8. März 2026 · 9 Minuten Lesezeit

EU AI Act: Was Unternehmen jetzt wissen müssen

Seit Februar 2026 gilt der EU AI Act – das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Für Unternehmen bedeutet das: Neue Pflichten, Dokumentationsanforderungen und potenzielle Strafen. Was müssen Sie jetzt konkret tun?

Was ist der EU AI Act?

Der EU AI Act (offiziell: AI Regulation) ist eine Verordnung der Europäischen Union, die den Einsatz von KI-Systemen reguliert. Das Ziel: Verbraucherschutz und ethische Standards sicherstellen, ohne Innovation zu behindern.

Das Gesetz gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen – unabhängig vom Sitz des Unternehmens.

Die vier Risikoklassen

Der AI Act kategorisiert KI-Systeme in vier Risikostufen:

1. Unannehmbares Risiko (VERBOTEN)

Diese KI-Systeme dürfen nicht eingesetzt werden:

Social Scoring durch Regierungen
Manipulation vulnerabler Gruppen (Kinder, Menschen mit Behinderungen)
Biometrische Echtzeitüberwachung im öffentlichen Raum (mit Ausnahmen)
Subliminal Manipulation (unbewusste Beeinflussung)

Für die meisten Unternehmen nicht relevant, da diese Anwendungen ohnehin nicht eingesetzt werden.

2. Hohes Risiko (STRENGE ANFORDERUNGEN)

Diese Systeme unterliegen strengen Auflagen:

Kritische Infrastruktur: Energie, Verkehr, Wasserversorgung
Bildung: Bewertung von Prüfungen, Zulassungsentscheidungen
Beschäftigung: Bewerbermanagement, Leistungsbewertung
Justiz: Rechtsprechungsunterstützung
Strafverfolgung: Risikobewertung bei Verdächtigen
Migration: Visum-/Asylanträge bewerten
Biometrie: Gesichtserkennung, Emotionserkennung

Pflichten für Hochrisiko-KI:

Risikomanagementsystem implementieren
Umfassende technische Dokumentation
Transparente Datennutzung (Trainings- und Testdaten dokumentieren)
Menschliche Aufsicht (Human-in-the-Loop)
Hohe Genauigkeit, Robustheit und Cybersecurity
Konformitätsbewertung durch Dritte (CE-Kennzeichnung)

3. Begrenztes Risiko (TRANSPARENZPFLICHT)

Systeme mit Transparenzpflicht:

Chatbots: Nutzer muss wissen, dass er mit einer KI spricht
Deepfakes: Gekennzeichnet werden müssen (manipulierte Inhalte)
Emotionserkennung: Nutzer muss informiert werden
Biometrische Kategorisierung: Offenlegungspflicht

Praktische Umsetzung: Klare Hinweise in der Nutzeroberfläche ("Diese Antwort wurde von einer KI generiert").

4. Minimales Risiko (KEINE PFLICHTEN)

Die meisten KI-Systeme fallen hier rein:

Spam-Filter
Videoempfehlungen
Einfache Automatisierungen
KI-gestützte Textverarbeitung

Keine speziellen Anforderungen. Normale Datenschutzgesetze (DSGVO) gelten weiterhin.

Was müssen Unternehmen JETZT tun?

Schritt 1: Inventur aller KI-Systeme

Erstellen Sie eine Liste aller KI-Anwendungen, die Sie einsetzen oder entwickeln:

Welche Tools nutzen Sie? (ChatGPT, Copilot, interne Systeme)
Wofür werden sie eingesetzt? (Kundenservice, Analyse, Automatisierung)
Wer ist verantwortlich? (IT, Marketing, HR)

Schritt 2: Risikoklassifizierung

Ordnen Sie jedes System einer Risikoklasse zu:

Chatbot für Kundenservice: Begrenztes Risiko (Transparenzpflicht)
Dokumentenanalyse: Minimales Risiko
Bewerbermanagementsystem: Hohes Risiko!

Schritt 3: Dokumentation erstellen

Für Hochrisiko-Systeme müssen Sie dokumentieren:

Wie funktioniert das System? (Algorithmus, Modell)
Mit welchen Daten wurde es trainiert?
Wie wird die Genauigkeit getestet?
Welche Sicherheitsmaßnahmen gibt es?
Wer überwacht das System?

Schritt 4: Transparenz sicherstellen

Wenn Sie KI-Chatbots oder Empfehlungssysteme einsetzen:

Fügen Sie einen klaren Hinweis hinzu: "Diese Antworten werden von einer KI generiert."
Bieten Sie eine Möglichkeit, mit einem Menschen zu sprechen
Dokumentieren Sie, wie die KI trainiert wurde

Schritt 5: Datenschutz prüfen

Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht:

Welche personenbezogenen Daten nutzt die KI?
Haben Sie eine Rechtsgrundlage (Vertrag, Einwilligung)?
Können Betroffene ihre Rechte ausüben (Auskunft, Löschung)?

Häufige Fragen

Betrifft mich der AI Act, wenn ich nur ChatGPT nutze?

Ja, aber minimal. Wenn Sie ChatGPT im Kundenkontakt einsetzen, müssen Sie Transparenz schaffen (Hinweis, dass eine KI antwortet). Ansonsten gibt es keine speziellen Pflichten – solange Sie keine Hochrisiko-Anwendung damit bauen.

Was passiert bei Verstößen?

Strafen sind empfindlich:

Verbotene KI-Systeme: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes
Verstoß gegen Hochrisiko-Anforderungen: Bis zu 15 Millionen Euro oder 3% des Umsatzes
Falsche Informationen: Bis zu 7,5 Millionen Euro oder 1,5% des Umsatzes

Muss ich alle meine KI-Systeme registrieren?

Nur Hochrisiko-Systeme müssen in einer EU-Datenbank registriert werden. Für die meisten Unternehmen (minimales/begrenztes Risiko) ist das nicht nötig.

Gilt das auch für Open-Source-Modelle?

Jein. Entwickler von Open-Source-Modellen haben weniger Pflichten. Aber: Wenn Sie ein Open-Source-Modell für eine Hochrisiko-Anwendung einsetzen, sind Sie verantwortlich für die Compliance.

Brauchen Sie Unterstützung bei AI Compliance?

Wir helfen Ihnen, Ihre KI-Systeme zu klassifizieren und compliant aufzusetzen.

Gespräch starten →

Oder per E-Mail

Praktische Beispiele

Beispiel 1: E-Commerce-Unternehmen

Eingesetzte KI:

Produktempfehlungen → Minimales Risiko
Chatbot für Kundenservice → Begrenztes Risiko (Transparenzpflicht)
Fraud Detection (Betrugserkennung) → Minimales Risiko

To-Do: Chatbot kennzeichnen ("Diese Antwort kommt von einer KI"), ansonsten keine besonderen Pflichten.

Beispiel 2: HR-Software-Anbieter

Eingesetzte KI:

CV-Screening (automatische Bewerberbewertung) → HOHES RISIKO!

To-Do:

Risikomanagementsystem aufbauen
Umfassende Dokumentation (wie funktioniert der Algorithmus?)
Bias-Tests (diskriminiert das System?)
Menschliche Aufsicht sicherstellen
Konformitätsbewertung durch Dritte
CE-Kennzeichnung

Beispiel 3: Fintech-Startup

Eingesetzte KI:

Kreditwürdigkeit bewerten → HOHES RISIKO!

To-Do: Wie Beispiel 2. Besonders wichtig: Bias-Tests (darf nicht diskriminieren nach Geschlecht, Ethnie, etc.).

Übergangsfristen

Der AI Act ist seit Februar 2026 in Kraft, aber es gibt Übergangsfristen:

Verbotene Systeme: Sofort verboten (Februar 2026)
Hochrisiko-Systeme: 24 Monate Übergangsfrist (bis Februar 2028)
Transparenzpflichten: 12 Monate (bis Februar 2027)

Aber: Je früher Sie starten, desto besser. Compliance nachträglich aufzubauen ist teuer und aufwendig.

Fazit: Keine Panik, aber Handeln

Der EU AI Act ist kein Innovationskiller. Für 90% der Unternehmen bedeutet er wenig bis keine zusätzlichen Pflichten – solange sie keine Hochrisiko-Systeme einsetzen.

Die wichtigsten Schritte:

Inventur: Welche KI nutzen wir?
Klassifizieren: Welche Risikoklasse?
Transparenz: Chatbots kennzeichnen
Dokumentation: Bei Hochrisiko-Systemen

Wer jetzt handelt, vermeidet Strafen und gewinnt Vertrauen bei Kunden. Gespr�ch starten ?

← Zurück zur Blog-Übersicht