Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung von KI-Systemen. Seit August 2024 in Kraft getreten, entfaltet er seine Wirkung gestaffelt bis 2027 — doch viele Unternehmen unterschätzen den Handlungsbedarf. Dieser Beitrag klärt, was Sie konkret wissen und tun müssen.
Ab dem 2. August 2026 müssen Hochrisiko-KI-Systeme (Anhang III: HR-KI, Kredit-KI, biometrische Systeme u.v.m.) vollständig dokumentiert, bewertet und compliant sein. Bußgelder bis zu 35 Mio. € oder 7 % des Jahresumsatzes sind möglich. Wer noch kein KI-Inventar hat, sollte jetzt handeln – nicht im Juli.
Was ist der EU AI Act überhaupt?
Der EU AI Act reguliert KI-Systeme nach ihrem Risikopotenzial — ähnlich wie die DSGVO personenbezogene Daten schützt, schützt der AI Act vor Schäden durch KI. Das Gesetz richtet sich an:
- Anbieter von KI-Systemen (Entwickler, die KI vermarkten)
- Betreiber von KI-Systemen (Unternehmen, die KI-Tools im Betrieb einsetzen)
- Importeure und Händler von KI-Produkten
Als "KI-System" gilt dabei jedes System, das auf Basis von Eingaben Ergebnisse wie Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte erzeugt — von Chatbots über Rekrutierungssoftware bis hin zu Produktionsoptimierung.
Die vier Risikoklassen im Überblick
Das Kernprinzip des AI Acts ist ein risikobasierter Ansatz. Je höher das Risiko, desto strenger die Anforderungen:
| Risikoklasse | Beispiele | Rechtsfolge |
|---|---|---|
| Unakzeptabel | Social Scoring durch Behörden, biometrische Echtzeitüberwachung im öffentlichen Raum, manipulative KI | Verboten — keine Ausnahmen möglich |
| Hochrisiko | KI in HR/Recruiting, Kreditbewertung, kritische Infrastruktur, Medizinprodukte, Justiz | Umfangreiche Pflichten: Risikomanagementsystem, Datengovernance, Transparenz, menschliche Aufsicht, Konformitätsbewertung |
| Begrenzte Risiken | Chatbots, Deepfakes, emotionserkennende KI | Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren |
| Minimale Risiken | Spam-Filter, KI-gestützte Suche, Spielecharaktere | Keine spezifischen Pflichten — freiwillige Verhaltenskodizes empfohlen |
Ich prüfe kostenlos, welche Risikoklasse Ihre KI-Systeme betrifft und welche Maßnahmen konkret notwendig sind.
KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, z.B. GPT-4, Claude, Llama) unterliegen eigenen Regeln. Modelle mit systemischen Risiken (Trainingsaufwand > 10²⁵ FLOPs) haben besonders strenge Pflichten.
Der Zeitplan: Was gilt ab wann?
Inkrafttreten
Der EU AI Act tritt formell in Kraft. 24-monatige Übergangsfrist läuft an.
Verbote für unakzeptable Risiken
Systeme mit unakzeptablem Risikopotenzial müssen abgeschaltet sein. Bußgelder bis 35 Mio. € oder 7% des Jahresumsatzes.
GPAI-Pflichten
Regeln für KI-Modelle mit allgemeinem Verwendungszweck werden anwendbar.
Hochrisiko-KI (Anhang III) – Jetzt handeln
Vollständige Pflichten für HR-KI, Kredit-KI, biometrische Systeme, KI in kritischer Infrastruktur. Konformitätsbewertung, Dokumentation, EU-Register-Eintrag. Weniger als 60 Tage verbleiben.
Hochrisiko-KI (Anhang I) – Produktrecht
KI-Systeme in physischen Produkten (Medizinprodukte, Fahrzeuge, Maschinen) – Übergangszeit für bestehende CE-gekennzeichnete Produkte.
Welche Unternehmen sind besonders betroffen?
Viele Mittelständler glauben, der EU AI Act sei primär ein Thema für Tech-Konzerne. Das ist ein gefährlicher Irrtum. Als Betreiber (Deployer) sind Sie betroffen, wenn Sie:
- KI-gestützte Bewerbermanagementsysteme nutzen (z.B. automatische CV-Analyse)
- Kreditwürdigkeitsprüfungen per KI durchführen
- Chatbots im Kundenservice einsetzen, ohne Offenlegung
- KI zur Leistungsüberwachung von Mitarbeitern verwenden
- Prädiktive Wartungssysteme in kritischer Infrastruktur betreiben
Der EU AI Act unterscheidet nicht zwischen internem und externem Einsatz. Auch KI-Systeme, die nur intern für Mitarbeiterentscheidungen genutzt werden (Personalwesen, Leistungsbewertung), können Hochrisiko-Anforderungen unterliegen.
Pflichten für Hochrisiko-Betreiber
Wenn Sie Hochrisiko-KI-Systeme einsetzen, müssen Sie konkret:
- Sicherstellen, dass das System eine Konformitätserklärung (CE-Kennzeichnung) vom Anbieter hat
- Ein Risikomanagementsystem implementieren und dokumentieren
- Mitarbeiter im Umgang mit dem System schulen und Qualifikationsnachweise führen
- Menschliche Aufsicht sicherstellen — KI-Entscheidungen müssen überprüfbar und korrigierbar sein
- Protokolle über den Systembetrieb für mindestens 6 Monate aufbewahren
- Grundrechtsfolgenabschätzung durchführen (für Behörden verpflichtend, für Private empfohlen)
Transparenzpflichten: Das betrifft fast alle
Auch wenn Ihre KI nicht als Hochrisiko eingestuft wird, gelten für viele Systeme Transparenzpflichten:
- Chatbots und virtuelle Assistenten: Nutzer müssen wissen, dass sie mit einer KI interagieren
- Deepfakes und synthetische Inhalte: Kennzeichnungspflicht als KI-generiert
- Emotionserkennung: Nutzer müssen informiert werden, wenn ihre Emotionen analysiert werden
So starten Sie: 5-Schritte-Sofortplan
Angesichts der bereits laufenden Fristen empfehle ich folgendes Vorgehen:
Schritt 1: KI-Inventar erstellen
Dokumentieren Sie alle KI-Systeme in Ihrem Unternehmen — auch solche, die als "normale Software" wahrgenommen werden. Microsoft 365 Copilot, ChatGPT-Integrationen, automatisierte Entscheidungssysteme in ERP oder CRM zählen dazu.
Schritt 2: Risikoklassifizierung durchführen
Ordnen Sie jedes System einer Risikoklasse zu. Der EU AI Act definiert Hochrisiko-Anwendungsfelder in Anhang II und III. Prüfen Sie kritisch: Welche Entscheidungen werden durch KI unterstützt oder automatisiert?
Schritt 3: Anbieter-Dokumentation prüfen
Fordern Sie von Ihren KI-Systemanbietern die Konformitätsdokumentation an. EU-Anbieter müssen diese liefern können; für Nicht-EU-Anbieter prüfen Sie, ob ein EU-Bevollmächtigter existiert.
Schritt 4: Verantwortlichkeiten intern klären
Benennen Sie einen AI Act Compliance-Verantwortlichen — ähnlich wie einen Datenschutzbeauftragten. Verankern Sie KI-Governance in bestehenden Compliance-Strukturen.
Schritt 5: Schulungen durchführen
Mitarbeiter, die Hochrisiko-KI nutzen, müssen nachweislich geschult sein. Dokumentieren Sie Schulungen und aktualisieren Sie sie bei Systemänderungen.
Ihre Sofort-Checkliste
- KI-Inventar aller genutzten KI-Systeme erstellt und dokumentiert
- Risikoklassifizierung für jedes System durchgeführt
- Systeme mit "unakzeptablem Risiko" identifiziert und abgeschaltet (seit Feb. 2025 Pflicht)
- Konformitätsdokumentation von Anbietern aller Hochrisiko-Systeme angefordert
- Transparenzhinweise bei Chatbots und KI-generierten Inhalten implementiert
- Interne AI-Governance-Struktur und Verantwortliche benannt
- Schulungsmaßnahmen für Mitarbeiter mit KI-Systemen geplant/umgesetzt
- Protokollierungs- und Aufbewahrungsprozesse für KI-Betriebsdaten eingerichtet
Der EU AI Act sieht einen risikoproportionalen Ansatz vor. Kleine und mittlere Unternehmen, die ausschließlich Minimal-Risiko-KI einsetzen, haben kaum bürokratische Zusatzlast. Der Aufwand skaliert mit dem tatsächlichen Risikopotenzial Ihrer KI-Nutzung.
Sanktionen: Was droht bei Verstößen?
Der EU AI Act sieht gestaffelte Bußgelder vor:
- Bis 35 Mio. € oder 7% des Jahresumsatzes bei Verstößen gegen die Verbote (unakzeptable Risiken)
- Bis 15 Mio. € oder 3% des Jahresumsatzes bei Verstößen gegen sonstige Pflichten
- Bis 7,5 Mio. € oder 1,5% des Jahresumsatzes bei falschen Angaben gegenüber Behörden
Für KMU gelten die niedrigeren Werte aus dem jeweiligen Wertepaar. Die Aufsicht erfolgt durch nationale Marktaufsichtsbehörden — in Deutschland voraussichtlich die Bundesnetzagentur.
Sind Sie bis zum 2. August 2026 compliant?
Strukturierter KI-Audit in einem halben Tag: Bestandsaufnahme, Risikoklassifizierung, schriftlicher Report mit Handlungsplan. BAFA-gefördert – Eigenanteil ab ca. 690 €.
🛡️ KI-Audit anfragen 📅 Kostenloses Erstgespräch 📄 PDF-Leitfaden herunterladen