EU AI Act 2026: Das Compliance-Vakuum für DACH-KMUs

Der EU AI Act ist in Kraft. Die August-2026-Deadline rückt näher. Aber die Regeln, die Unternehmen eigentlich befolgen sollen — die fehlen noch. Am 2. Februar 2026 hat die EU-Kommission die gesetzlich vorgeschriebene Frist verpasst, die zentrale Umsetzungs-Guidance zu Artikel 6 zu liefern. Das Ergebnis: ein Compliance-Vakuum, das tausende DACH-Unternehmen in einer unangenehmen Lage lässt — verpflichtet, ohne zu wissen, wozu genau.

Dieser Post erklärt, was das konkret bedeutet, welche KI-Systeme betroffen sind, und was ein pragmatisches DACH-KMU jetzt tun sollte.

Was der EU AI Act für KMUs bedeutet: Die Zeitlinie

Der EU AI Act trat am 1. August 2024 in Kraft. Die Pflichten rollen seitdem in Phasen aus:

• 2. Februar 2025 (bereits gültig): Verbotene KI-Praktiken — darunter Social Scoring durch staatliche Stellen, manipulative Systeme, bestimmte biometrische Echtzeitüberwachung
• 2. August 2025 (bereits gültig): Pflichten für Anbieter von General-Purpose AI (GPAI) Modellen — also Unternehmen, die eigene große Sprachmodelle entwickeln oder vertreiben
• 2. August 2026 (in 4 Monaten): Volle Compliance für Hochrisiko-KI-Systeme — Registrierung, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung

Für die meisten DACH-KMUs ist die August-2026-Deadline die relevante. Wer jetzt KI-Systeme im Einsatz hat oder plant, muss wissen: Zählt das als "Hochrisiko"?

Genau diese Frage hätte die verpasste Guidance beantworten sollen.

Wichtiger Einschub zum Digital Omnibus: Die EU-Kommission hat Ende 2025 das sogenannte Digital Omnibus-Paket vorgeschlagen, das die Hochrisiko-Pflichten bis Dezember 2027 (bei Standalone-Systemen) bzw. August 2028 (bei produktintegrierten Systemen) verschieben würde. Das Paket befindet sich Stand April 2026 noch im Gesetzgebungsprozess — die finale Abstimmung im EU-Parlament ist frühestens Mitte 2026 zu erwarten. Solange der Digital Omnibus nicht formal verabschiedet ist, gilt August 2026 als rechtlich verbindlich. Auf Verschiebung zu warten ist keine Strategie.

Das Compliance-Vakuum: Was fehlt — und warum

Artikel 6 des EU AI Act definiert, wann ein KI-System als hochriskant eingestuft wird. Art. 6(5) verpflichtet die Kommission, bis zum 2. Februar 2026 Guidance zu liefern: eine praktische Liste mit konkreten Beispielen, was als Hochrisiko gilt und was nicht.

Diese Guidance liegt bis heute nicht vor.

Die EU-Kommission hat laut IAPP bestätigt, dass sie Feedback aus monatelangen Konsultationen einarbeitet. Ein finaler Entwurf war für Ende Februar 2026 angekündigt — passiert ist wenig. Gleichzeitig hinken auch die CEN-CENELEC-Standardisierungsausschüsse hinterher: Die harmonisierten technischen Normen, die Unternehmen für die Konformitätsbewertung brauchen, werden voraussichtlich erst Ende 2026 vorliegen — nach der Enforcement-Deadline.

Das Ergebnis ist ein strukturelles Dilemma:

• Die Deadline bleibt bestehen
• Die Interpretationsregeln fehlen
• Die technischen Normen kommen zu spät
• Unternehmen können sich nicht final zertifizieren lassen

DigitalEurope spricht von einem "regulatorischen Vakuum". BITKOM fordert eine Soft-Enforcement-Phase. Bis die Guidance da ist und die nationalen Behörden Sanktionspraktiken definiert haben, sind Unternehmen auf konservative Eigeninterpretation angewiesen.

Was das für DACH-KMUs konkret bedeutet

Welche KI-Systeme gelten als Hochrisiko?

Annex III des EU AI Act lischt die Kategorien auf, in denen KI-Systeme automatisch als hochriskant gelten. Für DACH-KMUs besonders relevant:

Personalentscheidungen (HR): Systeme zur automatisierten Bewerberbewertung, CV-Screening, Ranglisten von Kandidaten — hochriskant. Wenn ihr einen KI-Assistenten nutzt, der Bewerber filtert oder bewertet: betroffen.

Kreditwürdigkeit und Finanzdienstleistungen: KI-Systeme, die Kreditrisiken bewerten oder Finanzentscheidungen für Privatpersonen beeinflussen — hochriskant. Relevant für alle, die im Finanzbereich mit automatisierten Scoring-Systemen arbeiten.

Bildung und Weiterbildung: Systeme, die Prüfungsergebnisse bewerten oder Zulassungsentscheidungen treffen — hochriskant.

Sicherheitskritische Infrastruktur: KI in Energie-, Wasser- oder Transportnetzen — hochriskant.

Was typischerweise NICHT hochriskant ist: Ein KI-Chatbot für den Kundensupport. Ein KI-Schreibassistent für Marketing-Texte. Ein Automatisierungs-Tool, das Rechnungen verarbeitet oder Termine plant. Diese Systeme fallen in die Niedrigrisikozone — mit deutlich weniger Pflichten.

Die ehrliche Einschätzung: Die überwiegende Mehrheit der DACH-KMUs mit 20 bis 200 Mitarbeitern, die KI für Texterstellung, Zusammenfassungen, interne Recherche oder einfache Prozessautomatisierung nutzen, ist von den Hochrisiko-Anforderungen nicht direkt betroffen. Die kritische Frage ist immer: Trifft das System Entscheidungen, die Menschen wesentlich beeinflussen — Jobchancen, Kredite, Bildungswege, Sicherheit?

Was droht bei Non-Compliance?

Artikel 99 des EU AI Act sieht ein dreistufiges Bußgeldsystem vor:

• Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes (höherer Wert gilt): Verstöße gegen die Verbote verbotener KI-Praktiken
• Bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes: Non-Compliance bei Hochrisiko-Anforderungen
• Bis zu 7,5 Millionen Euro oder 1% des weltweiten Jahresumsatzes: Falsche oder irreführende Angaben gegenüber Behörden

Das Gesetz hält fest, dass die Strafen "wirksam, verhältnismäßig und abschreckend" sein müssen — und explizit die Interessen von KMUs berücksichtigen. Für ein Unternehmen mit 5 Millionen Euro Jahresumsatz bedeutet Tier-2-Non-Compliance theoretisch bis zu 150.000 Euro — nicht existenzbedrohend, aber auch kein Kavaliersdelikt.

3 Schritte, die jetzt sinnvoll sind

Kein Alarmismus. Aber auch kein Abwarten. Das hier können alle DACH-KMUs unabhängig vom Ausgang des Digital Omnibus oder der noch fehlenden Art.-6-Guidance tun:

Schritt 1: KI-Inventar anlegen — in 2 Stunden

Listet alle KI-Tools auf, die ihr aktuell nutzt oder plant. Für jedes System: eine Entscheidung ob es Entscheidungen über Menschen trifft, die wesentliche Folgen haben. Wenn die Antwort "nein" ist: Niedrigrisiko, weitermachen.

Das Inventar ist nützlich unabhängig von der EU — weil ihr dann wisst, was ihr habt, was es kostet, und wo Abhängigkeiten liegen.

Schritt 2: Konservative Risikoeinstufung — Annex III als Filter

Geht Annex III durch. Für jedes System im Inventar: passt die Kategorie? HR-Systeme, Kreditbewertung, Bildungsentscheidungen — wenn ja, konservativ als Hochrisiko einzustufen ist die sichere Wahl. Wer in dieser Kategorie operiert, braucht in den nächsten Monaten: technische Dokumentation, Risikomanagementsystem, Log-Keeping für Audit-Trails, menschliche Aufsicht im Prozess.

Diese Anforderungen sind auch unabhängig vom EU AI Act vernünftige Praxis bei KI-gestützten Entscheidungen.

Schritt 3: Monitoring einrichten — monatlich 30 Minuten

Die Guidance wird kommen — wahrscheinlich noch im Frühjahr 2026. Jemanden benennen, der die Updates der EU-Kommission und des EU AI Act Service Desk verfolgt. Kein Vollzeitjob. Ein monatlicher Check reicht, um vorbereitet zu sein, wenn die finalen Regeln landen.

Wie OptimusFlow Consulting das angeht

KI-Implementierung ohne Compliance-Gedanken ist wie Bauen ohne Statik. Wir integrieren EU AI Act-Anforderungen von Anfang an in KI-Projekte — nicht als nachträgliches Audit, sondern als Teil der Architektur. Das bedeutet: klare Dokumentation von Entscheidungsprozessen, nachvollziehbare Logs, definierte menschliche Kontrollpunkte wo nötig.

Wenn ihr aktuell KI-Systeme implementiert oder plant und wissen wollt, ob und wo ihr im Hochrisiko-Bereich operiert: Das ist eine Frage, die sich in einem ersten Gespräch gut klären lässt.

Häufige Fragen

Bin ich als KMU mit 30 Mitarbeitern überhaupt vom EU AI Act betroffen?

Kommt auf den Einsatz an. Nutzt ihr KI für Texte, Zusammenfassungen, einfache Automatisierungen? Dann sind die Hochrisiko-Anforderungen mit hoher Wahrscheinlichkeit nicht relevant. Setzt ihr KI für HR-Entscheidungen, Kreditbewertungen oder sicherheitskritische Prozesse ein? Dann ja — unabhängig von der Unternehmensgröße. Der EU AI Act kennt keine Mitarbeiterzahl-Schwelle; er fragt nach der Art des KI-Einsatzes.

Was sind Hochrisiko-KI-Systeme konkret?

Systeme, die in Annex III des EU AI Acts gelistete Bereiche abdecken: automatisiertes Recruiting und Bewerberbewertung, Kreditwürdigkeitsprüfung für Privatpersonen, KI in Bildungszugang und Prüfungsbewertung, biometrische Identifikation, KI in kritischer Infrastruktur (Energie, Wasser, Transport), Systeme in der Strafverfolgung oder Migrationskontrolle. Ein KI-Chatbot für den Kundensupport oder ein Texterstellungstool ist kein Hochrisikosystem.

Was sind die Bußgelder bei Non-Compliance?

Drei Stufen: Verstöße gegen verbotene Praktiken bis zu 35 Millionen Euro oder 7% des Jahresumsatzes. Non-Compliance bei Hochrisiko-Anforderungen bis zu 15 Millionen Euro oder 3% des Jahresumsatzes. Falsche Angaben gegenüber Behörden bis zu 7,5 Millionen Euro oder 1% des Jahresumsatzes. Die Strafrahmen werden "verhältnismäßig" angewendet — KMUs werden nicht auf demselben Niveau wie Großkonzerne bestraft. Aber: Ignorieren ist kein Plan.

Was bedeutet das "Compliance-Vakuum" praktisch — muss ich trotzdem handeln?

Ja. Die fehlende Art.-6-Guidance bedeutet, dass ihr noch keine vollständige Zertifizierung abschließen könnt. Aber die August-2026-Enforcement-Deadline ist rechtlich bindend — und wer bis dahin keine Vorbereitungen getroffen hat, steht schlechter da. Die Empfehlung der Verbände (BITKOM, DigitalEurope) ist einheitlich: Konservativ einzustufen, jetzt zu dokumentieren, und auf die Guidance zu reagieren sobald sie kommt — nicht erst dann zu beginnen.

Was ändert sich, wenn der Digital Omnibus verabschiedet wird?

Wenn das Digital Omnibus-Paket formal durch EU-Parlament und Rat geht (frühestens Mitte 2026), würden die Hochrisiko-Anforderungen auf Dezember 2027 verschoben. Das gibt mehr Zeit — aber nicht Null Verpflichtungen. GPAI-Pflichten (seit August 2025 gültig) und die Verbote verbotener Praktiken (seit Februar 2025 gültig) bleiben bestehen. Und: Wer die Zeit für Inventar, Dokumentation und interne Awareness nutzt, hat einen strukturellen Vorteil — egal wann die finale Deadline kommt.

Quellen & Weiterführende Links

• EU-Kommission verpasst Art.-6-Deadline — IAPP
• Artikel 6: Klassifikationsregeln Hochrisiko-KI
• Annex III: Hochrisiko-KI-Systeme im Überblick
• EU AI Act Artikel 99: Bußgelder
• Implementierungs-Timeline EU AI Act
• Digital Omnibus: Vorschlag zur Verschiebung der Hochrisiko-Pflichten — OneTrust
• EU AI Act Service Desk der Kommission

Weiterführende Posts: [Die KI-Proof-of-Concept-Falle — und der EU AI Act](/blog/ki-strategie-dach-poc-falle) · [Prompt Injection: Das unterschätzte KI-Sicherheitsrisiko](/blog/prompt-injection-ki-sicherheit-kmu) · [KI-Automatisierung für KMUs: Leitfaden 2025](/blog/ki-automatisierung-kmu-leitfaden-2025)

Wissen, ob euer KI-Einsatz Hochrisiko ist? [Erstgespräch anfragen →](/erstgesprach)