelt: Die Pflicht zur KI-Kompetenzvermittlung ist seit dem 2. Februar 2025 anwendbar [3], die Transparenzanforderungen des Art. 50 sowie die umfassenden Pflichten für Hochrisiko-KI-Systeme gelten ab August 2026 [1]. Genau daraus ergibt sich der operative Fahrplan: zuerst inventarisieren, dann befähigen, dann technisch und organisatorisch nachziehen. Wer diese Reihenfolge einhält, reduziert Nacharbeit an Modell, Datenpipeline und Freigabeprozess.

Phase 1: Bestandsaufnahme und Verantwortlichkeiten sofort klären

Starten Sie mit einer Inventur aller KI-Systeme, die im Unternehmen laufen oder in Arbeit sind. Der AI Act folgt einem risikobasierten Ansatz [4], deshalb brauchen Sie nicht nur eine Liste der Tools, sondern auch die Zuordnung von Einsatzkontext, betroffenen Personengruppen und Datenflüssen [3]. Parallel legen Sie fest, wer für System, Daten, Schulung und Freigabe verantwortlich ist. Ohne diese Zuordnung bleibt jede weitere Maßnahme zu langsam. Gerade in daten- und analysegetriebenen Unternehmen ist das der Punkt, an dem sich die spätere Auditierbarkeit entscheidet.

Phase 2: Kompetenzprogramm und Transparenzdesign parallel aufbauen

Seit dem 2. Februar 2025 sind Teile der KI-Kompetenzpflicht anwendbar; Anbieter und Betreiber von KI-Systemen müssen Maßnahmen ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt [3]. Für die Praxis heißt das: Schulungen nicht als Einmaltermin ansetzen, sondern an Nutzungsszenarien koppeln. Wer Chatbots bedient, braucht andere Inhalte als Teams, die Modelle entwickeln oder KI-Ausgaben in Workflows übernehmen. Dokumentieren Sie Zeitpunkt, Teilnehmende und Bezug zum System. Die Europäische Kommission sieht eine Zertifizierung über relevante Schulungen nicht als verpflichtend an; die Dokumentation ist der belastbare Nachweis [3].

Gleichzeitig designen Sie die Transparenzpflichten in den Prozess. Ab August 2026 müssen die Kennzeichnung und die Weitergabe von KI-Inhalten technisch mitlaufen [1]. Das betrifft Modellaufrufe, Content-Pipelines und Schnittstellen gleichermaßen. Wenn Sie die Logik erst in der Endphase ergänzen, wird die Integration deutlich teurer, weil dann auch bestehende Workflows, Freigaben und Exportformate angepasst werden müssen.

Phase 3: Bis Sommer 2026 testen, härten und freigeben

Der letzte Abschnitt vor August 2026 sollte nicht aus Projektstatusrunden bestehen, sondern aus Tests unter Realbedingungen. Prüfen Sie, ob Kennzeichnungen in UI, Export und API konsistent erscheinen. Prüfen Sie, ob Schulungsnachweise auffindbar sind. Prüfen Sie, ob Modell- und Prozessartefakte eine Auditierung tragen. Die organisatorische Last ist real: Für KI-Compliance können Zusatzkosten von 10 bis 20 Prozent der Investitionssumme anfallen [6]. Deshalb lohnt sich jede frühe Entscheidung für Standardisierung und Wiederverwendbarkeit.

Wenn Sie jetzt konkrete Unterstützung brauchen, ist der richtige nächste Schritt eine AI-Act-Umsetzungscheckliste plus eine Compliance-orientierte KI-Systemanalyse. Damit prüfen Sie, welche Systeme bis August 2026 zuerst umgebaut werden müssen und wo Schulung, Kennzeichnung oder Governance noch Lücken haben.

Für den anschließenden Abgleich mit Ihrer Datenarchitektur bietet sich außerdem die KW21: Lokale Analyse, KI-Speicher und neue BI-Datenarchitekturen an; für die Governance-Perspektive auf KI und Risiko hilft der Blick auf KI-Sicherheitsrisiken im Unternehmen sowie auf die AI-Act-Compliance-Anforderungen für Business Intelligence.