KPMG Klardenker Logo
Was der EU AI Act für Unternehmen bedeutet

EU AI Act: Was Unternehmen 2026 strategisch vorbereiten sollten

Schlüsselaspekte für Innovation, Wettbewerbsfähigkeit und rechtssicheren KI Einsatz.

23.05.2024 | ca. 7 Minuten Lesezeit
Daniel Glöckner
Daniel Glöckner
Jana Seibert
Jana Seibert
Andreas Fachinger
Andreas Fachinger

Keyfacts:

  • Künstliche Intelligenz ermöglicht große Effizienzpotenziale, verlangt aber zugleich ein bewusstes Management von Risiken.
  • Der EU AI Act setzt erstmals einen verbindlichen, risikobasierten Rahmen, der je nach Anwendungsfall gestaffelte Anforderungen vorsieht.
  • Ein KI-Zielbetriebsmodell inklusive zentralem und auch technisch verankerten KI‑Governance-Framework ist für Unternehmen ein entscheidender Erfolgsfaktor.

Dieser Beitrag wird regelmäßig aktualisiert – letzte Aktualisierung am 26.02.2026

Künstliche Intelligenz (KI) wird in vielen Unternehmen täglich und in den unterschiedlichsten Prozessen genutzt – von Advanced Analytics über Machine Learning bis hin zu generativer KI. Neben Effizienzgewinnen sollten aber auch Risiken wie fehlerhafte Ausgaben, Urheberrechtskonflikte oder Grundrechtseingriffe beim Einsatz von KI bedacht werden. Mit dem EU AI Act (auch „KI-Verordnung“ oder „KI-Gesetz“) hat die Europäische Union den weltweit ersten umfassenden Rechtsrahmen für künstliche Intelligenz geschaffen. Der AI Act setzt hierbei auf ein risikobasiertes Regulierungsmodell und flankierende Innovationserleichterungen wie beispielsweise KI-Real-Labore.

>>> Für weiterführende Informationen lesen Sie auch unsere Studie „KI-Risiken im Blick“ mit Empfehlungen zur sicheren und verantwortungsvollen Nutzung von KI und der Etablierung eines KI-Governance-Frameworks.

Die vier zentralen Risikokategorien des AI Acts im Überblick 

  1. Unvertretbares Risiko: KI-Anwendungen, die Verhalten bewerten, Menschen manipulieren oder Schwächen ausnutzen und dadurch zu Benachteiligung oder Gefährdung führen. Der Einsatz dieser Technologien ist verboten (mit Ausnahmen bei Strafverfolgungszwecken).
  2. Hohes Risiko: KI-Systeme, die wesentliche Grundrechte, Sicherheit oder Gesundheit berühren, ohne verboten zu sein. Hier gelten umfangreiche Anforderungen an Datenqualität, Monitoring, Dokumentation und Risikomanagement.
  3. Mittleres Risiko: KI-Systeme mit direkter Interaktion zu natürlichen Personen. Hier sind Transparenz- und Informationspflichten einzuhalten.
  4. Geringes Risiko: Systeme außerhalb der regulierten Kategorien. Hier werden Schulungen der Mitarbeitenden (KI-Kompetenz) sowie optionale Verhaltenskodizes nahegelegt.

Ein Großteil der Vorschriften muss 2026 umgesetzt werden

KI-Systeme mit allgemeinem Verwendungszweck sowie die zugrunde liegenden Modelle (Foundation Models) müssen Transparenzpflichten erfüllen – darunter die Einhaltung des EU-Urheberrechts und veröffentlichte Trainingsdaten. Für Modelle mit systemischem Risiko gelten zusätzliche Prüf- und Überwachungsanforderungen im engen Austausch mit der EU. Es ist vorgesehen, dass 2026 der Großteil der Anforderungen gelten, 2027 dann der Rest. Einige Aspekte stehen derzeit durch die diskutierte Omnibus-Verordnung auf dem Prüfstand.

Geplante Erleichterungen durch Omnibus-Verordnung

Mit dem Vorschlag für eine digitale Omnibus-Verordnung für den Einsatz von KI im November 2025 strebt die EU an, den AI Act praxisnäher und anwendungsfreundlicher zu gestalten. Über die Erleichterungen wird derzeit verhandelt, sie sollen in der zweiten Jahreshälfte 2026 verabschiedet werden.

Das Wichtigste auf einen Blick 

  • Spätere Pflichten für Hochrisiko-KI: Inkrafttreten erst sechs Monate nach Veröffentlichung der Normen, spätestens Dezember 2027 (Annex III). Für regulierte Produkte ab August 2028 (Annex I).
  • Längere Übergänge für Bestands-KI: Bereits vor August 2026 verfügbare Systeme erhalten sechs Monate zusätzlich (bis Februar 2027) zur Erfüllung von Transparenz‑ und Kennzeichnungspflichten.
  • Entlastungen für mehr Unternehmen: Vereinfachte Anforderungen für KMU gelten künftig auch für kleine Midcaps.
  • Kompetenz statt pauschaler Schulungspflichten: Förderung von KI‑Knowhow ersetzt unspezifische Trainingspflichten; Pflichten für Hochrisiko-KI bleiben unverändert.
  • Flexiblere Marktüberwachung: Der verpflichtende EU‑weite Monitoring‑Plan nach Markteintritt entfällt.
  • Reduzierte Registrierung: Weniger Meldepflichten für hochriskante Systeme mit eng begrenztem oder rein technischem Zweck.
  • Erlaubnis zur BiasAnalyse: Bestimmte sensible Daten dürfen unter Schutzvorkehrungen zur Verzerrungsreduktion verarbeitet werden.
  • Mehr Rechtsklarheit: Präzisere Schnittstellen zwischen AI Act und anderen EU‑Rechtsakten sowie optimierte Umsetzungsverfahren.
  • Leitlinien & Standards 2026: Ausarbeitung von Vorgaben zu Klassifizierung, Transparenz, Grundrechtefolgen, Monitoring und DSGVO‑Bezug; parallele Normung durch CENELEC.

Was bedeutet das KI-Gesetz für Unternehmen?

Unternehmen stehen heute vor der doppelten Herausforderung, den Nutzen von künstlicher Intelligenz schnell zu realisieren und zugleich eine robuste, wirksame KI‑Governance aufzubauen. Die Gesetzgebung verstärkt diese Notwendigkeit und macht einen systematischen, strategischen Ansatz unverzichtbar.

Daher ist es naheliegend, zunächst eine KI‑Strategie und ein KI-Zielbetriebsmodell abzuleiten und zu klären: „Welche Ziele verfolgen wir mit KI – und welche bewusst nicht?“ So entsteht ein verbindlicher Rahmen für Prioritäten, Einsatzfelder und Verantwortlichkeiten.

Entlang wesentlicher Dimensionen – etwa Wertschöpfung, Ressourcen, Rollen und Verantwortlichkeiten, Prozesse, Erfolgsmessung und Governance – kann dann der aktuelle Reifegrad analysiert werden. Auf dieser Basis lassen sich gezielte Maßnahmen priorisieren, planen und wirksam umsetzen.

In diesem Zusammenhang sollte der Fokus auch auf KISystemen mit allgemeinem Verwendungszweck liegen, etwa auf unternehmenseigenen GPTModellen – hier sind Datenschutz und Data Governance besonders kritisch, allen voran Herkunft und Rechtmäßigkeit der Trainingsdaten, Datenminimierung sowie Transparenz und Nachvollziehbarkeit modellinterner Entscheidungen. Zudem ist eine konsequente Absicherung gegen Angriffe erforderlich (z. B. regelmäßige RedTeamTests).

Sichere und vertrauenswürdige KI erfordert eine effektive Governance während des gesamten KI-Wertschöpfungsprozesses. Unterstützung bieten hier etablierte Standards wie ISO/IEC 42001, der ein umfassendes KI‑Managementsystem beschreibt – von klar definierten Rollen über strukturierte Prozesse bis zu robusten Kontroll‑ und Überwachungsmechanismen.

Ergänzend dazu bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit QUAIDAL zusätzliche Qualitätskriterien, die insbesondere technische Leistungs- und Sicherheitsmessungen vereinfachen und automatisierbar machen sollen.

Auch die beste KI bleibt wirkungslos, wenn Mitarbeitende sie nicht sicher und zielgerichtet anwenden können. Unternehmen sollten daher systematisch in rollenbasierte Trainingsprogramme investieren, um ein ausreichendes Maß an KI‑ und Datenkompetenz zu gewährleisten.

Fahrplan: So kann Ihr Unternehmen eine effektive KI-Governance etablieren

Ein wirkungsvoller Einstieg in die Umsetzung des EU AI Acts und seiner flankierenden Vorgaben gelingt mit einem klar strukturierten Plan, der die wichtigsten organisatorischen und technischen Schritte bündelt und als Vorbereitung für ein Governance Framework dient:

  • Strategische Richtung festlegen: Eine unternehmensweite KI‑Strategie definieren, die Ambitionen, Anwendungsfelder und Responsible‑AI‑Prinzipien klar beschreibt. Darauf aufbauend ein AI Target Operating Model (KI-Zielbetriebsmodell) entwickeln, das Rollen, Verantwortlichkeiten, Entscheidungsstrukturen und End‑to‑End‑Prozesse festlegt.
  • Transparenz herstellen und Prioritäten setzen: Bestehende KI‑Anwendungen systematisch erfassen – inklusive inoffizieller „Schatten‑KI“ und Ergebnisse als „KI-generiert“ kennzeichnen. KI nach Nutzen, Risiko und regulatorischer Relevanz (z. B. EU GDPR, AI Act) klassifizieren und ergänzend eine GAP-Analyse durchführen. Das ermöglicht eine faktenbasierte Priorisierung von Use Cases und Aufbau relevanter Capabilities.
  • Sofortmaßnahmen umsetzen: Klare KI‑Leitlinien und „Dos/Don’ts“ bereitstellen, insbesondere für Unternehmens‑GPT‑Modelle. Mitarbeitende und Fachbereiche zielgerichtet schulen, technische und organisatorische Leitlinien etablieren (Datenschutz, Zugriffskontrollen, Prompt‑Filter, Logging) und verbindliche Qualitätsstandards für Daten, Modelle und Deployments einführen. So bleibt ihr Unternehmen sicher und handlungsfähig.
  • Strukturiert umsetzen und skalieren: Wiederverwendbare Standards und Architektur‑Patterns entwickeln, Governance‑ und Sicherheitsanforderungen über „Policy‑as‑Code“ automatisieren und ein ganzheitliches Monitoring für Qualität, Risiken und Compliance aufbauen. Durch die Integration zentraler Plattform‑ und Vendor‑Funktionen entsteht ein nachhaltiges, skalierbares KI‑Ökosystem.
  • Wertschöpfung realisieren: Priorisierte Value Cases mit klarem Business Case und messbaren Erfolgskennzahlen entwickeln. Diese zunächst in einer schlanken, funktionsfähigen Erstversion umsetzen, die sich schnell testen lässt – mit dem Ziel, früh zu erkennen, welche Ansätze Wert stiften und welche verworfen werden sollten. Ein Governance‑Shift – etwa durch den Einsatz sicherer Assistenten und Agenten – ermöglicht zugleich mehr Autonomie der Anwender bei klar geregelter Aufsicht und Verantwortlichkeiten.

Bei Fragen und Anregungen sprechen Sie uns gerne hier direkt an.

Hier erfahren Sie mehr: 

KI-Risiken im Blick

Das Whitepaper gibt Empfehlungen für eine KI-Governance, die eine verantwortungsvolle Nutzung der Technologie sicherstellt.

 

Whitepaper herunterladen