2018, als die DSGVO-Durchsetzung begann, zeigten Umfragen, dass 71 % der Unternehmen unvorbereitet auf Compliance waren (ISACA). Einige Studien setzten die Zahl noch höher an — Consultancy.eu fand, dass 90 % der europäischen Unternehmen nicht bereit waren.
Die Folgen dieser Unvorbereitetheit waren gravierend. DSGVO-Bußgelder überstiegen inzwischen 7,1 Mrd. € in mehr als 2.800 Durchsetzungsaktionen, wobei über 60 % dieser Bußgelder seit Januar 2023 verhängt wurden — Jahre nach Inkrafttreten der Verordnung. Das höchste Einzelbußgeld erreichte 1,2 Mrd. € (Meta, 2023).
Der AI Act ist so strukturiert, dass er demselben Durchsetzungsmuster folgt. Unternehmen, die annehmen, sie könnten warten und es später regeln, machen denselben Fehler, der Tausende von Organisationen unter der DSGVO Milliarden gekostet hat.
Sogar EU-Mitgliedstaaten sind im Verzug
Die Readiness-Lücke reicht über den privaten Sektor hinaus. Stand März 2026 haben nur 8 von 27 EU-Mitgliedstaaten formell nationale Durchsetzungs-Kontaktstellen benannt — eine Anforderung, die zum 2. August 2025 fällig war, vor sieben Monaten.
Finnland steht allein als erster Mitgliedstaat mit vollen AI-Act-Durchsetzungsbefugnissen (erreicht im Dezember 2025). Inzwischen haben die europäischen Normungsorganisationen CEN und CENELEC ihre Frist 2025 zur Erstellung harmonisierter technischer Normen verfehlt, mit neuem Ziel Ende 2026.
Wenn die Regulierer selbst hinter dem Zeitplan zurückbleiben, signalisiert das sowohl die Komplexität der Compliance als auch die Wahrscheinlichkeit, dass die Durchsetzung aggressiv hochfährt, sobald die Infrastruktur steht — wie es bei der DSGVO der Fall war.
Was der AI Act eigentlich verlangt
Die Verordnung klassifiziert KI-Systeme in vier Risikostufen:
Verbotene KI (bereits durchgesetzt seit 2. Februar 2025): Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum (mit begrenzten Ausnahmen), subliminale Manipulationstechniken und Ausbeutung schutzbedürftiger Gruppen.
Hochrisiko-KI (Durchsetzung beginnt am 2. August 2026): KI-Systeme in Beschäftigungsentscheidungen, Bonitätsprüfung, Bildung, medizinischer Diagnostik, Strafverfolgung, Migration und kritischer Infrastruktur. Diese erfordern vollständige Konformitätsbewertungen, Risikomanagementsysteme, menschliche Aufsicht und technische Dokumentation.
Begrenzt-Risiko-KI: Chatbots, Content-Generierungssysteme und Deepfake-Tools. Diese tragen Transparenzpflichten — Nutzer müssen informiert werden, dass sie mit KI interagieren.
Minimal-Risiko-KI: Alles andere. Keine spezifischen Pflichten, freiwillige Verhaltenskodizes werden empfohlen.
Die EU-Kommission schätzt, dass 10-18 % aller KI-Systeme in der EU als Hochrisiko eingestuft werden — ein signifikanter Anteil geschäftskritischer Anwendungen.
Die Kosten von Compliance — und Nicht-Compliance
Unabhängige Forschung des CEPS (Centre for European Policy Studies) beziffert die Compliance-Kosten für ein einzelnes Hochrisiko-KI-System auf:
- Erst-Compliance: 200.000 € – 500.000 €
- Aufbau Qualitätsmanagementsystem: 193.000 € – 330.000 €
- Konformitätsbewertung: 30.000 € – 150.000 €
- Jährliches Post-Market-Monitoring: 40.000 € – 80.000 €
Für KMU schätzen unabhängige Studien die Erst-Compliance-Kosten auf bis zu 600.000 € inkl. Zertifizierung und Personal, mit jährlichen Folgekosten von bis zu 150.000 €. Das entspricht einer potenziellen Gewinnerosion von 30-40 % für kleinere Unternehmen.
Die marktweiten Gesamt-Compliance-Kosten werden auf 1,6 Mrd. € bis 3,3 Mrd. € geschätzt.
Diese Zahlen im Vergleich zu den Strafen für Nicht-Compliance:
- Verbotene Praktiken: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
- Hochrisiko-System-Verstöße: bis zu 15 Mio. € oder 3 % des weltweiten Umsatzes
- Falsche Informationen: bis zu 7,5 Mio. € oder 1 % des weltweiten Umsatzes
Fünf Lücken, die wir am häufigsten sehen
Basierend auf unserer Arbeit mit EU-Unternehmen, die ihre AI-Act-Readiness bewerten, sind das die häufigsten Lücken:
1. Kein KI-System-Inventar. Die meisten Unternehmen können nicht einmal alle KI-Systeme auflisten, die sie nutzen, geschweige denn deren Risikoklasse einstufen. Shadow AI — Tools, die von einzelnen Teams ohne zentrale Aufsicht eingeführt werden — verschärft das.
2. Fehlende Risikomanagement-Dokumentation. Art. 9 verlangt ein dokumentiertes Risikomanagementsystem, das über den gesamten Lebenszyklus des KI-Systems läuft. Die meisten Unternehmen haben nichts Vergleichbares.
3. Kein Daten-Governance-Framework. Art. 10 schreibt spezifische Anforderungen für Trainings-, Validierungs- und Testdatensätze vor. Unternehmen, die Drittanbieter-Modelle nutzen, haben oft keine Sicht auf Trainingsdaten.
4. Pläne für menschliche Aufsicht existieren nicht. Art. 14 verlangt, dass Hochrisiko-KI-Systeme so gestaltet sind, dass wirksame menschliche Aufsicht möglich ist. Viele automatisierte Entscheidungssysteme wurden spezifisch gebaut, um menschliche Beteiligung zu minimieren.
5. Keine Incident-Meldeprozeduren. Unternehmen sind verpflichtet, schwerwiegende Vorfälle an Behörden zu melden. Die meisten haben keinen Prozess zur Erkennung, Dokumentation oder Meldung KI-bezogener Vorfälle.
Die vorgeschlagene Verschiebung ist kein Grund zu warten
Im März 2026 stimmte das Europäische Parlament dafür, Hochrisiko-KI-System-Fristen im Rahmen des Digital-Omnibus-Pakets um bis zu 16 Monate zu verlängern. Wenn finalisiert, hätten Standalone-Hochrisiko-Systeme bis Dezember 2027 Zeit.
Das sollte Ihren Zeitplan nicht ändern. Der Verschiebungsvorschlag wird noch verhandelt und könnte nicht durchkommen. Selbst wenn er das tut, bleiben die Compliance-Anforderungen identisch — nur das Durchsetzungsdatum verschiebt sich. Unternehmen, die eine mögliche Verschiebung als Entschuldigung nutzen, sich zurückzulehnen, werden sich in derselben Hektik wiederfinden, die die DSGVO-Readiness 2018 prägte.
Wichtiger noch: die KI-Kompetenz-Pflicht (Art. 4) und das Verbot verbotener Praktiken sind seit Februar 2025 bereits in Kraft. Unternehmen sind bereits durchsetzungspflichtig für diese Bestimmungen.
Was in den nächsten 90 Tagen zu tun ist
Schritt 1: KI-Systeme inventarisieren. Dokumentieren Sie jedes KI-Tool, das Ihre Organisation nutzt, wer es nutzt, welche Entscheidungen es beeinflusst und welche Daten es verarbeitet. Drittanbieter-KI-Dienste einbeziehen.
Schritt 2: Risikoklassen einstufen. Mappen Sie jedes System gegen die AI-Act-Risikokategorien. Besondere Aufmerksamkeit auf KI in HR, Finanzen, Gesundheitswesen und kundenseitigen Entscheidungen. Nutzen Sie unseren kostenlosen AI-Act-Readiness-Check für eine Erst-Bewertung.
Schritt 3: Gap-Bewertung. Für alle Hochrisiko-Systeme: bewerten Sie den aktuellen Stand gegen Art. 9-15 (Risikomanagement, Daten-Governance, technische Dokumentation, Aufzeichnungen, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit).
Schritt 4: Verantwortlichkeit zuweisen. Benennen Sie eine verantwortliche Person oder ein Team für AI-Act-Compliance. Das ist kein IT-Problem — es erfordert juristische, Compliance- und Fachbereichs-Koordination.
Schritt 5: Dokumentation beginnen. Beginnen Sie mit dem Aufbau der technischen Dokumentation nach Art. 11. Das ist die zeitaufwendigste Anforderung und lässt sich nicht in wenigen Wochen erledigen.
Häufig gestellte Fragen
F: Was ist die Durchsetzungsfrist der EU-KI-Verordnung für Hochrisiko-KI-Systeme?
A: Die primäre Durchsetzungsfrist für Hochrisiko-KI-Systeme nach Art. 6 und Anhang III ist der 2. August 2026. Jede Organisation, die ein Hochrisiko-KI-System auf dem EU-Markt in Verkehr bringt, muss bis zu diesem Datum Konformitätsbewertung, technische Dokumentation, Risikomanagementsystem und Registrierung in der EU-Datenbank abgeschlossen haben. Das Verbot verbotener KI-Praktiken (Art. 5) gilt seit dem 2. Februar 2025 und die KI-Kompetenz-Pflicht (Art. 4) seit demselben Datum. Eine vorgeschlagene Verschiebung im Rahmen des Digital-Omnibus-Pakets könnte die Hochrisiko-Frist auf Dezember 2027 verschieben, ist aber noch nicht finalisiert und sollte den Vorbereitungs-Zeitplan nicht ändern.
F: Wie viel Prozent der Unternehmen sind derzeit auf die EU-KI-Verordnung vorbereitet?
A: Nur 36 % der Organisationen berichten laut Deloittes 2024-Befragung von 700+ europäischen Führungskräften, gut vorbereitet zu sein. Nur 18 % betrachten sich als hochgradig vorbereitet in KI-Risiko und Governance. Das bedeutet, dass etwa zwei von drei EU-Unternehmen ohne adäquate Vorbereitung auf den Stichtag im August 2026 zusteuern — spiegelt die DSGVO-Readiness-Lücke 2018 wider, die in den Folgejahren zu über 7,1 Mrd. € Bußgeldern in mehr als 2.800 Durchsetzungsaktionen führte.
F: Wie viel kostet EU-AI-Act-Compliance für ein einzelnes Hochrisiko-KI-System?
A: CEPS (Centre for European Policy Studies) schätzt Erst-Compliance-Kosten von 200.000-500.000 € pro Hochrisiko-KI-System, mit Aufbau des Qualitätsmanagementsystems 193.000-330.000 € und Konformitätsbewertung 30.000-150.000 €. Jährliches Post-Market-Monitoring kommt mit 40.000-80.000 € pro System hinzu. Für KMU können die Gesamtkosten des ersten Jahres bis zu 600.000 € erreichen. Compliance-Automatisierungsplattformen wie Matproof können diese Kosten erheblich reduzieren, indem sie Dokumentation, Risikomanagement-Workflows und Evidenz-Sammlung straffen.
F: Was sind die häufigsten EU-AI-Act-Compliance-Lücken?
A: Die fünf häufigsten Lücken sind: (1) kein KI-System-Inventar — Organisationen können nicht alle eingesetzten KI-Tools identifizieren, insbesondere Shadow AI; (2) fehlende Art.-9-Risikomanagement-Dokumentation; (3) kein Art.-10-Daten-Governance-Framework für Trainingsdatensätze; (4) Pläne für menschliche Aufsicht, die Art.-14-Anforderungen nicht erfüllen; (5) keine Incident-Meldeprozeduren für Art.-73-Compliance. Die Inventarlücke ist fundamental — ohne zu wissen, welche KI-Systeme Sie betreiben, ist es unmöglich, den Klassifizierungs- und Compliance-Prozess zu beginnen.
F: Beeinflusst die vorgeschlagene Digital-Omnibus-Verschiebung den AI-Act-Compliance-Zeitplan?
A: Das Europäische Parlament stimmte im März 2026 dafür, Hochrisiko-KI-System-Fristen um bis zu 16 Monate zu verlängern, was Standalone-Hochrisiko-System-Compliance auf Dezember 2027 verschieben würde. Allerdings wird dieser Vorschlag noch verhandelt und könnte nicht in seiner aktuellen Form verabschiedet werden. Wichtiger noch: die Compliance-Anforderungen selbst ändern sich nicht — nur das Durchsetzungsdatum würde sich verschieben. Organisationen, die die mögliche Verschiebung als Rechtfertigung nutzen, die Vorbereitung zu verzögern, riskieren dieselbe Hektik, die die DSGVO-Readiness 2018 prägte, als 90 % der Unternehmen unvorbereitet waren, als die Durchsetzung begann.
Methodik
Dieser Report stützt sich auf öffentlich verfügbare Daten aus Deloittes 2024 European AI Survey (700+ Befragte), EU-Institutionenquellen (Europäisches Parlament, EU-Kommission, AI Act Service Desk), CEPS-Kostenanalyse, CMS GDPR Enforcement Tracker und ISACA-Compliance-Readiness-Umfragen. Matproofs eigene AI-Act-Readiness-Assessments lieferten zusätzliche qualitative Einsicht in häufige Compliance-Lücken.
Matproof automatisiert Compliance-Management über die EU-KI-Verordnung, DORA, NIS2, DSGVO, ISO 27001 und 6 weitere Frameworks. Prüfen Sie Ihre AI-Act-Readiness kostenlos oder erkunden Sie die Plattform.