Die EU-Kommission hat am 20. Mai 2026 klare Leitlinien veröffentlicht, welche KI-Systeme als Hochrisiko gelten. Zwei Deadlines, acht Kategorien — und konkrete Handlungsschritte für den Mittelstand.
Die EU-Kommission hat am 20. Mai 2026 einen Leitlinien-Entwurf veröffentlicht, der konkretisiert, welche KI-Systeme unter den AI Act als Hochrisiko eingestuft werden. Die Vorgaben schaffen erstmals einheitliche Mindeststandards für alle EU-Mitgliedsstaaten. Für deutsche Unternehmen bedeutet das: Bis Dezember 2027 müssen bestimmte KI-Anwendungen registriert, dokumentiert und überwacht werden — oder sie dürfen nicht mehr betrieben werden. Die Unsicherheit der letzten Monate hat damit ein Ende.
Der Entwurf richtet sich an nationale Marktüberwachungsbehörden wie die deutsche Bundesnetzagentur sowie an Entwickler und Betreiber von KI-Systemen. Er klärt, welche Anwendungen unter die strengen Pflichten des AI Act fallen.
Die Kommission unterscheidet zwei Kategorien: Artikel 6(1) umfasst KI-Systeme, die als Produkt oder Sicherheitskomponente in Produkten verbaut sind und einer verpflichtenden Drittprüfung unterliegen. Artikel 6(2) definiert eigenständige Systeme, die in Annex 3 des AI Act aufgelistet sind — darunter acht Bereiche wie kritische Infrastruktur, Bildungswesen, Beschäftigung, Biometrie und Strafverfolgung.
Ein Beispiel aus dem Entwurf: Emotionserkennungs-KI in Smartwatches, die biometrische Daten wie Herzfrequenz erfasst, gilt als Hochrisiko-System. Solche Anwendungen müssen künftig umfangreiche Anforderungen an Transparenz, Dokumentation und Risikomanagement erfüllen.
Viele mittelständische Unternehmen setzen bereits KI ein — sei es in der Qualitätskontrolle, bei der Mitarbeiterplanung oder im Kundensupport. Bisher blieb oft unklar, welche regulatorischen Anforderungen gelten. Die neuen Leitlinien schaffen Klarheit.
Wer ein KI-System betreibt, das unter Artikel 6(2) fällt, muss ab Dezember 2027 nachweisen können, dass Risiken identifiziert, bewertet und minimiert wurden. Das betrifft nicht nur große Konzerne: Auch ein Speditionsunternehmen, das KI für Fahrereinsatzplanung nutzt, oder ein Pflegedienst mit automatisierter Dienstplanoptimierung könnte darunter fallen — sofern die Systeme Beschäftigungsentscheidungen beeinflussen.
Die Konsequenz bei Nicht-Einhaltung: Systeme, die nicht den Anforderungen entsprechen, dürfen nicht mehr eingesetzt werden. In Extremfällen drohen Bußgelder von bis zu sechs Prozent des weltweiten Jahresumsatzes.
KI-Systeme, die biometrische Daten verarbeiten — etwa Gesichtserkennung am Firmeneingang oder Emotionsanalyse in Bewerbungsgesprächen per Video-KI — gelten grundsätzlich als Hochrisiko. Die Leitlinien nennen explizit Smartwatch-KI, die Herzfrequenz und Bewegungsmuster zur Stimmungsanalyse nutzt.
Betreiber von Wasser-, Strom- oder Verkehrsinfrastruktur, die KI zur Steuerung oder Überwachung einsetzen, fallen unter die strengsten Auflagen. Das kann auch mittelständische Energieversorger oder Logistikdienstleister betreffen, die KI-gestützte Wartungssysteme nutzen.
KI-Tools, die Bewerbungen vorsortieren, Mitarbeiterleistung bewerten oder Kündigungen vorbereiten, sind Hochrisiko-Systeme. In der Praxis betrifft das viele HR-Softwarelösungen, die seit der Pandemie auch im Mittelstand verbreitet sind.
Systeme, die Prüfungsergebnisse auswerten oder Ausbildungsplätze zuweisen, unterliegen den Hochrisiko-Regeln. Berufsschulen und Ausbildungsbetriebe, die automatisierte Bewertungstools nutzen, müssen deren Konformität prüfen.
Der erste Schritt ist eine Bestandsaufnahme: Welche KI-Systeme sind im Einsatz? Welche davon verarbeiten biometrische Daten, treffen Beschäftigungsentscheidungen oder steuern kritische Prozesse? Diese Systeme sollten bis spätestens Mitte 2027 einer Risikoklassifizierung unterzogen werden.
Für Hochrisiko-Systeme gelten konkrete Pflichten: Risikomanagementsystem, technische Dokumentation, Protokollierung aller Entscheidungen, menschliche Aufsicht und Transparenzhinweise für Betroffene. Viele dieser Anforderungen lassen sich durch organisatorische Maßnahmen erfüllen — etwa durch klare Verantwortlichkeiten und regelmäßige Audits.
In unseren KI-Projekten bei ATLAS Consulting prüfen wir bereits jetzt, welche Systeme unserer Kunden unter die Hochrisiko-Kategorie fallen könnten. Oft reicht es, bestehende Prozesse zu dokumentieren und nachzuschärfen, statt die Technologie komplett auszutauschen.
Wer externe KI-Dienste nutzt — etwa Cloud-basierte HR-Tools oder Marketing-Automation mit KI — sollte vom Anbieter eine Konformitätserklärung anfordern. Die Verantwortung bleibt beim Betreiber, auch wenn die Software eingekauft wurde.
„Bis Dezember 2027 müssen Unternehmen wissen, welche ihrer KI-Systeme als Hochrisiko gelten — sonst droht im Zweifel der Betriebsstopp."
Deadlines nicht verpassenDie EU-Kommission hat zwei feste Stichtage gesetzt: Systeme nach Artikel 6(2) müssen bis 2. Dezember 2027 konform sein, Produkt-KI nach Artikel 6(1) bis 2. August 2028. Wer bis dahin keine Risikoklassifizierung vorgenommen hat, riskiert Bußgelder und den Zwangsstopp der Anwendung. Frühzeitige Vorbereitung spart Stress und Kosten.
| Risikoklasse | Beispiele | Anforderungen |
|---|---|---|
| Minimalrisiko | Chatbots ohne Personenbezug, einfache Spam-Filter, KI-Übersetzung | Keine speziellen Pflichten, freiwillige Transparenz empfohlen |
| Hochrisiko (Artikel 6(2)) | Biometrie, HR-KI, kritische Infrastruktur, Bildungs-KI | Risikoanalyse, Dokumentation, Protokollierung, menschliche Aufsicht, Transparenzpflicht |
| Hochrisiko (Artikel 6(1)) | Sicherheitskomponenten in Produkten (z.B. Fahrzeugassistenz) | Drittprüfung, CE-Kennzeichnung, Konformitätserklärung |
| Verboten | Social Scoring, Manipulation durch KI, biometrische Echtzeit-Überwachung im öffentlichen Raum | Einsatz untersagt, Ausnahmen nur für Strafverfolgung mit Richterbeschluss |
Die Leitlinien der EU-Kommission beenden die Phase der Unsicherheit. Unternehmen wissen jetzt, welche KI-Systeme unter welche Regeln fallen und bis wann sie handeln müssen. Das ist ein Fortschritt gegenüber der bisherigen Situation, in der viele Betriebe KI-Projekte aus Angst vor Compliance-Risiken aufgeschoben haben.
Für den Mittelstand bedeutet das: Wer jetzt eine Bestandsaufnahme macht und bis Mitte 2027 die notwendigen Prozesse aufsetzt, kann KI weiterhin rechtssicher einsetzen. Die Anforderungen sind anspruchsvoll, aber nicht unerfüllbar. Entscheidend ist, frühzeitig zu starten und nicht erst kurz vor der Deadline.
ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.