KI-Recht · Regulierung

EU AI Act: Was Unternehmen jetzt wissen müssen

Die EU-KI-Verordnung (AI Act) ist kein abstraktes Brüsseler Regelwerk – sie hat seit Februar 2025 konkrete Rechtswirkungen für jedes Unternehmen, das KI einsetzt oder einkauft. Dieser Artikel gibt einen Überblick über Risikoklassen, Pflichten und die nächsten Schritte.

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und entfaltet seit dem 2. Februar 2025 schrittweise Rechtswirkung. Die Verordnung gilt unmittelbar in allen EU-Mitgliedsstaaten – eine nationale Umsetzung ist nicht erforderlich.

Das Kernprinzip: Je höher das Risiko einer KI-Anwendung, desto strenger die Auflagen. Die Verordnung gilt für Anbieter und Betreiber von KI-Systemen gleichermaßen, auch für Unternehmen, die KI-Lösungen von Drittanbietern einkaufen oder einsetzen.

Die vier Risikoklassen im Überblick

Der AI Act teilt KI-Systeme in vier Risikostufen ein. Für jedes Unternehmen ist der erste Schritt, die eigenen KI-Einsätze einer Klasse zuzuordnen.

1. Verbotene KI-Praktiken (unacceptable risk)

Diese Anwendungen sind seit Februar 2025 verboten:

• Social Scoring durch Behörden oder Unternehmen
• Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
• KI-Systeme zur Manipulation von Verhalten (z. B. subliminale Techniken)
• Auswertung von Gesichtsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

Für die meisten Mittelständler ist diese Kategorie irrelevant – es sei denn, Sie betreiben aktiv Massenüberwachung oder Social Scoring. Ein Verstoß kann jedoch mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.

2. Hochrisiko-KI (high risk)

Hier liegt der größte Handlungsbedarf für Unternehmen. Als Hochrisiko gelten KI-Systeme in folgenden Bereichen:

• Sicherheitsrelevante Produkte: KI in Maschinensteuerung, Fahrzeugen, Medizinprodukten (die bereits unter bestehendes EU-Recht fallen)
• Personalentscheidungen: KI-gestützte Bewerberauswahl, Leistungsbewertung, Kündigungsentscheidungen
• Kreditwürdigkeit und Versicherungen: Automatisierte Bonitätsprüfung, Risikobewertung
• Zugang zu essenziellen Dienstleistungen: Bildungszugang, Sozialleistungen, Gesundheitsversorgung
• Kritische Infrastruktur: KI-Systeme in Verkehr, Energie, Wasser, Telekommunikation
• Strafverfolgung und Justiz: Tatvorhersage, Beweiswürdigung, Risikobewertung von Straftätern
• Grenzkontrollen und Migration: Automatisierte Visa- und Asylentscheidungen

Für Hochrisiko-KI-Systeme gelten die umfangreichsten Pflichten (siehe nächster Abschnitt). Die meisten Pflichten für Hochrisiko-Systeme werden ab August 2026 durchsetzbar, für bestimmte Systeme (z. B. Personalauswahl) bereits ab Februar 2025. Der aktuelle Stand: Die EU-Kommission hat im April 2025 den AI Continent Action Plan vorgelegt, der unter anderem ein AI Act Service Desk zur Unterstützung der Implementierung vorsieht.

3. Begrenztes Risiko (limited risk)

Diese Kategorie betrifft KI-Systeme mit Interaktionsrisiko – also alle Systeme, die mit Menschen interagieren (Chatbots, KI-Assistenten, KI-generierte Inhalte).

Hauptpflicht: Transparenz. Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren. Für KI-generierte oder -bearbeitete Inhalte (Bilder, Audio, Video) gilt eine Kennzeichnungspflicht. Deepfakes müssen zwingend als solche erkennbar sein.

Diese Pflicht gilt seit Februar 2025 und betrifft nahezu jedes Unternehmen, das KI-gestützte Kommunikations- oder Content-Tools einsetzt.

4. Minimales Risiko (minimal risk)

Der Großteil aller KI-Anwendungen im Unternehmensalltag fällt in diese Klasse: KI-gestützte Textverarbeitung, Übersetzungstools, E-Mail-Assistenten, Bildgenerierung, Datenanalyse ohne Personenbezug.

Für diese Systeme gelten keine spezifischen Regulierungsauflagen – aber die KI-Kompetenzpflicht (Art. 4) gilt dennoch, und ein freiwilliger Verhaltenskodex wird empfohlen.

Pflichten für Hochrisiko-KI-Systeme

Wenn Ihr Unternehmen KI-Systeme betreibt oder einsetzt, die in die Hochrisiko-Klasse fallen, müssen Sie diese Anforderungen erfüllen:

• Risikomanagementsystem: Kontinuierliche Identifikation, Bewertung und Minimierung von Risiken während des gesamten Lebenszyklus
• Daten-Governance: Prüfung von Trainings-, Validierungs- und Testdaten auf Verzerrungen, Vollständigkeit und Relevanz
• Technische Dokumentation: Detaillierte Beschreibung der Systemarchitektur, Entwicklungsmethodik und Konformitätsbewertung
• Automatische Aufzeichnung: Logging relevanter Ereignisse während des Systembetriebs (insbesondere bei Nachvollziehbarkeit von Entscheidungen)
• Menschliche Aufsicht: Maßnahmen, die sicherstellen, dass natürliche Personen das System überwachen und eingreifen können
• Genauigkeit, Robustheit und Cybersicherheit: Nachweis, dass das System unter erwartbaren Bedingungen zuverlässig funktioniert
• CE-Kennzeichnung: Vor dem Inverkehrbringen muss eine Konformitätsbewertung durchgeführt werden

KI-Kompetenzpflicht (Art. 4) – betrifft jedes Unternehmen

Ein oft unterschätzter Punkt: Der AI Act verpflichtet alle Unternehmen, die KI einsetzen oder entwickeln, zu „ausreichender KI-Kompetenz“ ihres Personals (Art. 4). Das bedeutet:

• Mitarbeiter, die mit KI-Systemen arbeiten, müssen deren Funktionsweise, Grenzen und Risiken verstehen
• Die Schulung muss dokumentiert und nachweisbar sein
• Das erforderliche Niveau richtet sich nach der Rolle: Entwickler brauchen tiefere Kenntnisse als Anwender
• Die Pflicht gilt unabhängig von der Risikoklasse – also auch für minimale KI-Nutzung

Praktisch heißt das: Ein Unternehmen, das ChatGPT, einen KI-Assistenten im Kundenservice oder ein Übersetzungstool einsetzt, muss nachweisen können, dass die betreffenden Mitarbeiter geschult sind. Ein einmaliger Workshop reicht nicht – die Kompetenzpflicht ist als laufende Aufgabe angelegt. Mehr zur KI-Kompetenzpflicht und Schulungsanforderungen.

Transparenzpflichten: Was Sie kennzeichnen müssen

Die Transparenzpflichten (Art. 50–52) gelten seit Februar 2025 und betreffen eine breite Palette von KI-Anwendungen:

• KI-Interaktion: Wenn ein Chatbot, ein KI-Assistent oder ein automatisierter Kundenservice mit einem Menschen interagiert, muss dies transparent gemacht werden
• KI-generierte Inhalte: Texte, Bilder, Audio oder Videos, die vollständig oder überwiegend durch KI erstellt wurden, müssen als solche gekennzeichnet sein
• Deepfakes: KI-generierte oder -manipulierte Medien, die realistisch wirken, müssen zwingend erkennbar sein
• Emotionserkennung und biometrische Kategorisierung: Wenn solche Systeme zum Einsatz kommen, müssen betroffene Personen informiert werden

Bußgelder und Durchsetzung

Der AI Act sieht ein mehrstufiges Bußgeldsystem vor:

• Verbotene Praktiken: Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
• Verstöße gegen Hochrisiko-Pflichten: Bis zu 15 Mio. EUR oder 3 % des Umsatzes
• Falsche Angaben gegenüber Aufsichtsbehörden: Bis zu 7,5 Mio. EUR oder 1 % des Umsatzes

In Deutschland ist die Bundesnetzagentur (BNetzA) die nationale Aufsichtsbehörde und hat eine zentrale KI-Servicestelle eingerichtet. Unternehmen können sich dort zur Einordnung ihrer Systeme und zu den geltenden Pflichten beraten lassen. Zudem ist ein KI-Marktüberwachungsgesetz (KI-MÜG) in Vorbereitung, das die Durchsetzung auf nationaler Ebene regeln soll.

Zeitplan: Was gilt wann?

Der AI Act tritt schrittweise in Kraft. Die wichtigsten Daten für Unternehmen im Überblick:

• Februar 2025: Verbotene KI-Praktiken treten in Kraft; Transparenzpflichten und KI-Kompetenzpflicht gelten
• August 2025: Pflichten für bestimmte Hochrisiko-KI-Systeme (z. B. solche, die unter bestehendes EU-Produktrecht fallen)
• August 2026: Vollständige Anwendung aller Pflichten für Hochrisiko-KI-Systeme (mit Ausnahmen für bestimmte Systeme, die unter Anhang III fallen – diese folgen ab August 2027)
• August 2027: Pflichten für Hochrisiko-Systeme nach Anhang III (dazu gehören Personalauswahl, Kreditprüfung, Zugang zu Sozialleistungen)

Ein von der EU-Kommission vorgeschlagener Digital Omnibus on AI könnte einige Fristen verschieben und bürokratische Anforderungen reduzieren. Bis Mai 2026 ist dieser Vorschlag jedoch noch nicht verabschiedet. Unternehmen sollten sich am aktuell geltenden Zeitplan orientieren und die politischen Entwicklungen beobachten.

Handlungsempfehlung: So starten Sie

Für ein mittelständisches Unternehmen empfehlen wir diese Schritte:

• 1. Bestandsaufnahme: Erfassen Sie alle KI-Systeme im Unternehmen – von Chatbots über KI-Assistenten bis zu automatisierten Entscheidungssystemen
• 2. Risikoklassen-Einordnung: Ordnen Sie jedes System einer der vier Risikoklassen zu. Die BNetzA-KI-Servicestelle bietet Hilfestellung
• 3. KI-Kompetenz aufbauen: Schulen Sie Ihre Mitarbeiter entsprechend ihrer Rolle und dokumentieren Sie die Schulung. Dies ist die schnell umsetzbare Pflicht, die alle Unternehmen betrifft
• 4. Hochrisiko-Systeme priorisieren: Falls KI-Systeme in der Hochrisiko-Klasse betroffen sind, beginnen Sie mit Konformitätsbewertung und Dokumentation
• 5. Transparenz herstellen: Kennzeichnen Sie KI-Interaktionen und KI-generierte Inhalte – auch bei als „minimal“ eingestuften Systemen
• 6. Dokumentation etablieren: Halten Sie Ihre KI-Einsätze, Risikobewertungen und Schulungsmaßnahmen nachvollziehbar fest

Passende Vertiefungen im Themencluster

Der EU AI Act ist nur ein Teil der praktischen KI-Governance. Wenn Sie den Handlungsbedarf für Ihr Unternehmen vollständig einordnen wollen, sind diese drei Vertiefungen besonders relevant:

• KI-Kompetenzpflicht nach Art. 4 KI-VO – welche Schulungs- und Organisationspflichten jetzt praktisch relevant werden
• DSGVO und KI – wie Sie Datenschutz, Rechtsgrundlage, DSFA und AVV beim KI-Einsatz sauber aufsetzen
• Haftung bei KI-Fehlern – wer verantwortlich bleibt, wenn KI-Systeme falsche oder riskante Ergebnisse liefern

Den Gesamtüberblick über Rollen, Pflichten und Zusammenhänge finden Sie in unserem Leitfaden zur KI-Governance im Mittelstand.

Häufige Fragen zum EU AI Act

Gilt der AI Act auch für mein Unternehmen, wenn wir KI nur einkaufen und nicht selbst entwickeln?

Ja. Der AI Act unterscheidet zwischen Anbietern (Herstellern/Entwicklern) und Betreibern (Einsetzern/Nutzern). Als Betreiber sind Sie für den Einsatz verantwortlich – insbesondere für die KI-Kompetenzpflicht, Transparenzpflichten und, bei Hochrisiko-Systemen, für die menschliche Aufsicht und Aufzeichnungspflichten.

Was passiert, wenn ich die Anforderungen nicht erfülle?

Die Bußgelder sind empfindlich (bis zu 35 Mio. EUR oder 7 % des Umsatzes bei verbotenen Praktiken). Zudem können Aufsichtsbehörden den Einsatz nicht konformer KI-Systeme untersagen. Die Bundesnetzagentur hat ihre KI-Servicestelle aufgebaut – erste Prüfungen und Marktüberwachungsmaßnahmen sind angelaufen.

Muss ich alle KI-Tools meiner Mitarbeiter erfassen?

Eine vollständige Erfassung ist empfehlenswert, auch wenn für minimale KI-Systeme keine spezifischen Auflagen gelten. Die KI-Kompetenzpflicht verlangt, dass Sie wissen, welche KI Ihre Mitarbeiter einsetzen – erst dann können Sie angemessene Schulungen anbieten. Ein pragmatischer Ansatz: Starten Sie mit einer Selbstauskunft der Teams und priorisieren Sie Systeme mit Kundenkontakt oder Entscheidungsfunktionen.

Wie ordne ich mein KI-System richtig einer Risikoklasse zu?

Orientieren Sie sich am Anhang III der Verordnung, der die Hochrisiko-Bereiche konkret auflistet. Als Faustregel: Jedes KI-System, das eine für Menschen folgenreiche Entscheidung trifft oder bewertet, ist kritisch zu prüfen. Die BNetzA und der TÜV Rheinland bieten erste Einordnungshilfen. Bei Unsicherheit empfiehlt sich eine rechtliche Prüfung im Einzelfall.

Was ist der AI Continent Action Plan?

Der AI Continent Action Plan wurde von der EU-Kommission im April 2025 vorgestellt und soll Europas Wettbewerbsfähigkeit im KI-Bereich stärken. Er umfasst unter anderem den Aufbau von KI-Fabriken und Gigafabriken für Recheninfrastruktur, den InvestAI-Fonds (200 Mrd. EUR), den AI Act Service Desk zur Unterstützung bei der Umsetzung des AI Acts sowie die Apply AI Strategy (seit Oktober 2025), die speziell die KI-Adoption in KMU fördert.

---

Rechtlicher Hinweis: Dieser Text stellt keine Rechtsberatung dar und ersetzt keine anwaltliche Prüfung. Für eine verbindliche rechtliche Einordnung konsultieren Sie bitte einen Rechtsanwalt.

Stand: Mai 2026