Was ist der EU AI Act?
Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er wurde am 13. Juni 2024 vom Europäischen Parlament verabschiedet und am 12. Juli 2024 im Amtsblatt der EU veröffentlicht.
Das Ziel: KI soll in Europa sicher, transparent und grundrechtskonform eingesetzt werden – ohne Innovation zu bremsen. Der AI Act schafft dafür einen einheitlichen Rechtsrahmen, der in allen 27 EU-Mitgliedstaaten direkt gilt. Kein nationales Umsetzungsgesetz nötig.
Der Ansatz ist risikobasiert: Je höher das Risiko einer KI-Anwendung für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Auflagen. Eine KI, die Spam-E-Mails filtert, hat andere Pflichten als eine KI, die Bewerber vorsortiert.
Wichtig zu verstehen: Der AI Act reguliert nicht nur KI-Entwickler, sondern auch Unternehmen, die KI einsetzen (sogenannte „Betreiber" bzw. „Deployer"). Wenn Ihre Mitarbeiter ChatGPT, Copilot oder andere KI-Tools nutzen, betrifft Sie der AI Act.
Wer ist betroffen?
Kurze Antwort: Praktisch jedes Unternehmen, das KI nutzt oder entwickelt.
Der AI Act unterscheidet mehrere Rollen:
Anbieter (Provider)
Wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen auf den Markt bringt. Die meisten Pflichten treffen diese Rolle.
Betreiber (Deployer)
Wer ein KI-System im beruflichen Kontext einsetzt – also die meisten Unternehmen. Wer ChatGPT, Copilot oder KI-Buchhaltungstools nutzt, ist Betreiber.
Importeure & Händler
Wer KI-Systeme aus Drittstaaten in die EU einführt oder vertreibt. Auch für sie gibt es Prüfpflichten.
Achtung, Extraterritorialität: Der AI Act gilt auch für Unternehmen außerhalb der EU, wenn deren KI-Systeme in der EU eingesetzt werden. Ähnlich wie bei der DSGVO.
Ausnahmen: Rein private Nutzung, militärische Anwendungen und Forschung (vor Markteinführung) sind vom AI Act ausgenommen. Für Open-Source-KI gelten begrenzte Erleichterungen bei den GPAI-Dokumentationspflichten (Art. 53) – aber Hochrisiko-, Verbots- und Transparenzpflichten gelten auch für Open Source uneingeschränkt.
Die vier Risikoklassen
Das Herzstück des AI Act ist die risikobasierte Klassifizierung. Jedes KI-System wird einer von vier Stufen zugeordnet – und je nach Stufe gelten unterschiedliche Pflichten.
Unakzeptables Risiko – Verboten
Stufe 4KI-Praktiken, die gegen europäische Grundwerte verstoßen, sind komplett verboten. Dazu gehören Social Scoring, manipulative Techniken, Echtzeit-Biometrie im öffentlichen Raum (mit Ausnahmen für Strafverfolgung) und Emotionserkennung am Arbeitsplatz.
→ Gilt seit 2. Februar 2025
Hohes Risiko – Strenge Auflagen
Stufe 3KI-Systeme, die Gesundheit, Sicherheit oder Grundrechte gefährden können. Beispiele: KI in der Personalauswahl, Kreditwürdigkeitsprüfung, Bildung, kritischer Infrastruktur oder Strafverfolgung. Es gelten umfangreiche Pflichten: Risikomanagement, Datensatz-Qualität, Dokumentation, menschliche Aufsicht, Genauigkeit und Cybersicherheit.
→ Gilt ab 2. August 2026
Begrenztes Risiko – Transparenzpflichten
Stufe 2KI-Systeme, die mit Menschen interagieren, müssen das offenlegen. Chatbots müssen als KI erkennbar sein. KI-generierte Inhalte (Texte, Bilder, Audio, Video) müssen als solche gekennzeichnet werden. Deepfakes müssen markiert sein.
→ Gilt ab 2. August 2026
Minimales Risiko – Keine speziellen Pflichten
Stufe 1Die Mehrheit aller KI-Anwendungen: Spam-Filter, KI-gestützte Produktempfehlungen, automatische Übersetzungen, KI in Videospielen. Keine speziellen Anforderungen durch den AI Act – freiwillige Verhaltenskodizes werden empfohlen.
→ Keine speziellen Fristen
Verbotene KI-Praktiken
Seit dem 2. Februar 2025 sind folgende KI-Praktiken in der EU verboten (Artikel 5):
Manipulative oder täuschende Techniken
KI, die unterschwellig das Verhalten von Personen beeinflusst und ihnen schadet.
Social Scoring
Bewertung von Personen aufgrund ihres sozialen Verhaltens, die zu ungerechtfertigter Benachteiligung führt.
Biometrische Echtzeit-Überwachung im öffentlichen Raum
Gesichtserkennung in Echtzeit auf öffentlichen Plätzen – mit eng definierten Ausnahmen für Strafverfolgung.
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
KI-Systeme, die Emotionen von Arbeitnehmern oder Schülern ableiten – außer aus medizinischen oder Sicherheitsgründen.
Biometrische Kategorisierung nach sensiblen Merkmalen
KI, die Personen anhand von Rasse, Religion, sexueller Orientierung oder politischer Überzeugung klassifiziert.
Vorhersagende Polizeiarbeit auf Basis von Profiling
KI, die aus Persönlichkeitsmerkmalen vorhersagt, ob jemand eine Straftat begehen wird.
Ungezielte Gesichtsdatenbanken (Scraping)
Aufbau von Gesichtserkennungsdatenbanken durch ungezieltes Sammeln aus dem Internet oder Überwachungskameras.
Hochrisiko-KI: Pflichten im Detail
Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen des AI Act. Sie sind in zwei Kategorien definiert:
Annex I – KI in bereits regulierten Produkten:
Medizinprodukte, Maschinen, Spielzeug, Aufzüge, Fahrzeuge, Luftfahrt – wenn KI als Sicherheitskomponente eingesetzt wird.
Annex III – Eigenständige Hochrisiko-Bereiche:
- Biometrische Identifizierung und Kategorisierung
- Kritische Infrastruktur (Energie, Wasser, Verkehr, Telekommunikation)
- Bildung und Berufsausbildung (Zugang, Bewertung)
- Beschäftigung und Personalmanagement (Recruiting, Beförderung, Kündigung)
- Zugang zu öffentlichen und privaten Dienstleistungen (Kreditvergabe, Versicherungen)
- Strafverfolgung (Risikobewertung, Lügendetektoren, Beweismittelbewertung)
- Migration und Grenzkontrolle
- Justiz und demokratische Prozesse
Pflichten für Anbieter von Hochrisiko-KI
Risikomanagementsystem
Laufende Identifikation, Bewertung und Minimierung von Risiken während des gesamten Lebenszyklus.
Daten-Governance
Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, fehlerfrei und vollständig sein.
Technische Dokumentation
Umfassende Dokumentation zu Design, Entwicklung, Fähigkeiten und Einschränkungen des Systems.
Automatische Protokollierung
Das System muss Ereignisse aufzeichnen, die für die Rückverfolgbarkeit relevant sind (Logs).
Transparenz & Gebrauchsanweisung
Betreiber müssen klare, verständliche Informationen über Fähigkeiten, Einschränkungen und korrekte Nutzung erhalten.
Menschliche Aufsicht
Das System muss so gestaltet sein, dass Menschen es überwachen und bei Bedarf eingreifen können.
Genauigkeit, Robustheit & Cybersicherheit
Das System muss zuverlässig funktionieren und gegen Angriffe und Fehler geschützt sein.
Pflichten für Betreiber von Hochrisiko-KI
Auch wer ein Hochrisiko-System nur einsetzt (nicht entwickelt), hat Pflichten:
- Das System gemäß der Gebrauchsanweisung einsetzen
- Menschliche Aufsicht sicherstellen (geschultes Personal)
- Eingabedaten müssen relevant und repräsentativ sein
- Monitoring der Funktionsweise, Meldung von Vorfällen
- Datenschutz-Folgenabschätzung (DSFA) durchführen
- Betroffene Personen informieren, dass sie einer KI-Entscheidung unterliegen
Transparenzpflichten (Limited Risk)
Auch wenn Ihr KI-Einsatz nicht als Hochrisiko eingestuft wird, gibt es Transparenzpflichten, die praktisch jedes Unternehmen betreffen (Artikel 50):
Chatbots kennzeichnen
Nutzer müssen wissen, dass sie mit einer KI interagieren – nicht mit einem Menschen. Ein klarer Hinweis genügt.
KI-generierte Inhalte kennzeichnen
Texte, Bilder, Audio und Video, die von KI erzeugt wurden, müssen als maschinenlesbar markiert werden.
Deepfakes offenlegen
KI-generierte oder manipulierte Bilder, Videos und Audioinhalte, die reale Personen oder Ereignisse zeigen, müssen als künstlich erzeugt gekennzeichnet werden.
Praxisbeispiel: Sie nutzen ChatGPT, um Kundenanfragen per E-Mail zu beantworten? Dann muss der Kunde erkennen können, dass die Antwort von einer KI stammt. Ein einfacher Hinweis wie „Diese Nachricht wurde mit KI-Unterstützung erstellt" reicht aus.
General Purpose AI (ChatGPT & Co.)
Der AI Act enthält eigene Regeln für KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI Models, kurz GPAI) – also die Basismodelle hinter ChatGPT, Claude, Gemini, Llama und Co.
Diese Regeln richten sich primär an die Anbieter der Modelle (OpenAI, Google, Meta, Anthropic, etc.), nicht an Sie als Nutzer. Trotzdem ist es wichtig zu verstehen, was damit gemeint ist:
Pflichten für alle GPAI-Anbieter:
- Technische Dokumentation erstellen und aktualisieren
- Informationen für nachgelagerte Anbieter bereitstellen
- EU-Urheberrecht einhalten (Transparenz über Trainingsdaten)
- Zusammenfassung der Trainingsdaten veröffentlichen
Zusatzpflichten für GPAI mit „systemischem Risiko":
Modelle, die mit besonders viel Rechenleistung trainiert wurden (Schwelle: 1025 FLOPS), gelten als „systemisch relevant". Für sie gelten Zusatzpflichten: Modell-Evaluierung, Risikobewertung und -minderung, Vorfallmeldung an die EU-Kommission und Cybersicherheitsmaßnahmen.
→ Diese Regeln gelten seit 2. August 2025
Was heißt das für Sie als Nutzer? Wenn Sie ChatGPT, Copilot oder Claude nutzen, ist der Modell-Anbieter für die GPAI-Regeln verantwortlich. Sie als Betreiber müssen sich um Ihre eigenen Pflichten kümmern: Transparenz, Dokumentation, ggf. Risikoklassifizierung Ihres konkreten Einsatzes.
Was müssen Unternehmen konkret tun?
Unabhängig von der Risikoklasse empfiehlt der AI Act allen Unternehmen ein Mindestmaß an Governance. In der Praxis bedeutet das:
KI-Inventar erstellen
Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen genutzt werden. Auch ChatGPT, Copilot, Grammarly oder die KI in Ihrer Buchhaltungssoftware. Viele Unternehmen sind überrascht, wie viel KI bereits im Einsatz ist.
Risiko klassifizieren
Für jedes KI-System: In welche Risikoklasse fällt es? Verboten, Hochrisiko, Limited Risk oder Minimal? Die Einstufung bestimmt, welche Pflichten gelten.
Dokumentation anfertigen
Je nach Risikoklasse: Technische Dokumentation, Risikobewertungen, Transparenzhinweise, Datenschutz-Folgenabschätzungen. Das klingt nach viel – mit dem richtigen Tool ist es in 30 Minuten erledigt.
Mitarbeiter schulen
Artikel 4 verlangt „AI Literacy": Jeder, der mit KI arbeitet, muss ein ausreichendes Verständnis der Technologie haben. Das gilt seit dem 2. Februar 2025 – also bereits jetzt.
Laufend überwachen
Compliance ist kein einmaliger Check. Sie müssen Ihren KI-Einsatz überwachen, bei Vorfällen reagieren und die Dokumentation aktuell halten. Ein jährlicher Re-Check ist das Minimum.
Bußgelder und Sanktionen
Der AI Act sieht gestaffelte Bußgelder vor – ähnlich wie die DSGVO, aber teils noch höher. Die Höhe richtet sich nach der Art des Verstoßes (Artikel 99):
Verbotene KI-Praktiken
HöchstsatzBis €35 Mio. oder 7% des weltweiten Jahresumsatzes
Je nachdem, was höher ist. Für den Einsatz verbotener KI-Praktiken nach Artikel 5.
Verstöße gegen sonstige Pflichten
MittelsatzBis €15 Mio. oder 3% des weltweiten Jahresumsatzes
Für Verstöße gegen Pflichten für Anbieter, Betreiber und notifizierte Stellen – also die meisten operativen Anforderungen.
Falsche Angaben
GrundsatzBis €7,5 Mio. oder 1% des weltweiten Jahresumsatzes
Für die Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen an Behörden.
Für KMUs und Start-ups sieht der AI Act angemessene Bußgelder vor, die der Größe und wirtschaftlichen Leistungsfähigkeit des Unternehmens Rechnung tragen. Die genannten Höchstbeträge sind Obergrenzen – in der Praxis werden Bußgelder nach Schwere, Dauer und Art des Verstoßes bemessen.
Zeitplan: Wann gilt was?
Der AI Act wird schrittweise wirksam. Einige Bestimmungen gelten bereits, die meisten treten am 2. August 2026 in Kraft:
1. August 2024
Inkrafttreten
Die Verordnung tritt formal in Kraft. Die Umsetzungsfristen beginnen zu laufen.
✓ Bereits in Kraft2. Februar 2025
Verbotene KI-Praktiken + AI Literacy
Verbotene KI-Praktiken (Artikel 5) gelten. Die Pflicht zur KI-Kompetenz (Artikel 4) gilt ebenfalls – Mitarbeiter müssen geschult sein.
✓ Bereits in Kraft2. August 2025
GPAI-Regeln + Governance
Regeln für KI-Modelle mit allgemeinem Verwendungszweck (Kapitel V). Governance-Strukturen und das AI Office werden operativ.
✓ Bereits in Kraft2. August 2026
Hauptteil gilt – die große Deadline
Der Großteil des AI Act wird wirksam: Hochrisiko-KI (Annex III), Transparenzpflichten, Pflichten für Betreiber, Registrierungspflicht, Marktüberwachung. Das ist die Deadline, auf die sich Unternehmen vorbereiten müssen.
⏳ In 4 Monaten2. August 2027
Hochrisiko-KI in regulierten Produkten
Hochrisiko-KI-Systeme in bereits regulierten Produkten (Annex I) – Medizinprodukte, Maschinen, Fahrzeuge etc.
Was heißt das für KMUs?
Der AI Act betrifft nicht nur Tech-Konzerne. Laut einer Studie der Harvard Business Review sind kleine und mittlere Unternehmen besonders betroffen – weil sie KI zunehmend einsetzen, aber weder Rechtsabteilung noch Compliance-Team haben, um die neuen Pflichten umzusetzen.
Ein typisches KMU nutzt heute bereits mehrere KI-Systeme, oft ohne es zu wissen:
Erleichterungen für KMUs
Der AI Act sieht einige Erleichterungen für KMUs vor:
- Angemessene Bußgelder – bei der Bemessung wird die Unternehmensgröße berücksichtigt
- Vereinfachte Dokumentation – KMUs dürfen teilweise vereinfachte Formen nutzen
- Regulatorische Sandboxes – Testumgebungen, in denen KMUs KI-Systeme unter Aufsicht erproben können
- Unterstützung durch nationale Behörden – Leitlinien und Guidance speziell für KMUs
Aber: Erleichterungen bedeuten nicht Befreiung. Auch KMUs müssen ein KI-Inventar führen, Risiken klassifizieren, Transparenz sicherstellen und ihre Mitarbeiter schulen. Die Grundpflichten gelten für alle – unabhängig von der Unternehmensgröße.
Checkliste: Ihre nächsten Schritte
Sie möchten loslegen? Hier ist ein pragmatischer Fahrplan – vom Ist-Zustand bis zur Compliance:
Awareness schaffen
Stellen Sie sicher, dass die Geschäftsführung weiß, dass der AI Act kommt und das Unternehmen betrifft. Wenn Sie diesen Guide gelesen haben, ist das erledigt.
KI-Inventar erstellen
Alle KI-Tools und -Systeme im Unternehmen identifizieren. Unser KI-Kompass hilft dabei – kostenlos.
Risikoklassen bestimmen
Jeden KI-Einsatz nach den vier Stufen klassifizieren. Im Zweifel: höher einstufen (conservative-by-default).
Verbotene Praktiken prüfen
Sicherstellen, dass kein KI-Einsatz unter die verbotenen Praktiken fällt. Gilt seit Februar 2025!
Mitarbeiter schulen (AI Literacy)
Grundlegendes KI-Verständnis für alle Mitarbeiter, die KI nutzen. Gilt seit Februar 2025!
Dokumentation erstellen
Technische Dokumentation, Risikobewertungen und Transparenzhinweise – je nach Risikoklasse. Deadline: August 2026.
Laufendes Monitoring einrichten
Prozesse für regelmäßige Überprüfung, Vorfallmeldung und jährlichen Re-Check etablieren.
Klingt nach viel? Muss es nicht sein.
Unser KI-Kompass führt Sie Schritt für Schritt durch den Prozess – vom Inventar bis zur fertigen Dokumentation.
Jetzt kostenlos startenHäufige Fragen (FAQ)
Gilt der AI Act auch für mein kleines Unternehmen?
Ist die Nutzung von ChatGPT betroffen?
Was ist der Unterschied zur DSGVO?
Wann muss ich handeln?
Was kostet es, compliant zu werden?
Brauche ich einen Anwalt?
Gilt der AI Act auch für Unternehmen außerhalb der EU?
Was ist mit Open-Source-KI?
Quellen & weiterführende Links
Offizieller Gesetzestext im Amtsblatt der EU (EUR-Lex)
Offizielle Informationsseite der EU-Kommission
Unabhängige Ressource mit durchsuchbarem AI Act Text