Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Er betrifft jedes Unternehmen in der EU, das KI-Systeme entwickelt, vertreibt oder nutzt. Seit dem 1. August 2024 ist die Verordnung in Kraft. Seitdem werden schrittweise verschiedene Pflichten wirksam.
Dieser Artikel gibt Ihnen einen vollständigen Überblick: Welche Risikoklassen gibt es? Was ist verboten? Welche Pflichten gelten für Hochrisiko-KI? Und welche Bußgelder drohen bei Verstößen?
Das Vier-Stufen-Modell: Risikoklassen im EU AI Act
Der EU AI Act verfolgt einen risikobasierten Ansatz. Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen. Vier Stufen werden unterschieden:
Stufe 1: Unannehmbares Risiko (verboten)
KI-Systeme, die grundlegende Rechte und Werte der EU verletzen, sind vollständig verboten. Das Verbot gilt seit dem 2. Februar 2025. Dazu gehören:
- Social Scoring: Bewertung natürlicher Personen anhand ihres Sozialverhaltens, wenn dies zu ungerechtfertigter Benachteiligung führt
- Unterschwellige Manipulation: KI-Systeme, die menschliches Verhalten durch unterschwellige Techniken, absichtliche Täuschung oder Ausnutzung von Schwächen beeinflussen
- Biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden (mit eng definierten Ausnahmen)
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit Ausnahmen für Sicherheitszwecke)
- Biometrische Kategorisierung zur Ableitung sensibler Merkmale wie Ethnie, politische Überzeugung oder sexuelle Orientierung
- Ungezielte Gesichtserkennungsdatenbanken durch massenhaftes Auslesen aus dem Internet oder Überwachungsaufnahmen
- Prädiktive Polizeiarbeit ausschließlich auf Basis von Profiling
Stufe 2: Hohes Risiko (streng reguliert)
Hochrisiko-KI-Systeme werden in sensiblen Bereichen eingesetzt, in denen Fehler erhebliche Auswirkungen auf Menschen haben können. Beispiele:
- Personalwesen und Recruiting: KI-gestützte Bewerberauswahl, automatisiertes Screening, Leistungsbewertung
- Kreditwürdigkeit: Automatisierte Bonitätsprüfung und Kreditvergabe
- Bildung: Automatisierte Prüfungsbewertung, Zugangsentscheidungen
- Kritische Infrastruktur: KI-Steuerung in Energie, Wasser, Verkehr
- Strafverfolgung: Lügenerkennung, Risikobewertung
- Migration: Automatisierte Visum- und Asylentscheidungen
- Medizinprodukte und Sicherheitskomponenten (sofern bereits durch EU-Harmonisierungsrechtsvorschriften erfasst)
Für Hochrisiko-KI gelten umfangreiche Pflichten (siehe nächster Abschnitt).
Stufe 3: Begrenztes Risiko (Transparenzpflichten)
KI-Systeme mit begrenztem Risiko unterliegen Transparenzpflichten. Nutzer müssen wissen, dass sie mit KI interagieren. Betroffen sind:
- Chatbots: Nutzer müssen informiert werden, dass sie mit einem KI-System kommunizieren
- Deepfakes: KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte müssen als solche gekennzeichnet werden
- KI-generierte Texte: Wenn ein Text zu einem Thema von öffentlichem Interesse veröffentlicht wird und KI-generiert ist, muss dies kenntlich gemacht werden (es sei denn, ein Mensch hat den Inhalt überprüft und verantwortet)
Stufe 4: Minimales/kein Risiko (keine besonderen Pflichten)
Die Mehrheit der KI-Systeme fällt in diese Kategorie: Spamfilter, Rechtschreibprüfung, Empfehlungssysteme, KI-gestützte Suchfunktionen. Hier gelten keine spezifischen Pflichten aus dem AI Act. Allerdings greift seit Februar 2025 die allgemeine KI-Kompetenzpflicht nach Art. 4 für alle Risikostufen.
Was müssen Unternehmen bei Hochrisiko-KI beachten?
Die Pflichten für Hochrisiko-KI-Systeme sind umfangreich und richten sich sowohl an Anbieter (Entwickler) als auch an Betreiber (Nutzer). Ab dem 2. August 2026 gelten die vollständigen Anforderungen.
Pflichten für Anbieter (Entwickler, Hersteller)
| Pflicht | Was konkret zu tun ist |
|---|---|
| Risikomanagementsystem | Über den gesamten Lebenszyklus: Risiken identifizieren, bewerten und minimieren |
| Datenqualität | Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und fehlerfrei sein |
| Technische Dokumentation | Detaillierte Beschreibung des Systems, seiner Funktionsweise und Leistungsgrenzen |
| Protokollierung | Automatische Aufzeichnung relevanter Ereignisse (Logging) für Rückverfolgbarkeit |
| Transparenz | Gebrauchsanweisung für Betreiber mit verständlichen Informationen zu Fähigkeiten und Grenzen |
| Menschliche Aufsicht | System muss so gestaltet sein, dass Menschen es wirksam überwachen können |
| Genauigkeit, Robustheit, Cybersicherheit | Angemessene Leistungsfähigkeit über den gesamten Lebenszyklus |
| Konformitätsbewertung | Vor dem Inverkehrbringen: Nachweis, dass alle Anforderungen erfüllt sind |
| CE-Kennzeichnung | Nach erfolgreicher Konformitätsbewertung |
| EU-Datenbank-Registrierung | Eintragung in die öffentliche EU-Datenbank für Hochrisiko-KI |
Pflichten für Betreiber (Unternehmen, die Hochrisiko-KI einsetzen)
Auch wenn Sie ein Hochrisiko-KI-System nur nutzen und nicht selbst entwickeln, haben Sie Pflichten:
- Bestimmungsgemäße Verwendung: Das System nur gemäß der Gebrauchsanweisung einsetzen
- Menschliche Aufsicht sicherstellen: Personen mit der nötigen Kompetenz, Ausbildung und Befugnis zuweisen
- Eingabedaten prüfen: Sicherstellen, dass die eingespeisten Daten für den Zweck geeignet sind
- Überwachung: Die Funktionsweise des Systems beobachten und bei Auffälligkeiten den Anbieter informieren
- Protokolle aufbewahren: Automatisch erzeugte Protokolle mindestens sechs Monate speichern
- Datenschutz-Folgenabschätzung: Bei Verarbeitung personenbezogener Daten eine DSFA durchführen
- Betroffene informieren: Personen, die einer Hochrisiko-KI-Entscheidung unterliegen, darüber informieren
Art. 4: KI-Kompetenzpflicht gilt für alle
Unabhängig von der Risikoklasse gilt seit dem 2. Februar 2025 die allgemeine KI-Kompetenzpflicht nach Artikel 4. Jedes Unternehmen, das KI-Systeme nutzt, muss sicherstellen, dass die betroffenen Mitarbeiter über ausreichende KI-Kenntnisse verfügen.
Wichtig: Art. 4 ist nicht bußgeldbewehrt. Es gibt keine direkte Strafe bei Verstößen. Allerdings entsteht ein Haftungsrisiko: Wenn ein Schaden durch fehlerhafte Bedienung eines KI-Systems entsteht und das Unternehmen keine ausreichende Schulung nachweisen kann, kann dies als Verletzung der Sorgfaltspflicht gewertet werden.
Wir haben die praktische Umsetzung der KI-Kompetenzpflicht in einem separaten Artikel detailliert beschrieben: KI-Schulungspflicht: 7 konkrete Schritte für Geschäftsführer.
Bußgelder: Dreistufiges Sanktionsmodell
Der EU AI Act sieht in Artikel 99 gestaffelte Bußgelder vor. Maßgeblich ist jeweils der höhere Betrag: der Festbetrag oder der Prozentsatz vom weltweiten Jahresumsatz.
| Verstoß | Bußgeld |
|---|---|
| Verbotene KI-Praktiken (Art. 5) | Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes |
| Hochrisiko-KI-Pflichten | Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes |
| Falsche oder unvollständige Angaben gegenüber Behörden | Bis zu 7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes |
Sonderregelungen für KMU und Startups
Der Gesetzgeber hat erkannt, dass die regulären Obergrenzen für kleine Unternehmen existenzbedrohend sein könnten. Für KMU und Startups gelten daher niedrigere Schwellenwerte. Bei Verstößen wird der jeweils niedrigere Betrag (Festbetrag oder Umsatzprozentsatz) als Obergrenze herangezogen.
Verhältnismäßigkeit
Die Bußgelder sollen wirksam, verhältnismäßig und abschreckend sein. Bei der Bemessung werden unter anderem berücksichtigt:
- Art, Schwere und Dauer des Verstoßes
- Unternehmensgröße und wirtschaftliche Situation
- Vorsätzlichkeit oder Fahrlässigkeit
- Kooperationsbereitschaft mit Behörden
- Bereits ergriffene Abhilfemaßnahmen
Timeline: Was gilt wann?
| Datum | Was passiert |
|---|---|
| 1. August 2024 | EU AI Act tritt in Kraft |
| 2. Februar 2025 | Verbote (Art. 5) und KI-Kompetenzpflicht (Art. 4) gelten |
| 2. August 2025 | Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), z.B. Transparenzanforderungen an Foundation Models |
| 2. August 2026 | Vollständige Anwendbarkeit: Hochrisiko-Pflichten, Konformitätsbewertungen, Transparenzpflichten, Sanktionen |
| 2. August 2027 | Übergangsfristen für bestimmte Hochrisiko-KI-Systeme, die bereits auf dem Markt sind, laufen aus |
Was bedeutet das konkret für KMU?
Die meisten kleinen und mittleren Unternehmen nutzen KI-Systeme der Stufe 3 (begrenztes Risiko) oder Stufe 4 (minimales Risiko). ChatGPT, Copilot, KI-gestützte Buchhaltung, Marketing-Automatisierung: All das fällt in der Regel nicht unter Hochrisiko.
Trotzdem haben auch KMU Pflichten:
- KI-Kompetenz sicherstellen (seit Feb. 2025): Mitarbeiter, die KI-Systeme nutzen, müssen geschult sein. Kein Pflichtzertifikat nötig, aber Dokumentation der Maßnahmen empfohlen.
- Transparenz (ab Aug. 2026): Wenn Sie Chatbots, KI-generierte Inhalte oder Deepfakes einsetzen, müssen Sie dies kennzeichnen.
- Prüfen, ob Hochrisiko vorliegt: Nutzen Sie KI im Recruiting (automatisierte Bewerberauswahl)? Setzen Sie KI für Kreditentscheidungen ein? Dann fallen diese Systeme potenziell unter Hochrisiko.
- Nutzungsrichtlinie erstellen: Klare interne Regeln, welche KI-Tools erlaubt sind, welche Daten eingegeben werden dürfen und wie KI-Ergebnisse geprüft werden müssen.
Checkliste: 5 Sofortmaßnahmen für Unternehmen
- KI-Inventar erstellen: Welche KI-Systeme werden im Unternehmen genutzt?
- Risikoklassen zuordnen: Fällt eines Ihrer Systeme unter Hochrisiko?
- KI-Schulungen planen: Wer nutzt KI und braucht welches Kompetenzniveau?
- Nutzungsrichtlinie aufsetzen: Klare Regeln für den Umgang mit KI-Tools
- Zeitplan erstellen: Was muss bis August 2026 umgesetzt sein?
KI-Kompetenz aufbauen: Der erste Schritt
Der EU AI Act macht deutlich: KI-Kompetenz ist nicht optional, sondern Pflicht. Unternehmen, die ihre Mitarbeiter frühzeitig schulen, reduzieren nicht nur rechtliche Risiken, sondern nutzen KI auch produktiver.
Unser kostenloser KI-Assistent zeigt Ihnen in 30 Minuten, welche KI-Anwendungen für Ihr Unternehmen relevant sind und wie Sie die Kompetenzpflicht praktisch umsetzen können.
Jetzt den kostenlosen KI-Assistenten testen
Oder buchen Sie direkt einen Beratungstermin, wenn Sie Unterstützung bei der Umsetzung brauchen:
KI-Kompetenz für Ihr Team aufbauen?
Lassen Sie sich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für Ihr Unternehmen.