EU AI Act

Datenschutz, Recht & Compliance

EU AI Act — das EU-Gesetz zur KI-Regulierung, abgestuft nach Risiko. Tritt ab 2026 in Stufen in Kraft und betrifft jedes Unternehmen, das KI-Systeme entwickelt oder einsetzt.

Was der EU AI Act ist und wen er betrifft

Der Artificial Intelligence Act (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Verabschiedet im Mai 2024, in Kraft seit August 2024 — mit gestaffelten Anwendungsfristen bis 2027. Er gilt für Anbieter und Anwender von KI-Systemen, die in der EU genutzt werden.

Im Gegensatz zur DSGVO, die personenbezogene Daten regelt, klassifiziert der AI Act Anwendungsfälle von KI nach Risiko. Es gibt vier Stufen plus Sonderregeln für „General-Purpose AI" (GPT, Claude, Gemini).

Die vier Risiko-Stufen

1. Unzulässiges Risiko — verboten

KI-Anwendungen, die fundamentale Rechte gefährden, sind in der EU komplett verboten. Beispiele:

• Social Scoring durch Behörden (China-Modell)
• Manipulative Techniken zur Verhaltensbeeinflussung
• Biometrische Echtzeit-Identifikation im öffentlichen Raum (mit engen Ausnahmen)
• Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen

2. Hochrisiko — strenge Auflagen

Hier wird es für viele Unternehmen relevant. Hochrisiko sind unter anderem:

• KI in Bewerber-Auswahl und Personalmanagement (Lebenslauf-Screening, Bewertungssysteme)
• Kreditscoring und Kreditwürdigkeitsprüfung
• Bildungs-Bewertungen
• Sicherheitskritische Anwendungen (Medizinprodukte, Verkehr)
• Strafverfolgung und Migrationsmanagement

Für diese Anwendungen sind Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht und Konformitätsbewertung Pflicht.

3. Begrenztes Risiko — Transparenzpflicht

Chatbots, Deepfakes und KI-generierte Inhalte müssen als solche kenntlich gemacht werden. Ein Chatbot muss dem Nutzer sagen, dass er mit einer KI spricht.

4. Minimales Risiko — frei

Spam-Filter, Empfehlungssysteme, Suchmaschinen-Funktionen. Die meisten alltäglichen KI-Anwendungen fallen hierunter und sind ohne besondere Auflagen einsetzbar.

Anwendungsfristen — wann was gilt

• Februar 2025: Verbote für unzulässiges Risiko (Art. 5) und KI-Kompetenz-Pflicht (Art. 4)
• August 2025: Regeln für General-Purpose AI (GPT-5, Claude, Llama-Anbieter)
• August 2026: Hauptanwendung — die meisten Hochrisiko-Regeln
• August 2027: Hochrisiko-Systeme in Produkten (Medizinprodukte, Spielzeug)

Was KMU jetzt tun müssen

1. KI-Inventar erstellen

Welche KI-Systeme sind im Haus im Einsatz? ChatGPT-Konten, Notion AI, Copilot, eigene Tools? Schreiben Sie eine Liste. Ohne Inventar keine Compliance.

2. Anwendungsfälle einstufen

Bewerber-Screening? Hochrisiko. Marketing-Texte schreiben? Minimal. Customer-Service-Chatbot? Begrenztes Risiko (Transparenzpflicht). Jeder Use Case bekommt eine Risiko-Klasse.

3. KI-Kompetenz aufbauen (Art. 4)

Schon seit Februar 2025 in Kraft: Anbieter und Betreiber müssen sicherstellen, dass ihre Mitarbeitenden „ausreichende KI-Kompetenz" haben. Konkret: Schulungen, Dokumentation, schriftliche Richtlinien — das ist nicht optional.

4. Dokumentation aufbauen

Für jeden produktiven KI-Use-Case: Zweck, Datengrundlage, eingesetzte Modelle, menschliche Aufsicht. Bei Hochrisiko zusätzlich Risikoanalyse und Konformitätsbewertung.

5. Hochrisiko vermeiden, wo möglich

Wenn Sie nicht müssen, gehen Sie nicht in die Hochrisiko-Kategorie. Bei Bewerber-Screening: KI nur als Vorbereiter, finale Entscheidung beim Menschen — und das schriftlich. Das reduziert die regulatorische Last erheblich.

Bußgelder

Die Strafen sind deutlich höher als bei der DSGVO:

• Verbotene Praktiken: bis 35 Mio. € oder 7 % des weltweiten Umsatzes
• Verstöße bei Hochrisiko: bis 15 Mio. € oder 3 %
• Falschangaben gegenüber Behörden: bis 7,5 Mio. € oder 1,5 %

Tools und Pflicht-Lektüre

• Offizieller Text: eur-lex.europa.eu
• EU-Kommission AI Act Hub: digital-strategy.ec.europa.eu
• KMU-Praxis: Unser Leitfaden KI im Unternehmen einführen

Verwandte Begriffe

DSGVO · KI-Richtlinie · Shadow IT · Souveränität