EU AI Act: Was du als Unternehmen wirklich beachten musst

Die EU AI Act ist die erste umfassende KI-Regulierung weltweit. Sie ist seit 2024 in Kraft, wird stufenweise scharfgestellt, und ab August 2026 ist sie in voller Wirkung. Wer KI einsetzt, egal ob als Anbieter oder als Anwender, muss wissen, in welcher Risikoklasse das eigene System landet.

Die vier Risikoklassen

Die Verordnung sortiert KI-Anwendungen in vier Risikostufen. Pflichten und Strafen steigen mit der Stufe.

Unzulässig

Verboten. Punkt. Dazu gehören:

• Social Scoring durch Behörden (System wie in China)
• Manipulative KI, die Verletzlichkeiten ausnutzt
• Echtzeit-Gesichtserkennung im öffentlichen Raum durch Behörden (mit eng begrenzten Ausnahmen)
• Emotion-Erkennung am Arbeitsplatz und in Bildungseinrichtungen
• Biometrische Kategorisierung nach sensiblen Merkmalen

Diese Verbote gelten seit Februar 2025.

Hochrisiko

Erlaubt, aber stark reguliert. Beispiele:

• KI in kritischer Infrastruktur (Energie, Wasser, Verkehr)
• Bildung und Beruf: KI, die über Studienplätze, Prüfungen, Beförderungen entscheidet
• HR: KI für Bewerber:innen-Auswahl, Performance-Evaluation
• Strafverfolgung, Migration, Justiz
• Medizinprodukte mit KI

Pflichten: Risikomanagement-System, technische Dokumentation, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersicherheit-Standards, EU-Konformitätserklärung.

Begrenzt

Transparenzpflicht. Du musst Nutzer:innen sagen, dass sie mit KI interagieren.

• Chatbots: Hinweis nötig
• Deepfakes / KI-generierte Inhalte: Kennzeichnungspflicht
• Emotion- oder biometrische Kategorisierungs-Systeme (außerhalb der unzulässigen Use-Cases)

Minimal

Keine spezifischen Pflichten. Hierunter fallen die meisten Alltags-Anwendungen: Spam-Filter, Empfehlungs-Algorithmen, KI-gestützte Spiele.

Sonderregel: Foundation Models / GPAI

General-Purpose-AI-Modelle (GPT-4, Claude, Gemini etc.) bekommen eigene Pflichten, unabhängig vom Use-Case. Anbieter müssen:

• Trainings-Daten dokumentieren (Urheberrechts-Compliance)
• Energieverbrauch offenlegen
• Bei besonders leistungsfähigen Modellen: Systemic-Risk-Bewertung

Diese Pflichten gelten seit August 2025.

Was bedeutet das für dein Unternehmen?

Wenn du KI einsetzt (Deployer)

1. Inventarisiere alle KI-Systeme, die im Einsatz oder in Planung sind. Auch SaaS-Tools mit KI-Features zählen.
2. Klassifiziere sie nach den vier Risikostufen.
3. Dokumentiere menschliche Aufsicht, Schulungen, Logging, besonders bei Hochrisiko.
4. Prüfe Verträge mit KI-Anbietern: Lieferkette muss EU-AI-Act-konform sein.

Wenn du KI selbst entwickelst (Provider)

1. Vollständige technische Dokumentation
2. Risikomanagement-System
3. Bei Hochrisiko: Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank-Eintrag
4. Bei GPAI: zusätzliche Pflichten (siehe oben)

Strafen

• Bis zu 35 Mio € oder 7 % des globalen Umsatzes für unzulässige Praktiken
• Bis zu 15 Mio € oder 3 % für Verstöße gegen andere Pflichten
• Bis zu 7,5 Mio € oder 1 % für falsche Auskünfte gegenüber Behörden

Maßgeblich ist immer der höhere Betrag.

Praktische Schritte für die nächsten 90 Tage

Was der EU AI Act nicht regelt

• Datenschutz, bleibt DSGVO
• Urheberrecht, bleibt nationale Urheberrechte + EU-Richtlinien
• Produkthaftung, eigene Verordnung in Vorbereitung

Häufige Missverständnisse

„ChatGPT-Nutzung im Büro fällt unter den AI Act.” Nur teilweise. Wenn du ChatGPT für Hochrisiko-Use-Cases einsetzt (HR, Bildungsentscheidungen), greift die Hochrisiko-Klasse. Bei normalem Office-Einsatz: minimales Risiko.

„Wir sind kleines Unternehmen, das gilt nicht für uns.” Doch. Die Verordnung kennt keine KMU-Ausnahme bei Risiko. Es gibt aber Erleichterungen bei Konformitäts-Audits.

„US-Anbieter müssen das nicht erfüllen.” Doch. Wer KI-Systeme in der EU vermarktet oder dort wirken lässt, fällt unter den AI Act, auch ohne EU-Niederlassung.

Disclaimer: Dieser Artikel ersetzt keine juristische Beratung. Bei konkreten Fragen zur Anwendung im eigenen Unternehmen: Anwält:in einbeziehen.