EU AI Act August 2026: Checkliste für Hochrisiko-KI
Die Frist 2. August 2026 ist real. Praxis-Checkliste für Konformitätsbewertung, Dokumentation und menschliche Aufsicht nach Anhang III.
Der EU AI Act ist keine Grundsatzdebatte mehr, seit konkrete Daten in der Verordnung stehen. Das für die meisten Unternehmen jetzt entscheidende Datum ist der 2. August 2026 — der Tag, an dem die Pflichten für Hochrisiko-KI-Systeme nach Anhang III durchsetzbar werden. Wer ein Tool zur Bewerbervorauswahl, ein Modell zur Kreditwürdigkeitsprüfung, eine Entscheidungs-Engine für den Zugang zu Diensten oder eine andere KI betreibt, die Ergebnisse für Menschen in einem regulierten Bereich wesentlich prägt, ist von dieser Frist betroffen.
Dies ist eine Praxis-Checkliste, kein juristischer Aufsatz. Sie spiegelt, wie wir bei CC Conceptualise Hochrisiko-Systeme tatsächlich in die Readiness führen — was gebaut, was dokumentiert wird und wo Teams den Aufwand regelmäßig unterschätzen.
Kurzfassung — Die wichtigsten Punkte
- Das harte Datum ist der 2. August 2026. Ab dann brauchen Hochrisiko-Systeme nach Anhang III vor dem Inverkehrbringen eine abgeschlossene Konformitätsbewertung, eine Registrierung in der EU-Datenbank, eine technische Dokumentation, eine Marktbeobachtung und eine menschliche Aufsicht.
- Die Klassifizierung ist der erste und folgenreichste Schritt. Ein Hochrisiko-System fälschlich als begrenztes Risiko einzustufen ist der teuerste Fehler, den wir sehen — und „am Ende unterschreibt ein Mensch" stuft es nicht herab.
- Dokumentation ist ein technisches Artefakt, keine Word-Datei. Die technische Dokumentation nach Artikel 11 und Anhang IV muss abbilden, was Ihr System tatsächlich tut, mit nachvollziehbaren Nachweisen.
- Bußgelder sind Chefsache. Bis zu 15 Millionen EUR oder 3 Prozent des weltweiten Umsatzes bei Hochrisiko-Verstößen; bis zu 35 Millionen EUR oder 7 Prozent bei verbotenen Praktiken.
- ISO/IEC 42001 macht aus dem Hauruck ein System. In Kombination mit dem Act wird Konformität wiederholbar.
Warum diese Frist anders ist
Frühere Meilensteine des AI Act ließen sich gedanklich leicht aufschieben. Die Anfang 2025 wirksam gewordenen Verbote betrafen nur eine schmale Gruppe von Praktiken. Die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die ab dem 2. August 2025 galten, lagen vor allem bei den Modellanbietern; GPAI-Modelle, die vor diesem Datum bereits auf dem Markt waren, haben bis zum 2. August 2027 Zeit. Für die meisten Unternehmen, die KI in eigenen Produkten und im Betrieb einsetzen, erzwang nichts davon ein eigenes Arbeitsprogramm.
Die Hochrisiko-Pflichten tun genau das. Anhang III ist der Bereich, in dem der Großteil unternehmerischer KI lebt — Einstellung, Kreditvergabe, Versicherungs-Underwriting, Zugang zu wesentlichen Diensten, kritische Infrastruktur, Bildung und Unterstützung der Strafverfolgung. Wer ein solches System nach der Frist auf dem EU-Markt bereitstellt oder in Betrieb nimmt, ohne die Pflichten zu erfüllen, ist ab dem ersten Tag nicht konform.
Eine tiefere Auseinandersetzung damit, welche Systeme in den Anwendungsbereich fallen, finden Sie in unserer Analyse zur Hochrisiko-Klassifizierung nach Anhang III.
Die Readiness-Checkliste
Arbeiten Sie diese Punkte der Reihe nach ab. Jeder bedingt den nächsten.
1. Jedes KI-System inventarisieren und klassifizieren
Man kann nicht erfüllen, was man nicht sieht. Die meisten Organisationen, mit denen wir arbeiten, entdecken KI an Stellen, die kein zentrales Register erfasst hat — eine Bewertungstabelle im Einkauf mit eingebettetem Modell, ein still aktiviertes SaaS-Feature, ein Data-Science-Notebook, das in einen Geschäftsprozess überführt wurde.
- Bauen Sie ein einziges Inventar: Systemname, Zweck, Verantwortlicher, Dateninputs, Entscheidungseinfluss, Bereitstellungsstatus.
- Klassifizieren Sie jedes System nach den vier Stufen (inakzeptabel, hoch, begrenzt, minimal).
- Halten Sie die Begründung für jede Hochrisiko-Einstufung fest. Eine Aufsichtsbehörde und Ihre eigene Revision werden fragen: „Warum haben Sie das als hochriskant — oder nicht — eingestuft?"
Eine häufige Falle: Ein internes Tool, das Bewerber sortiert, ist hochriskant, selbst wenn ein Recruiter die finale Entscheidung trifft. Der Act behandelt Systeme, die Entscheidungen in Anhang-III-Bereichen unterstützen, als hochriskant. Ein Mensch in der Schleife reklassifiziert das System nicht.
2. Den Weg der Konformitätsbewertung bestätigen
Sobald ein System hochriskant ist, entscheiden Sie, wie die Konformität nachgewiesen wird.
| Bewertungsweg | Wann er gilt | Was er für Sie bedeutet |
|---|---|---|
| Interne Bewertung (Selbstbewertung) | Die meisten Anhang-III-Systeme bei vollständiger Anwendung harmonisierter Normen | Sie führen die Bewertung durch, tragen aber die Dokumentationslast und müssen sie belastbar belegen |
| Benannte Stelle (Dritter) | Bestimmte biometrische Systeme; wo sektorales Produktrecht es bereits verlangt | Eine akkreditierte Stelle prüft und zertifiziert vor dem Inverkehrbringen; Zeit und Kosten einplanen |
Bestätigen Sie den Weg früh und schriftlich. Erst kurz vor Schluss zu entdecken, dass ein System eine benannte Stelle braucht, sprengt jeden Zeitplan. Unsere vollständige Anleitung zum Verfahren steht im Leitfaden zur Konformitätsbewertung.
3. Die technische Dokumentation aufbauen
Die nach Artikel 11 und Anhang IV geforderte technische Dokumentation ist das Rückgrat der Compliance. Sie ist kein Marketing-Dokument, sondern Nachweis. Mindestens muss sie umfassen:
- Allgemeine Beschreibung — Zweckbestimmung, die Verantwortlichen, Systemversion und Zusammenspiel mit anderen Systemen.
- Detaillierter Entwurf und Entwicklung — Architektur, Designentscheidungen und Kompromisse, Rechenressourcen und die Logik des Systems.
- Daten und Daten-Governance — Trainings-, Validierungs- und Testdatensätze; Herkunft, Kennzeichnung und Maßnahmen zur Verzerrungsminderung.
- Genauigkeit, Robustheit und Cybersicherheit — Leistungskennzahlen, bekannte Grenzen und die schützenden Kontrollen.
- Risikomanagement — die identifizierten Risiken und die angewandten Risikomanagementmaßnahmen, über den Lebenszyklus aktuell gehalten.
- Protokollierung und Rückverfolgbarkeit — wie Ereignisse aufgezeichnet werden, damit Verhalten rekonstruierbar bleibt.
Wir pflegen ein wiederverwendbares Gerüst dafür, damit Teams die Struktur nicht unter Zeitdruck erfinden müssen — siehe die Vorlage für die technische Dokumentation.
4. Menschliche Aufsicht und Risikomanagement umsetzen
Menschliche Aufsicht ist eine Designanforderung, kein Haftungsausschluss. Die aufsichtsführenden Personen müssen die Ausgaben verstehen, Automatisierungsbias erkennen, Ergebnisse korrekt deuten und eingreifen oder das System stoppen können. Das bedeutet echte Schnittstellen, echte Schulung und echte Befugnis zum Übersteuern.
Risikomanagementmaßnahmen müssen unter realistischen Bedingungen geprüft, nicht nur beschrieben werden. Wenn Ihre Gegenmaßnahme für einen bekannten Fehlerfall nie erprobt wurde, ist sie eine Hypothese, keine Kontrolle.
5. Registrieren, erklären, CE-kennzeichnen
Bevor das Hochrisiko-System in Verkehr gebracht oder in Betrieb genommen wird:
- Registrieren Sie es in der EU-Datenbank für Hochrisiko-Systeme.
- Stellen Sie die EU-Konformitätserklärung aus, unterzeichnet durch eine verantwortliche Rolle.
- Bringen Sie die CE-Kennzeichnung an.
Das sind formale, aufeinanderfolgende Schritte. Sie lassen sich nach dem Launch nicht sauber nachholen.
6. Marktbeobachtung etablieren
Mit dem Launch endet die Compliance nicht. Sie brauchen einen operativen Plan zur Marktbeobachtung, der Leistungs- und Vorfalldaten erfasst, einen definierten Prozess zur Meldung schwerwiegender Vorfälle und ein Änderungsmanagement, das bei wesentlicher Änderung eine erneute Bewertung auslöst. Eine wesentliche Änderung kann das System in eine neue Konformitätspflicht zurückziehen.
Ein realistischer Zeitplan
| Aktivität | Vorlaufzeit vor dem 2. August 2026 |
|---|---|
| Inventar und Klassifizierung | Jetzt erledigt; vierteljährlich aktualisieren |
| Bewertungsweg bestätigen | Mindestens 4–6 Monate vorher |
| Aufbau der technischen Dokumentation | 3–6 Monate vorher |
| Test von Aufsicht und Risikokontrollen | 2–4 Monate vorher |
| Registrierung, Erklärung, CE-Kennzeichnung | Vor dem Inverkehrbringen |
| Marktbeobachtung operativ | Zum Go-live |
Wer dies liest und noch kein vollständiges Inventar hat, ist im Rückstand — aber nicht hoffnungslos. Scheitern werden die Systeme, bei denen im Juli noch über die Klassifizierung gestritten wird.
Wo ISO/IEC 42001 hineinpasst
Der Act sagt Ihnen, welche Ergebnisse zu erreichen sind; ein Betriebsmodell liefert er nicht mit. ISO/IEC 42001, die Norm für KI-Managementsysteme, liefert dieses Betriebsmodell — verantwortliche Rollen, einen Risikomanagement-Lebenszyklus, Dokumentationsdisziplin und kontinuierliche Verbesserung. Eine Zertifizierung nach 42001 verleiht keine AI-Act-Konformität, aber das Abbilden ihrer Kontrollen auf die Anhang-III-Pflichten ist der Unterschied zwischen einer einmaligen, schmerzhaften Aktion und einer wiederholbaren Fähigkeit. In unserer Projektarbeit behandeln wir 42001 als Managementebene und die Anforderungen des Acts als die darin eingebettete Konformitätsebene.
Die Fehler, die am meisten kosten
- Die Klassifizierung als Formalität behandeln. Die teuersten Fehler entstehen vorgelagert, im Scoping.
- Dokumentation schreiben, die das beabsichtigte und nicht das eingesetzte System beschreibt. Prüfer vergleichen die Dokumentation mit der Realität.
- Annehmen, ein Lieferantenmodell bedeute Lieferantenhaftung. Wer das System in Verkehr bringt, trägt die Anbieterpflichten, unabhängig davon, wer das Modell trainiert hat. Verankern Sie die Weitergabe der Nachweispflichten in Verträgen.
- Menschliche Aufsicht als Policy-Satz belassen. Sie muss eine funktionierende Fähigkeit mit Menschen sein, die tatsächlich eingreifen können.
Unterstützung
Wir führen unternehmensweite KI-Systeme durchgängig durch diesen Prozess — Klassifizierung, Bewertungsweg, technische Dokumentation, Gestaltung der Aufsicht und das umgebende Managementsystem. Wenn Sie ein Anhang-III-System und eine Frist im August 2026 haben, ist jetzt der Zeitpunkt zu beginnen. Mehr zu unseren Leistungen rund um KI und Datenplattformen, oder sprechen Sie uns für eine fokussierte Readiness-Prüfung an.
FAQ
Was wird am 2. August 2026 nach dem EU AI Act konkret fällig? Ab dem 2. August 2026 werden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III durchsetzbar. Anbieter müssen vor dem Inverkehrbringen eine Konformitätsbewertung abschließen, das System in der EU-Datenbank registrieren, die technische Dokumentation führen, eine Marktbeobachtung nach dem Inverkehrbringen betreiben und eine wirksame menschliche Aufsicht sicherstellen.
Woran erkenne ich, ob mein KI-System nach Anhang III hochriskant ist? Ein System ist hochriskant, wenn es in einem Anhang-III-Bereich eingesetzt wird, etwa Beschäftigung und Personalmanagement, Zugang zu wesentlichen privaten und öffentlichen Diensten, Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildung oder Strafverfolgung. Auch Systeme, die als Sicherheitsbauteil bereits EU-regulierter Produkte fungieren, sind hochriskant. Wenn ein Werkzeug Entscheidungen über Personen in diesen Bereichen wesentlich beeinflusst, behandeln Sie es als hochriskant, bis eine dokumentierte Bewertung das Gegenteil belegt.
Dürfen wir selbst bewerten oder brauchen wir eine benannte Stelle? Die meisten Hochrisiko-Systeme nach Anhang III können eine interne Konformitätsbewertung auf Basis harmonisierter Normen nutzen, sofern diese vollständig angewandt werden. Eine Bewertung durch eine benannte Stelle ist vor allem bei bestimmten biometrischen Systemen erforderlich sowie dort, wo sektorale Produktgesetzgebung dies bereits vorschreibt. Der Weg sollte schriftlich als Teil der Readiness-Arbeit bestätigt werden.
Welche Bußgelder drohen bei Verstößen im Hochrisiko-Bereich? Verstöße gegen Hochrisiko-Pflichten können bis zu 15 Millionen EUR oder 3 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Verbotene Praktiken sind mit bis zu 35 Millionen EUR oder 7 Prozent strenger sanktioniert. Allein das finanzielle Risiko rechtfertigt es, die Frist August 2026 als Thema für die Geschäftsleitung zu behandeln.
Wie hängt ISO/IEC 42001 mit dem EU AI Act zusammen? ISO/IEC 42001 ist die Norm für KI-Managementsysteme. Sie verleiht für sich genommen keine AI-Act-Konformität, liefert aber das Governance-Gerüst aus Rollen, Risikomanagement, Lebenszyklus-Kontrollen und Dokumentationsdisziplin, das die Erfüllung der Anhang-III-Pflichten wiederholbar macht statt zur einmaligen Hauruck-Aktion. Wir bilden die 42001-Kontrollen typischerweise direkt auf die Anforderungen des Acts ab.
Wir nutzen ein Drittanbieter- oder GPAI-Modell. Sind wir damit aus dem Schneider? Nein. Wer ein Hochrisiko-System in Verkehr bringt oder in Betrieb nimmt, trägt die Anbieterpflichten, auch wenn das zugrunde liegende Modell von einem Lieferanten stammt. Sie benötigen vertragliche Nachweise, eine Weitergabe der Nachweispflichten entlang der Lieferkette und Klarheit darüber, wer welche Pflicht trägt. GPAI-Anbieter haben einen eigenen Zeitplan: Modelle, die vor August 2025 auf dem Markt waren, müssen bis zum 2. August 2027 konform sein.
Themen