Was sich ab August 2026 ändert

Die Pflichtschulung aus Artikel 4 EU AI Act gilt seit Februar 2025. Sie war die erste, niedrigschwellige Stufe. Ab dem 2. August 2026 greift die nächste, deutlich anspruchsvollere Stufe: Die Verpflichtungen für sogenannte Hochrisiko-KI-Systeme werden anwendbar. Für Behörden ist das relevant, weil viele typische Verwaltungs-Anwendungen darunter fallen.

Was ein Hochrisiko-System ist

Der EU AI Act listet in Anhang III konkrete Anwendungsfelder, die als Hochrisiko gelten. Für Behörden besonders wichtig:

• KI-Systeme, die zur Prüfung von Bürgerleistungs-Ansprüchen eingesetzt werden, etwa bei Sozialleistungen
• KI in Personalauswahl und Bewertung von Bewerbungen
• KI im Bereich Justiz und Strafverfolgung, einschließlich biometrischer Identifizierung
• KI in der kritischen Infrastruktur, etwa in der Verkehrssteuerung
• KI in der Bildung und Berufsausbildung, etwa in Prüfungs-Systemen
• KI in der Migrations- und Grenzverwaltung

Wenn eure Behörde KI-Systeme in einem dieser Bereiche einsetzt oder einsetzen will, fallen sie ab August 2026 unter die Hochrisiko-Regelungen.

Was die Hochrisiko-Regelungen verlangen

Der Pflichten-Katalog für Hochrisiko-Systeme ist umfangreich. Die wichtigsten Punkte für Behörden:

Risikomanagement-System. Eure Behörde muss ein dokumentiertes Verfahren haben, mit dem sie Risiken des KI-Systems identifiziert, bewertet und mindert. Das gilt über den gesamten Lebenszyklus, von Anschaffung über Betrieb bis zur Außerdienststellung.

Datenqualität und Daten-Governance. Die Daten, mit denen das KI-System trainiert oder betrieben wird, müssen Mindeststandards erfüllen. Sie müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Bias muss aktiv geprüft und gegebenenfalls korrigiert werden.

Technische Dokumentation. Vor Inbetriebnahme muss eine umfassende technische Dokumentation vorliegen, die zeigt, dass das System die Hochrisiko-Anforderungen erfüllt. Diese Dokumentation muss aktualisiert werden, solange das System läuft.

Menschliche Aufsicht. Hochrisiko-Systeme dürfen nicht autonom entscheiden, wenn die Entscheidung Menschen betrifft. Es muss eine geschulte Person geben, die das System überwacht, einschätzt und im Zweifel eingreift.

Transparenz und Information für Betroffene. Bürger:innen, deren Anträge durch ein Hochrisiko-System bearbeitet werden, müssen darüber informiert werden. Sie haben Auskunfts- und Anfechtungsrechte.

Konformitätsbewertung. Bevor ein Hochrisiko-System in Betrieb geht, muss seine Konformität mit dem EU AI Act bewertet werden. In bestimmten Fällen ist eine externe Prüfstelle nötig.

Was eure Behörde bis August 2026 tun sollte

Vier Monate sind nicht lang. Die folgenden Schritte sollten in dieser Reihenfolge passieren.

Schritt 1: KI-Bestandsaufnahme. Welche KI-Systeme nutzt eure Behörde heute, offiziell oder schattenhaft? Welche fallen potenziell unter Hochrisiko? Diese Aufnahme muss vollständig sein, sonst könnt ihr keine Risiken einschätzen.

Schritt 2: Klassifizierung. Für jedes identifizierte System: Ist es Hochrisiko nach Anhang III? Manche Fälle sind eindeutig, andere unklar. Im Zweifel: Rechtsabteilung oder externe Beratung einbeziehen.

Schritt 3: Lückenanalyse. Für jedes Hochrisiko-System: Welche der oben genannten Anforderungen sind heute schon erfüllt, welche nicht? Was fehlt konkret?

Schritt 4: Maßnahmen-Plan. Pro Lücke: Wer ist verantwortlich, was wird konkret getan, bis wann muss es fertig sein. Realistisch heißt: nicht alles bis 2. August 2026, sondern eine begründete Reihenfolge mit Priorisierung.

Was passiert bei Verstoßen

Die Bußgeld-Schwelle ist bei Hochrisiko-Verstößen deutlich höher als bei reiner Schulungs-Pflicht. Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für Unternehmen, mit Einschränkungen für Behörden. Daneben: zivilrechtliche Haftung, wenn Bürger:innen durch fehlerhafte Hochrisiko-KI Schaden nehmen, und nicht zuletzt politische und mediale Aufmerksamkeit, die für Behörden-Leitungen oft schmerzhafter ist als das Bußgeld.

Was EHRENBEHÖRDE konkret hilft

Wir haben die KI-Regulierung in den letzten Monaten in mehrere Werkzeuge übersetzt.

Unsere KI-Pflichtschulung deckt nicht nur Artikel 4 ab, sondern bereitet eure Mitarbeitenden auch auf Hochrisiko-Themen vor. Im Praxisportal, dem eigenen Bereich eurer Behörde, könnt ihr einen Risiko-Klassifikations-Workflow für eure KI-Systeme aufbauen, mit Templates und Beispielen aus anderen Behörden.

Die Lösung KI einführen begleitet euch im Aufbau eines KI-Compliance-Systems, das nicht nur Pflichten erfüllt, sondern auch produktive Anwendung ermöglicht. Wer einzelne Beispiele und Templates sucht, findet sie in unseren Vorlagen und Studien zur KI-Governance in Behörden.

Häufige Fragen

Gilt der EU AI Act auch, wenn unser KI-System nur intern läuft?
Ja. Der AI Act unterscheidet nicht nach interner oder externer Anwendung, sondern nach Risiko-Klasse und Anwendungsfeld.

Was, wenn unsere Behörde gar keine eigene KI entwickelt, sondern nur fertige Systeme einkauft?
Ihr seid dann Betreiber im Sinne des AI Act. Die Hauptpflicht des Anbieters trägt der Hersteller, aber ihr habt eigene Pflichten als Betreiber, vor allem zu menschlicher Aufsicht, Transparenz und Risiko-Überwachung im Einsatz.

Reicht es, wenn unser IT-Dienstleister uns die Konformität bescheinigt?
Nein. Konformität ist eine geteilte Verantwortung zwischen Anbieter und Betreiber. Eure Behörde muss eigene Bewertungen vornehmen, eigene Dokumentation führen und eigene Aufsicht sicherstellen.

Wo finden wir verlässliche Informationen, wenn der Gesetzestext nicht reicht?
Bundesnetzagentur, EU-Kommission und Bundesinnenministerium veröffentlichen Leitfäden und Kommentare. Daneben gibt es Auslegungs-Hinweise von Datenschutzkonferenz und kommunalen Spitzenverbänden.