AI Act: Was deutsche Startups vor August 2026 wissen müssen
Der AI Act gilt ab 2. August 2026 vollständig. Risikokategorien, Pflichten, Bußgelder bis EUR 35 Mio. und Startup-Erleichterungen: was Gründer wissen müssen.
Zusammenfassung
Der EU AI Act gilt ab dem 2. August 2026 vollständig. Die meisten Startups fallen in die Kategorien minimales oder begrenztes Risiko und betreffen nur zwei Pflichten: dokumentierte KI-Kompetenz-Schulung (gilt bereits seit Februar 2025) und Transparenzkennzeichnung bei Chatbots oder KI-generierten Inhalten. Hochrisiko-KI in Bereichen wie Recruiting, Kreditwürdigkeitsprüfung oder Versicherung erfordert ein umfassendes Compliance-Programm mit 8 bis 14 Monaten Vorlauf. Bußgelder reichen bis EUR 35 Mio. oder 7 % des weltweiten Umsatzes, sind für Startups aber proportional gedeckelt.
Der EU AI Act gilt ab dem 2. August 2026 vollständig. Wer in seinem Startup KI einsetzt, muss wissen, welche Regeln greifen. Die meisten Startups fallen in die Kategorie mit minimalem Risiko und haben kaum Pflichten. Aber wer die wenigen relevanten Regeln ignoriert, riskiert Bußgelder bis zu EUR 35 Mio.
Die vier Risikokategorien
Der AI Act teilt jedes KI-System in eine von vier Kategorien ein. Deine Pflichten hängen davon ab, in welche Kategorie dein Produkt fällt.
Unannehmbares Risiko (verboten). Diese KI-Praktiken sind seit dem 2. Februar 2025 untersagt. Dazu gehören Social Scoring, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz und KI, die Verhalten durch unterschwellige Techniken manipuliert. Wenn dein Produkt etwas davon tut: sofort einstellen.
Hohes Risiko. KI-Systeme in Bereichen nach Anhang III der Verordnung: Recruiting und Personalentscheidungen, Kreditwürdigkeitsprüfung, Versicherungsrisikobewertung, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung und Migrationsmanagement. Für diese Systeme gelten die strengsten Anforderungen.
Begrenztes Risiko. Chatbots, Deepfake-Generatoren und andere KI, die mit Menschen interagiert. Hauptpflicht ist Transparenz: Nutzer müssen wissen, dass sie mit KI kommunizieren.
Minimales Risiko. Spamfilter, Übersetzungstools, Rechtschreibkorrektur, einfache Bildbearbeitung. Keine regulatorischen Pflichten.
Die meisten Startup-Produkte fallen in die Kategorien minimal oder begrenzt. Wer ein SaaS-Tool baut, das KI für interne Analysen, Textgenerierung oder Kundensupport-Chatbots nutzt, liegt vermutlich im begrenzten Risiko. Die entscheidende Frage: Trifft oder unterstützt deine KI Entscheidungen über Menschen in den oben genannten Hochrisiko-Bereichen?
Was Startups tun müssen
Alle: KI-Kompetenz (Artikel 4)
Das gilt für jedes Unternehmen, das KI einsetzt, unabhängig von der Risikokategorie. Seit dem 2. Februar 2025 müssen Organisationen sicherstellen, dass Mitarbeiter, die KI-Systeme bedienen oder deren Ergebnisse nutzen, über ausreichende KI-Kompetenz verfügen. In der Praxis bedeutet das: dokumentierte Schulungen.
Das ist die am häufigsten übersehene Pflicht. Sie gilt auch, wenn du nur Drittanbieter-Tools wie ChatGPT oder GitHub Copilot intern nutzt.
Begrenztes Risiko: Transparenz
Enthält dein Produkt einen Chatbot oder generiert es synthetische Inhalte, musst du das offenlegen. Ein einfacher Hinweis wie „Diese Antwort wurde von KI generiert" reicht in der Regel. Deepfakes und KI-generierte Bilder müssen als solche gekennzeichnet werden.
Hohes Risiko: Der volle Pflichtenkatalog
Fällt dein KI-System in die Hochrisiko-Kategorie, sind die Anforderungen erheblich:
| Anforderung | Was es bedeutet |
|---|---|
| Risikomanagementsystem | Dokumentierter Prozess zur Identifikation und Minderung von Risiken |
| Daten-Governance | Trainingsdaten müssen relevant, repräsentativ und fehlerfrei sein |
| Technische Dokumentation | Vollständige Dokumentation von Design, Zweck und Grenzen |
| Aufzeichnungspflichten | Automatische Protokollierung des Systembetriebs |
| Transparenz | Nutzer müssen klare Nutzungsanweisungen erhalten |
| Menschliche Aufsicht | Ein Mensch muss das System interpretieren und übersteuern können |
| Genauigkeit und Robustheit | Zuverlässiger Betrieb und Manipulationsresistenz |
| Konformitätsbewertung | Vor dem Inverkehrbringen: Selbstbewertung oder Drittprüfung |
Die Umsetzung dauert erfahrungsgemäß 8 bis 14 Monate. Wenn dein System möglicherweise hochriskant ist, fang jetzt an.
Bußgelder
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken (Art. 5) | EUR 35 Mio. oder 7 % des weltweiten Jahresumsatzes |
| Hochrisiko-KI-Pflichten | EUR 15 Mio. oder 3 % des weltweiten Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | EUR 7,5 Mio. oder 1 % des weltweiten Jahresumsatzes |
Für KMU und Startups gilt jeweils der niedrigere der beiden Werte. Ein Startup mit EUR 2 Mio. Umsatz zahlt bei Hochrisiko-Verstößen maximal EUR 60.000 (3 % von EUR 2 Mio.), nicht EUR 15 Mio.
Erleichterungen für Startups
Der AI Act enthält Sonderregelungen für kleinere Unternehmen:
Regulatory Sandboxes. Jeder EU-Mitgliedstaat muss bis zum 2. August 2026 mindestens eine KI-Sandbox einrichten. Startups und KMU bekommen priorisierten, kostenfreien Zugang zu diesen Testumgebungen, in denen KI-Systeme unter behördlicher Aufsicht entwickelt und getestet werden können.
Reduzierte Gebühren. Konformitätsbewertungen und regulatorische Gebühren sind für KMU ermäßigt.
Vereinfachte Dokumentation. Die EU-Kommission entwickelt vereinfachte Dokumentationsvorlagen für kleinere Unternehmen.
Verhältnismäßigkeit. Bußgelder orientieren sich an der Unternehmensgröße, wie oben beschrieben.
Zeitplan
| Datum | Was passiert |
|---|---|
| 02.02.2025 | Verbotene Praktiken untersagt; KI-Kompetenzpflicht beginnt |
| 02.08.2025 | Regeln für General-Purpose-KI-Modelle (wie GPT) greifen |
| 02.08.2026 | Vollständige Anwendbarkeit des AI Act, einschließlich Hochrisiko |
| 02.08.2027 | Übergangsfrist für Hochrisiko-KI in bereits regulierten Produkten (Medizinprodukte, Maschinen) |
Die deutsche Situation
Das deutsche Umsetzungsgesetz ist das KI-MIG, das das Bundeskabinett am 11. Februar 2026 als Regierungsentwurf beschlossen hat. Die Bundesnetzagentur wird zentrale Marktüberwachungs- und notifizierende Behörde und beherbergt die Kompetenzstelle KoKIVO. Die BaFin bleibt nach Art. 74 Abs. 6 KI-VO Marktüberwachungsbehörde für KI in regulierten Finanzdienstleistungen; Strafverfolgungs-Anwendungen sitzen in einer unabhängigen Kammer bei der BNetzA. Die EU-Regeln gelten unabhängig vom Stand des nationalen Verfahrens unmittelbar.
Was du jetzt tun solltest
Fazit
Die meisten Startups betreffen nur zwei Pflichten des AI Act: KI-Kompetenz-Schulung (gilt bereits) und Transparenzkennzeichnung (bei Chatbots oder generierten Inhalten). Die Hochrisiko-Kategorie betrifft eine kleinere Gruppe, vor allem im HR-Tech-, Fintech- und Insurtech-Bereich. Wer dort unterwegs ist, muss jetzt anfangen. Für alle anderen: Systeme klassifizieren, Team schulen, KI kennzeichnen, weitermachen. Wird dein KI-System Teil eines Produkts mit digitalen Elementen, legt der Cyber Resilience Act ab September 2026 eigene Cybersicherheits- und 24-Stunden-Meldepflichten oben drauf.
Rechtsquellen
- §Art. 5 EU AI Act — Verbotene KI-Praktiken
- §Art. 6 EU AI Act — Klassifizierung von Hochrisiko-KI
- §Art. 4 EU AI Act — KI-Kompetenzpflicht für alle Betreiber
- §Art. 99 EU AI Act — Bußgelder
- •BMDS, Gesetz zur Durchführung der KI-Verordnung (KI-MIG), Kabinettsbeschluss 11.02.2026 — Deutsches Durchführungsgesetz: benennt die Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungs- und notifizierende Behörde und schafft die Kompetenzstelle KoKIVO; BaFin behält die Zuständigkeit für KI in regulierten Finanzdienstleistungen nach Art. 74 Abs. 6 KI-VO; unabhängige KI-Marktüberwachungskammer bei der BNetzA für Anwendungen nach Art. 74 Abs. 8 KI-VO
- •Verordnung (EU) 2024/1689, Art. 99 Abs. 6 — Für KMU und Startups gilt je Stufe der niedrigere Wert aus Festbetrag oder Prozentsatz des weltweiten Jahresumsatzes; dreht die Standardregel 'je nachdem, was höher ist' um
Häufige Fragen
- Ab wann gilt der AI Act für Startups?
- Der AI Act gilt ab dem 2. August 2026 vollständig. Verbotene KI-Praktiken und die KI-Kompetenzpflicht gelten bereits seit dem 2. Februar 2025.
- Welche Risikokategorien gibt es im AI Act?
- Der AI Act unterscheidet vier Kategorien: unannehmbares Risiko (verboten), hohes Risiko (umfangreiche Compliance), begrenztes Risiko (Transparenzpflicht) und minimales Risiko (keine Pflichten). Die meisten Startup-Produkte fallen in minimales oder begrenztes Risiko.
- Was bedeutet die KI-Kompetenzpflicht nach Artikel 4?
- Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das gilt auch, wenn du nur Drittanbieter-Tools wie ChatGPT intern nutzt. Die Pflicht besteht seit dem 2. Februar 2025.
- Wie hoch sind die Bußgelder unter dem AI Act für Startups?
- Maximale Bußgelder betragen EUR 35 Mio. oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken und EUR 15 Mio. oder 3 % für Hochrisiko-Verstöße. Für Startups gilt jeweils der niedrigere der beiden Werte.
- Gibt es Erleichterungen für Startups im AI Act?
- Ja. Startups bekommen priorisierten, kostenfreien Zugang zu Regulatory Sandboxes, reduzierte Gebühren für Konformitätsbewertungen, vereinfachte Dokumentationsvorlagen und an die Unternehmensgröße angepasste Bußgelder.
Siehe auch
- Cyber Resilience Act: Pflichten für deutsche Tech-Startups 2026
- GmbH vs. UG: Welche Rechtsform für dein Startup?
- KI-MIG: Wer setzt den AI Act in Deutschland durch
- DSGVO für B2B-SaaS: Die sieben Regeln, die deutsche Startups falsch machen
- EU Inc.: Was die neue europäische Rechtsform für deutsche Gründer bedeutet
- NIS2 für deutsche Startups: Wer registrieren muss, was zu tun ist, was es kostet
- Plattformarbeit-Richtlinie: Was deutsche Startups vor Dezember 2026 wissen müssen
Weiterlesen
- 7 minBAG-Workday-Urteil: HR-Daten ohne § 26 BDSG verarbeitenNach BAG 8 AZR 209/21 vom 8.05.2025 ist § 26 Abs. 1 BDSG als Art. 88 DSGVO-Grundlage nicht mehr anwendbar. Startups stützen HR-Daten direkt auf Art. 6 Abs. 1 DSGVO.
- 8 minCookie-Einwilligung in Deutschland: Was Gründer wirklich wissen müssenCookie-Einwilligung in Deutschland hat zwei Ebenen: Das TDDDG regelt den Zugriff auf das Endgerät, die DSGVO die Datenverarbeitung. Was dein Banner braucht.
- 7 minNIS2 für deutsche Startups: Wer registrieren muss, was zu tun ist, was es kostetNIS2 gilt seit 6. Dezember 2025. Die BSI-Registrierungsfrist (6. März 2026) ist abgelaufen. Hier das Scoping- und Maßnahmenplaybook für Founder.
Compliance-Frage?
Registerpflichten, Datenschutz, regulatorische Anforderungen. Lass uns prüfen.
Gespräch buchen