Der EU AI Act ist in Kraft.
Ist Ihr Unternehmen vorbereitet?

Seit August 2024 gilt die weltweit erste umfassende KI-Regulierung. Die ersten Verbote sind bereits wirksam, Hochrisiko-Anforderungen greifen ab 2026. Unternehmen, die jetzt handeln, sichern sich Compliance-Sicherheit — und einen Wettbewerbsvorteil gegenüber denen, die zu spät reagieren.

Zeitplan

EU AI Act: Die wichtigsten Fristen im Überblick

Die Verordnung tritt stufenweise in Kraft. Nicht alle Anforderungen gelten sofort — aber die Vorbereitung muss jetzt beginnen.

BEREITS IN KRAFT Feb. 2025 Verbote für inakzeptable Risiken (Art. 5) Aug. 2025 GPAI-Anforderungen gelten (General Purpose AI) JETZT VORBEREITEN Aug. 2026 Hochrisiko-KI-Anforderungen (Annex I & III) HR, Kredit, Infrastruktur Aug. 2027 Eingebettete KI-Systeme Produktintegration

Quelle: EU AI Act (Verordnung (EU) 2024/1689) — eur-lex.europa.eu

Risikoklassifizierung

Die EU AI Act Risikopyramide

Welche Anforderungen gelten für Ihre KI-Systeme? Die Klassifizierung bestimmt den Umfang Ihrer Compliance-Pflichten.

Verbotene KI-Praktiken Social Scoring · Verhaltensmanipulation Hochrisiko-KI Kredit · HR-Entscheidungen · kritische Infrastruktur · Bildung · Strafverfolgung ANNEX I & III — Strengste Anforderungen Begrenzte Risiko-KI Chatbots · Deepfakes · Emotionserkennung Transparenzpflicht (Art. 50) Minimales Risiko Spamfilter · KI-Spiele · Empfehlungssysteme Keine spezifischen Pflichten VERBOTEN HOCHRISIKO BEGRENZT MINIMAL

Quelle: EU AI Act (Verordnung (EU) 2024/1689) — eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689

Pflichten

Was bedeutet das für Ihr Unternehmen?

Je nach Risikokategorie der eingesetzten KI-Systeme entstehen unterschiedliche rechtliche Pflichten. Hier die drei zentralen Anforderungsbereiche für den Mittelstand.

visibility

Transparenzpflichten

Art. 50 EU AI Act

Nutzer müssen informiert werden, wenn sie mit einem KI-System interagieren. Gilt für Chatbots, KI-generierte Texte und Bilder sowie Systeme zur Emotionserkennung.

  • KI-Kennzeichnungspflicht
  • Deepfake-Offenlegung
  • Chatbot-Transparenz
description

Dokumentationspflichten

Hochrisiko-KI (Annex I & III)

Für Hochrisiko-KI-Systeme gelten umfangreiche Dokumentations- und Governance-Anforderungen: technische Dokumentation, Risikobewertung, Qualitätsmanagementsystem und Konformitätserklärung.

  • Technische Dokumentation
  • Risikobewertungssystem
  • Konformitätsbewertung
school

Schulungspflichten

Art. 4 EU AI Act

Unternehmen müssen sicherstellen, dass Personen, die für den Betrieb und die Nutzung von KI-Systemen verantwortlich sind, über ausreichende KI-Kompetenz verfügen — dokumentierbar und nachweisbar.

  • KI-Literacy für alle Nutzer
  • Vertiefung für Verantwortliche
  • Nachweisdokumentation
Umsetzungsfahrplan

KI-Compliance in 4 Schritten

Kein Unternehmen muss von Null anfangen. Mit einem strukturierten Ansatz lässt sich KI-Compliance systematisch und ohne Panik aufbauen.

01

Bestandsaufnahme: Welche KI-Systeme nutzen wir?

Viele Unternehmen wissen nicht vollständig, welche KI-Systeme in welchen Abteilungen eingesetzt werden. Der erste Schritt ist ein vollständiges KI-Inventar: von eingebetteter KI in bestehender Software über selbst entwickelte Algorithmen bis hin zu genutzten KI-APIs und Drittanbieter-Tools. Nur was bekannt ist, kann bewertet werden.

02

Risikoklassifizierung: In welche EU AI Act Kategorie fallen sie?

Auf Basis des KI-Inventars wird jedes System anhand der EU AI Act Kategorien bewertet: Verboten, Hochrisiko, Begrenzt oder Minimal. Diese Klassifizierung bestimmt den gesamten Compliance-Aufwand. Besondere Aufmerksamkeit gilt KI-Systemen im HR-Bereich (Bewerbungsauswahl, Leistungsbewertung) und im Kreditwesen — diese fallen häufig unter Hochrisiko.

03

Maßnahmenplan: Was müssen wir konkret tun?

Aus der Klassifizierung entsteht ein prioriserter Maßnahmenplan mit klaren Verantwortlichkeiten und Fristen: Welche Systeme brauchen technische Dokumentation? Wo müssen Transparenzhinweise eingeführt werden? Welche Prozesse müssen geändert oder eingestellt werden? Der Plan priorisiert nach Risiko und Aufwand — nicht jede Maßnahme ist gleich dringend.

04

Schulung & Dokumentation: Teams vorbereiten und nachweispflichtig handeln

Art. 4 EU AI Act verlangt nachweisbare KI-Kompetenz. Das bedeutet strukturierte Schulungen für alle Mitarbeiter, die KI-Systeme einsetzen oder verantworten — und eine saubere Dokumentation, die im Prüfungsfall vorgelegt werden kann. Wir entwickeln rollenspezifische Schulungsformate, die Compliance sicherstellen und gleichzeitig praktischen Nutzen bieten.

Mehr zu unseren KI-Schulungen →
Nächster Schritt

KI-Compliance-Readiness in 30 Minuten klären.

Wir analysieren mit Ihnen, welche KI-Systeme in Ihrem Unternehmen betroffen sind, welche Fristen für Sie relevant sind und was die konkreten nächsten Schritte sind — ohne Fachjargon, mit klarem Handlungsplan.

Kostenlos · 30 Minuten · Ohne Verpflichtung

FAQ

Häufig gestellte Fragen zu KI-Compliance & EU AI Act

Wann gilt der EU AI Act für mein Unternehmen? add

Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, in Verkehr bringen oder einsetzen — unabhängig vom Unternehmenssitz. Als mittelständisches Unternehmen in Deutschland sind Sie betroffen, sobald Sie KI-Systeme nutzen, die unter die Kategorien Hochrisiko oder Begrenzt fallen. Die Verbote für inakzeptable Risiken gelten seit Februar 2025. Die Anforderungen für Hochrisiko-KI greifen ab August 2026. Die Vorbereitung sollte jetzt beginnen.

Was ist der Unterschied zwischen Hochrisiko-KI und verbotener KI? add

Verbotene KI-Praktiken (Art. 5) sind absolut untersagt und müssen sofort eingestellt werden — dazu zählen Social-Scoring-Systeme, unbewusstes Verhaltensbeeinflussung, biometrische Kategorisierung nach sensiblen Merkmalen in öffentlichen Räumen und bestimmte Formen der Emotionserkennung. Hochrisiko-KI (Annex I & III) ist erlaubt, unterliegt aber strengen Anforderungen an Dokumentation, Governance, Datenschutz und menschliche Aufsicht. Typische Hochrisiko-Anwendungen im Mittelstand: KI-gestützte Personalentscheidungen und Kredit-Scoring.

Müssen wir unsere KI-Systeme beim EU-Amt registrieren? add

Eine Registrierungspflicht gilt nur für bestimmte Hochrisiko-KI-Systeme über die EU-Datenbank (EUDAMED-ähnliches KI-Register). Für die meisten mittelständischen Unternehmen, die KI-Systeme als Anwender einsetzen (nicht selbst entwickeln), entfällt die direkte Registrierungspflicht — die Pflichten liegen primär bei Entwicklern und Anbietern. Als Anwender ("Deployer") haben Sie jedoch eigene Pflichten in Bezug auf Dokumentation, Datenschutz-Folgenabschätzung und Schulung.

Was droht bei Verstößen gegen den EU AI Act? add

Der EU AI Act sieht ein dreistufiges Bußgeldsystem vor: bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken; bis zu 15 Mio. Euro oder 3% bei anderen Verstößen; bis zu 7,5 Mio. Euro oder 1,5% bei falschen Angaben gegenüber Behörden. Für KMU gelten abgestufte Regelungen. Hinzu kommen Reputationsschäden und mögliche zivilrechtliche Haftungsansprüche betroffener Personen.

Brauchen wir einen KI-Beauftragten (Chief AI Officer)? add

Der EU AI Act schreibt keine verpflichtende CAIO-Rolle vor. Allerdings erfordert die Verordnung klare interne Verantwortlichkeiten für KI-Governance — wer Systeme überwacht, wer Dokumentation verantwortet, wer bei Vorfällen reagiert. Für mittelständische Unternehmen empfehlen wir keine neue Stelle, sondern die Erweiterung bestehender Rollen: Der Datenschutzbeauftragte, ein IT-Verantwortlicher oder ein Compliance-Manager kann KI-Governance mit übernehmen — mit gezielter Schulung und klaren Prozessen.

Dürfen wir ChatGPT und Microsoft Copilot im Unternehmen legal nutzen? add
Grundsätzlich ja — aber mit wichtigen Einschränkungen. Entscheidend ist: Welche Daten werden an den Dienst übermittelt? Personenbezogene Daten (Kundendaten, Mitarbeiterdaten) dürfen nur genutzt werden, wenn ein gültiger Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter besteht und die Daten in EU-konformer Infrastruktur verarbeitet werden. Microsoft 365 Copilot erfüllt diese Anforderungen mit den richtigen Einstellungen. Bei OpenAI's ChatGPT ist mehr Vorsicht geboten — die Enterprise-Version bietet deutlich bessere Datenschutzgarantien als die kostenlose Version.
Was muss in einer KI-Nutzungsrichtlinie stehen? add
Eine unternehmensweite KI-Nutzungsrichtlinie sollte mindestens regeln: welche KI-Tools erlaubt sind (und welche nicht), welche Daten nicht in KI-Systeme eingegeben werden dürfen, wie mit KI-generierten Inhalten umzugehen ist (Kennzeichnung, Qualitätsprüfung), wer für KI-Entscheidungen verantwortlich ist und wie Verstöße behandelt werden. Außerdem: Hinweise auf geltende Gesetze (EU AI Act, DSGVO) und Verweise auf Schulungsangebote. Die Richtlinie sollte kurz, verständlich und regelmäßig aktualisiert werden.
Gilt der EU AI Act auch für KI-Tools, die wir eingekauft haben? add
Ja — als sogenannte "Deployer" (Nutzer von KI-Systemen) haben Unternehmen eigene Pflichten nach dem EU AI Act, auch wenn sie die KI selbst nicht entwickelt haben. Bei Hochrisiko-KI-Systemen müssen Deployer unter anderem: menschliche Aufsicht sicherstellen, Mitarbeiter schulen, Risikomanagementsysteme betreiben und eine Grundrechte-Folgenabschätzung durchführen. Entscheidend ist, welcher Risikoklasse das eingesetzte System zugeordnet wird.
Bis wann müssen Unternehmen den EU AI Act umgesetzt haben? add
Der EU AI Act gilt seit August 2024 und wird stufenweise angewendet: Ab Februar 2025 gelten die Verbote für inakzeptable Risiken (z. B. Social Scoring). Ab August 2025 greifen die Regeln für GPAI-Modelle (wie GPT-4). Ab August 2026 gelten alle Anforderungen für Hochrisiko-KI-Systeme vollständig. Unternehmen sollten jetzt mit der Klassifizierung ihrer KI-Systeme und dem Aufbau einer KI-Governance beginnen — die Fristen laufen.
Was ist ein KI-Compliance-Audit und wer führt das durch? add
Ein KI-Compliance-Audit überprüft systematisch, ob die eingesetzten KI-Systeme den geltenden gesetzlichen Anforderungen (EU AI Act, DSGVO, branchenspezifische Regulierung) entsprechen. Es umfasst: Inventarisierung aller KI-Anwendungen, Risikobewertung nach den Kategorien des EU AI Acts, Überprüfung der Dokumentation und Governance sowie Identifikation von Handlungsbedarf. Audits werden von spezialisierten Beratern, IT-Anwälten oder internen Compliance-Teams durchgeführt — idealerweise mit technischem und rechtlichem Know-how.