EU AI Act 2026: Was KMU und Bildungseinrichtungen jetzt tun müssen

Der EU AI Act — Grundstruktur in 3 Minuten

Der EU AI Act (Verordnung 2024/1689) klassifiziert KI-Systeme nach ihrem Risikopotenzial in vier Stufen. Diese Einstufung bestimmt, welche Pflichten für Anbieter und Betreiber gelten:

• Inakzeptables Risiko (verboten): Social Scoring durch Behörden, biometrische Echtzeit-Überwachung im öffentlichen Raum, manipulative KI-Systeme. Diese Systeme sind seit Februar 2025 verboten.
• Hohes Risiko (strenge Anforderungen): KI in Bildung und Berufsausbildung, Personalentscheidungen, Kreditvergabe, kritischer Infrastruktur. Für diese Kategorie gelten ab August 2026 umfangreiche Compliance-Pflichten.
• Begrenztes Risiko (Transparenzpflichten): Chatbots und KI-generierte Inhalte müssen als solche gekennzeichnet werden. Diese Pflicht gilt seit Februar 2025.
• Minimales Risiko: KI-Filter in E-Mails, Empfehlungssysteme für Streaming-Dienste — weitgehend unreguliert.

Was das für Bildungseinrichtungen bedeutet

Bildung ist explizit als Hochrisiko-Sektor im Anhang III des EU AI Acts gelistet. Das betrifft konkret: KI-Systeme, die den Zugang zu Bildungseinrichtungen bestimmen, Lernende bewerten, überwachen oder deren Bildungsweg beeinflussen.

Praktische Beispiele aus dem Bildungsbereich, die als Hochrisiko eingestuft werden können:

• Automatisierte Prüfungsbewertung durch KI-Systeme
• KI-gestützte Plagiatserkennung mit direkten Konsequenzen für Lernende
• Adaptive Lernplattformen, die Bildungsempfehlungen mit bindender Wirkung geben
• KI-Proctoring (automatisierte Prüfungsaufsicht) mit Verhaltensanalyse
• Zulassungs- und Selektionssysteme für Kurse oder Programme

Wichtig: Nicht alle KI-Tools in Bildungseinrichtungen fallen automatisch in die Hochrisiko-Kategorie. Ein KI-Chatbot, der allgemeine Fragen beantwortet, oder ein KI-Tool zur Kursplanung ohne bindende Entscheidungsfunktion unterliegt in der Regel nur den Transparenzpflichten.

Pflichten für Hochrisiko-KI-Systeme

Wer ein Hochrisiko-KI-System betreibt oder anbietet, muss ab August 2026 folgende Anforderungen erfüllen:

• Risikomanagement-System: Kontinuierliche Identifikation, Analyse und Minderung von Risiken während des gesamten Lebenszyklus des KI-Systems.
• Datengovernance: Trainingsdaten müssen relevant, repräsentativ und so weit wie möglich fehlerfrei sein. Dokumentation der Datenquellen und -qualitätssicherungsmaßnahmen ist Pflicht.
• Technische Dokumentation: Umfassende Dokumentation des Systems — Funktionsweise, Leistungsgrenzen, Risiken, Testverfahren.
• Aufzeichnungspflichten: Automatische Protokollierung aller relevanten Systemereignisse für Transparenz und Nachvollziehbarkeit.
• Transparenz gegenüber Nutzern: Natürliche Personen, die mit dem System interagieren oder durch es betroffen sind, müssen informiert werden.
• Menschliche Aufsicht: Das System muss so gestaltet sein, dass natürliche Personen es überwachen, unterbrechen und korrigieren können.
• Robustheit und Genauigkeit: Nachgewiesene Leistungsfähigkeit und Widerstandsfähigkeit gegen Angriffe und Fehler.

„Der EU AI Act ist kein bürokratisches Hindernis — er ist eine Chance, Vertrauen in KI-Systeme systematisch aufzubauen. Unternehmen, die Compliance als strategischen Vorteil verstehen, werden davon profitieren." — Dirk Röthig (Dirk Roethig), Chairman & Strategic Advisor, MD ALVEON Partners AG

Was KMU jetzt tun müssen — 5 konkrete Schritte

Marco Weber, CEO der Dynamic Support AG, empfiehlt KMU eine strukturierte Vorgehensweise: „Die gute Nachricht: Die meisten KMU sind nicht so stark betroffen wie befürchtet. Wer jetzt systematisch vorgeht, kann Compliance kostengünstig und ohne großen Aufwand erreichen."

• 1. KI-Inventar erstellen: Welche KI-Systeme werden im Unternehmen genutzt oder angeboten? Interne Tools, eingekaufte Software, APIs — alles erfassen. Auch KI-Funktionen in Standardsoftware (HR-Systeme, CRM, LMS) berücksichtigen.
• 2. Risikoklassifizierung durchführen: Für jedes KI-System die Einstufung nach EU AI Act prüfen. Entscheidend: Welche Funktion hat das System? Trifft es oder beeinflusst es Entscheidungen, die Menschen erheblich betreffen?
• 3. Transparenzpflichten sofort umsetzen: Chatbots und KI-generierte Inhalte kennzeichnen — das ist seit Februar 2025 Pflicht und kein großer Aufwand.
• 4. Hochrisiko-Systeme priorisieren: Für identifizierte Hochrisiko-Systeme Compliance-Roadmap bis August 2026 erstellen. Ggf. Anbieter-Verträge prüfen: Welche Pflichten übernimmt der Anbieter, welche der Betreiber?
• 5. Dokumentation aufbauen: Auch wenn kein formales Hochrisiko-System vorliegt: eine grundlegende KI-Governance-Dokumentation ist gute Praxis und schützt im Streitfall.

Besonderheit: Bildungseinrichtungen als Betreiber vs. Anbieter

Eine wichtige Unterscheidung des EU AI Acts: Wer ein KI-System entwickelt oder in den Verkehr bringt, ist Anbieter — wer ein KI-System im eigenen Kontext einsetzt, ist Betreiber. Bildungseinrichtungen sind in den meisten Fällen Betreiber, keine Anbieter. Das reduziert die Pflichten erheblich: Betreiber müssen vor allem sicherstellen, dass sie das System bestimmungsgemäß einsetzen, Mitarbeitende schulen und bei Hochrisiko-Systemen menschliche Aufsicht gewährleisten.

Wer jedoch selbst eine KI-Lösung für andere Bildungseinrichtungen entwickelt oder anpasst — z. B. ein eigenes LMS mit KI-Funktionen — wird zum Anbieter und trägt die volle Compliance-Verantwortung. Unsere KI-Beratung hilft dabei, den konkreten Handlungsbedarf für Ihr Unternehmen zu ermitteln. Sprechen Sie uns an: Kontakt aufnehmen. Mehr zu datenschutzkonformer Gestaltung von Lernplattformen lesen Sie auch in unserem Artikel zu intelligenten Lernplattformen.