Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. In Kraft seit 1. August 2024. Die KI-Kompetenzpflicht greift seit 2. Februar 2025. Die volle Anwendung kommt am 2. August 2026. Bußgelder höher als bei der DSGVO — bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.
Eine DIHK-Digitalisierungsumfrage 2025 zeigt: Nur ein kleiner Teil der deutschen Mittelständler hat angefangen, das Thema systematisch zu bearbeiten. Der Act gilt außerdem für jedes US-Unternehmen, dessen KI-Tools EU-Nutzer berühren — entscheidend ist der Standort des Nutzers, nicht der des Anbieters.
Wenn sich die DSGVO 2018 wie eine Überraschung anfühlte: Diese hier sollte das nicht. Die Fristen stehen seit 2024 im Kalender. Dieser Artikel erklärt, was kommt — in der Sprache von Geschäftsführung und IT-Leitung, nicht von Juristen.
Was der EU AI Act tatsächlich ändert
Der EU AI Act (Verordnung (EU) 2024/1689) ist eine EU-Verordnung — direkt anwendbar in allen Mitgliedstaaten, ohne nationale Umsetzung. Er reguliert nicht Daten (das macht die DSGVO). Er reguliert KI-Systeme selbst: Entwicklung, Vertrieb, Einsatz.
Grundprinzip: Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Pflichten. Umgesetzt wird das in vier Risikoklassen. Die Kommission schätzt: 5–15 % der kommerziell genutzten KI-Systeme in der EU fallen in die Hochrisiko-Klasse — Tausende Anwendungen allein in Deutschland, plus jedes US-Tool, das von EU-Mitarbeitern oder -Kunden genutzt wird.
Die vier Risikoklassen
Stufe 1: Inakzeptables Risiko — verboten
Seit Februar 2025 EU-weit verboten:
- Behördliches Social Scoring (China-Modell)
- Biometrische Echtzeit-Überwachung im öffentlichen Raum (enge Ausnahmen für Strafverfolgung)
- Verhaltensmanipulation durch unterschwellige Techniken
- Ausnutzung von Schwächen bestimmter Personengruppen (Alter, Behinderung)
Relevanz für den Mittelstand: Gering. Normale Unternehmen setzen das nicht ein.
Stufe 2: Hohes Risiko — streng reguliert
Hochrisiko-Systeme dürfen eingesetzt werden, müssen aber liefern: Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, menschliche Aufsicht.
Beispiele:
- KI in der Personalauswahl (CV-Screening, Bewerber-Ranking)
- KI in Kreditvergabe und Bonitätsprüfung
- KI in medizinischen Geräten
- KI in Strafverfolgung und Migration
- Biometrische Identifizierung
Relevanz für den Mittelstand: Mittel bis hoch. KI für Bewerbermanagement, Kreditentscheidungen oder Qualitätskontrolle? Sie sind hier.
Stufe 3: Begrenztes Risiko — Transparenzpflichten
Begrenztes Risiko ist erlaubt, mit einer Regel: Nutzer müssen wissen, dass sie mit KI sprechen.
- Chatbots — als KI gekennzeichnet
- KI-generierte Inhalte (Text, Bild, Audio, Video) — als KI-erzeugt erkennbar
- Deepfakes — eindeutig markiert
Relevanz für den Mittelstand: Hoch. Chatbot auf der Website? KI-geschriebene Marketingtexte? KI in der internen Kommunikation? Sie sind betroffen.
Stufe 4: Minimales Risiko — keine Einschränkungen
Hier liegen die meisten KI-Anwendungen: Spamfilter, Suchranking, Empfehlungssysteme. Keine besonderen Pflichten.
Wer betroffen ist: Anbieter, Betreiber, Importeur
| Rolle | Beschreibung | Typische Pflichten |
|---|---|---|
| Anbieter (Provider) | Entwickelt oder bringt ein KI-System auf den Markt | Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation |
| Betreiber (Deployer) | Setzt ein KI-System im Unternehmen ein | Risikoüberwachung, Schulung, Transparenz, menschliche Aufsicht |
| Importeur / Händler | Führt ein KI-System aus einem Drittland ein | Konformität des Anbieters sicherstellen |
Für die meisten Unternehmen gilt: Sie sind Deployer. Sie entwickeln keine KI, Sie nutzen sie — Copilot, ChatGPT, eigenen Chatbot, KI-basierte Analytics. Deployer-Pflichten gelten für Sie, unabhängig davon, was der Anbieter tut.
Die Pflichten, die zuerst greifen
KI-Kompetenz ist bereits scharf (Art. 4)
Die Schulungspflicht nach Art. 4 gilt seit 2. Februar 2025 — für jedes Unternehmen, das KI einsetzt, unabhängig von der Risikoklasse. Wer mit KI-Systemen arbeitet oder über deren Einsatz entscheidet, muss „ausreichende KI-Kompetenz” haben.
Was „ausreichend” heißt, definiert die Verordnung nicht in Zahlen. Klar ist:
- Führungskräfte müssen die Grundlagen verstehen (Risikoklassen, Pflichten, Haftung)
- Anwender müssen wissen, wie das konkrete Tool funktioniert und wo es bricht
- IT-Verantwortliche müssen das System technisch bewerten können
Wer Art. 4 schiebt, weil der Rest erst 2026 voll greift: Das ist heute schon ein Verstoß.
Betreiberpflichten für Hochrisiko-KI (Art. 26)
Wenn Sie Hochrisiko-KI einsetzen:
- Betrieb nur gemäß Anbieter-Anweisung
- Menschliche Aufsicht sicherstellen — substanziell, nicht nominell
- Eingabedaten überwachen (Qualität, Bias)
- Vorfälle melden (schwere Störungen, Grundrechtsverletzungen)
- DSFA durchführen, sobald personenbezogene Daten dabei sind
Transparenzpflichten (Art. 50)
- Chatbots als KI gekennzeichnet
- KI-generierte Inhalte (Text, Bild, Audio, Video) erkennbar
- Deepfakes eindeutig markiert
Dokumentation — für alle
Jedes Unternehmen braucht ein KI-Inventar: jedes eingesetzte System, mit Risikoklasse, Anbieter, Einsatzzweck, benanntem Verantwortlichen. Ergibt sich implizit aus Überwachungs- und Schulungspflichten.
Der Großteil der KI-Nutzung ist unkontrolliert — Schatten-KI ist der Elefant im Raum. Sie können nichts dokumentieren, von dem die IT nichts weiß. Auch deshalb schlagen kontrollierte On-Premise-Plattformen pauschale Verbote.
Zeitplan: Was schon verpasst ist, was kommt
Zum Mitnehmen: Die KI-Kompetenzpflicht ist heute schon einklagbar. Wer noch keine Mitarbeiter geschult hat, ist nicht etwa „auf dem Weg zur Non-Compliance” — er ist es bereits.
Ist Ihre KI-Nutzung EU AI Act-ready? contboxx Vault: On-Premise, vollständig dokumentierbar, DSGVO-konform. Keine Abhängigkeit von US-Anbietern.
Bußgelder: drei Stufen, alle schmerzhaft
| Verstoß | Bußgeld |
|---|---|
| Einsatz verbotener KI-Systeme | Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes |
| Verstoß gegen Pflichten für Hochrisiko-KI | Bis zu 15 Mio. EUR oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | Bis zu 7,5 Mio. EUR oder 1,5 % des Jahresumsatzes |
Für KMU und Start-ups gelten reduzierte Bußgelder — der jeweils niedrigere Betrag (absolut vs. Umsatzanteil) gilt. Selbst reduziert: die Zahlen sind ein Vielfaches der Kosten einer kontrollierten KI-Lösung.
Zuständig in Deutschland: die Bundesnetzagentur als zentrale nationale KI-Aufsichtsbehörde. Personalaufbau läuft, die Durchsetzung startet aber im selben Takt wie die Pflichten.
EU AI Act + DSGVO: was auf was stapelt
EU AI Act und DSGVO sind keine Alternativen. Sie gelten parallel.
| Thema | DSGVO | EU AI Act |
|---|---|---|
| Fokus | Personenbezogene Daten | KI-Systeme (unabhängig von Datenart) |
| Rechtsgrundlage | Art. 6 DSGVO | Risikoklassifizierung |
| Folgenabschätzung | Art. 35 (hohes Risiko für Betroffene) | Art. 26/27 (FRIA für Hochrisiko-KI) |
| Aufsicht | Datenschutzbehörden (BfDI, Länder) | Bundesnetzagentur + Datenschutzbehörden |
| Bußgelder | Bis 20 Mio. EUR / 4 % Umsatz | Bis 35 Mio. EUR / 7 % Umsatz |
| Schulung | Nicht explizit | Art. 4: Pflicht |
KI mit personenbezogenen Daten? Beide gelten. DSGVO-konforme KI ist notwendig, aber nicht hinreichend — der EU AI Act fordert zusätzliche Eigenschaften vom System selbst.
Checkliste: Was Sie jetzt tun müssen
Bereits jetzt Pflicht (seit Februar 2025):
Bis August 2026:
Strategisch:
Häufig gestellte Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Ja, unabhängig von der Größe. KMU und Start-ups bekommen Erleichterungen: reduzierte Bußgelder, bevorzugten Zugang zu regulatorischen Sandboxes, vereinfachte Konformitätsbewertung. Das befreit nicht von der Schulungspflicht nach Art. 4 — die gilt für jedes Unternehmen, das KI einsetzt.
Was ist der Unterschied zwischen EU AI Act und DSGVO?
Die DSGVO reguliert personenbezogene Daten. Der EU AI Act reguliert KI-Systeme selbst — unabhängig von der Datenart. Beide gelten parallel. Wer KI mit personenbezogenen Daten einsetzt, muss beide gleichzeitig erfüllen.
Muss ich meine Mitarbeiter zum EU AI Act schulen?
Ja. Die KI-Kompetenzpflicht nach Art. 4 gilt seit Februar 2025 für jedes Unternehmen, das KI einsetzt. Umfang und Tiefe richten sich nach Rolle und Risikoklasse des Systems. Keine Ausnahme für KMU.
Welche Behörde überwacht den EU AI Act in Deutschland?
Die Bundesnetzagentur ist als zentrale nationale KI-Aufsichtsbehörde benannt. Sie koordiniert mit den Datenschutzbehörden (BfDI und Länder) sowie sektorspezifischen Marktüberwachungsstellen. Personalaufbau läuft, Durchsetzung startet im Takt der Pflichten.
Betrifft der EU AI Act auch US-KI-Systeme?
Ja. Der Act gilt für jedes KI-System, das in der EU eingesetzt wird — egal wo der Anbieter sitzt. Sowohl der US-Anbieter als auch Sie als EU-Deployer haben Pflichten. Sie werden zwischen Ihnen aufgeteilt, nicht erlassen. Der Act folgt dem Nutzer, nicht dem Hersteller.
Fazit
Der EU AI Act ist kein Zukunftsszenario. Teile sind heute schon scharf. Die Art.-4-Schulungspflicht gilt seit Februar 2025. Die volle Anwendung kommt am 2. August 2026. Jedes Quartal Verzögerung verkürzt das Fenster.
Die gute Nachricht: Wer schon eine kontrollierte, dokumentierbare KI-Infrastruktur hat, erfüllt den Großteil der Pflichten quasi nebenbei. On-Premise-KI-Plattformen wie contboxx Vault sind leichter zu auditieren, zu dokumentieren und zu kontrollieren als ein Flickenteppich aus Cloud-Tools. Der Act belohnt Ordnung. Er bestraft Wildwuchs.
Schatten-KI im Unternehmen — warum unkontrollierte KI das größte Risiko ist → | Wissensmanagement mit KI →