Ruhiger Schreibtisch mit aufgeschlagenem Notizbuch und Laptop, im Hintergrund eine helle nordische Bürolandschaft

KI & Produktivität 28. April 2026 7 Min. Lesezeit

AI Act 2026 für Manager — 5 Begriffe in deiner Sprache

Drei Monate.

So lange dauert es noch bis zum 02. August 2026. An dem Tag greifen die nächsten Pflichten des EU AI Act — und ab da wird es in Führungsgremien und Lenkungsausschüssen anfangen, sehr konkrete Fragen zu geben.

Wer dann erst nachschlägt, was eigentlich gemeint ist, hat schon verloren.

Ich bin kein Compliance-Insider. Ich arbeite in einer regulierten Branche, ich nutze KI täglich, und ich übersetze regelmäßig zwischen drei Welten: Business, Tech und Regulatorik. Genau das ist die Manager-Aufgabe der nächsten zwölf Monate. Niemand erwartet von dir, dass du den AI Act auswendig kannst. Aber dein Manager erwartet, dass du fünf Begriffe sauber in seine Sprache übersetzen kannst.

Genau die fünf gehen wir heute durch.

Was am 02.08.2026 passiert — in einem Satz

Die EU-Verordnung 2024/1689 — kurz AI Act — ist seit August 2024 in Kraft. Erste Verbote (zum Beispiel Social-Scoring) gelten seit Februar 2025. Der nächste relevante Stichtag ist der 02. August 2026: Ab diesem Tag müssen Hochrisiko-KI-Systeme die volle Suite an Pflichten erfüllen — Risikomanagement, Daten-Governance, Dokumentation, menschliche Aufsicht, Logging.

Strafrahmen: bis 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem was höher ist. Das ist mehr als die DSGVO. Deutlich mehr.

Klingt nach Software-Compliance. Ist es aber vor allem nicht. Es ist Prozess-Disziplin — und genau deshalb ist es ein Manager-Thema, kein reines Juristen-Thema.

Die 5 Begriffe, die du in deiner Sprache brauchst

1. Hochrisiko-System

Was es heißt: Ein KI-System fällt in die strengen Pflichten, wenn es entweder in einem regulierten Produktbereich genutzt wird (Medizinprodukte, Fahrzeuge, Spielzeug) oder unter eine konkrete Liste in Annex III fällt — Bewerbungs-Screening, Kreditentscheidungen, Risikobewertung in bestimmten Versicherungsformen, Strafverfolgung, Bildungszugang, kritische Infrastruktur.

Was du übersetzen musst: Nicht “alle KI” ist Hochrisiko. Aber: Sobald eine KI in deinem Haus eine Entscheidung über einen Menschen unterstützt, die für ihn bedeutsam ist — Job, Geld, Versorgung — solltest du sehr genau hinschauen.

2. Anbieter versus Betreiber — der unterschätzte Punkt

Was es heißt: Der AI Act unterscheidet zwischen Anbieter (wer das System baut oder wesentlich verändert) und Betreiber, im Original Deployer (wer das System einsetzt). Beide haben Pflichten. Die Betreiber-Pflichten in Art. 26 sind weniger als die Anbieter-Pflichten — aber sie sind real.

Was du übersetzen musst: “Wir kaufen das einfach von einem deutschen Anbieter, der wird sich kümmern” reicht nicht. Wenn dein Haus ein KI-System aktiv einsetzt, hat dein Haus eigene Pflichten — Eingabedaten überwachen, menschliche Aufsicht sicherstellen, Logs aufbewahren, betroffene Personen informieren. Und in vielen Fällen ist man beides gleichzeitig: Anbieter für ein selbst gebautes Modul, Betreiber für ein zugekauftes drumherum.

Das ist die häufigste Stelle, an der ich in Gesprächen sehe, wie Köpfe hochgehen. Die Frage “Was sind wir denn jetzt eigentlich?” hat in den nächsten Monaten in jedem Stack-Review ihren Platz.

3. Risikomanagement-System (Art. 9)

Was es heißt: Ein dokumentierter, durchgängiger Risiko-Prozess über den gesamten Lebenszyklus des KI-Systems — identifizieren, bewerten, mitigieren, überwachen.

Was du übersetzen musst: Wer mit ISO 31000, COSO oder einer der branchen-spezifischen Risikomanagement-Logiken arbeitet, erkennt das Muster sofort. Der AI Act baut keine fremde Welt, er ergänzt eine vertraute Logik um KI-spezifische Anker. Das ist die gute Nachricht für die Kommunikation nach oben: Du brauchst nicht zu erklären, was Risikomanagement grundsätzlich ist — du musst nur erklären, welche neuen Risiko-Kategorien dazukommen.

4. Die DSGVO-Schnittstelle — der vergessene Layer

Was es heißt: Der AI Act ersetzt die DSGVO nicht. Er ergänzt sie. Wenn ein KI-System personenbezogene Daten verarbeitet, brauchst du weiterhin die schriftliche Vereinbarung mit dem KI-Anbieter nach Art. 28 DSGVO — die sogenannte Auftragsverarbeitungs-Vereinbarung, kurz AVV. Plus die AI-Act-Konformitätsprüfung. Plus eine aktualisierte Datenschutz-Folgenabschätzung, wenn das System Hochrisiko ist.

Was du übersetzen musst: Wer beim AI Act nur an “neue Regeln für KI” denkt, übersieht den Brücken-Layer zur DSGVO. Diese Brücke wird in jeder ehrlichen Compliance-Runde der Punkt sein, an dem klar wird, ob das Haus seine Hausaufgaben gemacht hat.

Mein eigener Alltag funktioniert auf zwei Ebenen: Externe KI-Tools nutze ich für nicht-sensible Aufgaben — Strukturierung von Recherche, Übersetzungen aus öffentlichen Quellen, Entwürfe für nicht-vertrauliche Inhalte. Sensible oder interne Inhalte gehören in die geprüfte Lösung des Arbeitgebers. Das ist kein Workaround. Das ist die Standard-Architektur, die jeder verantwortungsvoll arbeitende Manager in einer regulierten Branche heute braucht — und mein Arbeitgeber unterstützt diesen Zwei-Ebenen-Ansatz aktiv.

5. Bußgeld-Risiko (7 % / 35 Mio. €)

Was es heißt: Verstöße gegen Hochrisiko-Pflichten kosten bis zu 15 Mio. € oder 3 % des Jahresumsatzes; Verstöße gegen die verbotenen Praktiken bis zu 35 Mio. € oder 7 %. Die Aufsichtsbehörden in den DACH-Mitgliedsstaaten werden in den nächsten Monaten finalisiert.

Was du übersetzen musst: Diese Zahlen sind nicht zur Panikmache da. Sie sind dazu da, dass deine Führungsebene versteht, warum das Thema Budget bekommt. Wer die DSGVO-Welle 2018 erlebt hat, kennt das Muster: Erst kommt das “Ach, wird schon nicht so heiß gegessen”. Dann kommt der erste echte Fall in der Branche. Dann kommt der Ressourcen-Beschluss.

Der AI Act läuft genauso. Wer früh sortiert, hat es im November leichter.

Was du als Manager jetzt konkret tun kannst

Du bist nicht der Compliance-Officer. Aber du bist die Person, die das Thema in die richtige Sprache an die richtige Stelle trägt. Diese fünf Schritte kosten dich keine 60 Minuten und schaffen Klarheit:

→ Inventur. Wo nutze ich in meinem Verantwortungsbereich KI — eigene Tools, zugekaufte Module, Schatten-IT? Welche dieser Nutzungen berührt Entscheidungen über Menschen?

→ Anbieter-Status. Bei jedem dieser Tools: Sind wir Anbieter, Betreiber, oder beides? Wer beantwortet diese Frage formal in unserem Haus?

→ AVV-Check. Liegt für jedes externe KI-Tool, das personenbezogene Daten sieht, ein aktueller Auftragsverarbeitungs-Vertrag vor? Wenn nein — wer kümmert sich, bis wann?

→ Risikomanagement-Brücke. Wo dockt das AI-Act-Risikomanagement an unsere bestehende Compliance-Architektur an? Wer hat das Mandat, das auf einer Seite Papier zu zeichnen?

→ Kommunikations-Plan. Was sage ich nach oben in 90 Sekunden? Was sage ich meinem Team in 5 Minuten? Beide Skripte sind unterschiedlich — und beide brauche ich, bevor ich gefragt werde.

Wenn du auf zwei oder mehr dieser fünf Punkte heute “weiß ich nicht” oder “schauen wir uns demnächst an” antwortest, hast du dein Projekt für die nächsten Wochen.

Schluss: AI Act ist kein Risiko, er ist ein Manager-Skill-Asset

Es gibt zwei Wege, wie diese Geschichte enden kann.

Weg 1: Du wartest, bis die Fragen kommen. Dann hektisch Begriffe nachschlagen, mit Halbwissen antworten, Glaubwürdigkeit verlieren.

Weg 2: Du machst die Übersetzungs-Arbeit jetzt — fünf Begriffe, fünf Fragen, eine ruhige Stimme im Meeting. Und plötzlich bist du die Person, an die sich das Management wendet, wenn es regulatorisch komplex wird.

Manager, die KI-Compliance in Manager-Sprache übersetzen können, sind in den nächsten Jahren in jedem Haus knapp. Der AI Act ist also nicht das Problem. Er ist die Bühne.

Drei Monate sind genug Zeit, um sich darauf zu stellen.

Welche der fünf Begriffe ist in deinem Haus heute am unklarsten — und wer könnte das in einer Stunde gemeinsam mit dir sortieren?