Noch 133 Tage. So viel Zeit bleibt deutschen Unternehmen, bevor die Europäische Union ernst macht.
Am 2. August 2026 treten die zentralen Vorschriften des EU AI Act in Kraft. Von diesem Tag an können Verstöße gegen die Regeln für Hochrisiko-KI-Systeme mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden. Für Anbieter sogenannter General-Purpose-AI-Modelle drohen Strafen von bis zu 15 Millionen Euro oder drei Prozent des Umsatzes. Es sind Größenordnungen, die an die Einführung der Datenschutz-Grundverordnung erinnern — mit einem entscheidenden Unterschied: Diesmal wissen die Unternehmen, was kommt. Die Frage ist, ob sie darauf vorbereitet sind.
Ein Bericht des Think Tank des Europäischen Parlaments vom 17. März 2026 analysiert, wie die Durchsetzung konkret aussehen soll. Das Modell ist hybrid: Nationale Behörden der Mitgliedstaaten und die Europäische Kommission teilen sich die Aufsicht. Unterstützt werden sie durch ein European AI Board, ein wissenschaftliches Expertenpanel und ein AI Advisory Forum. In Brüssel übernimmt das AI Office die Kontrolle über General-Purpose-AI-Modelle.
Für Deutschland bedeutet das: Irgendjemand muss diese Aufgabe übernehmen. Als wahrscheinliche nationale Aufsichtsbehörde wird die Bundesnetzagentur gehandelt. Ein nationales Durchführungsgesetz, das Zuständigkeiten und Verfahren regelt, steht allerdings noch aus. Die Kombination aus unmittelbar geltendem EU-Recht und fehlender nationaler Konkretisierung schafft genau jene Unsicherheit, die Unternehmen am wenigsten brauchen.
Wen trifft es zuerst?
Die Vorschriften, die im August durchsetzbar werden, betreffen vor allem sogenannte Hochrisiko-KI-Systeme nach Annex III des AI Act. Darunter fallen Systeme, die in der Beschäftigung und im Personalmanagement eingesetzt werden: KI-gestütztes Recruiting, automatisierte Leistungsbewertung, algorithmische Beförderungsentscheidungen. Gerade im Arbeitsrecht wirft der Einsatz solcher Systeme grundlegende Fragen auf. Ebenso betroffen sind Systeme zur Kreditwürdigkeitsbewertung, zur Risikobewertung bei Lebens- und Krankenversicherungen und zum Zugang zu wesentlichen öffentlichen und privaten Dienstleistungen.
Wer solche Systeme einsetzt oder entwickelt, muss ein dokumentiertes Risikomanagementsystem vorweisen, Transparenzpflichten erfüllen und eine menschliche Aufsicht sicherstellen. Das ist nicht trivial. Es erfordert interne Prozesse, Schulungen, Vertragsanpassungen mit KI-Anbietern und — in vielen Fällen — eine grundlegende Neubewertung der eigenen KI-Landschaft.
Hinzu kommt eine Pflicht, die bereits seit Februar 2025 gilt und die viele übersehen haben: die sogenannte AI Literacy. Jeder Mitarbeiter, der ein KI-System bedient, muss nachweisbar über ausreichende Kenntnisse verfügen. Wer das bisher ignoriert hat, ist schon jetzt nicht compliant.
Was Kanzleien und Rechtsabteilungen wissen müssen
Die Legalweek 2026 in New York hat gezeigt, wie schnell sich die Erwartungen verschieben. Mandanten fragen bereits nach dem KI-Einsatz ihrer Kanzleien. Viele interne Rechtsabteilungen bauen eigene KI-Fähigkeiten auf, bevor sie Arbeit an externe Berater vergeben. Der Anbieter Harvey.ai berichtet von einem Paradigmenwechsel hin zu sogenannten agentic AI workflows — mehrstufige, automatisierte Prozessketten, die nicht einzelne Aufgaben erledigen, sondern komplette juristische Abläufe koordinieren.
Doch genau hier wird es regulatorisch heikel. Wer haftet, wenn eine KI fehlerhafte Rechtsanalysen produziert? Die Antwort liegt im Zusammenspiel dreier Regelwerke: dem AI Act, der europäischen Produkthaftungsrichtlinie und dem nationalen Berufsrecht. Für Kanzleien, die Legal AI einsetzen, wird KI-Governance damit nicht nur eine Frage der Effizienz, sondern eine berufsrechtliche Pflicht. Auch im Wirtschaftsstrafrecht können Compliance-Verstöße schnell strafrechtliche Relevanz entfalten.
Was bedeutet das für Deutschland?
Der AI Act gilt als Verordnung unmittelbar in allen 27 Mitgliedstaaten. Deutschland braucht kein eigenes Gesetz, damit die Regeln gelten. Aber es braucht Strukturen, um sie durchzusetzen. Die Bundesnetzagentur, die als wahrscheinliche Aufsichtsbehörde gehandelt wird, muss personell und fachlich in der Lage sein, Hochrisiko-KI-Systeme zu bewerten — in einer Breite, die von Personalverwaltung über Kreditvergabe bis zu Versicherungsalgorithmen reicht.
Gleichzeitig setzt die EU mit dem AI Act erneut einen globalen Standard. Wie bei der DSGVO entfaltet das Gesetz eine extraterritoriale Wirkung: Es betrifft jeden Anbieter und Nutzer von KI-Systemen, dessen Output in der EU verwendet wird — unabhängig vom Firmensitz. Die USA haben bislang keinen vergleichbaren Regulierungsrahmen. China verfolgt eigene, fragmentarischere Ansätze. Großbritannien setzt auf einen prinzipienbasierten Rahmen ohne eigenständiges KI-Gesetz. Der sogenannte Brüssel-Effekt, der schon die DSGVO zum Weltstandard machte, dürfte sich wiederholen.
Für deutsche Unternehmen bedeutet das konkret: Wer KI-Systeme einsetzt, entwickelt oder bereitstellt, sollte jetzt prüfen, ob eine Hochrisiko-Einstufung vorliegt. Er sollte seine Verträge mit KI-Anbietern überprüfen, ein Risikomanagementsystem dokumentieren und die AI-Literacy-Pflicht nachholen, falls sie bisher versäumt wurde. Auch ein Strafrechtsschutz für Unternehmen kann bei Compliance-Risiken sinnvoll sein. Fünf Monate sind nicht viel. Die DSGVO hat gezeigt, was passiert, wenn man wartet.
Die Kanzlei VON RÜDEN | HEYSE berät Unternehmen zu KI-Regulierung und Compliance. Kontaktieren Sie uns für eine Ersteinschätzung.
Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar.
Johannes von Rüden
Rechtsanwalt und Partner bei VON RÜDEN | HEYSE Rechtsanwälte in Berlin. Schwerpunkte: Strafrecht und Strafprozessrecht, insbesondere Sexualstrafrecht und Wirtschaftsstrafrecht mit Fokus auf Geldwäsche. Zugelassen am Landgericht Berlin.