Der EU AI Act ist seit August 2024 geltendes Recht. Die ersten Verbote greifen bereits seit Februar 2025, und bis August 2026 müssen Unternehmen ihre Hochrisiko-KI-Systeme vollständig konform betreiben. Dieser Artikel zeigt, welche Fristen konkret gelten, was die verschiedenen Risikoklassen bedeuten und welche Schritte Sie jetzt gehen müssen, um nicht in die Haftung zu geraten.
Was Der EU AI Act Genau Regelt Und Für Wen Er Gilt
Die Verordnung (EU) 2024/1689 erfasst einen sehr weiten Personenkreis. Sie gilt nicht nur für Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen, also sogenannte Anbieter oder Provider. Sie gilt ebenso für Betreiber, im EU-AI-Act-Jargon Deployer genannt, die KI-Systeme im eigenen Unternehmen einsetzen. Dazu kommen Importeure und Händler. Entscheidend ist dabei nicht der Unternehmenssitz, sondern der Einsatzort: Wer KI in der EU nutzt oder anbietet, fällt in den Anwendungsbereich der Verordnung. Das betrifft also auch US-amerikanische oder asiatische Anbieter, deren Software in deutschen Unternehmen läuft.
Für KMUs ist besonders relevant, dass viele bereits heute KI-Systeme einsetzen, ohne sich dessen bewusst zu sein. Wer einen KI-gestützten Chatbot auf der Website betreibt, ein automatisiertes Kreditbewertungstool nutzt oder Predictive-Maintenance-Software in der Produktion einsetzt, fällt unter die Verordnung. Auch wer ChatGPT über eine API in interne Prozesse eingebunden hat oder auf SaaS-Plattformen mit eingebetteten KI-Funktionen setzt, muss sich positionieren. In der Beratungspraxis sehen wir häufig, dass Unternehmen den Umfang ihrer KI-Nutzung deutlich unterschätzen, insbesondere was Shadow-IT und zugekaufte Cloud-Dienste betrifft.
Die Vier Risikoklassen Und Ihre Konsequenzen
flowchart TD
A[KI-System identifiziert] --> B{Verbotene Praktik?}
B -->|Ja| C[Sofort abschalten\nSeit Feb 2025]
B -->|Nein| D{Hochrisiko-System?}
D -->|Ja| E[Vollständige Compliance\nbis Aug 2026]
D -->|Nein| F{Begrenztes Risiko?}
F -->|Ja| G[Transparenzpflichten\nab 2026]
F -->|Nein| H[Minimales Risiko\nFreiwillige Standards]
Der EU AI Act arbeitet mit einem risikobasierten Ansatz. Systeme mit inakzeptablem Risiko sind seit Februar 2025 verboten. Dazu zählen KI-Systeme für soziales Scoring durch öffentliche Stellen, Echtzeit-Biometrie-Überwachung in öffentlichen Räumen mit wenigen Ausnahmen sowie manipulative KI-Techniken, die Menschen ohne ihr Wissen beeinflussen. Wer solche Systeme noch betreibt, verstößt bereits heute gegen geltendes Recht.
Die zweite und für die meisten Unternehmen relevanteste Kategorie ist Hochrisiko-KI. Hierunter fallen Systeme, die in sicherheitskritischen Bereichen eingesetzt werden oder erheblichen Einfluss auf Lebensbereiche von Menschen haben. Die Verordnung nennt konkret: KI in Medizinprodukten, KI in sicherheitsrelevanten Maschinen und Industriekomponenten, KI für Kreditscoring und Bonitätsbewertung, KI im Bildungsbereich etwa zur Lernstandsbewertung, KI in der Strafverfolgung und Grenzkontrolle sowie KI im Personalwesen, zum Beispiel für automatisiertes Screening von Bewerbungsunterlagen. Diese Systeme müssen bis August 2026 vollständig konform sein. Für KI-Systeme, die in bereits regulierten Sektoren wie Medizinprodukten integriert sind, gilt eine verlängerte Frist bis August 2027.
Die dritte Kategorie umfasst Systeme mit begrenztem Risiko. Chatbots, Deepfake-Generatoren und Emotionserkennungssysteme fallen hierunter. Für sie gelten in erster Linie Transparenzpflichten: Nutzer müssen wissen, dass sie mit einer KI interagieren, und synthetische Inhalte müssen als solche gekennzeichnet werden. Schließlich gibt es die Kategorie des minimalen Risikos, in die die Mehrzahl aller KI-Anwendungen fällt, etwa Spam-Filter oder Empfehlungssysteme in Videospielen. Hier sind keine verpflichtenden Maßnahmen vorgesehen, freiwillige Verhaltenskodizes werden jedoch empfohlen.
Die Wichtigsten Fristen Im Überblick
gantt
title EU AI Act Zeitplan
dateFormat YYYY-MM
section Bereits in Kraft
Verbot inakzeptabler KI :done, 2025-02, 2025-08
KI-Kompetenzpflicht :done, 2025-02, 2025-08
section Läuft gerade
GPAI-Dokumentationspflichten :active, 2025-08, 2026-08
section Kommend
Vollanwendung Hochrisiko :2026-08, 2027-08
Sektorale Hochrisiko-KI :2027-08, 2027-12
Die gestaffelte Einführung des AI Acts hat eine klare Logik, die Unternehmen kennen müssen. Februar 2025 war der erste kritische Stichtag: Verbotene KI-Praktiken wurden ab diesem Zeitpunkt geahndet, und die Pflicht zur KI-Kompetenz, die sogenannte AI Literacy, trat in Kraft. Diese Schulungspflicht bedeutet konkret, dass Unternehmen sicherstellen müssen, dass Mitarbeiter, die KI-Systeme einsetzen oder beaufsichtigen, über ausreichendes Grundwissen zu deren Funktionsweise und Risiken verfügen. Eine vage Einweisung reicht dabei nicht aus. Es braucht dokumentierbare Schulungsmaßnahmen.
August 2025 war der zweite Stichtag, der für viele Unternehmen bereits relevant ist: General-Purpose-AI-Modelle, also große Sprachmodelle wie die GPT-Reihe von OpenAI oder Gemini von Google, unterliegen ab diesem Zeitpunkt Dokumentationspflichten, Transparenzanforderungen und Governance-Vorgaben. Wer solche Modelle über APIs in eigene Produkte integriert oder als Deployer nutzt, muss das im eigenen Compliance-Rahmen berücksichtigen.
Der nächste und für die meisten KMUs entscheidende Stichtag ist August 2026. Ab dann gilt das vollständige Sanktionsregime für Hochrisiko-KI-Systeme. Registrierungen in der EU-Datenbank sind Pflicht, Konformitätsbewertungen müssen abgeschlossen sein, und die nationalen Aufsichtsbehörden sind operativ. In Deutschland ist die Bundesnetzagentur als koordinierende Marktüberwachungsbehörde vorgesehen (Stand 2026). Wer bis August 2026 nicht vorbereitet ist, riskiert Bußgelder und im schlimmsten Fall ein Verbot des Systems.
Was Anbieter Und Betreiber Konkret Tun Müssen
Die Pflichten unterscheiden sich je nach Rolle im KI-Ökosystem erheblich. Anbieter von Hochrisiko-KI-Systemen tragen die schwerste Last. Sie müssen vor der Markteinführung eine Konformitätsbewertung durchführen, entweder intern nach festgelegten Verfahren oder durch eine zugelassene externe Prüfstelle, einen sogenannten Notified Body. Die technische Dokumentation muss den Zweck des Systems, die verwendeten Daten, die eingesetzten Modelle, Testergebnisse und identifizierte Risiken umfassen und mindestens zehn Jahre aufbewahrt werden. Dazu kommen CE-Kennzeichnung, Registrierung in der EU-Datenbank und laufende Überwachung nach Markteinführung, das sogenannte Post-Market-Monitoring.
Betreiber, also Unternehmen, die Hochrisiko-KI-Systeme einsetzen, ohne sie selbst entwickelt zu haben, müssen eigene Risikobewertungen durchführen und sicherstellen, dass immer ein Mensch die Kontrolle über kritische Entscheidungen behält. Das ist das Prinzip der Human Oversight. Vorfälle müssen gemeldet werden, Protokolle mindestens sechs Monate aufbewahrt. Bei personenbezogenen Daten ist zusätzlich eine Datenschutz-Folgenabschätzung nach DSGVO erforderlich. Wer in diesem Bereich noch Nachholbedarf hat, findet in unserem Artikel zu KI und DSGVO: datenschutzkonform automatisieren eine gute Grundlage.
Ein oft übersehener Bereich ist das Lieferkettenmanagement. Wer KI-Systeme von Drittanbietern einsetzt, muss sicherstellen, dass die Anbieter ihrerseits compliant sind. Das bedeutet in der Praxis: Verträge mit KI-Lieferanten müssen Klauseln enthalten, die Audit-Rechte sichern, Konformitätserklärungen einfordern und Datenqualitätsnachweise verlangen. Standardverträge ohne solche Klauseln sind ein erhebliches Haftungsrisiko.
DER 6-SCHRITTE-FAHRPLAN FÜR KMUs
Der erste und unmittelbar notwendige Schritt ist das KI-Inventar. Erfassen Sie alle KI-Systeme im Unternehmen vollständig, einschließlich laufender Pilotprojekte, Shadow-IT und zugekaufter SaaS-Lösungen mit eingebetteten KI-Funktionen. In der Praxis zeigt sich, dass Unternehmen bei dieser Übung regelmäßig überrascht sind, wie viele Systeme tatsächlich unter den AI Act fallen. Dokumentieren Sie für jedes System den Einsatzzweck, die verarbeiteten Daten und die Rolle des Unternehmens (Anbieter oder Betreiber). Dieser Schritt sollte innerhalb der ersten drei Monate abgeschlossen sein.
Im zweiten Schritt ordnen Sie jedem identifizierten System eine Risikoklasse zu. Nutzen Sie dafür die Definitionen der Verordnung und, wo hilfreich, ISO/IEC 42001-konforme Klassifizierungsrahmen. Identifizieren Sie verbotene Systeme und schalten Sie diese sofort ab. Das ist keine optionale Maßnahme, sondern gesetzliche Pflicht seit Februar 2025.
Der dritte Schritt ist der Aufbau einer funktionierenden Governance-Struktur. Das bedeutet konkret: Benennen Sie einen KI-Verantwortlichen, oft als AI Officer bezeichnet. Dieser braucht keine separate Vollzeitstelle zu sein, besonders nicht in kleineren Unternehmen. Wichtig ist, dass die Verantwortung klar zugewiesen ist und die Person die notwendige Kompetenz mitbringt. Richten Sie ein funktionsübergreifendes KI-Komitee ein, das Recht, IT und die relevanten Geschäftsbereiche zusammenbringt. Definieren Sie eine unternehmensweite KI-Politik, die Grundsätze für den Einsatz und die Beschaffung von KI-Systemen festlegt.
Im vierten Schritt folgen Dokumentation und Schulung. Erstellen Sie für alle Hochrisiko-Systeme die erforderliche technische Dokumentation. Starten Sie Schulungsprogramme zur KI-Kompetenz. Diese müssen nicht aufwändig sein, sollten aber auf die konkreten Systeme und Rollen der Mitarbeitenden abgestimmt sein und dokumentiert werden. Passen Sie Verträge mit KI-Lieferanten an und fordern Sie aktiv Konformitätserklärungen ein.
Der fünfte Schritt betrifft die formale Konformitätsbewertung. Für Hochrisiko-Systeme müssen Sie bis August 2026 eine vollständige Bewertung abgeschlossen haben, inklusive CE-Kennzeichnung wo erforderlich und Registrierung in der EU-Datenbank. Für Systeme, die neu beschafft werden, sollte dieser Schritt bereits in den Beschaffungsprozess integriert sein. Auch für bestehende Systeme gilt: Je früher Sie beginnen, desto besser. Eine Konformitätsbewertung ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess.
Der sechste Schritt ist die laufende Überwachung. Integrieren Sie Logging und Monitoring in Ihre bestehenden KI-Systeme. Human Oversight muss technisch und organisatorisch verankert sein, nicht nur auf dem Papier. Planen Sie interne Audits und integrieren Sie KI-Compliance in bestehende Rahmenwerke wie DSGVO-Compliance oder ISO 27001. Das vermeidet Doppelarbeit und macht das Gesamtkonstrukt stabiler. Wer den Weg zur strukturierten KI-Strategie noch nicht begonnen hat, findet in unserem 90-Tage-Fahrplan für die KI-Strategie einen guten Einstieg.
Die Häufigsten Fehler Und Wie Sie Sie Vermeiden
In der Beratungspraxis sehen wir immer wieder dieselben Muster. Das unvollständige Inventar ist der häufigste Ausgangsfehler. Viele Unternehmen erfassen nur die offensichtlichen KI-Systeme und vergessen dabei eingebettete KI-Funktionen in Standardsoftware, Open-Source-Modelle, die intern genutzt werden, oder Cloud-Dienste, die KI-gestützte Analyse- oder Automatisierungsfunktionen enthalten. Ein typisches Muster bei KMUs ist, dass Abteilungen eigenständig SaaS-Tools einführen, die KI nutzen, ohne dass die IT-Abteilung oder die Geschäftsführung davon weiß.
Falsche Klassifizierungen sind das zweite große Risiko. Ein Kredit-Scoring-Tool, das intern zur Bewertung von Geschäftskunden eingesetzt wird, ist ein Hochrisiko-System, auch wenn es von einem kleinen Fintech als einfaches Bewertungstool vermarktet wird. Die Klassifizierung hängt am Einsatzzweck und am tatsächlichen Risiko für betroffene Personen, nicht am Marketing des Anbieters. Eine zu niedrige Einstufung kann zu erheblichen Konsequenzen führen, wenn Aufsichtsbehörden ihre Arbeit aufnehmen.
Fehlende Dokumentation ist der dritte Klassiker. Viele Unternehmen setzen KI-Systeme produktiv ein, ohne eine auditierbare Nachvollziehbarkeit sicherzustellen. Das ist problematisch, weil die Verordnung explizit verlangt, dass Entscheidungen von Hochrisiko-Systemen nachvollzogen werden können. Ein System, das keine prüfbaren Unterlagen vorweisen kann, riskiert ein Betriebsverbot.
Schließlich ist das Thema Lieferkette häufig unterschätzt. Wer als Betreiber eines Hochrisiko-Systems davon ausgeht, dass der Anbieter die gesamte Compliance-Last trägt, liegt falsch. Betreiber haben eigene Pflichten, und Verträge ohne explizite AI-Act-Klauseln hinterlassen gefährliche Lücken. Lassen Sie sich von Ihren KI-Lieferanten schriftlich bestätigen, dass deren Systeme den Anforderungen des EU AI Acts entsprechen, und fordern Sie die entsprechende technische Dokumentation an.
GPAI-MODELLE: WAS DIE NUTZUNG VON CHATGPT UND CO. BEDEUTET
Seit August 2025 gelten für General-Purpose-AI-Modelle, also große Sprachmodelle wie GPT-4o von OpenAI, Claude von Anthropic oder Gemini von Google, eigene Anforderungen. Anbieter dieser Modelle müssen Transparenz über Trainingsdaten sicherstellen, technische Dokumentation bereitstellen und eine Urheberrechts-Policy implementieren. Für Unternehmen, die diese Modelle als Deployer nutzen, ergeben sich vor allem Transparenzpflichten: Synthetische Inhalte müssen als solche erkennbar gemacht werden, und Nutzer müssen wissen, wenn sie mit einer KI kommunizieren.
Wer die Frage stellt, welches GPAI-Modell für welchen Zweck am besten geeignet ist, und dabei auch die Compliance-Aspekte berücksichtigen möchte, findet in unserem Vergleich ChatGPT vs. Claude vs. Gemini: Welches Modell für welchen Zweck eine fundierte Grundlage. Besonders relevant ist dabei, ob das genutzte Modell die erforderliche technische Dokumentation und Konformitätserklärungen bereitstellt, die Betreiber wiederum in ihrer eigenen Compliance benötigen.
Ein praktisches Beispiel: Ein mittelständischer Hersteller, der ein GPAI-Modell in den Kundendienst integriert, muss sicherstellen, dass Kunden transparent darüber informiert werden, dass sie mit einer KI kommunizieren. Zusätzlich muss der Hersteller prüfen, ob die konkrete Anwendung als Hochrisiko-System einzustufen ist. Ein Chatbot für allgemeine Produktfragen fällt in der Regel unter begrenztes Risiko. Ein System, das automatisch über Garantieansprüche oder Vertragskonditionen entscheidet, könnte jedoch als Hochrisiko eingestuft werden.
Compliance Als Wettbewerbsvorteil Nutzen
Es wäre zu kurz gedacht, den EU AI Act nur als Bürde zu betrachten. Compliance erzeugt messbare Nebeneffekte. Unternehmen, die ein vollständiges KI-Inventar führen und Systeme sauber dokumentieren, gewinnen zwangsläufig einen besseren Überblick über ihre eigene Datenlage und Prozessqualität. Datenqualitätsanforderungen für Hochrisiko-KI führen häufig zu Verbesserungen, die auch unabhängig von regulatorischen Anforderungen sinnvoll gewesen wären.
Großkunden und öffentliche Auftraggeber fragen zunehmend aktiv nach AI-Act-Konformität, insbesondere wenn KI in gemeinsamen Prozessen oder beim Datenaustausch eine Rolle spielt. Ein dokumentiertes Compliance-Framework wird damit zu einem Argument im Vertrieb. Gleichzeitig signalisiert eine klare KI-Governance-Struktur Verlässlichkeit gegenüber Geschäftspartnern, Investoren und Mitarbeitenden.
ISO/IEC 42001, der internationale Standard für KI-Management-Systeme, bietet eine strukturierte Grundlage, die eng mit den Anforderungen des EU AI Acts kompatibel ist. Unternehmen, die bereits nach ISO 27001 oder anderen ISO-Standards zertifiziert sind, können diesen Rahmen oft effizient erweitern, statt bei null zu beginnen. Das spart Zeit und Budget. Für das Budget empfiehlt sich eine Orientierungsgröße von ein bis zwei Prozent des KI-Gesamtbudgets für Compliance-Maßnahmen, als grobe Daumenregel für die interne Planung.
Fazit
Der EU AI Act ist kein zukünftiges Risiko, sondern geltendes Recht mit konkreten Fristen. Wer verbotene Systeme noch betreibt, handelt bereits seit Februar 2025 rechtswidrig. Wer Hochrisiko-KI ohne Compliance-Rahmen betreibt, läuft auf eine harte Deadline im August 2026 zu. Der Einstieg ist klar: KI-Inventar erstellen, Risikoklassen zuweisen, Governance aufbauen. Das ist keine Frage von Größe oder Budget, sondern von Priorität. Vereinbaren Sie ein kostenloses Erstgespräch mit uns, wenn Sie eine strukturierte Bestandsaufnahme Ihrer KI-Systeme und einen klaren Compliance-Fahrplan benötigen.
Sven Kasek ist KI-Berater mit Sitz in Berlin und unterstützt KMUs sowie mittelständische Unternehmen dabei, KI-Systeme strukturiert einzuführen und regulatorische Anforderungen wie den EU AI Act pragmatisch umzusetzen.
Bereit für den nächsten Schritt?
Vereinbaren Sie ein kostenloses Erstgespräch. Wir analysieren Ihre Prozesse und zeigen Ihnen konkrete Optimierungspotenziale.
Erstgespräch vereinbaren