Start Blog EU AI Act
Alle Artikel
Regulierung 15. Oktober 2025 8 Min. Lesezeit

EU AI Act: Was Unternehmen jetzt wissen müssen

Die EU reguliert Künstliche Intelligenz mit dem AI Act. Risikokategorien, Pflichten, Strafen und Fristen – ein Überblick für Entscheider und IT-Verantwortliche.

Am 1. August 2024 trat der EU AI Act in Kraft – das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz weltweit. Die Übergangsfristen laufen, und Unternehmen müssen handeln.

Keine Panik: Die meisten KI-Anwendungen im Mittelstand fallen in unkritische Kategorien. Aber Sie sollten wissen, wo Sie stehen – und welche Pflichten auf Sie zukommen könnten.

Das Risiko-Stufenmodell

Der AI Act teilt KI-Systeme in vier Risikostufen ein:

Verboten

Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Massenüberwachung

Hochrisiko

KI in: Personalauswahl, Kreditvergabe, Bildung, kritische Infrastruktur, Medizinprodukte

Begrenztes Risiko

Chatbots, Deepfakes, Emotionserkennung (nicht am Arbeitsplatz) – Transparenzpflichten

Minimales Risiko

Die meisten KI-Anwendungen: Spamfilter, Empfehlungssysteme, Textgeneratoren

Was müssen Unternehmen tun?

Bei Hochrisiko-Systemen

  • Risikobewertung – Dokumentierte Analyse der Risiken vor dem Einsatz
  • Qualitätsmanagement – Prozesse zur Sicherstellung der Datenqualität
  • Menschliche Aufsicht – KI-Entscheidungen müssen überprüfbar sein
  • Transparenz – Betroffene müssen informiert werden
  • Registrierung – Eintrag in EU-Datenbank für Hochrisiko-KI

Bei begrenztem Risiko (Chatbots etc.)

  • Kennzeichnungspflicht – Nutzer müssen wissen, dass sie mit KI interagieren
  • Deepfake-Kennzeichnung – KI-generierte Inhalte müssen markiert werden

Die Fristen: Verbote gelten ab Februar 2025. Hochrisiko-Anforderungen ab August 2026. Allgemeine Regeln für alle KI-Systeme ab August 2027. Wer jetzt nicht plant, wird überrascht.

Die Strafen: DSGVO-Niveau

Der AI Act hat Zähne:

  • Verbotene KI einsetzen – Bis 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes
  • Hochrisiko-Pflichten verletzen – Bis 15 Mio. Euro oder 3% des Umsatzes
  • Falsche Angaben machen – Bis 7,5 Mio. Euro oder 1,5% des Umsatzes

Wem gehört KI-Output?

Eine Frage, die der AI Act nicht vollständig klärt: Urheberrecht bei KI-generierten Inhalten. Die Tendenz:

  • Rein KI-generiert – Wahrscheinlich kein Urheberrechtsschutz
  • Mit menschlicher Bearbeitung – Schutz möglich, wenn kreative Eigenleistung erkennbar
  • Trainingsdaten – Urheberrechtlich geschütztes Material im Training bleibt ein Streitthema

Wer haftet bei KI-Fehlern?

Die EU arbeitet an einer KI-Haftungsrichtlinie. Die Richtung:

  • Anbieter – Haften für Mängel im KI-System selbst
  • Betreiber – Haften für falsche Nutzung, fehlende Aufsicht, mangelnde Schulung
  • Beweislasterleichterung – Geschädigte müssen nicht mehr beweisen, wie genau die KI den Schaden verursacht hat

Praxistipp: Dokumentieren Sie, welche KI-Systeme Sie einsetzen, für welche Zwecke, und wie Sie die Ausgaben kontrollieren. Diese Dokumentation wird im Streitfall entscheidend sein.

General Purpose AI: Regeln für Basismodelle

Der EU AI Act enthält spezielle Regelungen für sogenannte General Purpose AI (GPAI) – also Basismodelle wie GPT-4, Llama oder Mistral, die für vielfältige Zwecke eingesetzt werden können. Diese Regelungen betreffen primär die Anbieter der Modelle, haben aber auch Auswirkungen auf Unternehmen, die sie einsetzen.

Anforderungen an GPAI-Anbieter

  • Technische Dokumentation – Detaillierte Beschreibung der Modellarchitektur und Trainingsprozesse
  • Transparenz über Trainingsdaten – Zusammenfassung der verwendeten Daten, insbesondere urheberrechtlich geschützter Inhalte
  • Copyright-Compliance – Einhaltung des EU-Urheberrechts beim Training
  • Systemic Risk Assessment – Für besonders leistungsfähige Modelle zusätzliche Risikoanalysen

Praxisrelevanz: Wenn Sie Open-Source-Modelle auf eigener Infrastruktur betreiben, gelten die GPAI-Pflichten nicht für Sie als Betreiber, sondern für den ursprünglichen Modellanbieter. Für Ihre eigene Nutzung sind die allgemeinen Pflichten je nach Risikokategorie Ihrer Anwendung relevant. Mehr dazu erfahren Sie in unserer KI-Beratung.

EU AI Act Compliance in der Praxis

Die Umsetzung des EU AI Act muss nicht überwältigend sein. Für die meisten mittelständischen Unternehmen, die KI als Werkzeug einsetzen, sind die praktischen Anforderungen überschaubar.

Chatbots und virtuelle Assistenten

Wenn Sie einen KI-Chatbot für den Kundenservice betreiben, fällt dieser unter „begrenztes Risiko". Die Hauptpflicht: Kennzeichnung. Nutzer müssen wissen, dass sie mit einer KI sprechen. Ein einfacher Hinweis wie „Dieser Chat wird von einer KI unterstützt" genügt in der Regel. Darüber hinaus sollten Sie dokumentieren, welches Modell eingesetzt wird und für welchen Zweck.

KI-gestützte Entscheidungssysteme

Setzen Sie KI für Personalentscheidungen, Kreditprüfungen oder andere Hochrisiko-Bereiche ein, werden die Anforderungen deutlich strenger. Hier brauchen Sie ein dokumentiertes Risikomanagementsystem, regelmäßige Audits und die Möglichkeit menschlicher Überprüfung jeder KI-Entscheidung. Unsere KI-Workshops bereiten Ihre Teams gezielt darauf vor.

On-Premise als Compliance-Vorteil

Der Betrieb von KI-Systemen auf eigener Infrastruktur vereinfacht die Compliance erheblich. Sie haben volle Kontrolle über Datenflüsse, können Audit-Trails lückenlos führen und sind nicht von den Compliance-Maßnahmen externer Cloud-Anbieter abhängig. Erfahren Sie mehr über unsere On-Premise-KI-Lösungen.

Was Sie jetzt tun sollten

  1. Bestandsaufnahme – Welche KI-Systeme setzen Sie ein?
  2. Klassifizierung – In welche Risikokategorie fallen sie?
  3. Lückenanalyse – Welche Pflichten erfüllen Sie noch nicht?
  4. Roadmap erstellen – Priorisierte Maßnahmen mit Zeitplan
  5. Verantwortlichkeiten klären – Wer ist für KI-Compliance zuständig?
  6. Dokumentation aufbauen – Verzeichnis aller KI-Systeme mit Risikoklassen anlegen
  7. Schulungen planen – Mitarbeiter für die neuen Anforderungen sensibilisieren
Passende Leistungen
KI-Beratung KI-Workshops Datenleck vermeiden On-Premise KI

Häufig gestellte Fragen zum EU AI Act

Was ist der EU AI Act und wann tritt er in Kraft?

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft. Die Umsetzung erfolgt schrittweise: Verbotene KI-Praktiken gelten seit Februar 2025, Hochrisiko-Anforderungen werden ab August 2026 wirksam, und allgemeine Regeln für alle KI-Systeme greifen ab August 2027.

Welche KI-Anwendungen sind nach dem EU AI Act verboten?

Verboten sind: Social-Scoring-Systeme, die Menschen nach ihrem Sozialverhalten bewerten, manipulative KI-Techniken, die das Verhalten von Personen unterschwellig beeinflussen, biometrische Echtzeit-Überwachung in öffentlichen Räumen (mit engen Ausnahmen für Strafverfolgung), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie KI-Systeme, die gezielt Schwachstellen vulnerabler Personengruppen ausnutzen.

Muss mein Chatbot als KI gekennzeichnet werden?

Ja. Chatbots fallen unter die Kategorie „begrenztes Risiko" und unterliegen einer Transparenzpflicht. Nutzer müssen klar und deutlich darüber informiert werden, dass sie mit einem KI-System interagieren. Ebenso müssen KI-generierte Inhalte wie Texte, Bilder oder Videos (Deepfakes) als solche gekennzeichnet werden. Ein einfacher Hinweis in der Benutzeroberfläche genügt in der Regel.

Welche Strafen drohen bei Verstößen gegen den EU AI Act?

Die Bußgelder sind nach Schwere gestaffelt: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für den Einsatz verbotener KI-Systeme, bis zu 15 Millionen Euro oder 3 Prozent für Verstöße gegen Hochrisiko-Pflichten, und bis zu 7,5 Millionen Euro oder 1,5 Prozent für falsche Angaben gegenüber Aufsichtsbehörden. Für KMU gelten reduzierte Obergrenzen.

KI-Compliance-Check

Wir prüfen Ihre KI-Anwendungen auf EU AI Act-Konformität und zeigen, was zu tun ist.

Beratung anfragen
Weitere Artikel
Datenschutz

Datenschutz und KI: So schützen Sie sensible Daten

KI und DSGVO – wie Sie ChatGPT & Co. nutzen ohne Datenschutz-Verstöße.
Sicherheit

KI-Sicherheit: Pentests und Schwachstellen

Wie sicher sind KI-Systeme? Angriffsvektoren und Schutzmaßnahmen.