KI-Risikobewertung: Wer bis August Dokumentation braucht

Der EU AI Act tritt nicht auf einen Schlag in Kraft. Er rollt in Wellen. Die nächste Welle trifft dich im August 2026 — und viele Mittelständler wissen noch nicht, dass sie gemeint sind.

Ab dem 2. August 2026 gelten die Pflichten für sogenannte Hochrisiko-KI-Systeme vollumfänglich. Das ist der Artikel 6 ff. des EU AI Act, schwarz auf weiß. Wer dann keine Dokumentation vorweisen kann, riskiert Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes.

Ja, du hast richtig gelesen.

Was “Hochrisiko” konkret bedeutet

Hochrisiko klingt nach Rüstung oder autonomen Waffen. Ist es aber nicht. Der Act listet in Anhang III sehr alltägliche Anwendungsfelder:

• KI in der Personalauswahl und im Bewerbermanagement
• KI zur Kreditwürdigkeitsprüfung
• KI in der Aus- und Weiterbildung (z. B. adaptive Lernsysteme)
• KI in sicherheitskritischen Infrastrukturen
• KI in der medizinischen Diagnostik

Konkret: Wer ein Tool einsetzt, das automatisiert Lebensläufe vorselektiert, Kreditscores berechnet oder Mitarbeiterleistungen bewertet — der betreibt oder nutzt wahrscheinlich ein Hochrisiko-KI-System. Das gilt auch dann, wenn du das Tool nicht selbst entwickelt hast, sondern von einem Anbieter eingekauft hast.

Als Nutzer bist du “Deployer” im Sinne des Acts. Und Deployer haben Pflichten.

Was du bis August dokumentiert haben musst

Der Act verlangt von Deployern keine technische Tiefendokumentation — das ist Aufgabe des Anbieters. Aber du bist verantwortlich für drei Dinge:

Erstens: Grundlegende Risikoprüfung. Du musst nachweisen können, dass du das System vor dem Einsatz auf Risiken geprüft hast. Kein Gutachten notwendig, aber ein internes Dokument, das zeigt: Wir haben darüber nachgedacht, was schiefgehen kann, und das festgehalten.

Zweitens: Menschliche Aufsicht. Der Act fordert, dass bei Hochrisiko-Entscheidungen ein Mensch im Loop ist. Das heißt: Kein vollautomatisches Ablehnen von Bewerbungen, keine KI-gestützte Kreditentscheidung ohne menschliche Prüfung. Du brauchst einen dokumentierten Prozess, der das sicherstellt — und du musst zeigen können, wer diese Aufsicht ausübt.

Drittens: Transparenz gegenüber Betroffenen. Wer von einer KI-gestützten Entscheidung betroffen ist — Bewerber, Kreditnehmer, Schüler — muss darüber informiert werden. Nicht zwingend in Echtzeit, aber nachvollziehbar. Eine Klausel in der Datenschutzerklärung reicht meistens nicht.

Der häufigste Fehler im Mittelstand

Die meisten mittelständischen Unternehmen, mit denen ich arbeite, haben das gleiche Problem: Sie haben KI-Tools eingekauft, ohne zu fragen, ob diese Hochrisiko-Systeme im Sinne des Acts sind.

Der Anbieter sagt natürlich: “Das ist ein Assistenztool, keine eigenständige Entscheidung.” Stimmt manchmal. Stimmt aber nicht immer. Und im Zweifelsfall bist du als Deployer in der Pflicht, das selbst zu beurteilen.

Frag deinen Anbieter schriftlich: Stuft ihr euer System als Hochrisiko-KI nach EU AI Act Anhang III ein? Was ist eure CE-Konformitätserklärung? Haben wir Zugang zur technischen Dokumentation nach Artikel 11?

Wer keine Antwort bekommt oder eine ausweichende Antwort, hat ein Problem — und sollte das ernst nehmen.

Was du jetzt tun sollst

Drei konkrete Schritte für die nächsten Wochen:

1. KI-Inventur machen. Liste alle KI-Tools auf, die du aktuell nutzt. Nicht nur die offensichtlichen. Auch HR-Software mit Scoring-Funktionen, Kreditprüfungsmodule, automatisierte Kommunikationsfilter.

2. Hochrisiko-Check durchführen. Gleiche deine Liste mit Anhang III des EU AI Acts ab. Das dauert — wenn du es zum ersten Mal machst — vielleicht zwei Stunden. Kein Jurist notwendig für den ersten Durchgang.

3. Anbieter anschreiben. Für alle Tools, die in Frage kommen: schriftliche Anfrage an den Anbieter. Dokumentiere die Antwort. Das ist kein Nice-to-have, das ist Teil deiner Sorgfaltspflicht.

Was noch bis August passiert

Die EU-Kommission veröffentlicht derzeit noch Leitlinien und delegierte Rechtsakte, die einzelne Pflichten konkretisieren. Einiges davon ist noch nicht final. Das bedeutet aber nicht, dass du warten sollst. Die Grundpflichten — Dokumentation, menschliche Aufsicht, Transparenz — sind klar.

Wer im August überrascht wird, hat im April geschlafen.

Der vollständige Gesetzestext ist frei zugänglich bei EUR-Lex. Ich empfehle, zumindest Artikel 6, 9, 13 und Anhang III selbst zu lesen — nicht um Jurist zu werden, sondern um zu verstehen, worüber wir reden.

Sonnige Grüße, Olga

Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.

Kurzes Gespräch buchen →