KI-Verordnung 2026: Was jetzt gilt und was Ihr Betrieb daraus machen sollte

Gerhard Hanisch
Von
Gerhard Hanisch
Veröffentlicht
15.07.2026
Umsetzung der KI-Verordnung durch Mitarbeiterin in mittelständischem Betrieb an einem Laptop

    Das wichtigste auf einen Blick:

    • Die KI-Verordnung (EU AI Act) ist seit August 2024 in Kraft und wird gestaffelt anwendbar. Zum 2. August 2026 werden die Transparenzpflichten nach Art. 50 wirksam, etwa die Kennzeichnung von Chatbots und KI-generierten Inhalten.
    • Der Digital Omnibus verschiebt die Hochrisiko-Pflichten auf den 2. Dezember 2027 (Anhang III) bzw. den 2. August 2028 (Anhang I). Das ist keine Entwarnung, sondern ein Zeitfenster: Inventar, Governance und Auditfähigkeit brauchen erfahrungsgemäß zwölf bis achtzehn Monate Vorlauf.
    • Auch wer KI nur nutzt, ist als Betreiber erfasst. Für die meisten Mittelständler sind die Pflichten überschaubar, sie setzen aber ein vollständiges KI-Inventar voraus, inklusive der Schatten-KI in den Fachbereichen.
    • Deutschland hat die Aufsicht geklärt: Die Bundesnetzagentur wird zentrale Marktüberwachungsbehörde. Bußgelder reichen je nach Verstoß bis 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes; für KMU gilt jeweils der niedrigere Betrag.
    • Fast alles, was die KI-VO verlangt (Dokumentation, Protokollierung, menschliche Aufsicht, Datenqualität), braucht ein gesteuerter KI-Betrieb ohnehin. Wer Compliance als separates Projekt aufsetzt, baut doppelt.

    Gilt die KI-Verordnung ab August 2026 nun vollständig oder nicht? Wer diese Frage derzeit recherchiert, findet widersprüchliche Antworten, viele davon veraltet. Zwischen Mai und Juli 2026 hat sich die Rechtslage an drei Stellen gleichzeitig bewegt: Die EU hat die Verordnung novelliert, zentrale Fristen verschoben, und Deutschland hat seine KI-Aufsicht beschlossen. Dieser Artikel bildet den aktuellen Stand ab. Und er übersetzt ihn in das, was in Maschinenbau, Logistik und Produktion jetzt tatsächlich zu tun ist.

    Die KI-Verordnung (Verordnung (EU) 2024/1689, englisch EU AI Act, kurz KI-VO) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Erklärtes Ziel der KI-VO ist es, Gesundheit, Sicherheit und Grundrechte zu schützen und zugleich Innovation zu ermöglichen. Sie wurde im Mai 2024 verabschiedet, ist am 1. August 2024 in Kraft getreten und wird seither gestaffelt anwendbar. Die KI-Verordnung der EU gilt unmittelbar in allen Mitgliedstaaten und folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Pflichten. Der vollständige Verordnungstext ist bei EUR-Lex abrufbar.

    Kurz gesagt: Die Transparenzpflichten gelten ab dem 2. August 2026, die großen Hochrisiko-Pflichten wurden auf Ende 2027 und 2028 verschoben. Abwarten ist trotzdem die falsche Strategie. Warum, zeigt dieser Artikel.

    KI-Verordnung aktuell: Was gilt, was kommt, was verschoben wurde

    Die wichtigste Entwicklung des Jahres 2026 heißt Digital Omnibus. Hinter dem Begriff steht eine von der EU-Kommission angestoßene Novellierung der KI-VO, mit der die EU ihre Digitalregeln vereinfachen und Fristen an die Realität anpassen will. Nach der politischen Einigung im Mai stimmte das Europäische Parlament am 16. Juni 2026 zu; der Rat der EU gab am 29. Juni 2026 final grünes Licht. Bei Redaktionsschluss stand die Veröffentlichung im EU-Amtsblatt unmittelbar bevor.

    Der Zeitplan der KI-Verordnung nach dem Digital Omnibus (Stand Juli 2026):

    DATUM WAS GILT
    Seit 2. Februar 2025 Verbotene KI-Praktiken (Art. 5); Anforderung an KI-Kompetenz (Art. 4)
    Seit 2. August 2025 Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI, Art. 53 ff.); Sanktionsvorschriften (Kapitel XII); EU AI Office arbeitsfähig
    2. August 2026 Hauptanwendungsdatum: Transparenzpflichten (Art. 50); nationale Aufsichtsstrukturen arbeitsfähig
    2. Dezember 2026 Ende der Übergangsfrist für die Kennzeichnung KI-generierter Inhalte bei Bestandssystemen; neues Verbot von KI-Systemen zur Erzeugung nicht-einvernehmlicher intimer Darstellungen
    2. Dezember 2027 Pflichten für Hochrisiko-KI-Systeme nach Anhang III (eigenständige Systeme, z. B. im Beschäftigungskontext); ursprünglich 2. August 2026
    2. August 2028 Pflichten für Hochrisiko-KI in Produkten nach Anhang I (z. B. Maschinen, Medizinprodukte, Fahrzeuge); ursprünglich 2. August 2027

    Verschoben sind damit ausschließlich die Hochrisiko-Pflichten. Die KI-Verordnung selbst gilt, und ihre Transparenzpflichten werden zum 2. August 2026 wirksam.

    Die Verschiebung der Hochrisiko-Fristen um 16 bzw. 12 Monate ist die Kernbotschaft des Digital Omnibus. Daneben wurden die Erleichterungen für kleine und mittlere Unternehmen auf sogenannte Small Mid-Caps ausgeweitet, die Hochrisiko-Definition an einigen Stellen enger gefasst und die Anforderung an die KI-Kompetenz abgeschwächt. Dazu später mehr.

    KI-VERORDNUNG · FRISTEN NACH DEM DIGITAL OMNIBUS EU AI ACT
    Kostenloses Erstgespräch vereinbaren →

    30 Min · Kostenlos · Unverbindlich

    Quellen: EUR-Lex (VO (EU) 2024/1689), Rat der EU (29.06.2026) · Kein Rechtsrat — zur Prüfung an Rechtsanwalt wenden

    Warum die Verschiebung keine Entwarnung ist

    Es liegt nahe, die neuen Fristen als Signal zum Abwarten zu lesen. Das wäre ein Fehlschluss, aus drei Gründen.

    Erstens: Die Transparenzpflichten kommen im Wesentlichen ohne Aufschub. Wer Chatbots im Kundenkontakt einsetzt oder KI-generierte Inhalte veröffentlicht, hat ab dem 2. August 2026 konkrete Pflichten, unabhängig von jeder Hochrisiko-Diskussion.

    Zweitens: Die Aufsicht formiert sich jetzt. Deutschland hat im Juli 2026 die Zuständigkeiten festgelegt; die Behördenstruktur entsteht nicht erst 2027.

    Drittens, und das ist der eigentliche Punkt: Die Pflichten, die 2027 und 2028 greifen, setzen Strukturen voraus, die sich nicht in einem Quartal aufbauen lassen. Ein belastbares KI-Inventar, saubere Datenflüsse, geklärte Verantwortlichkeiten und auditfähige Dokumentation brauchen nach unserer Projekterfahrung zwölf bis achtzehn Monate. Genau dieses Fenster ist jetzt offen. Die Verschiebung ist keine Entwarnung. Sie ist ein Steuerungsfenster.

    Wen die KI-Verordnung betrifft: Anbieter, Betreiber und wo Ihr Unternehmen steht

    Die KI-Verordnung unterscheidet mehrere Rollen, an denen die Pflichten hängen. Für den Mittelstand sind zwei entscheidend: Anbieter und Betreiber.

    Anbieter ist, wer ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen in Verkehr bringt. Die Pflichten der Anbieter sind umfangreich: Anbieter von Hochrisiko-KI müssen ihre Systeme einer Konformitätsbewertung unterziehen, in der EU-Datenbank registrieren, bei Nichtkonformität Korrekturmaßnahmen ergreifen und mit den zuständigen Behörden zusammenarbeiten. Betreiber von KI-Systemen ist, wer ein KI-System in eigener Verantwortung beruflich verwendet, also jedes Unternehmen, das KI-Tools einsetzt, ohne sie selbst zu entwickeln. Wer eine Planungs-KI im Einkauf nutzt, ein Prognosemodell in der Instandhaltung betreibt oder Microsoft Copilot im Büroalltag einsetzt, ist Betreiber im Sinne der Verordnung. Die Betreiberpflichten sind deutlich schlanker als die eines Anbieters, aber sie existieren.

    Vergleich von Anbieter vs Betreiber nach KI Verordnung

    Das räumt mit einem verbreiteten Missverständnis auf: „Wir entwickeln doch gar keine KI, uns betrifft das nicht." Die KI-VO adressiert ausdrücklich auch die Nutzung. Welche Pflichten konkret entstehen, hängt von der Risikoklasse des jeweiligen Systems ab. Für die meisten heute im Mittelstand eingesetzten Werkzeuge sind sie überschaubar. Aber sie setzen voraus, dass man weiß, welche Systeme im Haus laufen.

    Wann ein Betreiber zum Anbieter wird

    Heikel wird es an der Rollengrenze. Wer ein bestehendes KI-System wesentlich verändert, es unter eigenem Namen anbietet oder für einen anderen Zweck einsetzt als vom Hersteller vorgesehen, kann rechtlich in die Anbieterrolle rutschen, mit dem vollen Pflichtenkatalog. Für Unternehmen, die Modelle selbst feintunen oder KI-Funktionen in eigene Produkte einbauen, ist diese Abgrenzung keine Formalie, sondern eine strategische Weichenstellung. Sie gehört vor die Entwicklung geklärt, nicht danach.

    Die vier Risikoklassen der KI-Verordnung und was in Maschinenbau, Logistik und Produktion wirklich Hochrisiko ist

    Die KI-Verordnung teilt KI-Systeme in vier Risikoklassen ein. An dieser Einstufung hängt fast alles: Pflichtenumfang, Fristen, Dokumentationstiefe.

    RISIKOKLASSE BEDEUTUNG BEISPIELE
    Unannehmbares Risiko Verboten (Art. 5) Social Scoring, manipulative Techniken, bestimmte biometrische Systeme
    Hohes Risiko Umfangreiche Pflichten (Risikomanagement, Dokumentation, Aufsicht, Konformitätsbewertung) KI als Sicherheitsbauteil in Maschinen (Anhang I); eigenständige Systeme etwa in der Personalauswahl (Anhang III)
    Begrenztes Risiko Transparenzpflichten (Art. 50) Chatbots, KI-generierte Inhalte, Deepfakes
    Minimales Risiko Keine besonderen Pflichten Spamfilter, einfache Assistenzfunktionen

    Als unannehmbar gelten Systeme, die menschliches Verhalten manipulieren oder Grundrechte verletzen. Diese verbotenen KI-Praktiken spielen im industriellen Alltag kaum eine Rolle: Social Scoring und emotionserkennende Systeme am Arbeitsplatz sind in Maschinenbau und Logistik keine gängigen Use Cases. Relevant sind die beiden mittleren Klassen: die Transparenzpflichten, weil sie fast jeden treffen, und die Hochrisiko-Kategorie, weil dort die teuren Pflichten liegen.

    Anhang I oder Anhang III: der Unterschied, der über Ihre Frist entscheidet

    Die KI-VO kennt zwei Wege in die Hochrisiko-Klasse, und sie haben seit dem Digital Omnibus unterschiedliche Fristen. Gemeinsam ist beiden: Hochrisiko-KI-Systeme müssen unter anderem ein Risikomanagement, technische Dokumentation, Protokollierung und menschliche Aufsicht nachweisen, bevor sie in Verkehr gebracht oder betrieben werden dürfen.

    Anhang I erfasst KI, die als Sicherheitsbauteil eines regulierten Produkts dient, etwa einer Maschine, eines Medizinprodukts oder eines Fahrzeugs. Nach Art. 6 Abs. 1 müssen dafür zwei Bedingungen zusammenkommen: Das KI-System ist Sicherheitsbauteil eines Produkts unter den in Anhang I gelisteten Harmonisierungsvorschriften, und dieses Produkt unterliegt einer Konformitätsbewertung durch Dritte. Das Fraunhofer IESE nennt als Beispiel einen Cloud-Dienst, der autonome Maschinen mit sicherheitsrelevanten Informationen versorgt. Diese Fälle gelten ab dem 2. August 2028.

    Anhang III erfasst eigenständige KI-Systeme in sensiblen Einsatzfeldern. Für den Mittelstand am relevantesten: Systeme im Beschäftigungskontext, etwa zur Bewerberauswahl oder Leistungsbewertung. Diese Fälle gelten ab dem 2. Dezember 2027.

    Für die Praxis heißt das: Eine Predictive-Maintenance-Lösung, die Ausfallwahrscheinlichkeiten prognostiziert und Instandhaltungsteams informiert, ist nach den Einstufungskriterien des Art. 6 in aller Regel kein Hochrisiko-System, solange sie nicht in Sicherheitsfunktionen eingreift. Die Einstufung bleibt eine Einzelfallprüfung. Die Grenze verläuft nicht an der Technologie, sondern an der Funktion im Prozess. Genau deshalb lässt sie sich nur pro System und Einsatzkontext beantworten. Das ist eine Inventarfrage, keine Rechtsfrage.

    SELBSTCHECK · BETRIFFT DIE KI-VERORDNUNG IHR UNTERNEHMEN?
    Orientierungshilfe, keine Rechtsberatung · Basis: Rollen- und Risikologik der VO (EU) 2024/1689

    Diese Pflichten der KI-Verordnung gelten ab dem 2. August 2026 für fast jedes Unternehmen

    Während die Hochrisiko-Pflichten warten, werden die Transparenzpflichten nach Art. 50 zum 2. August 2026 scharf. Sie betreffen deutlich mehr Unternehmen, als die abstrakte Formulierung vermuten lässt.

    Offenlegung bei KI-Interaktion. Wer Menschen mit einem KI-System interagieren lässt, muss dies erkennbar machen, sofern es nicht ohnehin offensichtlich ist. Der Standardfall ist der Chatbot im Kundenservice.

    Kennzeichnung synthetischer Inhalte. KI-generierte Audio-, Bild-, Video- und Textinhalte müssen maschinenlesbar als solche gekennzeichnet werden. Für Systeme, die vor dem 2. August 2026 auf dem Markt waren, gilt eine Übergangsfrist bis zum 2. Dezember 2026.

    Deepfake-Kennzeichnung. Realistisch wirkende, KI-erzeugte Darstellungen realer Personen oder Ereignisse sind als künstlich erzeugt auszuweisen.

    Für einen typischen Industriebetrieb ist das keine technische Großbaustelle. Es setzt aber voraus, dass jemand weiß, wo im Unternehmen KI mit Kunden interagiert und wo KI-generierte Inhalte entstehen. Marketing, Vertrieb und Kundenservice sind in der KI-Nutzung oft weiter, als die IT-Dokumentation abbildet.

    Schulungspflicht: Was von Artikel 4 nach dem Omnibus übrig bleibt

    Um kaum eine Vorschrift ranken sich so viele Verkaufsargumente wie um die „KI-Schulungspflicht" aus Art. 4. Der Digital Omnibus hat die Anforderung abgeschwächt: Aus der strikten Verpflichtung, ein ausreichendes Maß an KI-Kompetenz sicherzustellen, wird eine Bemühenspflicht. Unternehmen sollen Maßnahmen ergreifen, die den Aufbau von KI-Kompetenz unterstützen. Eine zertifikatspflichtige Schulung für jeden Mitarbeiter, wie sie mancher Anbieter suggeriert, verlangt die KI-VO nicht.

    Nüchtern betrachtet bleibt das Thema trotzdem auf dem Tisch, aus betriebswirtschaftlichen Gründen, nicht aus regulatorischen. Nach einer repräsentativen Bitkom-Befragung von 2025 wurden erst 20 Prozent der Beschäftigten in Deutschland von ihrem Arbeitgeber im KI-Einsatz geschult; 70 Prozent erhalten überhaupt kein Schulungsangebot. Wer KI produktiv nutzen will, hat hier eine Lücke. Die Verordnung ist nur der Anlass, sie zu schließen. Wie der Kompetenzaufbau organisatorisch gelingt, beschreibt unser Beitrag zum Change Management für KI.

    Aufsicht und Bußgelder: Wer die KI-Verordnung in Deutschland durchsetzt

    Lange war offen, wer die Einhaltung der KI-Verordnung in Deutschland kontrolliert. Seit Juli 2026 ist das geklärt: Nach dem Kabinettsbeschluss vom Februar verabschiedete der Bundestag am 11. Juni 2026 das KI-Durchführungsgesetz, der Bundesrat billigte es am 10. Juli 2026. Die Bundesnetzagentur wird damit zentrale Marktüberwachungsbehörde für die KI-Verordnung, soweit keine Fachbehörde zuständig ist. Bei ihr entstehen ein Koordinierungs- und Kompetenzzentrum, eine zentrale Beschwerdestelle sowie mindestens ein KI-Reallabor, in dem Unternehmen neue Anwendungen unter Aufsicht erproben können. Die Bundesregierung betont dabei ausdrücklich einen innovationsfreundlichen, bürokratiearmen Ansatz mit klaren Ansprechpartnern für Unternehmen.

    Der Sanktionsrahmen der KI-VO ist dreistufig aufgebaut und gilt bereits seit August 2025:

    DATUM WAS GILT
    Seit 2. Februar 2025 Verbotene KI-Praktiken (Art. 5); Anforderung an KI-Kompetenz (Art. 4)
    Seit 2. August 2025 Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI, Art. 53 ff.); Sanktionsvorschriften (Kapitel XII); EU AI Office arbeitsfähig
    2. August 2026 Hauptanwendungsdatum: Transparenzpflichten (Art. 50); nationale Aufsichtsstrukturen arbeitsfähig
    2. Dezember 2026 Ende der Übergangsfrist für die Kennzeichnung KI-generierter Inhalte bei Bestandssystemen; neues Verbot von KI-Systemen zur Erzeugung nicht-einvernehmlicher intimer Darstellungen
    2. Dezember 2027 Pflichten für Hochrisiko-KI-Systeme nach Anhang III (eigenständige Systeme, z. B. im Beschäftigungskontext); ursprünglich 2. August 2026
    2. August 2028 Pflichten für Hochrisiko-KI in Produkten nach Anhang I (z. B. Maschinen, Medizinprodukte, Fahrzeuge); ursprünglich 2. August 2027

    Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge. Diese Zahlen taugen für Schlagzeilen. Zur Einordnung: Die Maximalsätze zielen auf schwere Verstöße, nicht auf den Mittelständler, der seine Chatbot-Kennzeichnung zwei Wochen zu spät umsetzt. Das realistischere Risiko ist ein anderes: Ein Unternehmen ohne KI-Inventar und Dokumentation kann ein behördliches Auskunftsersuchen schlicht nicht beantworten. Nicht die Strafe ist das erste Problem. Die Auskunftsfähigkeit ist es. Und die ist, wieder einmal, kein Rechtsproblem, sondern ein Steuerungsproblem.

    Vom Pflichtenkatalog zum steuerbaren KI-Betrieb: der Umsetzungspfad

    Wer die Anforderungen der KI-Verordnung nebeneinanderlegt, erkennt ein Muster: Dokumentation, Protokollierung, menschliche Aufsicht, Risikomanagement, Datenqualität. Das ist keine Compliance-Exotik. Es ist die Infrastruktur, die ein Unternehmen ohnehin braucht, wenn es KI kontrolliert betreiben will, statt sie nur auszuprobieren. Wer Compliance als separates Projekt neben dem KI-Betrieb aufsetzt, baut doppelt und bezahlt doppelt.

    Die Gegenüberstellung zeigt die Deckung zwischen den Anforderungen der KI-Verordnung und der Infrastruktur eines gesteuerten KI-Betriebs:

    WAS DIE KI-VO VERLANGT WAS EIN GESTEUERTER KI-BETRIEB OHNEHIN BRAUCHT NUTZEN JENSEITS DER COMPLIANCE
    Technische Dokumentation Systemübersicht und Architekturdokumentation Wartbarkeit, Anbieterunabhängigkeit
    Protokollierung des Betriebs Logging und Monitoring Fehlerdiagnose, Leistungsmessung gegen Baseline
    Menschliche Aufsicht Definierte Eskalations- und Freigabepfade Vertrauen der Fachbereiche, weniger Blindflug
    Risikomanagement Bewertung von Use Cases vor dem Rollout Bessere Investitionsentscheidungen, ROI-Pfad
    Datenqualität und Daten-Governance Saubere, dokumentierte Datenflüsse Belastbare Prognosen, weniger Fehlentscheidungen

    Aus dieser Deckungsgleichheit folgt der Umsetzungspfad: vier Schritte, die zugleich Compliance-Vorbereitung und Steuerungsaufbau sind. Die Grundlagen dazu haben wir im Beitrag KI im Mittelstand ausführlich beschrieben.

    Schritt 1: KI-Inventar aufbauen

    Ein einfacher Test: Können Sie in 30 Sekunden aufzählen, welche KI-Tools in Ihrem Betrieb laufen und wer sie verantwortet? Falls nicht, beginnt die Umsetzung der KI-Verordnung genau hier.

    Ein KI-Inventar ist keine Compliance-Übung. Es ist die Grundlage jeder Steuerung. Erfasst wird, welche KI-Systeme im Unternehmen laufen, auch die inoffiziellen. Dass es die gibt, ist gut belegt: Laut Bitkom beobachtete 2025 rund ein Viertel der Unternehmen ab 20 Beschäftigten, dass Mitarbeitende private KI-Tools für die Arbeit nutzen, in Einzelfällen oder verbreitet; nur 29 Prozent gingen davon aus, dass das bei ihnen nicht vorkommt. Diese Schatten-KI taucht in keiner IT-Dokumentation auf, in einem Auskunftsersuchen der Aufsicht aber sehr wohl. Das Inventar beantwortet pro System: Was läuft, wer nutzt es, welche Daten verarbeitet es, wer verantwortet es? Wie eine solche Bestandsaufnahme systematisch gelingt, zeigt unsere KI-Potenzialanalyse.

    Schritt 2: Rollen und Risiko einordnen

    Auf Basis des Inventars wird jedes System zweifach eingeordnet. Erstens: Sind wir hier Betreiber oder, etwa durch Feintuning oder Einbau in eigene Produkte, Anbieter? Zweitens: In welche Risikoklasse fällt das System? Für die meisten Werkzeuge im Mittelstand endet diese Prüfung bei „begrenztes oder minimales Risiko, Betreiberrolle". Dann sind die Pflichten übersichtlich. Die wenigen kritischen Fälle wie Beschäftigtenkontext oder Sicherheitsfunktionen in Maschinen verdienen dafür umso genauere Betrachtung, gegebenenfalls mit juristischer Begleitung.

    Die juristische Feinauslegung gehört dabei in die Kanzlei. Die Vorarbeit kann Ihnen allerdings keine Kanzlei abnehmen: Welche Systeme laufen, welche Daten sie verarbeiten und welche Funktion sie im Prozess haben, ist Betriebswissen. Ohne diese Grundlage kann auch der beste Jurist nur pauschal beraten.

    Schritt 3: Governance und Verantwortlichkeiten festlegen

    Jetzt erst lohnt sich Governance: Wer entscheidet über neue KI-Use-Cases? Wer überwacht laufende Systeme? Wann muss ein Mensch freigeben, wann eskaliert das System? Welche Daten dürfen wohin? Hier zahlt sich vorhandene Datenarbeit doppelt aus. Ein tragfähiges Data-Governance-Framework liefert die halbe KI-Governance gleich mit. Erst durch dokumentierte Zuständigkeiten wird aus verstreuten KI-Tools ein führbares System.

    Bemerkenswert ist dabei ein Befund der Destatis-Erhebung 2025: 62 Prozent der Unternehmen ab zehn Beschäftigten, die keine KI einsetzen, nennen Rechtsunsicherheit als Hemmnis. Man kann die Verordnung also auch so lesen: Sie ersetzt einen Graubereich durch Regeln. Wer die Regeln beherrscht, gewinnt die Handlungssicherheit, an der es bisher fehlte.

    Schritt 4: Monitoring und Auditfähigkeit in den Betrieb bringen

    Der letzte Schritt macht aus Dokumenten einen Betriebszustand. Protokollierung, Überwachung und Nachvollziehbarkeit dürfen keine Projektartefakte sein, die nach dem Rollout veralten. Sie gehören in die laufende Infrastruktur. Genau dafür haben wir AIOP gebaut: Als Steuerungsschicht über bestehenden ERP-, MES- und WMS-Systemen, angebunden über Schnittstellen und ohne ERP-Migration, protokolliert die Plattform Datenflüsse und KI-Entscheidungen im laufenden Betrieb, macht sie über Audit-Trails nachvollziehbar und misst Leistung gegen eine Baseline. Dass Erklärbarkeit dabei kein Zusatzmodul ist, sondern Teil der Plattformlogik, geht auf unsere Zusammenarbeit mit dem Lehrstuhl Cognitive Systems der Universität Bamberg zurück. Auditfähigkeit entsteht so als Nebenprodukt guter Steuerung, nicht als eigenes Projekt.

    Wer diesen Pfad bis Ende 2027 geht, erfüllt nicht nur die kommenden Pflichten. Er hat nebenbei das aufgebaut, woran KI-Initiativen im Mittelstand laut den einschlägigen Erhebungen tatsächlich scheitern: fehlende Transparenz, unklare Verantwortung, fehlende Messbarkeit.

    FAQ · HÄUFIGE FRAGEN ZUR KI-VERORDNUNG

    Was ist die KI-Verordnung?

    Die KI-Verordnung (Verordnung (EU) 2024/1689, engl. EU AI Act) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Sie soll Gesundheit, Sicherheit und Grundrechte schützen und zugleich Innovation fördern. Die KI-VO gilt unmittelbar in allen EU-Mitgliedstaaten und stuft KI-Systeme nach einem risikobasierten Ansatz in vier Klassen ein, von verbotenen Praktiken bis zu Systemen mit minimalem Risiko.

    Wer ist von der KI-Verordnung betroffen?

    Grundsätzlich jedes Unternehmen und jede Behörde, die KI-Systeme entwickeln, vertreiben oder beruflich nutzen, sofern die Systeme in der EU eingesetzt werden oder ihre Ergebnisse Personen in der EU betreffen. Die KI-VO gilt für private Organisationen ebenso wie für öffentliche Stellen. Auch reine Nutzer von KI-Tools sind als Betreiber erfasst, mit deutlich schlankeren Pflichten als Anbieter.

    Ab wann gilt die KI-Verordnung vollständig?

    Gestaffelt: Verbote und die Anforderung an KI-Kompetenz gelten seit Februar 2025, die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) sowie die Sanktionsvorschriften seit August 2025, die Transparenzpflichten ab dem 2. August 2026. Die Hochrisiko-Pflichten wurden durch den Digital Omnibus verschoben: auf den 2. Dezember 2027 (Anhang III) bzw. den 2. August 2028 (Anhang I).

    Wer gilt als Betreiber eines KI-Systems?

    Betreiber ist, wer ein KI-System in eigener Verantwortung zu beruflichen Zwecken verwendet, also auch Unternehmen, die fertige KI-Tools einsetzen, ohne sie zu entwickeln. Wer ein System wesentlich verändert oder unter eigenem Namen anbietet, kann in die strengere Anbieterrolle wechseln.

    Welche KI-Praktiken sind verboten?

    Art. 5 verbietet unter anderem Social Scoring, manipulative Techniken, die Ausnutzung von Schutzbedürftigkeit sowie bestimmte biometrische Anwendungen. Mit der Novellierung 2026 kommt ab Dezember 2026 ein Verbot von KI-Systemen zur Erzeugung nicht-einvernehmlicher intimer Darstellungen hinzu.

    Was ändert der Digital Omnibus an der KI-Verordnung?

    Die 2026 final beschlossene Novellierung verschiebt die Hochrisiko-Pflichten (Anhang III auf Dezember 2027, Anhang I auf August 2028), weitet KMU-Erleichterungen aus, fasst die Hochrisiko-Definition enger und schwächt die Anforderung an die KI-Kompetenz zu einer Bemühenspflicht ab. Die Transparenzpflichten zum 2. August 2026 bleiben im Wesentlichen unverändert.

    Welche Bußgelder drohen bei Verstößen?

    Je nach Verstoß bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (verbotene Praktiken), bis zu 15 Mio. € oder 3 % (zentrale Pflichtverstöße, auch gegen die Transparenzpflichten) oder bis zu 7,5 Mio. € oder 1 % (Falschangaben gegenüber Behörden). Für KMU gilt jeweils der niedrigere Betrag. Die Sanktionsvorschriften gelten bereits seit August 2025.

    Kostenloses Erstgespräch vereinbaren →

    30 Min · Kostenlos · Unverbindlich

    Der nächste Schritt: Transparenz vor Compliance

    Die Rechtslage ist klarer, als die Debatte vermuten lässt: Transparenzpflichten ab August 2026, Hochrisiko-Pflichten ab Ende 2027, dazwischen ein Zeitfenster, das für den Aufbau von Inventar, Governance und Auditfähigkeit genau reicht. Unternehmen, die jetzt strukturiert starten, erledigen die Compliance als Nebenprodukt einer besseren KI-Steuerung. Unternehmen, die warten, bauen 2027 unter Zeitdruck beides gleichzeitig.

    Der erste Schritt ist immer derselbe: wissen, was läuft. Wenn Sie ein klares Bild davon bekommen wollen, welche KI-Systeme in Ihrem Betrieb laufen, welche Rolle und Risikoklasse sie haben und welche 2 bis 3 Automatisierungshebel darin stecken, ist ein kostenloses Erstgespräch der pragmatische Einstieg. 30 Minuten. Unverbindlich. Konkret. Mit schriftlicher Zusammenfassung für CFO und IT-Leitung.

    AIOP · VON HANISCH CONSULTING

    Agentic Industrial Orchestration Platform

    Die Aufsicht fragt ab August 2026, welche KI-Systeme bei Ihnen laufen. Heute kann das kaum ein Betrieb beantworten. AIOP ändert das — ohne ERP-Anpassung.

    Eine Steuerungsschicht über ERP, MES und WMS — mit Audit-Trails, Monitoring und Baseline-Messung.

    –58 %

    Prozessfehlerrate im Schnitt nach 12 Monaten

    –90 %

    Dateneingabefehler durch zentrale Echtzeit-Pipelines

    4 Wo.

    Typische Time-to-Value vom Kickoff bis erste Agenten live

    Phase 0 — 2 Tage, kostenlos: Schriftliches ROI-Assessment für Ihr Unternehmen, bevor Sie eine Entscheidung treffen. Das Risiko liegt auf unserer Seite.

    Metriken: AIOP Case Studies, hanischconsulting.de/aiop

    Dieser Artikel gibt den Rechtsstand zum Zeitpunkt der Veröffentlichung wieder (Juli 2026) und ersetzt keine Rechtsberatung. Für die rechtliche Bewertung einzelner KI-Systeme empfehlen wir die Abstimmung mit einer auf IT- und Datenrecht spezialisierten Kanzlei.

    Gerhard Hanisch
    Gerhard Hanisch
    Gründer und Geschäftsführer

    Gerhard Hanisch ist Gründer und Geschäftsführer sowie Senior Consultant bei Hanisch Consulting mit über 22 Jahren Erfahrung in der Datenanalyse und in der Entwicklung und Implementierung von KI-Modellen. Er verantwortet die technische Umsetzung von KI- und Datenprojekten. Mit seiner Expertise in Datenintegration, Machine Learning und Prozessautomatisierung begleitet er Mittelständler vom ersten Piloten bis in den produktiven Betrieb.

    Gerhard Hanisch
    Was kostet Sie fehlende KI-Kontrolle, wirklich?

    Die meisten Geschäftsführer kennen weder die Kosten noch die Ergebnisse ihrer KI-Projekte.