<EbeneX/>
Sicherheit · 20. Februar 2026

EU AI Act erklärt – Was Unternehmen jetzt wissen müssen

Was der EU AI Act für dein Unternehmen bedeutet – Verbote, Pflichten, Fristen und Checkliste.

Über diesen Guide

Der EU AI Act in der Praxis: Welche KI-Systeme sind betroffen, was ist verboten, welche Pflichten gelten ab wann und was müssen Unternehmen jetzt konkret tun. Mit Checkliste.

Fortgeschritten 14 Min. Lesezeit
Voraussetzungen: KI-Technologie-LandschaftKI im Unternehmen einsetzen
LERNZIELE
Den risikobasierten Ansatz des AI Acts verstehen und eigene KI-Systeme einordnen
Verbotene KI-Praktiken kennen und sicher vermeiden
Die gestaffelten Anwendungsdaten und Fristen kennen
Konkrete Pflichten für Betreiber von KI-Systemen ableiten
Eine erste Compliance-Checkliste für das eigene Unternehmen erstellen
INHALT

Was ist der EU AI Act?

Der EU AI Act (Verordnung 2024/1689) ist das erste umfassende KI-Gesetz weltweit. Er wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Als EU-Verordnung gilt er direkt in allen Mitgliedstaaten – ohne Umsetzung in nationales Recht.

Wichtig: Der AI Act gilt nicht nur für europäische Unternehmen. Er gilt für alle, die KI-Systeme in der EU einsetzen oder deren Ergebnisse in der EU nutzen – auch wenn der Anbieter in den USA sitzt. OpenAI, Google und Anthropic müssen sich als Anbieter von GPAI-Modellen (General Purpose AI) ebenfalls an den AI Act halten.

Der risikobasierte Ansatz: 4 Kategorien

Der AI Act teilt KI-Systeme in vier Risikokategorien ein. Je höher das Risiko, desto strenger die Anforderungen:

Kategorie 1: Unannehmbares Risiko → VERBOTEN (seit 02.02.2025)
Kategorie 2: Hohes Risiko         → Strenge Pflichten (ab 02.08.2026/2027)
Kategorie 3: Begrenztes Risiko    → Transparenzpflichten
Kategorie 4: Minimales Risiko     → Keine spezifischen Pflichten

Kategorie 1: Verbotene KI-Praktiken (seit 2. Februar 2025)

Diese KI-Systeme sind in der EU vollständig verboten – wer sie einsetzt, riskiert Bußgelder bis 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes:

Verbotene PraxisBeschreibung
Social ScoringKI-Systeme die Menschen anhand ihres Verhaltens bewerten und benachteiligen (wie in China)
Kognitive VerhaltensmanipulationKI die Personen unbewusst manipuliert, z.B. durch Ausnutzung von Schwächen
Biometrische Echtzeit-IdentifikationGesichtserkennung in öffentlichen Räumen zur Strafverfolgung (mit engen Ausnahmen)
Gesichtserkennungs-DatenbankenMassenhaftes Auslesen von Gesichtsbildern aus dem Internet (wie Clearview AI)
Emotionserkennung am ArbeitsplatzKI die Emotionen von Mitarbeitern oder Schülern erkennt und auswertet
Biometrische KategorisierungAbleitung sensibler Merkmale (politische Meinung, Religion, Sexualität) aus biometrischen Daten

Für die meisten Unternehmen relevant: Emotionserkennung am Arbeitsplatz und Social Scoring. Wer KI-Systeme zur Mitarbeiterüberwachung oder -bewertung einsetzt, muss diese auf Konformität prüfen.

Kategorie 2: Hochrisiko-KI-Systeme

Hochrisiko-KI ist nicht verboten, aber stark reguliert. Betreiber müssen umfangreiche Dokumentations-, Transparenz- und Überwachungspflichten erfüllen.

Wann ist ein KI-System Hochrisiko?

  • Personalwesen: KI für Recruiting, Beförderungen, Kündigung, Leistungsbewertung
  • Kreditvergabe: KI-gestützte Kreditwürdigkeitsprüfung
  • Bildung: KI die Zugangsentscheidungen zu Bildungseinrichtungen trifft
  • Kritische Infrastruktur: KI in Energie, Wasser, Verkehr
  • Strafverfolgung: KI für Risikobewertung, Lügendetektion, Beweisauswertung
  • Migration: KI für Asylentscheidungen, Grenzkontrollen
  • Justiz: KI zur Unterstützung von Gerichtsentscheidungen

Pflichten für Hochrisiko-Betreiber:

  • Technische Dokumentation und Risikoanalyse
  • Menschliche Aufsicht sicherstellen
  • Robustheit, Genauigkeit und Cybersicherheit gewährleisten
  • Protokollierung und Nachvollziehbarkeit
  • Registrierung in der EU-Datenbank für Hochrisiko-KI

Kategorie 3: Begrenztes Risiko – Transparenzpflichten

KI-Systeme die mit Menschen interagieren, müssen dies kenntlich machen:

  • Chatbots und KI-Assistenten: Nutzer müssen wissen, dass sie mit einer KI sprechen
  • Deepfakes: KI-generierte Bilder, Videos und Audio müssen als solche gekennzeichnet werden
  • Emotionserkennung (nicht am Arbeitsplatz): Betroffene müssen informiert werden

Praktische Konsequenz: Wer einen KI-Chatbot auf seiner Website betreibt, muss klar kennzeichnen, dass es sich um eine KI handelt.

GPAI-Modelle: Besondere Pflichten für Anbieter (seit 2. August 2025)

General Purpose AI (GPAI) sind Modelle wie GPT-5, Claude oder Gemini – Modelle die für viele verschiedene Aufgaben genutzt werden können. Für ihre Anbieter (OpenAI, Anthropic, Google) gelten seit August 2025 besondere Pflichten:

  • Technische Dokumentation bereitstellen
  • Urheberrechtsrichtlinien veröffentlichen
  • Zusammenfassung der Trainingsdaten veröffentlichen
  • Für Modelle mit „systemischem Risiko” (sehr große Modelle): Adversarial Testing, Incident Reporting, Cybersicherheitsmaßnahmen

Für Nutzer von GPAI-Modellen (also Unternehmen die ChatGPT oder Claude nutzen): Die GPAI-Pflichten treffen primär die Anbieter, nicht die Nutzer. Aber: Als Betreiber bist du für den konkreten Einsatz verantwortlich.

Die KI-Kompetenzpflicht (gilt jetzt für alle)

Art. 4 AI Act verpflichtet alle Anbieter und Betreiber von KI-Systemen – unabhängig von der Risikokategorie – sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt.

Das bedeutet konkret:

  • Mitarbeiter die KI-Systeme nutzen, müssen deren Funktionsweise und Grenzen verstehen
  • Schulungen und Weiterbildungen müssen angeboten werden
  • Die Kompetenzanforderungen hängen vom Kontext ab (Risiko, Aufgabe, Zielgruppe)

Praktisch: Wer ChatGPT im Unternehmen einsetzt, muss sicherstellen, dass Mitarbeiter wissen, was Halluzinationen sind, wie man Ausgaben prüft und welche Daten nicht eingegeben werden dürfen.

Zeitplan: Was gilt wann?

DatumWas wird anwendbar?
1. August 2024AI Act tritt in Kraft
2. Februar 2025Verbotene KI-Praktiken (Art. 5) – jetzt gültig
2. August 2025GPAI-Pflichten für Modellanbieter – jetzt gültig
2. August 2026Vollständige Anwendung (Hochrisiko, Transparenz, Governance)
2. August 2027Hochrisiko-KI in Anhang I (bestimmte Sektoren)

Hinweis: Die EU-Kommission hat im November 2025 vorgeschlagen, einige Hochrisiko-Fristen auf Dezember 2027 zu verschieben. Dieser Vorschlag muss noch von Parlament und Rat verabschiedet werden.

Bußgelder und Sanktionen

VerstoßMaximales Bußgeld
Verbotene KI-Praktiken (Art. 5)35 Mio. € oder 7% des weltweiten Jahresumsatzes
Andere Verstöße15 Mio. € oder 3% des Jahresumsatzes
Falsche Informationen an Behörden7,5 Mio. € oder 1% des Jahresumsatzes

Marktüberwachungsbehörden können ab August 2026 Untersuchungen einleiten. In Deutschland wird die Bundesnetzagentur voraussichtlich als nationale KI-Aufsichtsbehörde fungieren.

Compliance-Checkliste für Unternehmen

Sofort (bereits gültig)

  • KI-Inventar erstellen: Welche KI-Systeme nutzt oder entwickelt das Unternehmen?
  • Verbotene Praktiken prüfen: Emotionserkennung am Arbeitsplatz? Social Scoring?
  • KI-Kompetenzpflicht: Schulungen für Mitarbeiter die KI nutzen
  • Chatbots kennzeichnen: Nutzer müssen wissen dass sie mit KI sprechen
  • Datenschutz: AVV mit KI-Anbietern, keine personenbezogenen Daten ohne Prüfung

Bis August 2026

  • Hochrisiko-Prüfung: Werden KI-Systeme für Personalentscheidungen, Kreditvergabe etc. genutzt?
  • Dokumentation für Hochrisiko-Systeme erstellen
  • Menschliche Aufsicht für Hochrisiko-Entscheidungen sicherstellen
  • Registrierung in EU-Datenbank für Hochrisiko-KI (falls zutreffend)
  • Deepfake-Kennzeichnung implementieren

Kontinuierlich

  • KI-Systeme auf Konformität überwachen
  • Mitarbeiter regelmäßig schulen
  • Änderungen im AI Act verfolgen (Durchführungsrechtsakte, Leitlinien)

Häufige Fehler und wie du sie vermeidest

Problem: „Wir nutzen nur ChatGPT – das betrifft uns nicht”

Ursache: Missverständnis dass der AI Act nur KI-Entwickler betrifft. Lösung: Der AI Act gilt auch für Betreiber (Nutzer) von KI-Systemen. KI-Kompetenzpflicht, Transparenzpflichten und das Verbot bestimmter Praktiken gelten für alle Unternehmen die KI einsetzen.

Problem: „Wir wissen nicht welche unserer KI-Systeme Hochrisiko sind”

Ursache: Kein systematisches KI-Inventar. Lösung: KI-Inventar erstellen und jeden Einsatz gegen die Hochrisiko-Kriterien prüfen. Besonders kritisch: KI in HR, Kreditvergabe, Sicherheitssystemen. Im Zweifel Rechtsberatung einholen.

Problem: „Wir haben keine Zeit für Compliance”

Ursache: Compliance wird als Bürde gesehen statt als Risikomanagement. Lösung: Priorisieren: Verbotene Praktiken sofort prüfen (Bußgeld bis 7% Umsatz). KI-Kompetenzpflicht mit bestehenden Schulungsprogrammen kombinieren. Hochrisiko-Compliance bis 2026 planen.

PRAKTISCHE ÜBUNG

KI-Inventar und Risikoeinstufung

Erstelle ein Inventar aller KI-Systeme in deinem Unternehmen und stufe sie nach dem AI-Act-Risikomodell ein.

  1. Liste alle KI-Systeme auf die dein Unternehmen nutzt oder entwickelt (inkl. ChatGPT, Copilot, etc.)
  2. Prüfe für jedes System: Fällt es unter eine verbotene Praxis? (Art. 5 AI Act)
  3. Prüfe: Ist es ein Hochrisiko-System? (Personalentscheidungen, Kreditvergabe, Strafverfolgung)
  4. Prüfe: Interagiert es mit Menschen ohne Kennzeichnung? (Transparenzpflicht)
  5. Dokumentiere die Einstufung und weise Verantwortliche zu
  6. Plane notwendige Maßnahmen: Schulungen, Dokumentation, technische Anpassungen
GLOSSAR-BEGRIFFE
AI Act (EU) Die erste umfassende Regulierung für Künstliche Intelligenz weltweit. Alignment Der Prozess, KI-Systeme an menschliche Werte auszurichten. Guardrails Regeln zur Sicherstellung des korrekten Verhaltens von KI. Halluzinationen KI-Modelle erzeugen glaubhafte, aber falsche Informationen. Large Language Model (LLM) Ein KI-Modell, das menschenähnliche Sprache generiert und versteht. Foundation Model Vortrainierte Basismodelle für vielfältige KI-Anwendungen.
HÄUFIGE FRAGEN
Gilt der AI Act auch für kleine Unternehmen?

Ja, der AI Act gilt grundsätzlich für alle Unternehmen die KI in der EU einsetzen – unabhängig von der Größe. Kleinstunternehmen (unter 10 Mitarbeiter, unter 2 Mio. Euro Umsatz) haben bei einigen Hochrisiko-Pflichten Erleichterungen. Die Verbote und die KI-Kompetenzpflicht gelten aber für alle.

Betrifft der AI Act auch die Nutzung von ChatGPT im Unternehmen?

Als Nutzer (Betreiber) von ChatGPT bist du weniger stark reguliert als OpenAI als Anbieter. Du musst aber: KI-Kompetenz sicherstellen, keine verbotenen Praktiken umsetzen, und bei Hochrisiko-Anwendungen (z.B. KI-gestützte Personalentscheidungen) die entsprechenden Pflichten erfüllen.

Was passiert wenn ich den AI Act ignoriere?

Bußgelder bis 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes bei verbotenen Praktiken. Andere Verstöße: bis 15 Mio. Euro oder 3% des Umsatzes. Marktüberwachungsbehörden können ab August 2026 Untersuchungen einleiten und Sanktionen verhängen.

Ist der AI Act bereits in Kraft?

Ja, der AI Act ist seit 1. August 2024 in Kraft. Die Verbote gelten seit 2. Februar 2025. GPAI-Pflichten seit 2. August 2025. Die vollständige Anwendung (inkl. Hochrisiko) erfolgt ab 2. August 2026, für bestimmte Hochrisiko-Systeme erst ab 2027.

WICHTIGSTE ERKENNTNISSE
  • Der AI Act gilt für alle Unternehmen die KI in der EU einsetzen – auch wenn der Anbieter außerhalb der EU sitzt
  • Verbotene Praktiken (Social Scoring, Emotionserkennung am Arbeitsplatz) sind seit 2. Februar 2025 illegal
  • GPAI-Pflichten (ChatGPT, Claude, Gemini als Anbieter) gelten seit 2. August 2025
  • Hochrisiko-KI (HR, Kredit, Justiz) wird erst ab 2. August 2027 vollständig reguliert
  • KI-Kompetenzpflicht gilt jetzt für alle – Mitarbeiter müssen ausreichend KI-Kenntnisse haben
Zurück zu den Guides