Ihre Pflichten aus dem EU AI Act und wie Sie jetzt richtig reagieren

Der EU AI Act (das KI-Gesetz der Europäischen Union) wurde im März 2024 verabschiedet und tritt schrittweise bis 2030 in Kraft. Das erklärte Ziel ist es eigentlich, bessere Bedingungen für die Entwicklung und Nutzung von KI-Technologien zu schaffen. Doch wie wir bereits in vergangenen Analysen gesehen haben, wurden die noblen Ziele des Gesetzes durch massiven Lobbyismus der US-Tech-Giganten teils verwässert – und die Last der Regulierung wurde geschickt auf die Anwendungs-Ebene und somit auf den B2B-Sektor abgewälzt.

Was bedeutet das nun konkret für Ihr Unternehmen? Welche Verpflichtungen ergeben sich für Sie als Nutzer und Anbieter von KI-Lösungen? Werfen wir einen Blick auf die Mechanismen des Gesetzes, die Risikokategorien und den (kürzlich stark angepassten) Zeitplan.

Was ist eigentlich ein KI-System?

Bevor wir über Risiken sprechen, müssen wir die Begrifflichkeiten klären. Laut Artikel 3 ist ein KI-System ein maschinengestütztes System, das in unterschiedlichem Grade autonom arbeitet. Es leitet aus Eingaben ab, wie Ausgaben – etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen – erstellt werden, die unsere Umgebung beeinflussen können.

Diese offizielle Definition ist bewusst sehr weit gefasst. Das erleichtert es dem Gesetzgeber zwar, auch zukünftige, heute noch unbekannte Technologien zu regulieren. Es bedeutet aber auch, dass Sie sehr genau prüfen müssen, welche Ihrer Software-Tools überhaupt unter das Gesetz fallen.

Dabei unterscheidet das Gesetz klar zwischen zwei Akteuren, die Verantwortung tragen:

Der Anbieter ist die Person oder Institution, die eine KI entwickelt (oder entwickeln lässt) und in Verkehr bringt.
Der Betreiber ist diejenige Person oder Institution, die ein KI-System in eigener Verantwortung geschäftlich nutzt.

Ausgenommen von der Regulierung sind lediglich persönliche, nicht-geschäftliche Tätigkeiten. Die Nichteinhaltung ist dabei kein Kavaliersdelikt: Ein laxer Umgang mit dem Gesetz kann drastische Auswirkungen haben. Bei verbotenen Systemen drohen Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Bei Verstößen im Hochrisiko-Bereich werden bis zu 15 Millionen Euro oder 3 % fällig.

Die Risiko-Kategorien: Von Verboten bis zur reinen Transparenz

Der AI Act führt verschiedene Regeln ein, die KI-Lösungen auf Basis ihrer potenziellen Risiken in vier Kategorien einteilen.

1. Verbotene Praktiken (Inakzeptables Risiko)

Die höchste Kategorie verbietet KI-Systeme, die eine Bedrohung für Menschen oder Grundrechte darstellen.

Was fällt darunter? Systeme, die Menschen durch Manipulation täuschen, schutzbedürftige Personengruppen ausnutzen oder „Social Scoring“ betreiben. Auch die unbegrenzte biometrische Gesichtserkennung in Videoüberwachungssystemen ist untersagt.
Ihr To-Do: Solche Systeme dürfen unter keinen Umständen in der EU eingesetzt werden.

2. Hochrisiko-KI-Systeme

Diese Systeme sind zwar nicht verboten, stellen aber die höchsten Anforderungen an Anbieter und Betreiber. Sie umfassen KI, die Sicherheit oder Grundrechte beeinträchtigt.

Was fällt darunter? KI im Personalmanagement, in der Bildung, in kritischen Infrastrukturen oder bei Behördengängen. Ebenso betroffen sind Systeme in Produkten, die unter EU-Harmonisierungsvorschriften fallen, wie Maschinenbau oder Medizinprodukte. Grundsätzlich gilt eine Anwendung aus diesen Bereichen als hoch riskant, es sei denn, sie erfüllt nur einfache verfahrenstechnische Hilfsaufgaben.
Ihr To-Do: Anbieter müssen ein kontinuierliches Risikomanagementsystem einrichten, das während des gesamten Lebenszyklus der KI greift. Daten müssen Qualitätskriterien entsprechen, um Diskriminierung (Bias) entgegenzuwirken. Es bedarf einer ausführlichen technischen Dokumentation, der Protokollierung von Ereignissen und einer wirksamen Aufsicht durch Menschen. Diese Personen müssen in der Lage sein, KI-Entscheidungen zu übergehen oder rückgängig zu machen. KMUs dürfen die Dokumentation jedoch in vereinfachter Weise bereitstellen.

3. KI-Systeme mit begrenztem Risiko

Das ist die Kategorie für die meisten Alltags-Anwendungen. Es geht um Angebote, die für den Menschen ein Risiko der Täuschung beinhalten.

Was fällt darunter? Zum Beispiel Chatbots, Bildgeneratoren oder Empfehlungsalgorithmen.
Ihr To-Do: Hier greifen Transparenzpflichten. Wenn ein Nutzer mit einer KI chattet, muss ihm das explizit mitgeteilt werden. Wenn Systeme Medien wie Bilder oder Texte erzeugen, muss klar ersichtlich sein, dass diese künstlich erzeugt wurden.

4. KI-Systeme mit minimalem Risiko

Alle Systeme, die in keine der obigen Kategorien fallen. Für sie gibt es keine besonderen Verpflichtungen.

KI-Modelle mit allgemeinem Verwendungszweck

KI-Modelle mit allgemeinem Verwendungszweck (GPAI) stellen einen Sonderfall dar. Damit gemeint sind grundlegende Modelle wie von OpenAI, die auf massiven Datenmengen trainiert wurden. Anbieter dieser Modelle müssen umfangreiche technische Dokumentationen vorlegen, damit Sie als Anwender die Grenzen der Modelle verstehen können.

Der neue Zeitplan zur Umsetzung (Stand Frühjahr 2026)

In der Theorie klingen die Auflagen für Hochrisiko-KI erdrückend – und das sind sie an mancher Stelle auch. Politiker haben auf die Kritik vor Kurzem reagiert und den Zeitplan zur Umsetzung angepasst. Weil technische Standards fehlten und der bürokratische Aufwand für den Mittelstand zu groß wurde, hat sich die EU im Rahmen des „Digital Omnibus“-Pakets im März 2026 auf eine entscheidende Verschiebung geeinigt.

So sieht der aktuelle, angepasste Zeitplan für Sie aus:

August 2024: Der AI Act ist offiziell in Kraft getreten.
Februar 2025: Verbotene KI-Systeme sind illegal. Zudem gilt seitdem die Pflicht zur sogenannten AI Literacy: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter über ausreichend KI-Kompetenz verfügen.
August 2025: Transparenzpflichten und Governance-Regeln greifen. Auch die Vorgaben für allgemeine KI-Modelle (GPAI) werden bindend.
Dezember 2027 (Die große Verschiebung!): Ursprünglich sollten die strengen Pflichten für Hochrisiko-KI-Systeme (Anhang III, wie HR oder Bildung) im August 2026 starten. Diese Frist wurde nun um 16 Monate auf Dezember 2027 verschoben. Das verschafft europäischen B2B-Firmen dringend benötigte Zeit für Zertifizierungen und interne Prüfprozesse.
August 2028: Anwendung der Hochrisiko-Regeln für Systeme, die in bestehende Produkt-Vorschriften (Anhang I, z.B. Maschinenbau) fallen.

Q&A: Die brennendsten Fragen aus der Praxis

Gilt der EU AI Act auch für kleine und mittlere Unternehmen (KMU)?

Ja. Das Gesetz unterscheidet in der grundsätzlichen Anwendbarkeit nicht nach Unternehmensgröße. Die gute Nachricht ist jedoch, dass für Startups und KMUs Erleichterungen vorgesehen sind – beispielsweise dürfen technische Dokumentationen für Hochrisiko-Systeme in vereinfachter Form erbracht werden.

Ab wann gelte ich als KMU und profitiere von vereinfachten Dokumentationspflichten?

Da der EU AI Act eine europäische Verordnung ist, greift hier die offizielle KMU-Definition der EU-Kommission. Ihr Unternehmen zählt als KMU (kleines oder mittleres Unternehmen), wenn Sie weniger als 250 Mitarbeiter beschäftigen. Zusätzlich darf entweder Ihr Jahresumsatz höchstens 50 Millionen Euro betragen oder Ihre Jahresbilanzsumme bei maximal 43 Millionen Euro liegen. Für kleine Unternehmen (weniger als 50 Mitarbeiter) oder Kleinstunternehmen und Start-ups (weniger als 10 Mitarbeiter) gelten diese Erleichterungen natürlich erst recht.

Muss ich jetzt sofort handeln, wenn Hochrisiko-Pflichten erst Ende 2027 greifen?

Definitiv. Die Pflichten zur Sicherstellung der KI-Kompetenz (AI Literacy) und das Verbot unannehmbarer Risiken sind bereits aktiv. Ab August 2025 gelten zudem strenge Transparenzpflichten (z.B. Kennzeichnung von Chatbots und KI-Inhalten). Der erste und wichtigste Schritt für Sie ist jetzt eine interne KI-Inventur: Welche Tools nutzen Sie, und in welche Risikokategorie fallen diese?

Verhindert das Gesetz europäische Innovationen?

Kritiker argumentieren, dass die Vorschriften Innovationen behindern und für kleine Unternehmen schwer zu erfüllen sind. Befürworter betonen hingegen, dass negative Auswirkungen begrenzt werden und sichere Innovationen ermöglicht werden. Richtig ist, dass der AI Act Standards für vertrauenswürdige KI setzt - diese stellen gerade im europäischen B2B-Geschäft Standards, deren rechtssiche Umsetzung einen Wettbewerbsvorteil bedeutet. Leider wurden die operativen Anforderungen an vielen Stellen so ausgestaltet, dass sie gerade für kleine Unternehmen oft nur schwer umzusetzen sind.

Welche weiteren Regularien sind für meine KI-Anwendung wichtig?

Das KI-Gesetz existiert nicht im luftleeren Raum. Wenn Ihr Produkt bereits unter bestehende EU-Harmonisierungsvorschriften fällt (wie beispielsweise Sicherheit von Spielzeugen, Maschinenbau oder Medizinprodukte), wird es automatisch in die Kategorie Hochrisiko-KI eingestuft. Die Umsetzung der Verpflichtungen aus dem EU AI Act ist in diesem Fall mit den Zertifizierungs-Mechanismen dieser Harmonisierungsvorschriften eng verzahnt. Darüber hinaus gelten bei der Datenverarbeitung natürlich weiterhin die sieben Grundsätze der DSGVO (wie Datenminimierung und Zweckbindung), der Digital Services Act (DSA) für algorithmische Transparenz bei Online-Plattformen und der Digital Markets Act (DMA), der die Monopolstellung der riesigen „Gatekeeper“ reguliert.

Was sind die wichtigsten Schritte, wenn ich eine Hoch-Risiko-Anwendung auf den Markt bringe?

Wenn Sie eine solche Lösung entwickeln und als Anbieter auftreten, ist der Anforderungskatalog enorm. Sie müssen unter anderem strenge Prinzipien der Data Governance beim KI-Training anwenden (die Daten müssen fehlerfrei und repräsentativ sein). Zudem muss die KI ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit aufweisen, um gegen Fehler oder böswillige Angriffe resilient zu sein. Genauso wichtig ist die absolute Transparenz gegenüber Ihren Kunden (den Betreibern), damit diese das System sicher nutzen können. Bitte bedenken Sie: Dies ist nur ein kurzer Auszug der Pflichten.

Wie muss ich einfache KI-Anwendungen wie Chatbots anpassen?

Alltags-Anwendungen wie Chatbots, Bildgeneratoren oder Empfehlungsalgorithmen fallen unter die „KI-Systeme mit begrenzten Risiken“. Das Risiko besteht hier primär in der potenziellen Täuschung oder Manipulation von Menschen. Aus diesem Grund fallen in erster Linie Transparenzpflichten an. Die Regulierung ist an dieser Stelle aber erfreulich pragmatisch gelöst: Wenn Nutzer mit einer KI chatten, muss ihnen explizit mitgeteilt werden, dass sie mit einer KI und keinem Menschen chatten. Ein klarer, unmissverständlicher Disclaimer zu Beginn der Konversation reicht hierfür in der Praxis aus.

Worauf muss ich achten, wenn ich eine KI-Anwendung eines Dienstleisters nur nutze?

Hier ist die gesetzliche Unterscheidung essenziell: Der Anbieter ist derjenige, der die KI entwickelt und auf den Markt bringt. Wenn Sie diese KI für Ihre Geschäftszwecke einkaufen und nutzen, sind Sie lediglich der Betreiber. Aber auch als Betreiber haben Sie Pflichten: Sie stehen in der Verantwortung, für eine wirksame menschliche Aufsicht (Human Oversight) zu sorgen. Ihre Mitarbeiter müssen die Fähigkeiten und Grenzen der Systeme verstehen. Im Ernstfall müssen sie in der Lage sein, Entscheidungen der KI zu übergehen oder rückgängig zu machen, um Risiken zu verhindern. Falls Sie Bedarf an Trainings zum besseren Verständnis und zur effizienteren Nutzung von generativer KI durch Ihre Mitarbeiten haben, erfahren sie hier mehr über meine Trainingsangebote.

Wer bietet mir Hilfe von staatlicher Seite an?

Die Umsetzung des EU AI Acts wird national organisiert.

In Deutschland fungiert die Bundesnetzagentur (BNetzA) als zentrale Anlaufstelle und Marktaufsichtsbehörde.
In Österreich übernimmt die Rundfunk und Telekom Regulierungs-GmbH (RTR) mit ihrer „KI-Servicestelle“ diese Rolle als zentrale Anlaufstelle für Unternehmen.
In der Schweiz greift der EU AI Act prinzipiell erst einmal nicht, da sie kein EU-Mitglied ist. Achtung: Der AI Act gilt aber extraterritorial. Das heißt, er muss auch von Schweizer Unternehmen befolgt werden, sobald diese ihre KI-Produkte oder Dienstleistungen auf dem EU-Markt anbieten! Für rein inländische KI-Themen sind in der Schweiz derzeit das Bundesamt für Kommunikation (BAKOM) und das Bundesamt für Justiz (BJ) zuständig.

Dieser Artikel bietet einen praxisnahen Überblick über die rechtlichen Rahmenbedingungen des EU AI Acts und erhebt keinen Anspruch auf Vollständigkeit. Bitte beachten Sie, dass diese strategische Einordnung keine verbindliche rechtliche Beratung durch Fachjuristen ersetzen kann.

Eine ausführlichere Einordnung der Regularien sowie eine Einführung in die weiteren Herausforderungen im Umgang mit KI finden Sie außerdem in meinem Buch Generative KI sinnvoll nutzen.