1. Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Am 1. August 2024 in Kraft getreten, setzt sie den globalen Standard dafür, wie Künstliche Intelligenz entwickelt und eingesetzt werden darf. Vergleichbar mit der DSGVO für Datenschutz wird der AI Act zum Referenzrahmen für KI-Regulierung weltweit.
Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen. Das Ziel ist nicht, Innovation zu bremsen, sondern einen vertrauenswürdigen Rahmen zu schaffen, in dem KI zum Wohl der Gesellschaft eingesetzt wird.
Wen betrifft der AI Act?
Die kurze Antwort: Praktisch jedes Unternehmen. Der AI Act gilt für alle Organisationen, die KI-Systeme in der EU:
- Entwickeln (Anbieter/Provider) — Sie bauen KI-Modelle oder -Anwendungen
- Vertreiben (Importeure/Händler) — Sie verkaufen oder lizenzieren KI-Produkte
- Einsetzen (Betreiber/Deployer) — Sie nutzen KI-Systeme in Ihren Geschäftsprozessen
Entscheidend: Der AI Act gilt unabhängig von der Unternehmensgröße. Ob Einzelunternehmer mit einem KI-gestützten Chatbot oder DAX-Konzern mit eigenem KI-Labor — die Risiko-Klasse des KI-Systems bestimmt die Pflichten, nicht die Größe Ihres Unternehmens.
Wichtig: Auch Unternehmen außerhalb der EU sind betroffen, wenn ihre KI-Systeme in der EU eingesetzt werden oder deren Output EU-Bürger betrifft — das gleiche Prinzip wie bei der DSGVO.
2. Die 4 Risiko-Klassen
Das Herzstück des AI Act ist die Einteilung aller KI-Systeme in vier Risiko-Klassen. Diese Klassifizierung bestimmt, welche Pflichten für Ihr Unternehmen gelten — von „keine Pflichten" bis „komplett verboten".
| Risiko-Klasse | Beispiele | Regeln | Deadline |
|---|---|---|---|
| Inakzeptabel | Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Echtzeit-Überwachung, manipulative Systeme | Verboten. Keine Ausnahmen (außer eng definierte Strafverfolgung). | Feb 2025 — bereits in Kraft |
| Hochrisiko | Recruiting-KI, Kreditscoring, medizinische Diagnostik, Bildungs-Bewertung, kritische Infrastruktur | Strenge Dokumentation, Konformitätsbewertung, Audit, menschliche Aufsicht, CE-Kennzeichnung | Aug 2026 — in 5 Monaten |
| Begrenzt | Chatbots, KI-generierte Inhalte, Deepfakes, Emotionserkennung (nicht am Arbeitsplatz) | Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren oder Inhalte KI-generiert sind. | Aug 2025 — bereits in Kraft |
| Minimal | Spamfilter, Empfehlungssysteme, KI-gestützte Rechtschreibprüfung, Suchoptimierung | Keine spezifischen Pflichten. Freiwillige Verhaltenskodizes empfohlen. | Keine Frist |
Warum die Klassifizierung entscheidend ist
Die Risiko-Klasse Ihrer KI-Systeme bestimmt alles: Ihren Compliance-Aufwand, Ihre Dokumentationspflichten, Ihre Haftung und Ihre Bußgeldexposition. Eine falsche Einstufung — in beide Richtungen — kann teuer werden. Zu niedrig eingestuft bedeutet Compliance-Verstoß, zu hoch eingestuft bedeutet unnötiger Aufwand.
Praxis-Beispiel: Setzen Sie KI für die Vorauswahl von Bewerbungen ein? Das ist Hochrisiko. Nutzen Sie KI für interne E-Mail-Zusammenfassungen? Das ist Minimal. Verwenden Sie einen KI-Chatbot auf Ihrer Website? Das ist Begrenzt — Transparenzpflicht gilt bereits seit August 2025.
3. Die wichtigsten Pflichten
Für Hochrisiko-KI-Systeme definiert der AI Act sieben zentrale Pflichtbereiche. Diese gelten ab August 2026 und erfordern in der Regel mehrere Monate Vorbereitungszeit.
- Risikobewertung (Risk Assessment): Systematische Identifikation und Bewertung der Risiken, die Ihr KI-System für Grundrechte, Gesundheit und Sicherheit darstellt. Dokumentiert, regelmäßig aktualisiert, nachvollziehbar.
- Konformitätsbewertung: Nachweis, dass Ihr KI-System alle Anforderungen des AI Act erfüllt — entweder durch Selbstbewertung (bei den meisten Hochrisiko-Systemen) oder durch eine externe Prüfstelle (bei biometrischer Identifikation und kritischer Infrastruktur).
- Technische Dokumentation: Vollständige Beschreibung des KI-Systems: Trainingsdaten, Algorithmen, Leistungskennzahlen, bekannte Einschränkungen, Testberichte. Muss für Aufsichtsbehörden verfügbar sein.
- CE-Kennzeichnung: Hochrisiko-KI-Systeme benötigen eine CE-Kennzeichnung, bevor sie in der EU auf den Markt gebracht werden dürfen — analog zu Medizinprodukten oder Maschinen.
- EU-Datenbank-Registrierung: Anbieter und Betreiber von Hochrisiko-Systemen müssen diese in der EU-Datenbank für KI-Systeme registrieren — vor Inbetriebnahme.
- Menschliche Aufsicht (Human Oversight): Hochrisiko-KI-Systeme müssen so konzipiert sein, dass Menschen sie effektiv überwachen, verstehen und bei Bedarf eingreifen oder abschalten können.
- Transparenz: Nutzer müssen informiert werden, dass sie mit einem KI-System interagieren. Bei Hochrisiko-Systemen gelten erweiterte Informationspflichten über Funktionsweise, Einschränkungen und Risiken.
Achtung: Diese Pflichten gelten nicht nur für KI-Entwickler. Auch als reiner Betreiber (Deployer) — also wenn Sie ein KI-System eines Drittanbieters in einem Hochrisiko-Kontext einsetzen — tragen Sie eigene Compliance-Pflichten. Sie müssen sicherstellen, dass Ihre Nutzung den Vorgaben entspricht.
4. Timeline: Was bis wann?
Der AI Act tritt nicht auf einen Schlag in Kraft. Die EU hat bewusst einen gestaffelten Zeitplan gewählt, der Unternehmen Zeit zur Vorbereitung gibt. Aber: Die schärfsten Pflichten kommen schneller, als viele denken.
Stand heute (März 2026): Zwei der vier Stufen sind bereits in Kraft. In fünf Monaten greifen die Hochrisiko-Pflichten. Wenn Sie noch kein KI-Inventar erstellt haben, ist jetzt der letzte vernünftige Zeitpunkt, um zu starten.
5. Bußgelder
Der AI Act hat Zähne. Die Bußgeldstruktur orientiert sich an der DSGVO — ist aber in den Spitzenbeträgen sogar noch schärfer.
| Verstoß | Bußgeld | Alternativ |
|---|---|---|
| Verbotene KI-Praktiken | Bis zu 35 Mio. EUR | oder 7 % des weltweiten Jahresumsatzes |
| Hochrisiko-Verstöße | Bis zu 15 Mio. EUR | oder 3 % des weltweiten Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | Bis zu 7,5 Mio. EUR | oder 1,5 % des weltweiten Jahresumsatzes |
Sonderregelungen für KMU und Startups
Die EU hat die Kritik gehört, dass Bußgelder in dieser Höhe kleine Unternehmen existenziell bedrohen könnten. Deshalb gelten für KMU, Startups und Kleinstunternehmen niedrigere Obergrenzen:
- Maximal 3 % des weltweiten Jahresumsatzes oder der im AI Act genannte Festbetrag — je nachdem, welcher Wert niedriger ist
- Zugang zu regulatorischen Sandboxes zum Testen unter Aufsicht
- Verhältnismäßigkeitsprinzip: Bußgelder müssen die Größe und Leistungsfähigkeit des Unternehmens berücksichtigen
Zum Vergleich: Die höchste DSGVO-Strafe bisher waren 1,2 Milliarden Euro gegen Meta (2023). Der AI Act ermöglicht theoretisch noch höhere Strafen. Auch wenn diese Maximalbeträge selten ausgeschöpft werden — selbst ein Bruchteil davon kann für mittelständische Unternehmen existenzbedrohend sein.
6. 5-Schritte Compliance-Plan
Compliance muss nicht überwältigend sein. Der folgende Plan bringt Sie systematisch von „Wir sollten mal schauen" zu „Wir sind vorbereitet". Beginnen Sie jetzt — fünf Monate reichen für die Grundlagen, aber nicht für Aufschub.
KI-Inventar erstellen
Erfassen Sie jedes KI-System in Ihrem Unternehmen — auch die, von denen die Geschäftsführung nichts weiß. CRM mit KI-Scoring? Chatbot auf der Website? ChatGPT-Accounts der Mitarbeiter? Automatisierte E-Mail-Filter? Alles dokumentieren. Sie können nicht regulieren, was Sie nicht kennen.
Risiko-Klassifizierung durchführen
Ordnen Sie jedes System einer der vier Risiko-Klassen zu. Prüfen Sie kritisch: Wird KI für Personalentscheidungen eingesetzt? Für Kreditvergabe? Für medizinische Empfehlungen? Im Zweifel eine Stufe höher einordnen — die Konsequenz einer Unter-Klassifizierung ist deutlich teurer als moderater Mehraufwand.
Dokumentation vorbereiten
Für Hochrisiko-Systeme: technische Dokumentation, Trainingsdaten-Beschreibung, Leistungskennzahlen, Risikobewertung. Für begrenzte Systeme: Transparenz-Hinweise implementieren. Nutzen Sie bestehende DSGVO-Dokumentation als Ausgangspunkt — vieles lässt sich wiederverwenden.
Human-in-the-Loop implementieren
Stellen Sie sicher, dass bei Hochrisiko-Entscheidungen immer ein Mensch das letzte Wort hat. KI empfiehlt, der Mensch entscheidet. Definieren Sie klare Eskalationspfade und schulen Sie die zuständigen Mitarbeiter, damit die menschliche Aufsicht nicht nur auf dem Papier existiert.
Monitoring aufsetzen
Compliance ist kein einmaliges Projekt. Etablieren Sie ein laufendes Monitoring: regelmäßige Überprüfung der Risiko-Klassifizierung, Performance-Tracking der KI-Systeme, Incident-Reporting und Updates bei Gesetzesänderungen. Benennen Sie eine verantwortliche Person oder ein Team.
Sie wissen nicht, wo Sie anfangen sollen? In einem kostenlosen Erstgespräch analysieren wir gemeinsam, welche Ihrer KI-Systeme in welche Risiko-Klasse fallen — und was Sie bis August 2026 konkret vorbereiten müssen. Termin vereinbaren
7. Überschneidung mit DSGVO
Wenn Sie in der EU KI einsetzen, treffen drei Regulierungsrahmen aufeinander: der AI Act, die DSGVO und potenziell die NIS2-Richtlinie (für Cybersecurity). Die gute Nachricht: Diese drei Regelwerke überlappen sich erheblich, und wer DSGVO-Compliance ernst genommen hat, hat bereits eine solide Basis.
Wo sich AI Act und DSGVO überschneiden
- Datenschutz-Folgenabschätzung (DSFA): Die DSGVO verlangt sie bei hohem Risiko für Betroffene. Der AI Act verlangt eine Risikobewertung für Hochrisiko-KI. Diese können und sollten zusammengeführt werden.
- Transparenz: Beide Verordnungen verlangen, dass Betroffene informiert werden — die DSGVO über Datenverarbeitung, der AI Act über KI-Einsatz. Ein integrierter Transparenz-Hinweis deckt beides ab.
- Dokumentation: Verarbeitungsverzeichnis (DSGVO) und technische Dokumentation (AI Act) teilen sich strukturell viele Inhalte — Datenquellen, Verarbeitungszwecke, Schutzmaßnahmen.
- Auftragsverarbeitung: Wenn Sie KI-Systeme von Drittanbietern nutzen, brauchen Sie ohnehin einen AVV nach DSGVO. Der AI Act erweitert die Anforderungen, aber die Vertragsstruktur ist dieselbe.
Integrierte Compliance-Struktur: Nicht doppelt arbeiten
Unser klarer Rat: Bauen Sie keine parallelen Compliance-Silos auf. Integrieren Sie AI Act, DSGVO und NIS2 in eine einheitliche Governance-Struktur. Konkret bedeutet das:
- Erweitern Sie Ihr bestehendes Datenschutz-Management-System um AI-Act-spezifische Module
- Nutzen Sie bestehende Prozesse (Risikoanalyse, Dokumentation, Audits) und ergänzen Sie KI-spezifische Aspekte
- Benennen Sie eine zentrale Stelle, die DSGVO, AI Act und NIS2 koordiniert — idealerweise Ihr bestehender Datenschutzbeauftragter mit erweitertem Mandat
- Erstellen Sie kombinierte Templates für Risikoanalysen und Dokumentation, die alle drei Regelwerke abdecken
Der Vorteil: Unternehmen, die ihre DSGVO-Compliance gut aufgestellt haben, können den Großteil der AI-Act-Anforderungen mit 30–40 % weniger Aufwand umsetzen als Unternehmen, die bei null anfangen. Ihre bestehende Compliance-Arbeit war nicht umsonst — sie ist jetzt ein strategischer Vorteil.