News

Ein Monat vor dem Stichtag: Wie unvorbereitet Unternehmen auf die Hochrisiko-Pflichten des AI Act zusteuern

Am 2. August 2026 greifen die Hochrisiko-Pflichten der EU-KI-Verordnung. Ein Benchmark aus dem DACH-Raum deutet an, wie groß die Lücke zwischen Anspruch und Realität noch ist.

Von Anton · · 4 Min. Lesezeit

Am 2. August 2026 werden die zentralen Pflichten der europäischen KI-Verordnung für Hochrisiko-Systeme anwendbar. Wer KI etwa in der Personalauswahl, bei der Kreditvergabe, in Versicherungen oder in kritischer Infrastruktur einsetzt, muss dann Anforderungen an Risikomanagement, Datenqualität, Transparenz und menschliche Aufsicht nachweisen können. Wie weit die Wirtschaft davon entfernt ist, deutet eine aktuelle Erhebung aus dem Compliance-Umfeld an: Von 557 automatisiert geprüften Enterprise-Domains aus Deutschland, Österreich und der Schweiz erreichte laut Anbieterangaben keine einzige den höchsten Reifegrad.

Ein Benchmark mit ernüchterndem Ergebnis

Veröffentlicht hat die Zahlen das Unternehmen Litzki Systems, das mit seiner Plattform CERTavia große Unternehmensauftritte im DACH-Raum automatisiert auf ihre AI-Act-Bereitschaft geprüft hat. Das Ergebnis des "DACH Benchmark 2026": Null von 557 untersuchten Domains erreichten demnach den Status "CERTIFIED". Die Erhebung stammt von einem kommerziellen Anbieter, der mit ihr naturgemäß auch für das eigene Produkt wirbt — die Methodik und die Kriterien des Prüfsiegels sind nicht unabhängig validiert. Als Stimmungsbild taugt sie dennoch, denn sie deckt sich mit dem, was Berater, Verbände und Aufsichtsbehörden seit Monaten berichten: Die Vorbereitung auf den AI Act kommt in weiten Teilen der Wirtschaft nur schleppend voran.

Was am 2. August konkret gilt

Die KI-Verordnung ist bereits seit August 2024 in Kraft, ihre Pflichten greifen aber gestaffelt. Verbote bestimmter Praktiken und Schulungspflichten gelten schon länger, ebenso erste Regeln für KI-Modelle mit allgemeinem Verwendungszweck. Der 2. August 2026 ist der Termin, an dem der Großteil der Verordnung anwendbar wird — insbesondere die umfangreichen Anforderungen an Hochrisiko-Systeme. Anbieter solcher Systeme müssen dann Konformitätsbewertungen durchlaufen, technische Dokumentation vorhalten, eine CE-Kennzeichnung anbringen und ihre Systeme in einer EU-Datenbank registrieren. Auch Betreiber, die fremde Hochrisiko-KI lediglich einsetzen, treffen eigene Pflichten, etwa zur menschlichen Aufsicht und zur Verwendung gemäß Gebrauchsanweisung. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Warum viele Unternehmen zögern

Dass die Umsetzung stockt, hat mehrere Gründe. Zum einen fehlt es vielerorts schlicht an einem Inventar: Wer nicht weiß, welche KI-Werkzeuge im Haus im Einsatz sind — von der Bewerbervorauswahl bis zum Chatbot im Kundenservice —, kann sie auch nicht in Risikoklassen einordnen. Zum anderen sind Teile des Regelwerks noch in Bewegung; harmonisierte Normen und Leitlinien, die die abstrakten Anforderungen konkretisieren sollen, entstehen teils erst jetzt. Viele Mittelständler warten deshalb ab — eine Strategie, die mit jedem Monat riskanter wird, weil Konformitätsbewertungen und Dokumentation Vorlauf brauchen.

Übergangsfristen als Ausweg?

Eine gewisse Entlastung gibt es für Bestandssysteme: Hochrisiko-KI, die bereits vor dem 2. August 2025 in Verkehr gebracht wurde, muss die Anforderungen erst bis August 2027 erfüllen — sofern sie nicht wesentlich verändert wird. Für neue Systeme und für wesentliche Updates gilt diese Schonfrist jedoch nicht. Fachleute empfehlen Unternehmen daher, jetzt mit einer strukturierten Bestandsaufnahme zu beginnen, die eingesetzten Systeme den Risikokategorien zuzuordnen und für die kritischen Fälle Verantwortlichkeiten, Dokumentation und Aufsichtsprozesse aufzusetzen. Der Benchmark aus dem DACH-Raum — bei aller gebotenen Vorsicht gegenüber anbietereigenen Studien — legt nahe, dass genau dieser erste Schritt vielerorts noch aussteht.

Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Ob und welche Pflichten der KI-Verordnung ein Unternehmen konkret treffen, sollte im Einzelfall juristisch geprüft werden.


Redaktionelle Einordnung auf Basis einer Pressemitteilung von Litzki Systems (via openPR.de) sowie öffentlich zugänglicher Informationen zur EU-KI-Verordnung.

Mehr zum Thema

  • Countdown bis zum 2. August: Was der nächste KI-Stichtag für Unternehmen wirklich bedeutet
  • Countdown für die KI-Kennzeichnung: Was Artikel 50 des EU AI Act ab dem 2. August wirklich verlangt
  • Stichtag 2. August 2026: Was die neue Stufe des EU AI Act für Unternehmen bedeutet
  • Wenn der Algorithmus den Geldwäsche-Verdacht meldet: Wie KI die Compliance der Banken umkrempelt
  • Das Finanzamt liest mit: Was die neue Krypto-Meldepflicht ab 2026 bedeutet
  • Nachhilfe für den Außendienst: Warum KI-Schulungen im Vertrieb zum Engpass werden