Was seit 02.02.2025 gilt, was 2027 und 2028 kommt, welche Bussgelder drohen und wie du dein Unternehmen vor Deepfake, KI-Phishing und CEO Fraud schützt. Praxisleitfaden mit Zeitstrahl, Risikoklassen und 10 vertiefenden Artikeln.
Der EU AI Act ist seit 01.08.2024 in Kraft und wird gestaffelt anwendbar. Pflichten gelten heute schon: Art. 4 KI-Kompetenz und Art. 5 Verbote seit 02.02.2025, Bussgelder für Art. 5 Verstöße seit 02.08.2025.
Mit dem Digital Omnibus (Stand 25.04.2026, Trilog läuft) verschieben sich die Hochrisiko-Pflichten: Annex III auf 02.12.2027, Annex I auf 02.08.2028. Volle Anwendbarkeit bleibt für 02.08.2027 angesetzt.
Bussgelder bis 35 Mio Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Art. 5 Verstößen. Bis 15 Mio oder 3 Prozent bei Hochrisiko-Verstößen. KMU profitieren von reduzierten Sätzen.
Was du jetzt tun musst: KI-Kompetenz nach Art. 4 dokumentieren, KI-Inventar anlegen, Risiko-Klassifizierung prüfen, Incident-Response-Prozess für Art. 73 aufbauen.
Der EU AI Act ist die Verordnung (EU) 2024/1689 über künstliche Intelligenz. Sie ist seit dem 01.08.2024 in Kraft. Anders als eine Richtlinie wirkt eine EU-Verordnung direkt in jedem Mitgliedstaat. Es braucht kein deutsches Umsetzungsgesetz, das die Pflichten erst auslöst. Sie gelten unmittelbar.
Im Zentrum steht ein risikobasierter Ansatz. Je höher das Risiko eines KI-Systems für Sicherheit, Gesundheit oder Grundrechte, desto strenger die Pflichten. Wer ein einfaches Empfehlungssystem im Onlineshop einsetzt, hat fast keine Pflichten. Wer KI für Personalauswahl oder Kreditbewertung nutzt, faellt in die Hochrisikoklasse mit umfangreicher Dokumentations-, Prüf- und Monitoring-Pflicht.
Wichtig: Die Verordnung trifft Anbieter (wer ein KI-System baut oder vermarktet) und Betreiber (wer es einsetzt). Beide Rollen haben Pflichten, aber nicht die gleichen. Ein KMU, das ChatGPT im Buero nutzt, ist Betreiber. OpenAI ist Anbieter. Wenn dasselbe KMU ein eigenes KI-Tool entwickelt und an Kunden verkauft, wird es zum Anbieter mit deutlich erweiterten Pflichten.
Klarstellung zu einer häufig falschen Aussage: Art. 4 KI-Kompetenz gilt nicht erst ab August 2026, sondern seit 02.02.2025. Wer ein Unternehmen mit KI-Einsatz führt und keinen dokumentierten Schulungsnachweis hat, ist seit über einem Jahr im Verzug. Im Schadensfall wirkt das über die zivilrechtliche Sorgfaltspflicht.
Der EU AI Act wird gestaffelt anwendbar. Der Digital Omnibus (Stand 25.04.2026, vorbehaltlich endgültiger Annahme im Trilog) hat einige Hochrisiko-Fristen verschoben.
| Datum | Was greift | Wer ist betroffen |
|---|---|---|
| 01.08.2024 | Verordnung tritt in Kraft | Alle (Vorbereitung) |
| 02.02.2025 | Art. 4 (KI-Kompetenz) und Art. 5 (verbotene Praktiken) sind anwendbar | Jedes Unternehmen mit KI-Einsatz |
| 02.08.2025 | Erste Bussgelder für Art. 5 Verstöße möglich | Anbieter und Betreiber |
| 02.08.2026 | Allgemeine Regeln, Pflichten für GPAI-Modelle und nationale Aufsichtsbehörden | GPAI-Anbieter, Behörden |
| 02.08.2027 | Volle Anwendbarkeit der Verordnung (Stichtag bleibt) | Alle |
| 02.12.2027 | Hochrisiko-KI nach Annex III (mit Omnibus verschoben von 2026) | Anbieter und Betreiber von Hochrisiko-KI |
| 02.08.2028 | Hochrisiko-KI nach Annex I (mit Omnibus verschoben von 2027) | Hersteller regulierter Produkte mit KI |
Stand 25.04.2026, vorbehaltlich endgültiger Annahme der Omnibus-Aenderungen im Trilog.
Der EU AI Act sortiert KI-Systeme in vier Risikoklassen. Die Pflichten richten sich nach der Klasse.
Soziale Bewertung von Personen durch Behörden, Echtzeit-Gesichtserkennung im öffentlichen Raum (mit Ausnahmen), Manipulation, Ausnutzung von Schwächen, Emotionserkennung am Arbeitsplatz und in Schulen.
Folge: Komplett verboten in der EU. Bussgeld bis 35 Mio Euro oder 7 Prozent.
KI für Personalauswahl, Kreditbewertung, Bildungszulassung, Strafverfolgung, kritische Infrastruktur (Annex III). KI in regulierten Produkten wie Medizingeraeten, Fahrzeugen, Spielzeug (Annex I).
Folge: Risikomanagement, technische Dokumentation, menschliche Aufsicht, Post-Market Monitoring, CE-Kennzeichnung. Bussgeld bis 15 Mio oder 3 Prozent.
Generative KI wie ChatGPT, Bildgeneratoren, Chatbots, Deepfake-Tools. Inhalte, die mit KI erstellt oder veraendert werden.
Folge: Transparenzpflicht. Nutzer muessen erkennen können, dass sie mit einer KI sprechen oder dass Inhalte KI-generiert sind. Maschinenlesbare Kennzeichnung von synthetischen Inhalten.
Spamfilter, KI in Videospielen, einfache Empfehlungssysteme im Shop, automatische Bildkomprimierung. Der große Rest des KI-Marktes.
Folge: Keine spezifischen Pflichten aus dem AI Act. Trotzdem: Art. 4 KI-Kompetenz im Unternehmen ist Pflicht, sobald KI eingesetzt wird, unabhängig von der Klasse.
Fuenf Schritte, in der Reihenfolge wie sie ein typisches KMU am sinnvollsten abarbeitet. Keine Kuer, sondern Pflicht. Die ersten drei sind seit Februar 2025 überfällig.
Schule alle Mitarbeiter, die KI nutzen. Dokumentiere wer, was, wann gelernt hat. Im Schadensfall ist das dein Schutzschild. Kostenlose Schulungspflicht-Vorlage gibt es zum Beispiel beim Bitkom oder über spezialisierte Bildungstraeger. Unsere DigiMan-Weiterbildung deckt Art. 4 als Teil des Curriculums ab.
Liste alle KI-Tools, die in deinem Unternehmen eingesetzt werden. ChatGPT, Microsoft Copilot, KI-Funktionen in DATEV, im CRM, im Buchhaltungstool, Bewerber-Screening, Spamfilter. Pro Tool: Anbieter, Zweck, betroffene Daten, Risikoklasse. Das ist die Basis für alle weiteren Schritte.
Falls dein Inventar Hochrisiko-Fälle enthält (Personalentscheidungen, Kreditscoring, Medizin), bist du in der schärfsten Klasse. Dann brauchst du ab 02.12.2027 (Annex III) ein vollständiges Compliance-Programm. Beginn jetzt mit Risikomanagement und Dokumentation, das lässt sich nicht in drei Monaten nachholen.
Wenn du Hochrisiko-KI einsetzt oder anbietest, brauchst du einen Monitoring-Prozess. Welche Vorfälle, Fehler oder Drift willst du wie messen, wie oft prüfen, an wen melden? Greift formal erst mit den Hochrisiko-Pflichten (2027/2028), aber fruehzeitiger Aufbau spart Stress.
Bei schweren Vorfällen mit Hochrisiko-KI ist eine Meldung an die Marktüberwachungsbehörde Pflicht: 15 Tage Standardfrist, 10 Tage bei Tod, 2 Tage bei weitreichenden Auswirkungen. Bestimme heute schon, wer im Unternehmen meldet, an welche Behörde, mit welchem Template. Im Ernstfall hast du keine Zeit das zu klaeren.
Praxis-Hinweis: Die Punkte 1 und 2 schaffen die meisten KMU in zwei bis drei Wochen. Punkt 3 dauert länger, ist aber nur relevant, wenn dein Inventar Hochrisiko enthält. Beginn mit dem Inventar. 80 Prozent aller Mittelstaendler stellen dabei fest, dass sie keine Hochrisiko-KI einsetzen. Dann reicht Art. 4 plus Art. 50 Transparenz für generative KI.
Drei Gruppen: aktuelle Regelung 2026, Praxis-Bedrohungen, Schulung und Reaktion. Jeder Artikel ist ein eigenstaendiger Praxisbeitrag mit konkreten Schritten.
Das Vereinfachungspaket der Kommission und seine Folgen für KMU. Welche Pflichten fallen weg, welche bleiben, welche werden verschoben.
Artikel lesen →Annex III auf 02.12.2027, Annex I auf 02.08.2028. Was die neue Zeitschiene bedeutet, wer mehr Zeit gewinnt, wer nicht profitiert.
Artikel lesen →Was Article 72 verlangt, ab wann er greift, wie ein einfacher Monitoring-Prozess für KMU aussehen kann.
Artikel lesen →Reduzierte Bussgelder, vereinfachte Dokumentation, längere Übergangsfristen. Was das konkret bedeutet, wenn du unter 250 Mitarbeiter hast.
Artikel lesen →Wie KI heute Stimmen aus 30 Sekunden Audio klont. Welche Anzeichen es gibt, welche Code-Worte du im Team vereinbarst, was du sagst, wenn du unsicher bist.
Artikel lesen →KI macht Phishing fehlerfrei und persönlich. Klassische Erkennungsmuster (Tippfehler, schlechtes Deutsch) reichen nicht mehr. Was 2026 funktioniert.
Artikel lesen →Sprachnachrichten als Angriffspunkt. Wie Stimmenklau über WhatsApp funktioniert, welche praktischen Gegenmaßnahmen es gibt.
Artikel lesen →Klassischer Chef-Betrug auf einer neuen Stufe: Stimme, Videoanruf, E-Mail-Stil aller drei Kanaele zusammen überzeugend gefaelscht. Was du im Unternehmen prozessual aendern solltest.
Artikel lesen →Wie eine wirksame Schulung aussieht: Inhalte, Dauer, Wiederholungsrhythmus, Test-Phishing, Dokumentation als Nachweis nach Art. 4.
Artikel lesen →Anzeige, Beweissicherung, Meldung an Behörden, Kommunikation nach innen und außen. Schritt für Schritt für den Ernstfall.
Artikel lesen →Die Bussgelder im EU AI Act sind gestaffelt. Bei jedem Verstoß gilt der höhere Wert: fester Eurobetrag oder Prozent des weltweiten Konzernumsatzes.
| Verstoß | Maximum Eurobetrag | Maximum Prozent |
|---|---|---|
| Verbotene Praktiken (Art. 5) | 35 Mio Euro | 7 % weltweiter Jahresumsatz |
| Verstoß gegen Hochrisiko-Pflichten (Annex I + III) | 15 Mio Euro | 3 % weltweiter Jahresumsatz |
| Falsche oder irreführende Auskünfte gegenüber Behörden | 7,5 Mio Euro | 1 % weltweiter Jahresumsatz |
| Sonstige Verstöße (z.B. Art. 50 Transparenz) | 15 Mio Euro | 3 % |
Für KMU und Start-ups sieht der Omnibus reduzierte Sätze vor. Stand 25.04.2026 sind die genauen Reduktionsfaktoren noch im Trilog. Klar ist: die Strafen werden für kleine Unternehmen geringer ausfallen, aber nicht null.
Wer haftet im Unternehmen: Bei Kapitalgesellschaften haftet primaer das Unternehmen, nicht die Geschaeftsfuehrung persönlich. Aber: Verletzt ein Geschaeftsfuehrer nachweislich seine Sorgfaltspflicht (z.B. Art. 4 nicht umgesetzt), kann das eine Innenhaftung gegenüber den Gesellschaftern ausloesen. Wer keine KI-Kompetenz im Unternehmen sicherstellt, riskiert im Schadensfall mehr als nur das Bussgeld.
Der EU AI Act ist die KI-Verordnung der Europaeischen Union (Verordnung 2024/1689). Sie regelt, wie KI-Systeme in der EU entwickelt, verkauft und eingesetzt werden dürfen. Im Kern geht es um Sicherheit, Transparenz und Schutz von Grundrechten. Die Verordnung ist seit 01.08.2024 in Kraft und wird gestaffelt anwendbar.
Ja, sobald dein Unternehmen KI-Systeme einsetzt, entwickelt oder verkauft. Das umfasst auch Standardtools wie ChatGPT, Microsoft Copilot oder KI-gestuetzte CRMs. Wenn du KI nur als Anwender nutzt, hast du primaer Pflichten aus Art. 4 (KI-Kompetenz) und Art. 50 (Transparenz). Hochrisiko-Pflichten greifen erst, wenn du KI in sensiblen Bereichen wie Personalentscheidungen oder Kreditvergabe einsetzt.
Seit 02.02.2025 gelten Art. 4 (KI-Kompetenz) und Art. 5 (verbotene KI-Praktiken). Seit 02.08.2025 sind Bussgelder für Art. 5 Verstöße möglich. Mit dem Digital Omnibus (Stand 25.04.2026, vorbehaltlich endgültiger Annahme im Trilog) verschieben sich die Hochrisiko-Pflichten auf 02.12.2027 (Annex III) und 02.08.2028 (Annex I). Volle Anwendbarkeit ohne Ausnahmen ist 02.08.2027 vorgesehen.
Verstöße gegen Art. 5 (verbotene Praktiken) können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem welcher Wert höher ist. Verstöße gegen Hochrisiko-Pflichten kosten bis zu 15 Millionen Euro oder 3 Prozent. Falsche oder irreführende Auskünfte gegenüber Behörden sind mit bis zu 7,5 Millionen Euro oder 1 Prozent bewehrt. Für KMU und Start-ups sieht der Omnibus reduzierte Sätze vor.
Hochrisiko-KI ist KI, die in sensiblen Bereichen eingesetzt wird. Annex III nennt zum Beispiel KI für Personalauswahl, Kreditbewertung, Bildungszulassung, Strafverfolgung oder kritische Infrastruktur. Annex I betrifft KI in regulierten Produkten wie Medizingeraeten oder Fahrzeugen. Wer Hochrisiko-KI baut oder einsetzt, muss Risikomanagement, Datenqualitaet, technische Dokumentation, menschliche Aufsicht und Post-Market Monitoring sicherstellen.
Art. 4 verpflichtet Anbieter und Betreiber von KI-Systemen, für ausreichende KI-Kompetenz ihres Personals zu sorgen. Das ist seit 02.02.2025 Pflicht und gilt für jedes Unternehmen, das KI einsetzt. Die Verordnung schreibt kein konkretes Schulungsformat vor. Pflicht ist aber, dass die Mitarbeiter KI sinnvoll, sicher und rechtskonform nutzen können. Ein dokumentierter Schulungsnachweis ist im Schadensfall entscheidend, weil Art. 4 über die zivilrechtliche Sorgfaltspflicht wirkt.
Der Digital Omnibus ist ein Vereinfachungspaket, das die EU-Kommission im April 2026 vorgelegt hat. Ziel ist, Pflichten aus dem AI Act, der DSGVO und weiteren Digitalgesetzen aufeinander abzustimmen und Doppelregulierung abzubauen. Für KMU bringt der Omnibus längere Übergangsfristen, vereinfachte Dokumentation und reduzierte Bussgelder. Stand 25.04.2026 läuft der Trilog zwischen Kommission, Parlament und Rat noch.
Nein. Article 72 (Post-Market Monitoring) greift erst zusammen mit den Hochrisiko-Pflichten. Mit dem Omnibus also fruehestens 02.12.2027 für Annex III und 02.08.2028 für Annex I. Behauptungen, Article 72 sei seit April 2026 anwendbar, sind falsch. Wer heute schon Hochrisiko-KI plant, sollte den Monitoring-Prozess trotzdem jetzt aufsetzen, weil Aufbau und Datenstruktur Zeit brauchen.
Als Anbieter (Provider) eines KI-Systems traegst du die Hauptpflichten. Du musst Risikomanagement, Konformitaetsbewertung, technische Dokumentation, Logging, menschliche Aufsicht und Post-Market Monitoring sicherstellen. Bei Hochrisiko-KI brauchst du eine CE-Kennzeichnung und eine EU-Konformitaetserklaerung. Bei generativer KI gelten Transparenzpflichten nach Art. 50: Nutzer muessen erkennen können, dass sie mit KI interagieren oder dass Inhalte KI-generiert sind.
Als Betreiber (Deployer) eines KI-Systems hast du weniger Pflichten als Anbieter, aber sie sind nicht null. Pflicht sind: Schulung des Personals nach Art. 4, Einhaltung der Bedienungsanleitung des Anbieters, Logging des Einsatzes, Information der betroffenen Personen, menschliche Aufsicht und Meldung schwerer Vorfälle nach Art. 73. Bei Hochrisiko-KI kommt eine Folgenabschaetzung für Grundrechte dazu (Art. 27).
Art. 4 ist seit über einem Jahr Pflicht. Wer noch keinen Schulungsnachweis hat, ist im Verzug. Unsere Weiterbildung zum Digitalisierungsmanager deckt KI-Kompetenz, Compliance und Praxisanwendung ab. Vier Monate, online, kostenlos mit Bildungsgutschein.