Der EU AI Act gilt seit August 2024 – doch nur 8 von 27 EU-Mitgliedstaaten haben bislang die vorgeschriebene Aufsichtsstruktur aufgebaut. Was das für Unternehmen bedeutet, die KI in HR, Kreditwesen oder Gesundheit einsetzen, und warum Abwarten keine Strategie ist.
Das Gesetz gilt – die Aufsicht nicht überall
Der EU AI Act ist kein Zukunftsprojekt. Er ist seit August 2024 in Kraft, und spätestens seit dem 2. August 2025 hätten alle 27 EU-Mitgliedsstaaten ihre nationalen Aufsichtsbehörden und Kontaktstellen für die Durchsetzung benennen müssen. Tatsächlich haben das, laut einer Analyse des Wissenschaftlichen Dienstes des Europäischen Parlaments vom März 2026, erst 8 von 27 Ländern getan.
Das klingt nach einer technischen Verzögerung in Brüssel. Für Unternehmen, die KI in sensiblen Bereichen einsetzen, ist es mehr als das.
Was der EU AI Act tatsächlich regelt
Klingt interessant?
Das Gesetz verfolgt einen risikobasierten Ansatz. KI-Systeme werden in vier Kategorien eingeteilt: verbotene Systeme (zum Beispiel staatliches Social Scoring), Hochrisiko-Systeme, Systeme mit Transparenzpflichten und solche mit minimalem Risiko. Der weitaus größte Teil des regulatorischen Aufwands betrifft die Hochrisiko-Kategorie – und die ist breiter definiert, als viele Unternehmen ahnen.
Wichtig: Das Gesetz trifft nicht nur die Anbieter von KI-Systemen, sondern auch die Unternehmen, die diese einsetzen – sogenannte Deployer. Wer eine fremde KI-Lösung in einem Hochrisiko-Kontext betreibt, übernimmt eigene Pflichten: Dokumentation, Risikobewertung, menschliche Aufsicht und Transparenz gegenüber den betroffenen Personen.
Die Aufsicht ist strukturell zweigeteilt: Nationale Marktüberwachungsbehörden prüfen den Einsatz von KI-Systemen nachträglich – also nachdem sie bereits auf dem Markt sind. Für sogenannte General-Purpose AI Models (GPAI), also große Sprachmodelle wie GPT oder Gemini, gilt dagegen eine zentralisierte Aufsicht durch die EU-Kommission über das AI Office.
Welche Bereiche konkret betroffen sind
Wenn ein Unternehmen fragt, ob es überhaupt von diesen Regeln betroffen ist, lautet die Antwort häufig: ja. Die Hochrisiko-Kategorien umfassen eine Reihe von Bereichen, die im modernen Geschäftsleben längst digital unterstützt werden.
Personalwesen und Recruiting: KI-Systeme, die Bewerbungen filtern, Kandidaten bewerten oder Beförderungsentscheidungen unterstützen, fallen unter die Hochrisiko-Regulierung. Das betrifft nicht nur große HR-Tech-Plattformen, sondern auch mittelständische Unternehmen, die entsprechende SaaS-Tools einsetzen – oft ohne es zu wissen, weil die KI als eingebettetes Feature mitgeliefert wird.
Kreditvergabe und Finanzdienstleistungen: Systeme zur Berechnung von Kreditwürdigkeit oder Versicherungsrisiken gelten als hochriskant. Wer KI für Bonitätsprüfungen oder Limitentscheidungen nutzt – ob selbst entwickelt oder eingekauft – unterliegt strengen Dokumentations- und Überwachungspflichten.
Gesundheitsversorgung: KI in der medizinischen Diagnostik, also Systeme, die Ärzte bei der Diagnose unterstützen oder klinische Entscheidungen beeinflussen, stehen unter besonderer Regulierung.
Rechtliche und behördliche Entscheidungen: KI, die bei Gerichtsverfahren, Asylentscheidungen oder der Strafverfolgung eingesetzt wird, fällt ebenfalls in die Hochrisiko-Kategorie.
Biometrische Identifikation: Echtzeit-Gesichtserkennung im öffentlichen Raum ist weitgehend verboten; andere biometrische Systeme unterliegen strengen Anforderungen.
Für die meisten Mittelständler ist HR-KI der nächste und konkreteste Berührungspunkt – Bewerber-Tracking-Systeme mit integrierter Vorauswahl sind inzwischen auch im unteren Preissegment Standard.
Was „8 von 27 Staaten" in der Praxis bedeutet
Die fehlenden Kontaktstellen zeigen, dass in den meisten EU-Ländern die institutionelle Infrastruktur für eine effektive Durchsetzung noch im Aufbau ist. Das bedeutet nicht, dass die Regeln nicht gelten – der EU AI Act ist geltendes Recht. Aber die Praxis der Aufsicht: wer prüft, wann und wie, nimmt erst Gestalt an.
Hinzu kommt eine aktuelle regulatorische Entwicklung: Am 16. März 2026 stimmten die zuständigen EU-Parlamentsausschüsse dafür, die Anwendung bestimmter Hochrisiko-Regeln zu verschieben. Für KI-Systeme in den explizit gelisteten Hochrisiko-Kategorien – darunter Biometrie, Beschäftigung, Finanzwesen, Gesundheit und Strafverfolgung – wird eine Verschiebung auf den 2. Dezember 2027 vorgeschlagen. Die Abstimmung im Plenum ist für den 26. März 2026 geplant, anschließend folgen Verhandlungen mit dem Rat.
Das ist keine Entwarnung, sondern ein Hinweis auf die Komplexität: Die technischen Standards für die Konformitätsbewertung sind noch nicht finalisiert, und der Gesetzgeber reagiert mit mehr Vorlaufzeit. Das Grundgesetz bleibt in Kraft. Wer die richtigen Prozesse jetzt aufbaut, wird von einer späteren Verschärfung nicht überrascht.
Was DACH-Unternehmen jetzt tun sollten
Abwarten ist keine Strategie. Vier Schritte sind sinnvoll, unabhängig vom genauen Zeitplan der vollständigen Aufsicht:
KI-Bestandsaufnahme: Welche KI-Systeme nutzt Ihr Unternehmen, in welchen Bereichen, und wer ist der Anbieter? Viele Unternehmen haben keine vollständige Übersicht – oft sind es SaaS-Dienste, die KI als Feature mitbringen, ohne dass es ausdrücklich kommuniziert wird.
Risikoklassifizierung: Fällt eine der eingesetzten Anwendungen in eine Hochrisiko-Kategorie? Der praktische Test: Beeinflusst das System Entscheidungen mit wesentlichen Auswirkungen auf natürliche Personen? Wenn ja, sind erhöhte Anforderungen relevant.
Dokumentationsprozesse aufbauen: Für Hochrisiko-KI verlangt der EU AI Act Transparenz-, Überwachungs- und Dokumentationspflichten. Diese Prozesse jetzt einzurichten ist wesentlich einfacher als eine Nachrüstung unter Aufsichtsdruck.
Anbieterverträge prüfen: Als Deployer einer fremden Hochrisiko-KI müssen Sie sich beim Anbieter absichern: Erfüllt das System die EU-AI-Act-Anforderungen? Liegt eine technische Dokumentation vor, ist eine CE-Kennzeichnung geplant oder vorhanden?
Regulierungssichere KI ist kein Widerspruch
Plattformen wie Nopex sind von Anfang an für dieses regulatorische Umfeld konzipiert: DSGVO-konform, mit nachvollziehbaren menschlichen Kontrollpunkten und klarer Dokumentation der KI-Aktivitäten – genau das, was der EU AI Act von Deployern verlangt.
Das Fenster ist offen – aber nicht unbegrenzt
Die Botschaft aus Brüssel ist eindeutig: Die Regulierung kommt, sie gilt bereits, und die Verzögerungen bei der nationalen Umsetzung sind keine Einladung zur Untätigkeit. Unternehmen, die jetzt die richtigen Strukturen aufbauen, wachsen mit der zunehmenden Regulierungsintensität – statt von ihr überrascht zu werden. Die Frage ist nicht ob, sondern wann.
Quellen: EU Parliament Think Tank: Enforcement of the AI Act, März 2026 | EU-Parlament: MEPs support postponement of certain rules on artificial intelligence, März 2026
