← Blog

24. Januar 2026

EU AI Act Checklist 2026: Was Unternehmen wissen müssen

Der EU AI Act tritt 2026 schrittweise in Kraft. Für viele Unternehmen bedeutet das: neue Pflichten bei der Nutzung und dem Einsatz von KI-Systemen. Diese Checkliste hilft bei der ersten Einordnung – ohne Anspruch auf Vollständigkeit oder Rechtsberatung.

1. Verbotene KI-Anwendungen

Bestimmte KI-Anwendungen sind in der EU verboten. Dazu zählen u. a.:

  • Social Scoring
  • Manipulation durch Subliminal-Techniken
  • Ausnutzung von Vulnerabilitäten (z. B. Alter, Behinderung)
  • Biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit engen Ausnahmen)
  • Emotionserkennung am Arbeitsplatz und im Bildungswesen (mit Ausnahmen)

Check: Nutzt Ihr Unternehmen oder Ihre Zulieferer eine dieser Anwendungen? Dann ist eine Anpassung oder ein Verzicht nötig.

2. Hochrisiko-KI-Systeme

KI in kritischen Bereichen (z. B. kritische Infrastruktur, Bildung, Beschäftigung, Rechtspflege) gilt als hochrisiko. Hier gelten strenge Anforderungen an:

  • Risikomanagement, Datenqualität, Dokumentation
  • Menschliche Aufsicht und Transparenz
  • Konformitätsbewertung vor Inverkehrbringen/Inbetriebnahme

Check: Fällt Ihr KI-Einsatz in einen der in Anhang III genannten Bereiche? Dann planen Sie frühzeitig Konformität und ggf. eine DSFA (Datenschutz-Folgenabschätzung).

3. Transparenzpflichten

Für bestimmte Systeme (z. B. Chatbots, Deepfakes, Emotionserkennung) gelten Transparenzpflichten: Nutzer müssen erkennen können, dass sie mit KI interagieren. Zusätzlich können Kennzeichnungspflichten für generierte Inhalte bestehen.

Check: Setzen Sie generative KI (ChatGPT, Copilot o. Ä.) ein? Prüfen Sie, ob Kennzeichnung und ggf. Offenlegung gegenüber Nutzern nötig sind.

4. Generelle Risiko-Einordnung

Nicht jede KI ist verboten oder hochrisiko. Viele Anwendungen fallen unter „begrenztes Risiko“ oder „minimales Risiko“. Entscheidend ist eine systematische Einordnung jedes konkreten Use Cases.

Check: Führen Sie eine klare Liste Ihrer KI-Use-Cases (intern und von Zulieferern) und ordnen Sie sie den Kategorien des AI Act zu.

5. Nächste Schritte

Für die Praxis empfehlen sich: (1) Inventarisierung aller KI-Anwendungen, (2) Zuordnung zu Verboten/Hochrisiko/Transparenz/minimal, (3) Maßnahmenplan für Konformität und Dokumentation, (4) Einbindung von Datenschutz und ggf. Rechtsberatung.

KI-Use-Cases in wenigen Minuten einordnen?

Unser regelbasiertes Governance-System unterstützt bei der ersten Einordnung nach AI Act & DSGVO - inkl. Prüfprotokoll.

Jetzt kostenlos testen