Zum Inhalt springen
createIF labs · ai-engineering
DE EN

// journal / sicherheit-datenschutz-strategie / eu-ai-act-erklaert

EU AI Act einfach erklärt: Was das KI-Gesetz für Ihr Unternehmen bedeutet

Der EU AI Act ist 2026 in der praktischen Phase angekommen. Was das Gesetz tatsächlich verlangt, welche Risikokategorien es gibt, welche Pflichten sich für Anwender und Anbieter ergeben — und wie man sich konkret vorbereitet.

Von createIF Labs
Veröffentlicht am
  • EU AI Act
  • Regulierung
  • Compliance
  • EU
  • KI Gesetz
Visualisierung der EU-AI-Act-Risikokategorien mit Europaflagge und Compliance-Symbolen
Übersicht der vier Risikokategorien des EU AI Act: unzulässige Praktiken (verboten), Hochrisiko-Systeme (umfangreiche Pflichten), Systeme mit Transparenzpflichten (z. B. Chatbots), minimales Risiko (kaum Auflagen). Mit zugeordneten Compliance-Anforderungen je Kategorie.

Der EU AI Act ist seit 2024 in Kraft und entfaltet 2026 die ersten harten Wirkungen. Dieser Beitrag erklärt das Gesetz in einer Sprache, die ohne Jura-Studium auskommt, sortiert die vier Risikoklassen und zeigt, welche konkreten Pflichten sich für Unternehmen ergeben, die KI nicht entwickeln, sondern nur einsetzen.

1. Was der EU AI Act regelt

Der EU AI Act (Verordnung 2024/1689) ist das erste umfassende KI-Gesetz weltweit. Er regelt das Inverkehrbringen und den Einsatz von KI-Systemen in der EU — unabhängig davon, wo der Anbieter sitzt. Wer KI in der EU anbietet oder einsetzt, fällt unter das Gesetz.

Wichtig: der AI Act ergänzt die DSGVO, ersetzt sie nicht. Die DSGVO regelt Daten, der AI Act regelt das System. Beide Regelwerke sind komplementär — siehe unseren Beitrag KI und Datenschutz.

2. Die vier Risikoklassen

Das Herzstück des AI Act ist ein Risikoklassen-Modell:

  1. Unzulässige Praktiken — verboten.
  2. Hochrisiko-Systeme — strenge Pflichten.
  3. Systeme mit Transparenzpflichten — moderate Pflichten.
  4. Minimales Risiko — kaum Auflagen.

Für die meisten Mittelstandsanwendungen — Chatbots, Wissensretrieval, Dokumentenautomatisierung — gelten die Transparenzpflichten und ein paar überschaubare Dokumentationsanforderungen. Wer ein Hochrisiko-System einsetzt (z. B. in Personalauswahl, Kreditvergabe, kritischer Infrastruktur), hat einen längeren Hausaufgabenzettel.

3. Unzulässige Praktiken

Diese sind seit Februar 2025 grundsätzlich verboten:

  • Social Scoring durch Behörden
  • Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen)
  • Manipulative KI, die Verletzlichkeiten ausnutzt
  • Predictive Policing rein auf Profilbasis
  • Unsachgemäße Emotionserkennung am Arbeitsplatz und in Schulen
  • Ungezielte Gesichtserkennungs-Datenbanken aus dem Internet/CCTV

Für deutsche Unternehmen meist nicht relevant — aber wichtig zu kennen.

4. Hochrisiko-Systeme

Hochrisiko-Systeme werden in Anhang III des AI Act aufgelistet. Beispiele aus Unternehmenssicht:

  • Personalauswahl und HR-Entscheidungen (Bewerbungsbewertung, Beförderung, Kündigung)
  • Kreditvergabe und Versicherungs-Scoring
  • Bildung (Prüfungsbewertung, Zugang zu Bildungseinrichtungen)
  • Kritische Infrastruktur (Strom, Wasser, Verkehr)
  • Strafverfolgung und Migration

Pflichten für Hochrisiko-Systeme umfassen u. a. ein Risikomanagement-System, Daten-Governance, technische Dokumentation, Logbücher, menschliche Aufsicht, Genauigkeits- und Robustheitsanforderungen, Konformitätsbewertung und CE-Kennzeichnung. Das ist substanziell — wer hier baut, sollte Compliance von Anfang an mitdenken.

5. Transparenzpflichten (Chatbots, GenAI)

Für die meisten KI-Anwendungen im Mittelstand gelten Transparenzpflichten:

  • KI-Kennzeichnung in der UI — Nutzer wissen, dass sie mit einer KI sprechen.
  • Hinweis auf generierte Inhalte — Deepfakes und KI-generierte Texte müssen kenntlich gemacht werden.
  • Information über automatisierte Entscheidungen — wenn ein KI-System Entscheidungen trifft, die Personen betreffen.

Praktische Umsetzung: Ein dezenter Hinweis im Chatbot („Ich bin eine KI”), eine Klausel in der Datenschutzerklärung, und ein Erklärungspfad zu wesentlichen automatisierten Entscheidungen reichen meist aus. Mehr im Beitrag KI-Chatbot für die eigene Website.

6. Minimales Risiko

Spam-Filter, Empfehlungssysteme im Online-Shop, KI-Bildbearbeitung. Hier verlangt der AI Act im Wesentlichen Best Practices — Verhaltenskodizes, freiwillige Maßnahmen. Keine harten Pflichten.

7. Anwender vs. Anbieter — wer ist Sie?

Der AI Act unterscheidet Anbieter (entwickelt und vermarktet das System) und Anwender (Betreiber, setzt das System im eigenen Unternehmen ein). Die Pflichten sind unterschiedlich:

  • Anbieter tragen die Hauptlast: Konformitätsbewertung, Risikomanagement, Dokumentation, Post-Market-Monitoring.
  • Anwender haben Auflagen wie menschliche Aufsicht, Beachtung der Anbieter-Anweisungen, Datenschutz-Schnittstelle.

Vorsicht beim Fine-Tuning: Wer ein Foundation Model wesentlich anpasst, kann zum Anbieter werden. Genau hinschauen.

8. Fristen und Bußgelder

Die Hauptfristen:

  • 02/2025: Verbote für unzulässige Praktiken.
  • 08/2025: Pflichten für GPAI-Modelle (Foundation Models).
  • 08/2026: Hauptregeln für Hochrisiko-Systeme (in voller Wirkung).
  • 08/2027: Einige übergangsrechtliche Regeln laufen aus.

Bußgelder bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes — vergleichbar mit den schärferen DSGVO-Strafen.

9. Wie Sie sich konkret vorbereiten

Pragmatische Schritte für 2026:

  1. KI-Register anlegen — was haben wir wo im Einsatz, mit welchen Daten?
  2. Klassifizieren — fällt jedes System in welche Risikoklasse?
  3. Transparenzhinweise in alle Frontends einbauen.
  4. Dokumentation zumindest skizzieren — Zweck, Daten, Risiken, menschliche Aufsicht.
  5. Audit-Logs etablieren — wer hat wann was mit dem System gemacht?
  6. Verantwortliche Person benennen.

Wer diese sechs Schritte sauber durchgeht, ist 2026 gut aufgestellt. Verbunden mit dem Datenschutz-Setup (siehe KI und Datenschutz) und einer ordentlichen sicheren KI-Integration entsteht eine solide Compliance-Basis.

// FAQ

Häufige Fragen.

  1. / 01Gilt der EU AI Act auch für mein deutsches Mittelstandsunternehmen?

    Ja, sobald Sie ein KI-System einsetzen oder anbieten, das in der EU verwendet wird. Größenunabhängig. Die Pflichten skalieren aber mit der Risikoklasse — die meisten Mittelstandsanwendungen fallen in 'Transparenz' oder 'minimales Risiko' und haben überschaubare Auflagen.

  2. / 02Was sind die wichtigsten Pflichten für mein KI-System?

    Mindestens: KI-Kennzeichnung in der UI, Dokumentation des Systems (Zweck, Daten, Risiken), klare Information über automatisierte Entscheidungen, menschliche Aufsicht bei Hochrisiko-Anwendungen. Bei Hochrisiko zusätzlich: Konformitätsbewertung, Risikomanagement-System, Logging, CE-Kennzeichnung.

  3. / 03Was passiert bei Verstößen gegen den EU AI Act?

    Die Bußgelder reichen je nach Verstoß bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes — vergleichbar mit den schärferen DSGVO-Strafen. Wichtiger als das Bußgeld ist allerdings das Reputationsrisiko und die Pflicht, das System gegebenenfalls vom Markt zu nehmen.

  4. / 04Ab wann gelten welche Pflichten?

    Verbote für unzulässige Praktiken: bereits seit Anfang 2025. Allgemeine Pflichten für Hochrisiko-Systeme: 2026 in voller Wirkung. Spezifische Pflichten für GPAI-Modelle (Foundation Models): gestaffelt. Wer 2026 plant, sollte vom vollen Pflichtenkatalog ausgehen.

  5. / 05Bin ich Anbieter oder Anwender im Sinne des AI Act?

    Wenn Sie ein KI-System entwickeln oder maßgeblich anpassen: Anbieter. Wenn Sie ein fertiges System eines Anbieters einsetzen: Anwender. Die Pflichten unterscheiden sich erheblich. Vorsicht: wer ein Modell wesentlich fine-tunt, kann zum Anbieter werden.

  6. / 06Brauche ich ein KI-Register oder eine zentrale Dokumentation?

    Für Hochrisiko-Systeme ja: technische Dokumentation, Konformitätserklärung, Logbücher. Für andere Systeme ist es Best Practice, ein internes KI-Register zu führen — was haben wir wo im Einsatz, mit welchen Daten, mit welchem Risiko? Hilft auch der DSGVO-Rechenschaftspflicht.

// Weiterlesen

Weiterlesen