Was ist der AI Act? Einfach erklärt für Unternehmen
Der EU AI Act ist das weltweit erste KI-Gesetz. Wir erklären die KI-Verordnung verständlich: Was sie regelt, wen sie betrifft und was Unternehmen jetzt tun müssen.
Das Wichtigste in Kürze
- Der AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz.
- Die KI-Verordnung gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen -- unabhängig vom Firmensitz.
- Im Kern steht ein risikobasierter Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.
- Seit Februar 2025 gelten die ersten Verbote. Die Pflichten für Hochrisiko-KI-Systeme greifen ab August 2026.
- Die KI-Kompetenzpflicht (Art. 4) verpflichtet Unternehmen bereits seit Februar 2025, ihr Personal im Umgang mit KI zu schulen.
- Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Was ist der AI Act? Definition und Hintergrund
Der AI Act -- offiziell die Verordnung (EU) 2024/1689 -- ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Das Europäische Parlament hat die KI-Verordnung im März 2024 verabschiedet. Sie trat am 1. August 2024 in Kraft und wird seitdem stufenweise wirksam.
Wer sich fragt, was der AI Act ist, kann ihn sich als das DSGVO-Äquivalent für Künstliche Intelligenz vorstellen: ein horizontales Regelwerk, das branchenübergreifend Standards setzt. Wie die Datenschutz-Grundverordnung gilt auch der AI Act als EU-Verordnung unmittelbar in allen 27 Mitgliedstaaten -- eine nationale Umsetzung ist nicht erforderlich.
Das Ziel der KI-Verordnung ist klar formuliert: Sie soll Innovation ermöglichen und gleichzeitig Grundrechte, Sicherheit und demokratische Werte schützen. Dafür verfolgt der AI Act einen risikobasierten Ansatz, der KI-Systeme nach ihrem Gefährdungspotenzial einstuft.
Wen betrifft die KI-Verordnung?
Die KI-Verordnung hat einen bewusst weiten Anwendungsbereich (Art. 2 VO (EU) 2024/1689). Betroffen sind:
- Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder entwickeln lassen und unter eigenem Namen auf den Markt bringen.
- Betreiber (Deployer): Unternehmen und Behörden, die KI-Systeme in ihrer beruflichen Tätigkeit einsetzen.
- Importeure und Händler: Unternehmen, die KI-Systeme aus Drittstaaten in die EU einführen oder innerhalb der EU vertreiben.
- Drittstaaten-Anbieter: Auch Unternehmen außerhalb der EU, wenn ihre KI-Systeme innerhalb der EU eingesetzt werden oder dort Wirkung entfalten.
Das bedeutet konkret: Wenn Ihr Unternehmen KI-Tools nutzt -- sei es ein KI-gestütztes Bewerbermanagement, ein Chatbot für den Kundenservice oder ein automatisiertes Risikobewertungssystem --, dann fallen Sie als Betreiber unter den AI Act. Selbst die Nutzung von KI-Diensten wie ChatGPT oder Microsoft Copilot im Arbeitsalltag kann Pflichten auslösen.
Der risikobasierte Ansatz: Die vier Risikostufen des AI Act
Das Herzstück der KI-Verordnung ist die Risikoklassifizierung nach Art. 5 und 6 VO (EU) 2024/1689. Sie teilt KI-Systeme in vier Kategorien ein:
| Risikostufe | Beschreibung | Beispiele | Regulierung |
|---|---|---|---|
| Unannehmbares Risiko | KI-Systeme, die Grundrechte fundamental verletzen | Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen, Emotionserkennung am Arbeitsplatz | Verboten (Art. 5) |
| Hohes Risiko | KI-Systeme mit erheblichen Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte | KI in der Personalauswahl, Kreditwürdigkeitsprüfung, medizinische Diagnostik, Strafverfolgung | Strenge Pflichten (Art. 6-49): Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht |
| Begrenztes Risiko | KI-Systeme mit Interaktion oder Inhalts-Erzeugung | Chatbots, Deepfake-Generatoren, KI-generierte Texte und Bilder | Transparenzpflichten (Art. 50): Kennzeichnung als KI-generiert |
| Minimales Risiko | Alle übrigen KI-Systeme | Spam-Filter, KI in Videospielen, einfache Empfehlungsalgorithmen | Keine spezifischen Pflichten, freiwillige Verhaltenskodizes |
Die überwiegende Mehrheit der heute eingesetzten KI-Systeme fällt in die Kategorien begrenztes oder minimales Risiko. Dennoch sollten Unternehmen jedes System sorgfältig einstufen -- denn die Konsequenzen einer Fehleinschätzung können gravierend sein.
Welche Pflichten haben Unternehmen als Betreiber?
Für die meisten Unternehmen ist die Rolle als Betreiber (Deployer) am relevantesten. Die wichtigsten Pflichten im Überblick:
KI-Kompetenzpflicht nach Art. 4
Die KI-Kompetenzpflicht ist die erste Anforderung, die seit 2. Februar 2025 für alle Unternehmen gilt -- unabhängig von der Risikostufe des eingesetzten KI-Systems. Art. 4 VO (EU) 2024/1689 verlangt, dass Unternehmen sicherstellen, dass ihr Personal über eine ausreichende KI-Kompetenz verfügt.
Das betrifft nicht nur IT-Abteilungen, sondern alle Mitarbeitenden, die KI-Systeme nutzen oder Entscheidungen über deren Einsatz treffen. Die Schulung muss den jeweiligen Aufgabenbereich und die Risikoklasse der genutzten KI-Systeme berücksichtigen.
Pflichten bei Hochrisiko-KI-Systemen
Setzen Unternehmen Hochrisiko-KI-Systeme ein, kommen ab August 2026 umfangreiche Pflichten hinzu (Art. 26 VO (EU) 2024/1689):
- Menschliche Aufsicht: Qualifiziertes Personal muss die KI-Systeme überwachen und bei Bedarf eingreifen können.
- Eingabedaten-Qualität: Die dem System zugeführten Daten müssen relevant und hinreichend repräsentativ sein.
- Protokollierung: Automatisch generierte Protokolle müssen aufbewahrt werden (mindestens sechs Monate).
- Information Betroffener: Natürliche Personen, die einer KI-gestützten Entscheidung unterliegen, müssen informiert werden.
- Datenschutz-Folgenabschätzung: Vor dem Einsatz ist eine solche Abschätzung nach Art. 27 durchzuführen.
Transparenzpflichten nach Art. 50
Für KI-Systeme mit begrenztem Risiko gelten spezifische Transparenzpflichten. Unternehmen müssen offenlegen, wenn Nutzer mit einem KI-System interagieren (z. B. Chatbot), und KI-generierte Inhalte wie Texte, Bilder, Audio oder Video als solche kennzeichnen.
Die wichtigsten Fristen im Überblick
Der AI Act wird stufenweise wirksam. Die zentralen Termine:
- 1. August 2024: Inkrafttreten der Verordnung
- 2. Februar 2025: Verbote (Art. 5) und KI-Kompetenzpflicht (Art. 4) gelten -- bereits in Kraft
- 2. August 2025: Pflichten für GPAI-Modelle (General Purpose AI, z. B. GPT, Gemini) greifen
- 2. August 2026: Hauptteil der Verordnung wird wirksam, insbesondere die Pflichten für Hochrisiko-KI-Systeme
- 2. August 2027: Letzte Übergangsfristen laufen ab, vollständige Anwendung
Handlungsbedarf besteht jetzt: Die KI-Kompetenzpflicht und die Verbotstatbestände gelten bereits. Unternehmen, die noch nicht gehandelt haben, befinden sich seit über einem Jahr im Verzug.
Welche Strafen drohen bei Verstößen?
Der AI Act sieht ein abgestuftes Sanktionssystem vor (Art. 99 VO (EU) 2024/1689):
- Verstoß gegen verbotene Praktiken (Art. 5): Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
- Verstoß gegen Hochrisiko-Pflichten: Bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes
- Falsche Angaben gegenüber Behörden: Bis zu 7,5 Mio. Euro oder 1 % des weltweiten Jahresumsatzes
Für KMU und Start-ups gelten angepasste Obergrenzen. Dennoch: Die Bußgeldrahmen sind bewusst an die DSGVO angelehnt und signalisieren, dass die EU die Durchsetzung ernst nimmt.
Was Unternehmen jetzt konkret tun sollten
Ein strukturierter Ansatz zur AI-Act-Compliance umfasst fünf Schritte:
- KI-Inventar erstellen: Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt oder entwickelt werden. Dazu zählen auch eingekaufte SaaS-Lösungen mit KI-Funktionen.
- Risikoklassifizierung durchführen: Ordnen Sie jedes System einer Risikostufe zu. Prüfen Sie insbesondere, ob Hochrisiko-Anwendungsfälle nach Anhang III der Verordnung vorliegen.
- KI-Kompetenz aufbauen: Schulen Sie Ihre Mitarbeitenden entsprechend Art. 4. Die Schulung sollte dokumentiert und an die jeweilige Rolle angepasst sein.
- Governance-Struktur aufsetzen: Definieren Sie Verantwortlichkeiten, Prozesse und Kontrollen für den KI-Einsatz in Ihrem Unternehmen.
- Compliance-Roadmap entwickeln: Planen Sie die Umsetzung aller Anforderungen entlang der gesetzlichen Fristen -- mit klaren Meilensteinen und Zuständigkeiten.
AI Act und DSGVO: Wie hängen sie zusammen?
Der AI Act ersetzt die DSGVO nicht, sondern ergänzt sie. Beide Regelwerke gelten parallel. Das bedeutet: Wenn ein KI-System personenbezogene Daten verarbeitet, müssen sowohl die Anforderungen der KI-Verordnung als auch die der DSGVO erfüllt werden.
In der Praxis führt dies zu Synergien: Unternehmen, die bereits über eine solide Datenschutz-Governance verfügen, haben einen Vorsprung bei der AI-Act-Compliance. Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und die Grundrechte-Folgenabschätzung nach Art. 27 der KI-Verordnung können beispielsweise aufeinander aufbauen.
Häufig gestellte Fragen zum AI Act
Gilt der AI Act auch für kleine Unternehmen und Start-ups?
Ja. Die KI-Verordnung gilt grundsätzlich größenunabhängig für alle Unternehmen, die KI-Systeme anbieten oder einsetzen. Allerdings sieht Art. 62 VO (EU) 2024/1689 Erleichterungen für KMU und Start-ups vor, etwa vereinfachte Dokumentationspflichten und reduzierte Bußgelder. Zudem sollen nationale KI-Reallabore (Regulatory Sandboxes) einen geschützten Rahmen zum Testen bieten.
Was genau ist ein "Hochrisiko-KI-System"?
Hochrisiko-KI-Systeme sind in Art. 6 und Anhang III der Verordnung definiert. Dazu zählen unter anderem KI-Systeme, die in folgenden Bereichen eingesetzt werden: biometrische Identifikation, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Personalmanagement, Zugang zu essenziellen Dienstleistungen (z. B. Kreditvergabe), Strafverfolgung, Migration und demokratische Prozesse. Entscheidend ist der konkrete Einsatzzweck, nicht die Technologie selbst.
Muss ich meine Mitarbeiter wirklich schulen?
Ja. Art. 4 VO (EU) 2024/1689 verpflichtet alle Anbieter und Betreiber von KI-Systemen, für eine ausreichende KI-Kompetenz ihres Personals zu sorgen. Diese Pflicht gilt seit dem 2. Februar 2025 und betrifft jedes Unternehmen, das KI-Systeme einsetzt -- vom Chatbot bis zum komplexen Analysesystem. Die Schulungen sollten den Kontext des Einsatzes, die jeweilige Rolle und die Risikostufe des Systems berücksichtigen.
Was passiert, wenn ich den AI Act ignoriere?
Neben den erheblichen Bußgeldern (bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes) drohen weitere Konsequenzen: Marktaufsichtsbehörden können den Rückruf oder das Verbot von KI-Systemen anordnen. Hinzu kommen Reputationsschäden und potenzielle zivilrechtliche Haftungsansprüche. Die nationalen Aufsichtsbehörden werden voraussichtlich ab 2026 aktiv Kontrollen durchführen.
Wie unterscheidet sich der AI Act von der KI-Regulierung in den USA oder China?
Der AI Act ist einzigartig in seinem umfassenden, horizontalen Ansatz. Während die USA bislang auf sektorbezogene Regelungen und freiwillige Verpflichtungen setzen (z. B. Executive Order on AI von Oktober 2023), verfolgt die EU einen verbindlichen, risikobasierten Regulierungsrahmen. China hat zwar bereits einzelne KI-Vorschriften erlassen (etwa zu Deepfakes und generativer KI), verfolgt aber keinen vergleichbar systematischen Ansatz. Der EU AI Act dürfte -- ähnlich wie die DSGVO -- einen globalen Standard setzen (sogenannter "Brüssel-Effekt").
KI-Compliance beginnt mit Kompetenz
Der AI Act stellt Unternehmen vor neue Herausforderungen -- aber auch vor eine klare Chance: Wer frühzeitig in KI-Kompetenz und strukturierte Compliance investiert, schafft Vertrauen bei Kunden, Partnern und Aufsichtsbehörden.
Die KI-Kompetenzpflicht nach Art. 4 ist dabei der logische Startpunkt. Sie gilt bereits heute und bildet das Fundament für alle weiteren Compliance-Maßnahmen. Mit der Schulungsplattform von KI Comply können Sie diese Pflicht effizient und nachweisbar erfüllen: Unsere Kurse sind speziell auf den AI Act zugeschnitten, berücksichtigen unterschiedliche Rollen und Risikostufen und liefern die Dokumentation, die Aufsichtsbehörden erwarten. Starten Sie jetzt mit der KI-Kompetenzschulung und bringen Sie Ihr Unternehmen auf den sicheren Weg zur AI-Act-Compliance.
Rechtsquellen
- EU AI Act – Verordnung (EU) 2024/1689 (Quelle)
- Risikoklassifizierung – Art. 5-6 VO (EU) 2024/1689
- KI-Kompetenzpflicht – Art. 4 VO (EU) 2024/1689
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.
Artikel teilen:
Weiterlesen
AI Act Strafen und Bußgelder: Was Unternehmen bei Verstößen droht
Bei Verstößen gegen den AI Act drohen Bußgelder von bis zu 35 Millionen Euro. Erfahren Sie, welche Strafen für welche Verstöße gelten und wie Sie Risiken minimieren.
AI Act Fristen 2025–2027: Alle Deadlines auf einen Blick
Die KI-Verordnung tritt stufenweise in Kraft. Dieser Artikel zeigt alle wichtigen Fristen und Deadlines des AI Acts – von Februar 2025 bis August 2027.
KI-Risikoklassen nach dem AI Act: Die 4 Stufen einfach erklärt
Der AI Act teilt KI-Systeme in vier Risikoklassen ein. Von verboten bis minimal — wir erklären jede Stufe mit Beispielen und Pflichten.
AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen
AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.
Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage
Warum rein maschinell erzeugte Inhalte in Deutschland keinen Werkschutz genießen, wo die Grenze zur schützfähigen KI-Assistenz verläuft und wie Unternehmen ihre Rechte an KI-gestütztem Content sichern.
KI für Textgenerierung: Urheberrecht und Haftung im Überblick
Wer mit ChatGPT oder Claude Texte generiert, stößt auf komplexe Urheberrechtsfragen. Dieser Leitfaden klärt die Rechtslage nach §§2, 7, 44b UrhG und zeigt, wie Unternehmen KI-Texte rechtskonform nutzen.
Machen Sie Ihr Team KI-fit
Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.
Preise ansehen