EU-Studie: 78 % der Unternehmen sind für AI-Act-Pflichten 2026 noch nicht bereit – was CIOs jetzt konkret tun müssen

Ausgangslage: Deutliche Vorbereitungslücke vor Start der Pflichten 2026

Die neue EU-weite Analyse von Vision Compliance zeigt ein klares Bild: Rund 78 % der befragten Unternehmen sind strukturell nicht in der Lage, die zentralen Pflichten des EU AI Act bis zum Start der Hochrisiko-Anforderungen im August 2026 umzusetzen. Besonders kritisch sind drei Bereiche:

• fehlende oder unzureichende Governance-Strukturen für KI-Systeme,

• mangelhafte technische und konforme Dokumentation,

• fehlende Prozesse für Human Oversight und wirksame Kontrolle von Hochrisiko-KI.

Für CIOs, CDOs und Compliance-Verantwortliche ist das ein unmittelbares operatives Risiko. Die Übergangsphase bis 2026 ist faktisch ein Implementierungsfenster: Wer es nicht nutzt, riskiert ab Inkrafttreten nicht nur Bußgelder, sondern auch die Stilllegung produktiver KI-Systeme.

Was der AI Act ab 2026 konkret verlangt

Zentrale Pflichten für Hochrisiko-KI

Für als „Hochrisiko“ eingestufte KI-Systeme gelten ab 2026 unter anderem:

• Risikomanagement-System mit systematischer Bewertung und Behandlung von Risiken über den gesamten Lebenszyklus.

• Daten-Governance inklusive Spezifikation von Datensätzen, Qualitätskriterien, Bias- und Drift-Kontrollen.

• Technische Dokumentation nach Annex-IV-Logik, ausreichend detailliert, damit Behörden und Prüfstellen Funktionsweise und Risiken nachvollziehen können.

• Logging und Monitoring zur Nachvollziehbarkeit von Entscheidungen und Fehlfunktionen.

• Human Oversight: klar definierte menschliche Eingriffsmöglichkeiten, Schwellenwerte und Eskalationswege.

• Robustheit, Genauigkeit und Cybersicherheit: nachweisbare Tests und Validierungen.

Parallel greifen bereits heute Verbote bestimmter Praktiken sowie Transparenzpflichten für generative KI und AI-gestützte Interaktionen. Viele Unternehmen blenden dies noch aus, obwohl bestehende Systeme bereits jetzt nachrüstpflichtig sein können.

Zentrale Erkenntnisse der Vision-Compliance-Studie

1. Governance: KI wird noch wie ein IT-Tool, nicht wie ein reguliertes System behandelt

Die Mehrheit der Unternehmen verwaltet KI-Projekte weiterhin über klassische IT- oder Data-Analytics-Strukturen. Typische Muster:

• Kein klares Rollenmodell für Provider, Deployers und Lieferanten in der AI-Wertschöpfungskette.

• Fehlende KI-Richtlinie mit verbindlichen Mindeststandards für Entwicklung, Einkauf und Betrieb.

• Keine zentrale Systeminventur, die zwischen Low-Risk-Use-Cases und potentiell Hochrisiko-Anwendungen unterscheidet.

Konsequenz: Es ist oft unklar, wer rechtlich wofür verantwortlich ist – ein Kernproblem, wenn Aufsichtsbehörden ab 2026 konkrete Nachweise verlangen.

2. Dokumentation: Annex IV wird massiv unterschätzt

Viele befragte Unternehmen gehen davon aus, dass vorhandene Projekt- und Architektur-Dokumente „im Wesentlichen genügen“. Die Studie zeigt jedoch:

• Trainingsdaten, Feature-Auswahl und Modellversionen sind häufig nicht reproduzierbar dokumentiert.

• Es fehlen strukturierte Risikoanalysen, die auf die Kategorien des AI Act abstellen.

• Testkonzepte sind auf Performance-KPIs fokussiert, nicht auf regulatorische Kriterien wie Diskriminierungsrisiken oder Fehlertoleranzen.

Für Hochrisiko-Systeme reicht das nicht. Annex-IV-nahe Dokumentation ist arbeitsintensiv und muss früh im Lebenszyklus angesetzt werden – nachträgliches „Papier produzieren“ wird in vielen Fällen scheitern.

3. Daten-Governance: Technische Reife ohne regulatorischen Rahmen

Selbst datenreife Unternehmen haben aus Regulierungssicht Lücken:

• Es existiert keine systematische Klassifizierung, welche Datensätze für Hochrisiko-KI genutzt werden.

• Datenherkunft und -lizenzen sind nicht durchgängig nachweisbar – kritisch bei Dritt- und Webdaten.

• Bias-Kontrollen und Fairness-Analysen sind selten formalisiert oder wiederholbar.

Damit fehlen die Grundlagen, um im Auditfall belastbar nachzuweisen, dass Trainings- und Inputdaten den Anforderungen des AI Act genügen.

4. Human Oversight: Unklare Eingriffsmöglichkeiten

Viele Unternehmen verlassen sich auf „Sachverstand im Team“, ohne dies zu formalisieren:

• Es gibt keine schriftlichen Oversight-Konzepte mit klaren Interventionsregeln.

• Nutzeroberflächen bieten oft keinen definierten Not-Aus oder Rückfallmodus.

• Schulungen zu AI Literacy und spezifischen Oversight-Aufgaben sind selten verpflichtend.

Damit ist Human Oversight im Zweifel nicht nachweisbar – und genau auf diesen Nachweis wird es im Konfliktfall ankommen.

Konkrete Implikationen für Unternehmen

Risikoperspektive: Bußgelder, Projektstopps, Reputationsschäden

Ab 2026 werden Verstöße gegen zentrale AI-Act-Pflichten mit erheblichen Umsatz-bezogenen Bußgeldern sanktioniert. Noch gravierender für das operative Geschäft:

• Aufsichtsbehörden können Systeme untersagen oder einschränken, wenn Hochrisiko-Pflichten nicht erfüllt sind.

• Kritische KI-Anwendungen in Bereichen wie HR, Kreditvergabe, Produktion oder kritische Infrastruktur können kurzfristig abgeschaltet werden müssen.

• Kunden und Partner werden zunehmend Compliance-Nachweise verlangen und Non-Compliance vertraglich sanktionieren.

Chancenperspektive: Governance als Wettbewerbsfaktor

Unternehmen, die frühzeitig belastbare KI-Governance aufbauen, können:

• AI-basierte Produkte schneller in regulierten Märkten ausrollen,

• gegenüber Kunden auditierbare Nachweise bereitstellen,

• intern Innovation beschleunigen, weil Freigabeprozesse klar definiert sind.

Ein pragmatischer Fahrplan bis August 2026

H2/2026-Ready in fünf Schritten

#### 1. AI-Inventur und Risikoklassifizierung (0–3 Monate)

• Vollständige Bestandsaufnahme aller KI-Systeme (inkl. SaaS und Shadow-IT).

• Grobe Einordnung entlang der AI-Act-Risiko-Kategorien (verboten, hoch, begrenzt, minimal).

• Identifikation der kritischen Hochrisiko-Kandidaten mit größtem Geschäftsimpact.

#### 2. Governance-Struktur und Rollenmodell (1–6 Monate)

• Einrichtung eines AI Governance Boards aus IT, Data, Compliance, Legal, Fachbereichen.

• Definition, wer im Unternehmen Provider (Hersteller) und wer Deployer (Anwender) ist.

• Verabschiedung einer KI-Richtlinie mit Mindeststandards für Beschaffung, Entwicklung, Betrieb.

#### 3. Annex-IV-fähige Dokumentation pilothaft aufbauen (3–9 Monate)

• Auswahl von 1–2 Hochrisiko-Systemen als Pilotfälle.

• Aufbau eines Dokumentations-Blueprints, der die Annex-IV-Elemente abdeckt.

• Integration der Dokumentation in bestehende SDL-/ML-Ops-Prozesse (nicht als Parallelstruktur).

#### 4. Daten-Governance für Hochrisiko-KI schärfen (3–12 Monate)

• Einführung eines Datenkatalogs mit Kennzeichnung „verwendet für Hochrisiko-KI“.

• Definition von Qualitäts- und Bias-Checks als verbindliche Stufen im Trainingsprozess.

• Nachvollziehbare Erfassung von Datenherkunft, Rechtsgrundlagen und Lizenzen.

#### 5. Human Oversight und AI Literacy operationalisieren (laufend, erste Ergebnisse in 6–12 Monaten)

• Entwicklung standardisierter Oversight-Konzepte je Anwendungstyp (z. B. Entscheidungsunterstützung vs. voll- oder teilautomatisierte Entscheidungen).

• Implementierung technischer Eingriffspunkte (Not-Aus, Rollback, Eskalation).

• Pflichtschulungen für betroffene Rollen zu AI Literacy und spezifischen Oversight-Pflichten.

Handlungsempfehlungen für CIOs, CDOs und Compliance-Verantwortliche

1. AI Act als Transformationsprogramm behandeln, nicht als juristisches Randthema. Budget und Governance müssen dies widerspiegeln.

2. Top-Management einbinden: Vorstand und Geschäftsführung brauchen eine klare Sicht auf Risikoexposition und Investitionsbedarf.

3. Auf Pilotfälle fokussieren, statt flächendeckend zu starten: Zwei bis drei kritische Systeme reichen, um Templates, Prozesse und Werkzeuge zu erproben.

4. Externe Expertise gezielt nutzen: Für Klassifizierung, Dokumentations-Blueprints und erste Audits können spezialisierte Beratungen den Einstieg beschleunigen – operative Verantwortung bleibt aber im Unternehmen.

5. Synergien mit bestehenden Regimen heben (z. B. GDPR, NIS2, ISO 27001, ISO 42001), statt parallele Kontrollwelten aufzubauen.

Fazit: 78 % sind nicht bereit – aber das Fenster ist noch offen

Die Vision-Compliance-Studie ist ein Weckruf: Die Mehrheit der Unternehmen in Europa ist für die ab 2026 greifenden AI-Act-Pflichten noch nicht ausreichend vorbereitet. Gleichzeitig bleibt – Stand heute – noch ein knappes Zeitfenster, um Governance, Dokumentation, Daten-Governance und Human Oversight gezielt aufzubauen.

Wer jetzt strukturiert startet, kann nicht nur Sanktionen vermeiden, sondern KI-Anwendungen auf eine belastbare, skalierbare und auditierbare Basis stellen – und damit einen realen Wettbewerbsvorteil schaffen.

Häufig gestellte Fragen (FAQ)

Was verlangt der EU AI Act ab 2026 konkret von Unternehmen mit Hochrisiko-KI?

Ab August 2026 müssen Unternehmen für Hochrisiko-KI ein durchgängiges Risikomanagement, klare Daten-Governance, Annex-IV-konforme technische Dokumentation sowie Logging und Monitoring nachweisen. Zusätzlich sind Human Oversight, definierte Eingriffsmöglichkeiten und Anforderungen an Robustheit, Genauigkeit und Cybersicherheit verbindlich umzusetzen.

Warum sind laut Vision-Compliance-Studie 78 % der Unternehmen für den EU AI Act noch nicht bereit?

Die Studie zeigt, dass vielen Unternehmen grundlegende KI-Governance-Strukturen, eine Annex-IV-fähige Dokumentation und geregelte Human-Oversight-Prozesse fehlen. Häufig werden KI-Systeme wie normale IT-Tools behandelt, ohne klare Rollen, Risikoklassifizierung oder nachweisbare Daten-Governance.

Wie sollten CIOs und CDOs ihre Organisation bis August 2026 auf den AI Act vorbereiten?

Führungskräfte sollten mit einer vollständigen AI-Inventur starten, Hochrisiko-Systeme identifizieren und ein zentrales Governance-Modell mit klaren Rollen etablieren. Darauf aufbauend sind Pilotprojekte für Annex-IV-Dokumentation, geschärfte Daten-Governance für Hochrisiko-KI sowie strukturierte Human-Oversight-Konzepte umzusetzen.

Welche Risiken drohen Unternehmen bei Nichteinhaltung der AI-Act-Pflichten?

Bei Verstößen gegen den AI Act drohen ab 2026 umsatzbezogene Bußgelder sowie behördliche Einschränkungen oder Verbote von Hochrisiko-KI-Systemen. Zusätzlich besteht das Risiko kurzfristiger Projektstopps, Reputationsschäden und vertraglicher Sanktionen durch Kunden und Partner, die Compliance-Nachweise verlangen.

Was ist der Unterschied zwischen heutiger KI-Praxis und den Anforderungen des AI Act?

Heute fokussieren viele Unternehmen ihre KI-Praxis auf Performance-Kennzahlen und technische Exzellenz, während regulatorische Kriterien wie Diskriminierungsrisiken, Nachvollziehbarkeit und formale Oversight-Prozesse oft fehlen. Der AI Act verlangt dagegen eine dokumentierte, auditierbare Governance über den gesamten Lebenszyklus, inklusive Risikoanalysen, Datenherkunft und Intervention durch Menschen.

Wie funktioniert Annex-IV-konforme Dokumentation in der Praxis?

Annex-IV-konforme Dokumentation beschreibt Trainingsdaten, Modellarchitektur, Versionen, Risikoanalysen, Testkonzepte und technische Kontrollen so detailliert, dass Behörden Funktionsweise und Risiken nachvollziehen können. In der Praxis empfiehlt sich ein Standard-Blueprint, der früh in Entwicklungs- und ML-Ops-Prozesse integriert und zunächst an 1–2 Hochrisiko-Pilotsystemen erprobt wird.

Was sollten Unternehmen jetzt konkret tun, um das Implementierungsfenster bis 2026 zu nutzen?

Unternehmen sollten den AI Act als Transformationsprogramm behandeln, ein AI Governance Board etablieren und Top-Management-Sponsorship sichern. Praktisch heißt das: AI-Inventur durchführen, Hochrisiko-Kandidaten priorisieren, Dokumentations- und Daten-Governance-Standards definieren, Human Oversight operationalisieren und bei Bedarf gezielt externe Expertise für Klassifizierung und erste Audits hinzuziehen.