Compliance

AI Act: Was deutsche Startups vor August 2026 wissen müssen

Der AI Act gilt ab August 2026 vollständig. Risikokategorien, Pflichten, Bußgelder und die Erleichterungen für Startups im Überblick.

Immo Ait Stapelfeld·Rechtsanwalt·9. April 2026·Geprüft 12. April 2026·5 Min. Lesezeit

Der EU AI Act gilt ab dem 2. August 2026 vollständig. Wer in seinem Startup KI einsetzt, muss wissen, welche Regeln greifen. Die meisten Startups fallen in die Kategorie mit minimalem Risiko und haben kaum Pflichten. Aber wer die wenigen relevanten Regeln ignoriert, riskiert Bußgelder bis zu EUR 35 Mio.

Die vier Risikokategorien

Der AI Act teilt jedes KI-System in eine von vier Kategorien ein. Deine Pflichten hängen davon ab, in welche Kategorie dein Produkt fällt.

Unannehmbares Risiko (verboten). Diese KI-Praktiken sind seit dem 2. Februar 2025 untersagt. Dazu gehören Social Scoring, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz und KI, die Verhalten durch unterschwellige Techniken manipuliert. Wenn dein Produkt etwas davon tut: sofort einstellen.

Hohes Risiko. KI-Systeme in Bereichen nach Anhang III der Verordnung: Recruiting und Personalentscheidungen, Kreditwürdigkeitsprüfung, Versicherungsrisikobewertung, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung und Migrationsmanagement. Für diese Systeme gelten die strengsten Anforderungen.

Begrenztes Risiko. Chatbots, Deepfake-Generatoren und andere KI, die mit Menschen interagiert. Hauptpflicht ist Transparenz: Nutzer müssen wissen, dass sie mit KI kommunizieren.

Minimales Risiko. Spamfilter, Übersetzungstools, Rechtschreibkorrektur, einfache Bildbearbeitung. Keine regulatorischen Pflichten.

Die meisten Startup-Produkte fallen in die Kategorien minimal oder begrenzt. Wer ein SaaS-Tool baut, das KI für interne Analysen, Textgenerierung oder Kundensupport-Chatbots nutzt, liegt vermutlich im begrenzten Risiko. Die entscheidende Frage: Trifft oder unterstützt deine KI Entscheidungen über Menschen in den oben genannten Hochrisiko-Bereichen?

Was Startups tun müssen

Alle: KI-Kompetenz (Artikel 4)

Das gilt für jedes Unternehmen, das KI einsetzt, unabhängig von der Risikokategorie. Seit dem 2. Februar 2025 müssen Organisationen sicherstellen, dass Mitarbeiter, die KI-Systeme bedienen oder deren Ergebnisse nutzen, über ausreichende KI-Kompetenz verfügen. In der Praxis bedeutet das: dokumentierte Schulungen.

Das ist die am häufigsten übersehene Pflicht. Sie gilt auch, wenn du nur Drittanbieter-Tools wie ChatGPT oder GitHub Copilot intern nutzt.

Begrenztes Risiko: Transparenz

Enthält dein Produkt einen Chatbot oder generiert es synthetische Inhalte, musst du das offenlegen. Ein einfacher Hinweis wie „Diese Antwort wurde von KI generiert" reicht in der Regel. Deepfakes und KI-generierte Bilder müssen als solche gekennzeichnet werden.

Hohes Risiko: Der volle Pflichtenkatalog

Fällt dein KI-System in die Hochrisiko-Kategorie, sind die Anforderungen erheblich:

Anforderung	Was es bedeutet
Risikomanagementsystem	Dokumentierter Prozess zur Identifikation und Minderung von Risiken
Daten-Governance	Trainingsdaten müssen relevant, repräsentativ und fehlerfrei sein
Technische Dokumentation	Vollständige Dokumentation von Design, Zweck und Grenzen
Aufzeichnungspflichten	Automatische Protokollierung des Systembetriebs
Transparenz	Nutzer müssen klare Nutzungsanweisungen erhalten
Menschliche Aufsicht	Ein Mensch muss das System interpretieren und übersteuern können
Genauigkeit und Robustheit	Zuverlässiger Betrieb und Manipulationsresistenz
Konformitätsbewertung	Vor dem Inverkehrbringen: Selbstbewertung oder Drittprüfung

Die Umsetzung dauert erfahrungsgemäß 8 bis 14 Monate. Wenn dein System möglicherweise hochriskant ist, fang jetzt an.

Bußgelder

Verstoß	Maximales Bußgeld
Verbotene KI-Praktiken (Art. 5)	EUR 35 Mio. oder 7 % des weltweiten Jahresumsatzes
Hochrisiko-KI-Pflichten	EUR 15 Mio. oder 3 % des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behörden	EUR 7,5 Mio. oder 1 % des weltweiten Jahresumsatzes

Für KMU und Startups gilt jeweils der niedrigere der beiden Werte. Ein Startup mit EUR 2 Mio. Umsatz zahlt bei Hochrisiko-Verstößen maximal EUR 60.000 (3 % von EUR 2 Mio.), nicht EUR 15 Mio.

Erleichterungen für Startups

Der AI Act enthält Sonderregelungen für kleinere Unternehmen:

Regulatory Sandboxes. Jeder EU-Mitgliedstaat muss bis zum 2. August 2026 mindestens eine KI-Sandbox einrichten. Startups und KMU bekommen priorisierten, kostenfreien Zugang zu diesen Testumgebungen, in denen KI-Systeme unter behördlicher Aufsicht entwickelt und getestet werden können.

Reduzierte Gebühren. Konformitätsbewertungen und regulatorische Gebühren sind für KMU ermäßigt.

Vereinfachte Dokumentation. Die EU-Kommission entwickelt vereinfachte Dokumentationsvorlagen für kleinere Unternehmen.

Verhältnismäßigkeit. Bußgelder orientieren sich an der Unternehmensgröße, wie oben beschrieben.

Zeitplan

Datum	Was passiert
02.02.2025	Verbotene Praktiken untersagt; KI-Kompetenzpflicht beginnt
02.08.2025	Regeln für General-Purpose-KI-Modelle (wie GPT) greifen
02.08.2026	Vollständige Anwendbarkeit des AI Act, einschließlich Hochrisiko
02.08.2027	Übergangsfrist für Hochrisiko-KI in bereits regulierten Produkten (Medizinprodukte, Maschinen)

Die deutsche Situation

Deutschland hat noch kein nationales Umsetzungsgesetz verabschiedet. Die Bundesnetzagentur wird voraussichtlich nationale Aufsichtsbehörde, aber die verfahrensrechtlichen Details stehen noch aus. Das schafft Unsicherheit in der praktischen Durchsetzung. Die EU-Regeln gelten unabhängig von der nationalen Umsetzung unmittelbar.

Was du jetzt tun solltest

Checkliste

AI Act Compliance-Checkliste für Startups

0/5

Fazit

Die meisten Startups betreffen nur zwei Pflichten des AI Act: KI-Kompetenz-Schulung (gilt bereits) und Transparenzkennzeichnung (bei Chatbots oder generierten Inhalten). Die Hochrisiko-Kategorie betrifft eine kleinere Gruppe, vor allem im HR-Tech-, Fintech- und Insurtech-Bereich. Wer dort unterwegs ist, muss jetzt anfangen. Für alle anderen: Systeme klassifizieren, Team schulen, KI kennzeichnen, weitermachen.

Rechtsquellen

§Art. 5 EU AI Act — Verbotene KI-Praktiken
§Art. 6 EU AI Act — Klassifizierung von Hochrisiko-KI
§Art. 4 EU AI Act — KI-Kompetenzpflicht für alle Betreiber
§Art. 99 EU AI Act — Bußgelder

Siehe auch

Weiterlesen

6 min
DSGVO für B2B-SaaS: Die sieben Regeln, die deutsche Startups falsch machenB2B-SaaS-Unternehmen sind unter der DSGVO gleichzeitig Verantwortliche und Auftragsverarbeiter. Die sieben wichtigsten Vorschriften, deutsche Besonderheiten und echte Bußgeldpraxis.

Compliance-Frage?

Registerpflichten, Datenschutz, regulatorische Anforderungen. Lass uns prüfen.

Gespräch buchen