Der EU AI Act ist seit August 2024 in Kraft. Ab dem 2. August 2026 werden die meisten Verpflichtungen anwendbar. Für deutsche Unternehmen heißt das: Wer KI-Systeme entwickelt, einsetzt oder vertreibt, muss handeln. Dieser Artikel liefert eine praxistaugliche Checkliste, mit der Sie Ihr Unternehmen rechtzeitig vorbereiten.
Zur Orientierung vorab: Der EU AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende KI-Regulierung und gilt unmittelbar in allen EU-Mitgliedstaaten. Ab dem 2. August 2026 greifen die zentralen Pflichten für Hochrisiko-KI-Systeme und die Transparenzpflichten. Die KI-Kompetenzpflicht nach Artikel 4 gilt bereits seit dem 2. Februar 2025 und betrifft alle Unternehmen, die KI einsetzen, unabhängig von der Risikoklasse. Verstöße können mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes geahndet werden.
Zeitplan: Wann greift welche Pflicht?
Der EU AI Act tritt nicht auf einen Schlag in Kraft. Die Pflichten werden gestaffelt wirksam:
| Datum | Was gilt ab dann |
|---|---|
| 2. Februar 2025 | Verbote für inakzeptable KI-Praktiken (z. B. Social Scoring, manipulative Systeme) und Artikel 4 KI-Kompetenzpflicht |
| 2. August 2025 | Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), z. B. GPT-4, Claude |
| 2. August 2026 | Hauptteil: Hochrisiko-Pflichten, Transparenzpflichten |
| 2. August 2027 | Pflichten für bestimmte Hochrisiko-KI in regulierten Produkten (Anhang I) |
Für die meisten Unternehmen ist der 2. August 2026 der entscheidende Stichtag für Hochrisiko- und Transparenzpflichten. Die KI-Kompetenzpflicht nach Artikel 4 gilt aber schon seit dem 2. Februar 2025.
Wen betrifft der EU AI Act?
Der EU AI Act unterscheidet verschiedene Rollen.
Anbieter (Provider): Wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen auf den Markt bringt. Das betrifft Software-Unternehmen, aber auch Firmen, die ein Open-Source-Modell für ihr Produkt anpassen.
Betreiber (Deployer): Wer ein KI-System unter eigener Verantwortung einsetzt. Das betrifft jedes Unternehmen, das Tools wie ChatGPT, Copilot oder branchenspezifische KI-Software nutzt.
Importeure und Händler: Wer KI-Systeme aus Drittstaaten in die EU einführt oder vertreibt.
Die meisten deutschen KMU fallen in die Kategorie Betreiber. Sie nutzen KI-Tools, entwickeln sie aber nicht selbst. Trotzdem haben sie Pflichten, vor allem bei Hochrisiko-Systemen und bei der allgemeinen KI-Kompetenz.
Die 4 Risikoklassen im Überblick
Der EU AI Act ordnet KI-Systeme in vier Risikoklassen ein.
Inakzeptables Risiko (verboten)
In der EU verboten sind soziale Bewertungssysteme (Social Scoring) durch Behörden, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum (mit Ausnahmen für Strafverfolgung), KI zur unterschwelligen Manipulation oder Ausnutzung von Schwächen sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.
Hohes Risiko (strenge Pflichten)
KI-Systeme in sensiblen Bereichen wie Personalauswahl und Bewerber-Screening, Kreditwürdigkeitsprüfung, kritische Infrastruktur (Energie, Wasser, Verkehr), biometrische Identifikation oder Zugang zu Bildung und Berufsausbildung.
Für diese Systeme gelten umfangreiche Pflichten: Risikomanagementsystem, Datenqualität, technische Dokumentation, menschliche Aufsicht, Genauigkeit und Robustheit.
Begrenztes Risiko (Transparenzpflichten)
KI-Systeme, die mit Personen interagieren (Chatbots) oder synthetische Inhalte erzeugen (Deepfakes, KI-generierte Texte und Bilder), müssen als KI-generiert gekennzeichnet werden.
Minimales Risiko (keine besonderen Pflichten)
Die große Mehrheit der KI-Anwendungen im Unternehmensalltag: Textgenerierung, Übersetzungen, Datenanalyse, Automatisierung. Hier gelten keine spezifischen Pflichten aus dem AI Act, aber die allgemeine KI-Kompetenzpflicht nach Artikel 4.
Checkliste: 10 Schritte zur Vorbereitung
KI-Bestandsaufnahme durchführen
Listen Sie alle KI-Systeme auf, die in Ihrem Unternehmen eingesetzt werden. Vergessen Sie dabei nicht Office-Tools mit KI-Funktionen (Microsoft Copilot, Google Gemini), Chatbots auf der Website, KI-gestützte Recruiting-Software, automatisierte Rechnungsverarbeitung und Marketing-Tools mit KI-Funktionen.
Für jedes System dokumentieren Sie Name, Anbieter, Einsatzzweck, betroffene Personengruppen und verantwortliche Abteilung.
Risikoklasse bestimmen
Ordnen Sie jedes KI-System einer der vier Risikoklassen zu. Die meisten Standard-Tools (ChatGPT, Copilot, Automatisierungsplattformen) fallen unter minimales Risiko. Achten Sie besonders auf HR-Software mit KI (wenn das Tool Bewerbungen filtert oder bewertet, ist es wahrscheinlich Hochrisiko), Kundenservice-Chatbots (begrenztes Risiko, Transparenzpflicht) und KI-gestützte Kreditprüfung (Hochrisiko).
Artikel-4-Kompetenz sicherstellen
Artikel 4 verlangt, dass alle Personen, die mit KI-Systemen arbeiten, über eine ausreichende KI-Kompetenz verfügen. Das betrifft nicht nur IT-Fachkräfte, sondern jeden Mitarbeiter, der KI-Tools bedient.
Konkret bedeutet das: Mitarbeiter müssen die Grundlagen der genutzten KI-Systeme verstehen. Sie müssen Risiken und Grenzen erkennen können. Sie müssen wissen, wann menschliche Überprüfung nötig ist. Und die Schulung muss dokumentiert werden.
Transparenzpflichten umsetzen
Wenn Ihr Unternehmen Chatbots, KI-generierte Texte oder synthetische Medien einsetzt, sind drei Dinge zu tun: Chatbots deutlich als KI-System kennzeichnen. KI-generierte Inhalte, die veröffentlicht werden, markieren. Personen informieren, wenn sie mit einem KI-System interagieren.
Hochrisiko-Pflichten prüfen
Falls Sie Hochrisiko-KI-Systeme einsetzen, müssen Sie als Betreiber ein Risikomanagementsystem implementieren, die menschliche Aufsicht sicherstellen (Human-in-the-Loop), Eingabedaten dokumentieren und aufbewahren, automatisch generierte Protokolle mindestens 6 Monate speichern und (für bestimmte öffentliche Stellen und Betreiber) eine Grundrechtfolgenabschätzung durchführen.
Verantwortlichkeiten definieren
Benennen Sie intern eine Person oder Stelle, die für KI-Compliance zuständig ist. In größeren Unternehmen kann das ein KI-Beauftragter sein, in KMU die Geschäftsführung oder der Datenschutzbeauftragte.
Lieferanten prüfen
Fordern Sie von Ihren KI-Anbietern die notwendigen Unterlagen an: CE-Kennzeichnung (bei Hochrisiko-Systemen), technische Dokumentation, Gebrauchsanweisung, EU-Konformitätserklärung. Seriöse Anbieter bereiten diese Unterlagen derzeit vor. Fragen Sie aktiv nach.
Schulungsplan erstellen
Ein Schulungsplan, der alle Mitarbeiter einbezieht, die mit KI arbeiten, sollte enthalten: Grundlagenschulung für alle KI-Nutzer (Artikel-4-Pflicht), Vertiefung für Mitarbeiter, die Hochrisiko-Systeme bedienen, regelmäßige Auffrischung (mindestens jährlich empfohlen) und Dokumentation aller durchgeführten Schulungen.
Dokumentation aufsetzen
Richten Sie ein KI-Register ein, in dem Sie dokumentieren, welche KI-Systeme im Einsatz sind, welche Risikoklasse jedem System zugeordnet wurde, wer die Systeme nutzt, welche Schulungen durchgeführt wurden und welche Risikobewertungen vorliegen.
Monitoring einrichten
KI-Compliance ist keine einmalige Aufgabe. Richten Sie einen Prozess ein, der neue KI-Systeme vor der Einführung prüft, bestehende Bewertungen regelmäßig aktualisiert, Vorfälle dokumentiert und meldet und Änderungen der Rechtslage beobachtet.
Was passiert bei Verstößen?
Der EU AI Act sieht gestaffelte Sanktionen vor:
| Verstoß | Maximale Geldbuße |
|---|---|
| Einsatz verbotener KI-Praktiken | 35 Mio. EUR oder 7 % des Jahresumsatzes |
| Verstoß gegen Hochrisiko-Pflichten | 15 Mio. EUR oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. EUR oder 1 % des Jahresumsatzes |
Für KMU und Startups gelten reduzierte Obergrenzen. Die Bußgelder sind trotzdem empfindlich und orientieren sich bewusst an der DSGVO-Systematik.
Praxisbeispiel
Ein Maschinenbau-Unternehmen mit 120 Mitarbeitern nutzt folgende KI-Systeme:
- Microsoft Copilot für E-Mails und Dokumente (minimales Risiko)
- ChatGPT Team für Marketing-Texte (minimales Risiko)
- n8n mit Claude für automatisierte Rechnungsverarbeitung (minimales Risiko)
- HireVue für Video-Interviews im Recruiting (Hochrisiko)
Das Unternehmen muss alle vier Systeme inventarisieren und die Risikoklasse dokumentieren. Für HireVue als Hochrisiko-System: menschliche Aufsicht sicherstellen, Kandidaten informieren, Protokolle aufbewahren, Grundrechtfolgenabschätzung prüfen. Für alle Mitarbeiter, die KI nutzen: KI-Kompetenzschulung nach Artikel 4 durchführen und dokumentieren. Den Chatbot auf der Website als KI kennzeichnen (Transparenzpflicht).
Was uns in der Beratung immer wieder auffällt: Die Artikel-4-Pflicht wird regelmäßig unterschätzt. Viele Geschäftsführer sehen den 2. August 2026 als Deadline. Artikel 4 gilt aber seit Februar 2025. Wer bis heute keine dokumentierten Schulungen hat, ist im Zweifel schon jetzt nicht compliant, auch wenn er kein einziges Hochrisiko-System einsetzt.
KI-Kompetenz aufbauen: Fördermöglichkeiten
Die Schulungspflicht nach Artikel 4 lässt sich als Chance nutzen. Über das Qualifizierungschancengesetz fördert die Agentur für Arbeit Weiterbildungen von Beschäftigten mit bis zu 100 % der Lehrgangskosten, je nach Unternehmensgröße.
Die Weiterbildung zum Digitalisierungsmanager von Skill-Sprinters deckt genau die Kompetenzen ab, die der EU AI Act verlangt: KI-Grundlagen, Risikoklassifizierung, Datenschutz, Prozessautomatisierung und verantwortungsvoller KI-Einsatz. 4 Monate, komplett online, DEKRA-zertifiziert.
Häufige Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der EU AI Act gilt unabhängig von der Unternehmensgröße für alle, die KI-Systeme in der EU anbieten oder einsetzen. Für KMU und Startups gibt es allerdings Erleichterungen: vereinfachte Dokumentationspflichten, reduzierte Bußgelder und die Möglichkeit, regulatorische Sandkästen zu nutzen. Die KI-Kompetenzpflicht nach Artikel 4 gilt aber für alle Unternehmen gleichermaßen.
Muss ich ChatGPT als Hochrisiko-System einstufen?
In den meisten Fällen nicht. Die Standard-Nutzung von ChatGPT für Texterstellung, Recherche oder Kundenservice fällt unter minimales oder begrenztes Risiko. Hochrisiko entsteht erst, wenn ChatGPT in sicherheitskritischen oder grundrechtsrelevanten Entscheidungen eingesetzt wird, etwa wenn ein Custom GPT eigenständig über Bewerbungen entscheidet.
Was genau verlangt Artikel 4 (KI-Kompetenz)?
Artikel 4 verpflichtet Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Die Anforderungen richten sich nach dem konkreten Einsatzbereich und dem Risikoniveau des Systems. Eine formale Zertifizierung wird nicht verlangt, aber die Schulung muss angemessen und nachweisbar sein.
Brauche ich einen KI-Beauftragten?
Der EU AI Act schreibt keinen KI-Beauftragten vor, anders als die DSGVO beim Datenschutzbeauftragten. Es ist jedoch empfehlenswert, eine verantwortliche Person zu benennen, die den Überblick über alle KI-Systeme, deren Risikoklassifizierung und die Schulungsnachweise behält.
Wie dokumentiere ich die KI-Kompetenz meiner Mitarbeiter?
Halten Sie in einem KI-Schulungsregister fest: Wer wurde wann zu welchem Thema geschult, welche KI-Systeme waren Gegenstand der Schulung und wer hat die Schulung durchgeführt. Es gibt kein vorgeschriebenes Format, aber die Dokumentation muss im Falle einer Prüfung vorgelegt werden können.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.