EU AI Act 2026: Was das KI-Gesetz für Unternehmen bedeutet
Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Seit August 2024 in Kraft, greifen die Regeln schrittweise bis 2027. Dieser Guide erklärt die vier Risikoklassen, welche Pflichten auf Unternehmen zukommen und welche Fristen bereits laufen.
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar und ersetzt keine individuelle Prüfung durch einen Datenschutzexperten oder Rechtsanwalt.
Das Wichtigste in Kürze
- →Weltweit erstes KI-Gesetz – die Verordnung (EU) 2024/1689 gilt seit August 2024 direkt in allen 27 EU-Staaten.
- →Vier Risikoklassen – von verbotener KI bis minimalem Risiko. Je höher die Klasse, desto strenger die Pflichten.
- →Eigene Regeln für generative KI – ChatGPT, Claude und Gemini fallen als GPAI unter Sondervorschriften seit August 2025.
- →Anbieter und Betreiber haben unterschiedliche Pflichten – KMU sind meist Betreiber mit geringeren Anforderungen.
- →Bußgelder bis 35 Millionen Euro – oder sieben Prozent des weltweiten Jahresumsatzes. Für KMU gelten niedrigere Beträge.
- →Stufenweise Einführung bis 2027 – die KI-Kompetenzpflicht gilt bereits seit Februar 2025 für alle Anbieter und Betreiber.
Was ist der EU AI Act?
Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Die EU-Kommission hat den Entwurf im April 2021 vorgelegt, Parlament und Rat haben sich im Dezember 2023 auf die finale Fassung geeinigt. Seit dem 1. August 2024 ist die Verordnung in Kraft.
Anders als eine EU-Richtlinie gilt die Verordnung direkt in allen 27 Mitgliedstaaten. Deutsche Unternehmen müssen sie umsetzen, ohne auf ein nationales Umsetzungsgesetz zu warten. Und das Marktortprinzip greift: Auch Unternehmen außerhalb der EU fallen unter die Verordnung, sobald ihre KI-Systeme auf dem europäischen Markt eingesetzt werden. Ein US-Tool wie ChatGPT, das in Deutschland genutzt wird, unterliegt dem EU AI Act.
Der EU AI Act unterscheidet zwei zentrale Rollen. Der Anbieter (Provider) entwickelt oder veröffentlicht ein KI-System und bringt es in den Verkehr. Der Betreiber (Deployer) setzt ein KI-System im eigenen Geschäftsbetrieb ein. Ein Softwareunternehmen, das ein KI-Bewerbungstool baut, ist Anbieter. Eine Personalberatung, die dieses Tool einsetzt, ist Betreiber.
Beispiel: Deutsches Unternehmen nutzt US-KI-Tool
Eine Berliner Personalberatung nutzt ein US-amerikanisches KI-Tool, um Bewerbungen automatisch vorzusortieren. Die Beratung gilt als Betreiber im Sinne des EU AI Act. Die Verordnung sieht für diesen Fall unter anderem vor, dass das Tool bestimmungsgemäß eingesetzt wird, menschliche Aufsicht gewährleistet ist und Bewerber über den KI-Einsatz informiert werden. Die Verantwortung teilt sich: Der Betreiber verantwortet den Einsatz, der Anbieter das System selbst.
Für die Aufsicht in Deutschland hat das Bundeskabinett im Februar 2026 die Bundesnetzagentur (BNetzA) als zentrale KI-Aufsichtsbehörde vorgesehen. Das Durchführungsgesetz (KI-MIG) durchläuft derzeit das parlamentarische Verfahren in Bundestag und Bundesrat. Nach Verabschiedung wird die BNetzA die Einhaltung der Verordnung überwachen und bei Verstößen Bußgelder verhängen können.
Die vier Risikoklassen des EU AI Act im Überblick
Der EU AI Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Auflagen. Die Verordnung definiert vier Stufen.
Unannehmbares Risiko – verbotene KI-Systeme
Bestimmte KI-Praktiken sind seit dem 2. Februar 2025 vollständig verboten, weil sie fundamentale Grundrechte verletzen. Dazu zählen:
- →Social Scoring: Bewertungssysteme, die Menschen auf Basis ihres Sozialverhaltens klassifizieren und benachteiligen.
- →Manipulative Techniken: KI-Systeme, die unterschwellige Techniken nutzen, um das Verhalten von Personen ohne deren Wissen zu beeinflussen.
- →Emotionserkennung am Arbeitsplatz und in Schulen: KI-Systeme, die Emotionen von Beschäftigten oder Lernenden ableiten, sofern dies nicht aus medizinischen oder sicherheitsrelevanten Gründen erfolgt. Das Verbot knüpft an konkrete Konstellationen und den Schutz von Grundrechten an, nicht an die Technologie selbst.
- →Biometrische Echtzeit-Fernidentifikation: Gesichtserkennung in öffentlichen Räumen in Echtzeit, mit eng begrenzten Ausnahmen für Strafverfolgung.
Wer ein verbotenes System trotzdem einsetzt, riskiert die höchste Bußgeldstufe: bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Mehr dazu im Abschnitt Strafen.
Hohes Risiko – strenge Pflichten
Hochrisiko-KI-Systeme sind in Anhang III der Verordnung aufgelistet. Sie greifen in sensible Lebensbereiche ein und erfordern deshalb umfangreiche Sicherheitsmaßnahmen. Die vollständigen Pflichten gelten ab dem 2. August 2026. Typische Bereiche:
- →Biometrie: Systeme zur Identifikation und Kategorisierung von Personen.
- →Kritische Infrastruktur: KI in Verkehr, Energieversorgung und Wasseraufbereitung.
- →Bildung: KI-Systeme, die über Zugang zu Bildungseinrichtungen oder Prüfungsergebnisse entscheiden.
- →Beschäftigung: KI für Bewerbungsscreening, Leistungsbewertung und Beförderungsentscheidungen.
- →Strafverfolgung: Risikoeinschätzung von Verdächtigen, Lügendetektoren.
Für Hochrisiko-Systeme gelten strenge Pflichten: ein dokumentiertes Risikomanagementsystem, Anforderungen an Datenqualität, technische Dokumentation, automatische Protokollierung (Logging), menschliche Aufsicht und eine CE-Kennzeichnung vor Inverkehrbringen. Die Details unterscheiden sich je nachdem, ob ein Unternehmen Anbieter oder Betreiber ist. Dazu mehr im Abschnitt Pflichten.
Begrenztes Risiko – Transparenzpflichten
KI-Systeme mit begrenztem Risiko müssen vor allem eines: Transparenz herstellen. Nutzer müssen erkennen können, dass sie mit einer KI interagieren. Das betrifft konkret Chatbots, die sich als menschlich ausgeben könnten, und Deepfakes, also KI-generierte Bild-, Audio- oder Videoinhalte. Wer einen Chatbot auf seiner Website einsetzt, muss deutlich kennzeichnen, dass es sich um eine KI handelt. Wer KI-generierte Bilder oder Videos veröffentlicht, muss sie als solche markieren.
Minimales Risiko – keine besonderen Pflichten
Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie: Spamfilter, Rechtschreibprüfungen, Spielelogik, Empfehlungsalgorithmen in Online-Shops. Für sie sieht der EU AI Act keine besonderen Pflichten vor. Die EU schätzt, dass rund 85 Prozent aller KI-Systeme in diese Kategorie fallen.
| Risikoklasse | Beispiele | Pflichten | Gilt ab |
|---|---|---|---|
| Unannehmbar | Social Scoring, manipulative KI, Echtzeit-Biometrie | Vollständig verboten | 02.02.2025 |
| Hoch | KI in HR, Bildung, Kreditwürdigkeit, Strafverfolgung | Risikomanagement, Doku, Logging, CE-Kennzeichnung | 02.08.2026 |
| Begrenzt | Chatbots, Deepfakes, KI-generierte Inhalte | Transparenz- und Kennzeichnungspflicht | 02.08.2025 |
| Minimal | Spamfilter, Spielelogik, Empfehlungsalgorithmen | Keine besonderen Pflichten | Entfällt |
Sonderfall generative KI und GPAI
ChatGPT, Claude, Gemini und andere Large Language Models fallen unter eine eigene Kategorie: General Purpose AI (GPAI), also KI-Modelle für allgemeine Zwecke. Die EU hat erkannt, dass diese Modelle nicht in das klassische Risikoschema passen, weil sie für nahezu jeden Zweck eingesetzt werden können. Deshalb gelten seit dem 2. August 2025 eigene Vorschriften.
Alle GPAI-Anbieter müssen seitdem eine technische Dokumentation bereitstellen, die Urheberrechte bei Trainingsdaten offenlegen und eine Modellkarte veröffentlichen. Diese Pflichten treffen die Anbieter der Modelle selbst, also OpenAI, Anthropic und Google.
Für GPAI-Modelle mit systemischem Risiko gelten zusätzliche Anforderungen. Die Schwelle liegt bei einem Rechenaufwand von mehr als 1025 FLOP beim Training. Diese Anbieter müssen Red-Teaming-Tests durchführen, Cybersicherheitsmaßnahmen nachweisen und schwerwiegende Vorfälle an die zuständigen Behörden melden. Aktuell fallen die leistungsfähigsten Modelle von OpenAI und Google in diese Kategorie.
Beispiel: KMU nutzt OpenAI API für Kundenservice
Ein Online-Shop baut mit der OpenAI API einen Chatbot für Kundenanfragen. In diesem Fall gilt:
- →OpenAI als GPAI-Anbieter muss die Modell-Dokumentation, Modellkarte und Urheberrechtstransparenz liefern.
- →Der Online-Shop muss den Chatbot als KI kennzeichnen (Transparenzpflicht) und sicherstellen, dass er bestimmungsgemäß eingesetzt wird.
- →Baut der Shop das GPAI-Modell in ein Hochrisiko-System ein (z. B. automatisierte Kreditprüfung), übernimmt er zusätzliche Hochrisiko-Pflichten.
Die GPAI-Regeln betreffen KMU in der Praxis selten direkt, weil sie vor allem die großen Modellanbieter treffen. Relevant wird es erst, wenn ein Unternehmen ein GPAI-Modell in einen Hochrisiko-Anwendungsfall einbaut. Dann wächst das Unternehmen in die Rolle des Anbieters für dieses spezifische Hochrisiko-System hinein.
Pflichten für Unternehmen – Anbieter vs. Betreiber
Die meisten deutschen Unternehmen sind Betreiber, nicht Anbieter. Sie nutzen fertige KI-Produkte von Drittanbietern und entwickeln keine eigenen Systeme. Das ist eine wichtige Unterscheidung, weil die Pflichten sich erheblich unterscheiden.
Pflichten für Anbieter (Provider)
Anbieter tragen die Hauptverantwortung für die Konformität des KI-Systems. Die Verordnung nennt für Hochrisiko-Systeme unter anderem folgende Anforderungen:
- →Konformitätsbewertung: Vor Inverkehrbringen soll das System die Anforderungen nachweislich erfüllen.
- →CE-Kennzeichnung: Hochrisiko-Systeme benötigen laut Verordnung eine CE-Kennzeichnung als sichtbaren Konformitätsnachweis.
- →Risikomanagementsystem: Ein dokumentiertes System zur Identifikation, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus.
- →Post-Market Monitoring: Auch nach Markteinführung sieht die Verordnung vor, dass der Anbieter die Leistung überwacht und bei Problemen reagiert.
- →Technische Dokumentation: Vollständige Dokumentation des Systems einschließlich Trainingsdaten, Methodik und Leistungsgrenzen.
Pflichten für Betreiber (Deployer)
Betreiber haben weniger Anforderungen als Anbieter, tragen aber die Verantwortung für den korrekten Einsatz. Für Hochrisiko-Systeme sieht die Verordnung unter anderem vor:
- →Bestimmungsgemäßer Einsatz: Das System soll nur so verwendet werden, wie es der Anbieter vorgesehen hat.
- →Menschliche Aufsicht: Personen mit ausreichender KI-Kompetenz sollen den Betrieb überwachen.
- →Input-Datenqualität: Die Eingabedaten sollen für den vorgesehenen Zweck geeignet und repräsentativ sein.
- →DSFA bei Hochrisiko: Für Betreiber bestimmter Hochrisiko-Systeme kann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein. Diese Pflicht ergibt sich aus der DSGVO, nicht aus dem AI Act selbst, greift aber regelmäßig beim Einsatz von Hochrisiko-KI.
Achtung: Wesentliche Änderung macht zum Anbieter
Wer ein bestehendes KI-System wesentlich verändert, kann vom Betreiber zum Anbieter werden. Das passiert etwa, wenn ein Unternehmen ein KI-Modell mit eigenen Daten nachtrainiert oder den Anwendungszweck ändert. In diesem Fall gelten die vollen Anbieterpflichten.
Für Unternehmen ist die Grenze zwischen Betreiber und Anbieter entscheidend — auch für die eigene Rechtssicherheit. Wer ChatGPT über die API nutzt und einen Chatbot damit baut, bleibt in der Regel Betreiber. Wer das Modell aber fine-tuned und für einen Hochrisiko-Einsatz anpasst, kann zum Anbieter werden und benötigt dann unter Umständen eine eigene Konformitätserklärung. Im Zweifel lohnt sich hier eine juristische Prüfung.
Der Zeitplan – was gilt wann?
Der EU AI Act tritt nicht auf einen Schlag in Kraft, sondern stufenweise über drei Jahre. Das gibt Unternehmen Zeit zur Vorbereitung, bedeutet aber auch: Einige Pflichten gelten bereits jetzt.
| Datum | Was passiert | Betrifft |
|---|---|---|
| 01.08.2024 | Verordnung tritt in Kraft | Alle |
| 02.02.2025 | Verbote greifen + KI-Kompetenzpflicht (Art. 4) | Alle Anbieter und Betreiber |
| 02.08.2025 | GPAI-Pflichten gelten | GPAI-Anbieter (OpenAI, Anthropic, Google etc.) |
| 02.08.2026 | Hochrisiko-Regulierung greift vollständig | Anbieter und Betreiber von Hochrisiko-KI |
| 02.08.2027 | Vollständige Anwendung aller Vorschriften | Alle Akteure |
Besonders wichtig: Artikel 4 (KI-Kompetenz) — im englischen Originaltext als „AI Literacy" bezeichnet — gilt seit dem 2. Februar 2025 für alle Anbieter und Betreiber von KI-Systemen. Die Pflicht verlangt, dass Mitarbeiter und andere mit den Systemen befasste Personen über ausreichende KI-Kompetenz verfügen. Das betrifft nicht nur IT-Abteilungen, sondern jede Fachabteilung, die KI-Tools nutzt. Wer ChatGPT im Marketing einsetzt, muss sicherstellen, dass das Team weiß, wie das Tool funktioniert, wo seine Grenzen liegen und welche Risiken bestehen. Mehr dazu im Artikel zur KI-Schulungspflicht.
Die nächste große Frist ist der 2. August 2026. Ab dann gelten die vollständigen Hochrisiko-Anforderungen. Unternehmen, die KI in den Bereichen Personalwesen, Kreditvergabe oder Bildung einsetzen, sollten bis dahin ihre Systeme geprüft und die nötigen Dokumentationen erstellt haben.
EU AI Act und KMU – betrifft es auch kleinere Unternehmen?
Kurz: Ja. Die KI-Kompetenzpflicht nach Artikel 4 gilt für jeden Anbieter und Betreiber von KI-Systemen, unabhängig von der Unternehmensgröße. Aber der EU AI Act sieht ausdrücklich Erleichterungen für KMU vor: niedrigere Bußgelder (es gilt immer der niedrigere der beiden Beträge), vereinfachte Dokumentationspflichten und Zugang zu regulatorischen Sandboxes, in denen Unternehmen KI-Systeme unter Aufsicht testen können.
Was das in der Praxis bedeutet, zeigen drei typische Szenarien:
Szenario 1: Handwerksbetrieb nutzt ChatGPT für Angebote
Ein Malermeister nutzt ChatGPT, um Angebote und Kundenanschreiben zu formulieren. Das fällt unter minimales Risiko. Pflicht: KI-Kompetenz sicherstellen (Art. 4), also wissen, dass ChatGPT halluzinieren kann und keine vertraulichen Kundendaten eingeben. Keine Hochrisiko-Pflichten, keine CE-Kennzeichnung, keine DSFA nötig.
Szenario 2: Personalagentur mit KI-Bewerbungsscreening
Eine Personalagentur mit 25 Mitarbeitern setzt ein KI-Tool ein, das Bewerbungen automatisch vorsortiert und Kandidaten bewertet. Das fällt unter Hochrisiko-KI (Anhang III, Beschäftigung). Die Agentur gilt als Betreiber. Ab August 2026 sieht die Verordnung für diesen Fall unter anderem vor: menschliche Aufsicht, bestimmungsgemäßen Einsatz, eine mögliche DSFA und Information der betroffenen Bewerber. Der KI-Anbieter ist für die technische Dokumentation und CE-Kennzeichnung verantwortlich.
Szenario 3: Online-Shop mit KI-Chatbot
Ein Online-Shop nutzt einen KI-Chatbot für Kundenanfragen zu Bestellstatus und Rücksendungen. Das fällt unter begrenztes Risiko. Pflicht: Der Chatbot muss als KI gekennzeichnet sein. Die Kunden müssen wissen, dass sie nicht mit einem Menschen sprechen. Keine Hochrisiko-Pflichten, solange der Chatbot keine Entscheidungen über Kreditwürdigkeit oder Vertragsabschlüsse trifft.
Die entscheidende Frage für KMU ist nicht die Unternehmensgröße, sondern der Einsatzzweck. Ein Fünf-Personen-Startup, das KI für Kreditentscheidungen nutzt, hat strengere Pflichten als ein Konzern, der KI nur für Spamfilter einsetzt. Mehr zum Thema KI-Nutzung im Arbeitsumfeld gibt es im Artikel KI-Verbot am Arbeitsplatz.
Strafen und Bußgelder
Der EU AI Act sieht drei Bußgeldstufen vor, gestaffelt nach Schwere des Verstoßes. Bei KMU gilt jeweils der niedrigere der beiden Beträge (Festbetrag oder Umsatzanteil).
| Verstoß | Festbetrag | Umsatzanteil |
|---|---|---|
| Verbotene KI-Praktiken | 35 Mio. Euro | 7 % |
| Hochrisiko-Verstöße | 15 Mio. Euro | 3 % |
| Sonstige Verstöße | 7,5 Mio. Euro | 1 % |
Zum Vergleich: Die DSGVO sieht Bußgelder bis 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. Der EU AI Act übersteigt diesen Rahmen bei den schwersten Verstößen deutlich. Und beide Bußgelder können sich addieren, weil DSGVO und AI Act unabhängig voneinander gelten. Ein KI-System, das gleichzeitig gegen Datenschutzregeln und KI-Vorschriften verstößt, kann zwei Bußgelder auslösen.
Für KMU ist die Praxis weniger dramatisch als die Höchstbeträge vermuten lassen: Es gilt immer der niedrigere Betrag. Ein Unternehmen mit zwei Millionen Euro Jahresumsatz zahlt bei einem Hochrisiko-Verstoß maximal 60.000 Euro (drei Prozent), nicht 15 Millionen. Das ist trotzdem schmerzhaft, aber keine existenzbedrohende Summe wie bei Großkonzernen.
EU AI Act vs. DSGVO – was ist der Unterschied?
Beide Regelwerke werden häufig verwechselt, verfolgen aber unterschiedliche Ziele. Die DSGVO ist Datenschutzrecht und schützt personenbezogene Daten. Der EU AI Act ist Produktsicherheitsrecht und reguliert KI-Systeme als Technologie. Beide gelten gleichzeitig und ergänzen sich.
| Kriterium | DSGVO | EU AI Act |
|---|---|---|
| Regelungsgegenstand | Personenbezogene Daten | KI-Systeme |
| Rechtscharakter | Datenschutzrecht | Produktsicherheitsrecht |
| Risikoansatz | Risiko für betroffene Personen | Risiko des KI-Systems für Grundrechte |
| Höchststrafe | 20 Mio. Euro / 4 % | 35 Mio. Euro / 7 % |
| Aufsicht (Deutschland) | Landesdatenschutzbehörden | BNetzA (Gesetz im parl. Verfahren) |
| In Kraft seit | Mai 2018 | August 2024 |
In der Praxis überlappen sich die beiden Regelwerke häufig. Ein KI-System, das Bewerbungen sortiert, verarbeitet personenbezogene Daten (DSGVO) und ist gleichzeitig ein Hochrisiko-System (AI Act). Unternehmen müssen beide Anforderungen parallel erfüllen. Mehr zur DSGVO-Seite im Artikel KI & DSGVO: Der Überblick.
Ein Praxistipp: Wer bereits eine DSGVO-konforme Dokumentation hat, kann Teile davon für den AI Act wiederverwenden. Das Verarbeitungsverzeichnis, die Datenschutz-Folgenabschätzung und die technisch-organisatorischen Maßnahmen liefern eine solide Grundlage für die KI-spezifische Dokumentation. Das spart Zeit und stellt sicher, dass beide Regelwerke konsistent umgesetzt werden. Auch die ChatGPT-Datenschutzeinstellungen spielen dabei eine Rolle.
Fazit
Der EU AI Act verändert den rechtlichen Rahmen für KI-Nutzung in Europa grundlegend. Die gute Nachricht: Die meisten KI-Anwendungen in Unternehmen fallen unter minimales oder begrenztes Risiko und erfordern keine aufwändige Konformitätsprüfung. Die schlechte Nachricht: Die KI-Kompetenzpflicht und die Verbote gelten bereits jetzt. Wer das ignoriert, riskiert Bußgelder.
Drei Orientierungspunkte, die als Einstieg dienen können:
- 1.KI-Inventar erstellen: Welche KI-Systeme werden im Unternehmen eingesetzt? Auch Schatten-KI erfassen, die Mitarbeiter eigenständig nutzen.
- 2.Risikoklasse bestimmen: Jedes System einer der vier Risikoklassen zuordnen. Bei Hochrisiko: Dokumentationspflichten vorbereiten.
- 3.KI-Schulungen durchführen: Die Kompetenzpflicht nach Art. 4 gilt bereits. Schulungen dokumentieren und regelmäßig wiederholen. Mehr dazu im Artikel zur KI-Schulungspflicht.
Wer KI-Grundlagen vertiefen möchte, findet im Artikel zu Tokens, Prompts und Context Window eine verständliche Einführung in die technischen Konzepte. Und wer wissen will, wie KI-Agenten und Automationen funktionieren, findet dort praktische Einstiegspunkte.
Häufige Fragen
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Es reguliert die Entwicklung und den Einsatz von KI-Systemen in der Europäischen Union nach einem risikobasierten Ansatz. Die Verordnung ist seit dem 1. August 2024 in Kraft und gilt direkt in allen 27 EU-Mitgliedstaaten.
Welche KI-Systeme sind verboten?
Seit dem 2. Februar 2025 sind verboten: Social-Scoring-Systeme, KI mit manipulativen Techniken, bestimmte Formen der Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit eng begrenzten Ausnahmen für Strafverfolgung). Die genauen Verbotstatbestände knüpfen an konkrete Konstellationen und den Schutz von Grundrechten an.
Was ist Hochrisiko-KI?
Hochrisiko-KI-Systeme sind in Anhang III des EU AI Act aufgelistet. Dazu gehören KI in den Bereichen Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Kreditwürdigkeit und Strafverfolgung. Für diese Systeme gelten ab August 2026 strenge Pflichten wie Risikomanagement, technische Dokumentation, Logging und CE-Kennzeichnung.
Wie hoch sind die Strafen bei Verstößen gegen den EU AI Act?
Die Bußgelder sind dreistufig: Bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder drei Prozent für Hochrisiko-Verstöße und bis zu 7,5 Millionen Euro oder ein Prozent für sonstige Verstöße. Für KMU gilt jeweils der niedrigere der beiden Beträge.
Was ist GPAI und wie betrifft es mein Unternehmen?
GPAI (General Purpose AI) umfasst KI-Modelle wie ChatGPT, Claude und Gemini, die für viele verschiedene Zwecke einsetzbar sind. Die GPAI-Pflichten (Dokumentation, Modellkarte, Urheberrechtstransparenz) treffen seit August 2025 vor allem die Anbieter dieser Modelle. Für Unternehmen, die GPAI nur nutzen, entstehen keine direkten GPAI-Pflichten, es sei denn sie bauen das Modell in ein Hochrisiko-System ein.
Müssen auch kleine Unternehmen den EU AI Act beachten?
Ja. Die KI-Kompetenzpflicht nach Artikel 4 gilt seit Februar 2025 für alle Anbieter und Betreiber von KI-Systemen, unabhängig von der Unternehmensgröße. Bei den weiteren Pflichten kommt es auf den Einsatzzweck an, nicht auf die Unternehmensgröße. KMU profitieren von Erleichterungen wie niedrigeren Bußgeldern, vereinfachter Dokumentation und Zugang zu regulatorischen Sandboxes.
Was ist der Unterschied zwischen EU AI Act und DSGVO?
Die DSGVO ist Datenschutzrecht und schützt personenbezogene Daten. Der EU AI Act ist Produktsicherheitsrecht und reguliert KI-Systeme als Technologie. Beide gelten gleichzeitig und ergänzen sich. Ein KI-System, das personenbezogene Daten verarbeitet, muss sowohl die DSGVO als auch den EU AI Act einhalten.
Welche Fristen muss ich beachten?
Die wichtigsten Fristen: Seit Februar 2025 gelten die Verbote und die KI-Kompetenzpflicht. Seit August 2025 gelten GPAI-Pflichten. Ab August 2026 greift die vollständige Hochrisiko-Regulierung. Ab August 2027 gelten alle Vorschriften der Verordnung ohne Ausnahme.
Quellen
- →Verordnung (EU) 2024/1689 – Volltext des EU AI Act im Amtsblatt der EU
- →EU-Kommission: Regulatory Framework on AI – offizielle Übersichtsseite der EU-Kommission
- →AI Act Explorer – durchsuchbare Version des Gesetzestextes mit Erläuterungen
- →Gesetz zur Durchführung der KI-Verordnung (KI-MIG) – Kabinettsentwurf des Bundesministeriums für Digitales und Staatsmodernisierung
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar und ersetzt keine individuelle Prüfung durch einen Datenschutzexperten oder Rechtsanwalt. Die konkrete Umsetzung sollte im Einzelfall juristisch begleitet werden. Trotz sorgfältiger Recherche kann keine Gewähr für Vollständigkeit und Aktualität übernommen werden.
Über den Autor
Testet und erklärt KI-Tools, damit du sie sofort einsetzen kannst. Begeistert sich für Web Development und KI-Automatisierungen.
Mehr über das Team →
