EU AI Act: Der Überblick
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen, entwickeln oder vertreiben – unabhängig davon, wo das Unternehmen seinen Sitz hat. Das bedeutet: Auch ein deutsches Mittelstandsunternehmen, das ChatGPT für Marketing nutzt, fällt unter den EU AI Act.
Der EU AI Act folgt einem risikobasierten Ansatz: Nicht jede KI-Nutzung ist gleich reguliert. Je höher das potenzielle Risiko für Menschen, desto strenger die Anforderungen. Verstöße werden scharf sanktioniert – bis zu 7 % des weltweiten Jahresumsatzes.
Der EU AI Act gilt für alle KI-Nutzer in der EU. Der erste Schritt: Alle eingesetzten KI-Systeme inventarisieren und nach Risikoklasse einordnen. Hochrisiko-KI erfordert umfangreiche Dokumentation, Prüfprozesse und menschliche Aufsicht – bis August 2026.
Die vier Risikoklassen des EU AI Act
🚫 Inakzeptables Risiko – VERBOTEN
KI-Systeme, die von Grund auf unzulässig sind: Manipulation unter der Bewusstseinsgrenze, Ausnutzung von Schwächen schutzbedürftiger Gruppen, staatliche Social-Scoring-Systeme, biometrische Echtzeit-Überwachung im öffentlichen Raum (mit Ausnahmen). Diese Verbote gelten seit Februar 2025.
⚠️ Hohes Risiko – UMFANGREICHE PFLICHTEN
KI in kritischen Bereichen: Personalwesen (Einstellungsentscheidungen, Leistungsbewertung), Kreditvergabe, Bildung, Gesundheitsversorgung, kritische Infrastruktur, Strafverfolgung. Diese Systeme erfordern Risikomanagementsysteme, Qualitätssicherung, Transparenz, menschliche Aufsicht und EU-Konformitätsbewertung.
⚡ Begrenztes Risiko – TRANSPARENZPFLICHTEN
KI mit Täuschungspotenzial: Chatbots müssen sich als KI zu erkennen geben, Deepfakes müssen gekennzeichnet sein, KI-generierte Inhalte in bestimmten Kontexten kennzeichnungspflichtig. Weniger aufwendige Pflichten, aber Missachtung ist sanktionierbar.
✅ Minimales Risiko – KAUM REGULIERT
Weitgehend unregulierte KI: Spam-Filter, KI in Videospielen, Empfehlungssysteme für nicht-kritische Anwendungen. Keine spezifischen Pflichten, aber freiwillige Verhaltenskodizes werden empfohlen. Die Mehrheit der KI-Nutzung im Unternehmensalltag fällt in diese Kategorie.
Zeitplan: Was wann gilt
| Datum | Was gilt ab dann | Betrifft |
|---|---|---|
| Feb. 2025 | Verbotene KI-Praktiken in Kraft; KI-Kompetenzpflicht (Art. 4) | Alle Unternehmen |
| Aug. 2025 | Regeln für GPAI-Modelle (Allgemeine KI, z. B. große Sprachmodelle) | Anbieter großer KI-Modelle |
| Aug. 2026 | Hochrisiko-KI-Pflichten vollständig in Kraft | Nutzer und Anbieter von Hochrisiko-KI |
| 2027 | Erweiterter Anwendungsbereich, auch für bestehende Systeme | Alle Unternehmen mit KI-Systemen |
Die KI-Kompetenzpflicht nach Art. 4 gilt bereits seit Februar 2025. Unternehmen müssen sicherstellen, dass alle Personen, die mit KI-Systemen arbeiten, über angemessene KI-Kenntnisse verfügen. Fehlende Dokumentation dieser Schulungen ist ein Compliance-Risiko.
Hochrisiko-KI: Was wirklich in diese Kategorie fällt
Die häufige Fehlannahme: "Wir entwickeln keine KI, wir nutzen nur Tools." Das schützt nicht. Auch der Einsatz von Hochrisiko-KI-Systemen (als sogenannter "Deployer") schafft Pflichten.
KI im HR: Besonders relevant für den Mittelstand
KI-gestützte Personalentscheidungen fallen in Deutschland häufig in die Hochrisiko-Kategorie: Algorithmen für Bewerbungsscreening, Performance-Monitoring-Systeme, KI-gestützte Gehalts- oder Beförderungsentscheidungen. Wer diese Systeme einsetzt – auch wenn der Anbieter das Tool entwickelt hat – hat eigene Compliance-Pflichten als Deployer.
KI in der Kreditvergabe
KI-gestützte Kreditscoring-Systeme oder automatisierte Kreditentscheidungen fallen in die Hochrisiko-Kategorie. Finanzdienstleister und Unternehmen, die internen Kreditrahmen über KI verwalten, müssen Konformitätsanforderungen erfüllen.
Grenzfälle: Was oft übersehen wird
- KI-gestützte Produktionsüberwachung in kritischer Infrastruktur
- KI für Sicherheitsklassifizierungen oder Zugangskontrollen
- Medizinische Diagnostik-Tools (auch als Software-as-a-Medical-Device)
- KI in der Bildung mit bewertungsrelevanten Funktionen
4-Schritte-Plan: EU-AI-Act-konformes Risikomanagement aufbauen
KI-Inventur: Alle Systeme erfassen
Vollständige Liste aller genutzten KI-Systeme erstellen – inkl. eingebetteter KI in CRM, ERP, HR-Software. Viele Unternehmen unterschätzen die Anzahl ihrer KI-Systeme erheblich. Shadow AI (nicht genehmigter Einsatz durch Mitarbeiter) ebenfalls erfassen.
Risikoklassifizierung: Jeden Use Case einordnen
Jeden inventarisierten Use Case nach EU AI Act Risikoklassen bewerten. Bei Grenzfällen: konservative Einordnung wählen, bis eine Klärung möglich ist. Ergebnis: strukturiertes KI-Register mit Risikoklasse, eingesetztem System und verantwortlicher Person.
Lückenanalyse: Was fehlt für Compliance?
Für Hochrisiko-Systeme prüfen: Gibt es ein dokumentiertes Risikomanagementsystem? Sind Qualitätssicherungsprozesse definiert? Ist menschliche Aufsicht sichergestellt? Sind Mitarbeiter geschult? Gap-Analyse ergibt priorisierten Maßnahmenplan.
Maßnahmenplan: Pflichten priorisiert umsetzen
Sofort: KI-Kompetenzschulungen für alle KI-nutzenden Mitarbeiter (Art. 4 gilt seit Feb. 2025). Bis August 2026: Hochrisiko-Compliance-Maßnahmen umsetzen. Parallel: KI-Policy entwickeln und KI-Governance-Struktur verankern. Quartalsweise Review einplanen – EU AI Act-Leitlinien werden noch konkretisiert.
Beginnen Sie mit dem KI-Inventar. Es klingt trivial, aber die meisten Unternehmen haben beim ersten Inventar 2–3× mehr KI-Systeme identifiziert als erwartet – weil KI in bestehenden Software-Tools oft übersehen wird. Dieses Inventar ist Grundlage für jede weitere Compliance-Maßnahme.
Was der EU AI Act nicht ist
Wichtige Klarstellung: Der EU AI Act ist keine Innovationsbremse und kein Verbot von KI. Er ist ein Rechtsrahmen, der klare Spielregeln setzt – ähnlich wie DSGVO oder Produktsicherheitsrecht. Unternehmen, die jetzt in strukturiertes KI-Risikomanagement investieren, schaffen einen Wettbewerbsvorteil: Sie können KI mit Vertrauen einsetzen, während weniger vorbereitete Konkurrenten reaktiv auf Regulierungsdruck reagieren müssen.