Was Unternehmen zum weltweit ersten KI-Gesetz wissen müssen
Der EU AI Act reguliert den Einsatz von Künstlicher Intelligenz. Das Gesetz ist der weltweit erste umfassende Rechtsrahmen dieser Art, es trat am 1. August 2024 in Kraft.
Der EU AI Act will die Innovation von KI-Systemen fördern und zugleich dafür sorgen, dass beim Einsatz von KI-Technologien Grundrechte, Sicherheit und demokratische Werte geschützt sind. Dabei gehen die Urheber der Verordnung von einem risikobasierten Ansatz aus: KI-Systeme werden nach dem Grad ihrer potenziellen Risiken für Einzelpersonen und für die Gesellschaft klassifiziert und reguliert.
Für das Europäische Parlament war oberste Priorität, „ dass die in der EU verwendeten KI-Systeme sicher, transparent, rückverfolgbar, diskriminierungsfrei und umweltfreundlich sind. KI-Systeme sollten von Menschen überwacht werden, anstatt durch Automatisierung, um schädliche Ergebnisse zu verhindern.“
Seit dem Launch der generativen KI ChatGPT im November 2022 ist die Technologie einem breiten Publikum zugänglich und hat einen beispiellosen Siegeszug angetreten: Die Nutzerzahlen steigen in Rekordgeschwindigkeit und auch die KI-Anwendungen selbst entwickelten sich enorm schnell weiter. KI ist längst im Alltag vieler Menschen angekommen und wird in Unternehmen mittlerweile in zahlreichen sensiblen Bereichen eingesetzt.
Laut einer Umfrage des ifo Instituts vom Juni 2025 verwenden 40,9 Prozent der Unternehmen in Deutschland KI in ihren Geschäftsprozessen, weitere 18,9 Prozent planen ihren KI-Start. Zugleich herrscht in Deutschland eine große Aufgeschlossenheit gegenüber KI-Technologien: Einer Erhebung des Branchenverbands Bitkom aus dem Jahr 2024 zufolge, halten 73 Prozent der Unternehmen und 63 Prozent der Bevölkerung Künstliche Intelligenz für die wichtigste Zukunftstechnologie.
In der EU wurde schon vor 2022 an einer einheitlichen KI-Strategie gearbeitet, 2018 veröffentlichte die EU-Kommission eine koordinierte „ Strategie für künstliche Intelligenz“, gefolgt von einem Whitepaper im Februar 2020, die den Grundstein für eine gezielte KI-Regulierung legten. Über die Ausgestaltung des EU AI Act wurde intensiv debattiert, heute ist er ein zentrales Element der europäischen Digitalstrategie: Er soll einen einheitlichen Rechtsrahmen für alle Mitgliedstaaten schaffen und Europa als globalen Vorreiter für vertrauenswürdige und menschenzentrierte KI positionieren.
Die wichtigsten Punkte des EU AI Act
Der EU AI Act klassifiziert KI-Systeme nach ihren Risiken und teilt sie in vier Kategorien ein:
KI mit unannehmbarem Risiko
Diese Systeme gelten als unannehmbar und sind verboten, weil sie mit europäischen Werten unvereinbar sind. Dazu zählen unter anderem
- soziale Bewertungssysteme (Social Scoring)
- biometrische Massenerkennung, zum Beispiel nach Ethnie, Religion oder sexueller Orientierung
- manipulative Systeme mit unterschwelligen Techniken
- biometrischen Echtzeit-Fernidentifizierungssysteme, wie etwa Echtzeit-Gesichtserkennung im öffentlichen Raum (nur mit wenigen, explizit geregelten Ausnahmen erlaubt)
- Emotionserkennung am Arbeitsplatz oder in Schulen
Hochrisiko-KI
Diese Systeme bergen erhebliche Risiken für Grundrechte, Gesundheit oder Sicherheit, darunter fallen zum Beispiel
- KI in der Personalrekrutierung oder Kreditvergabe
- KI in der medizinischen Diagnostik oder in kritischen Infrastrukturen.
Für die Hochrisiko-KI gelten strenge Anforderungen hinsichtlich
- der Risikobewertung und technischen Dokumentation
- der Transparenz über Funktionsweise und Entscheidungen
- dem Schutz personenbezogener Daten
- der Aufsicht durch natürliche Personen.
KI mit begrenztem Risiko
Hierunter fallen KI-Systeme, bei denen Transparenzpflichten bestehen. Werden beispielsweise Chatbots eingesetzt, muss erkennbar sein, dass keine echte Person antwortet; bei KI-generierten Inhalten herrscht eine Kennzeichnungspflicht. Diese gelten verbindlich ab August 2025 für alle GPAI-Anbieter, und zwar nicht nur für Text- und Bild-, sondern auch für Audio-Content.
KI mit minimalem Risiko
In diese Kategorie fallen KI-Anwendungen wie Spamfilter, Übersetzungshilfen oder intelligente Textvervollständigung. Sie unterliegen keinen besonderen Auflagen, können aber freiwillig mit Gütesiegeln oder Selbstverpflichtungen arbeiten.
Wen betrifft der EU AI Act?
Der EU AI Act richtet sich an Unternehmen, Behörden und Organisationen, die KI einsetzen oder entwickeln. Er betrifft alle Akteure entlang der gesamten KI-Wertschöpfungskette. Unternehmen, die in irgendeiner Weise KI-Systeme entwickeln, vertreiben, einführen, bereitstellen, nutzen oder Drittanbieter-KI integrieren, müssen prüfen, ob sie unter die Regulierung fallen. Dabei ist nicht entscheidend, wo das Unternehmen seinen Sitz hat, sondern ob das KI-System auf dem EU-Markt verfügbar gemacht oder in der EU verwendet wird. Der EU AI Act betrifft also auch international tätige Unternehmen mit Bezug zur EU.
Im Kern richtet sich der EU AI Act an folgende Akteure:
Anbieter und Hersteller von KI-Systemen
Unternehmen, die KI-Anwendungen entwickeln und auf den Markt bringen, egal ob intern genutzt oder extern vertrieben.
Inverkehrbringer und Händler
Unternehmen, die KI-Systeme vertreiben oder weiterverkaufen, auch wenn sie von Dritten entwickelt wurden.
Nutzer von Hochrisiko-KI
Unternehmen, die ein fertiges Hochrisiko-KI-System zur Entscheidungsunterstützung oder Automatisierung einsetzen – zum Beispiel zur Bewertung von Bewerbungen, für Bonitätsprüfungen oder für die Diagnostik – müssen Pflichten beachten. Dazu zählen unter anderem die Schulung von Mitarbeitenden, die Dokumentation oder die Überwachung der Nutzung.
Importeure
Wer KI-Systeme aus Drittstaaten in die EU einführt, ist dafür verantwortlich, dass diese rechtskonform sind.
Zulieferer in der KI-Entwicklung
Auch Teilanbieter, etwa für Trainingsdaten, Modellarchitekturen oder APIs, unterliegen bestimmten Pflichten.
Fristen
Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die Regelungen gelten gestaffelt:
2. Februar 2025
- gilt das Verbot von KI-Systemen mit unannehmbarem Risiko sowie die Pflicht zur KI-Kompetenzsicherung.
2. August 2025
- gelten Transparenz-, Kennzeichnungs- und Dokumentationspflichten für neue General Purpose AI (GPAI)-Modelle.
2. August 2026
gelten allgemeine verpflichtende Vorgaben für Hochrisiko-KI-Systeme.
2. August 2027
- gelten spezielle zusätzliche Anforderungen für (Hochrisiko-) Systemkomponenten, die als Teil von bestehenden Produkten wie etwa Medizinprodukten oder Maschinen eingesetzt werden.
Bis 2. August 2027 läuft die Übergangsfrist für bereits vor dem 2. August 2025 betriebene GPAI-Modelle; sie müssen dann ebenfalls konform sein.
Update:
Die Europäische Kommission hat mit dem Digital Omnibus eine Verschiebung der strengeren Anforderungen des EU AI Acts vorgeschlagen. Besonders betroffen sind die Pflichten für Hochrisiko-KI-Systeme, deren Umsetzung auf Dezember 2027 verschoben werden soll. Zudem sollen einige Compliance-Anforderungen – insbesondere für kleinere Unternehmen – reduziert werden. Damit die vorgeschlagenen Änderungen in Kraft treten können, müssen sie sowohl von den EU-Mitgliedstaaten als auch vom Europäischen Parlament verabschiedet werden.
Sanktionen
Die Strafen für Verstöße gegen den EU AI Act fallen je nach Schwere des Verstoßes unterschiedlich aus und können ziemlich teuer werden:
- Beim Einsatz verbotener KI-Systeme droht eine Geldstrafe in Höhe von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Bei Verstößen gegen Vorschriften zur Anwendung von Hochrisiko-KI ist eine Strafe von bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes fällig.
- Falschangaben gegenüber Behörden werden mit bis zu 7,5 Millionen Euro Geldstrafe oder 1,5 Prozent des Jahresumsatzes geahndet.
Welche Behörden sind zuständig?
Zuständig für Überwachung und Durchsetzung des EU AI Act sind nationale Aufsichtsbehörden. In Deutschland könnten das je nach Anwendung zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesbeauftragte für den Datenschutz (BfDI) oder Landesdatenschutzbehörden sein. Es wird aber auch diskutiert, ob eine neue zentrale KI-Aufsichtsbehörde diese Aufgaben übernehmen sollte.
Konkretes steht – Stand: Juli 2025 – noch nicht fest. Auf EU-Ebene soll ein neues „AI Office“ entstehen, das insbesondere den Einsatz von General Purpose AI wie ChatGPT, Gemini oder Claude kontrolliert.
Was Unternehmen tun müssen
Je nach Rolle und Risikoklasse müssen Unternehmen unterschiedliche Pflichten einhalten. Gerade Unternehmen aus den Bereichen HR-Tech, Medizintechnik, Banken und Versicherungen, kritische Infrastruktur oder öffentliche Verwaltung müssen analysieren, ob regulatorischer Handlungsbedarf besteht.
Dafür empfehlen sich folgende Schritte:
- KI-Inventar erstellen:
Welche KI setzt das Unternehmen intern oder extern ein? - Kategorisierung nach Risiko:
Zu welcher Risikokategorie zählen die eingesetzten KI-Anwendungen? - Technische Dokumentation & Konformitätsbewertung:
Liegen die für die Nutzung von Hochrisiko-KI erforderlichen umfangreichen technischen Unterlagen, Risikobewertungen und eventuell auch Audits vor? - Mitarbeitende schulen:
Sind die Nutzerinnen und Nutzer von Hochrisiko-KI über die Funktionsweise, Risiken und Kontrollpflichten geschult? Achtung: Die Pflicht zur KI-Kompetenzsicherung gilt bereits seit Februar 2025! - Transparenz sicherstellen:
Sind die Menschen, die mit KI wie etwa Chatbots oder KI-generierten Inhalten interagieren, darüber informiert, dass es sich um KI-Anwendungen handelt? - Meldesysteme einrichten:
Ist dafür gesorgt, dass das Unternehmen bei schwerwiegenden Vorfällen („serious incidents“) während der Nutzung einer Hochrisiko-KI seiner Meldepflicht an die zuständige Behörde nachkommen kann?
Die Umsetzung in deutsches Recht
Der EU AI Act ist eine EU-Verordnung: Er gilt also grundsätzlich unmittelbar in allen EU-Mitgliedstaaten, sobald er in Kraft tritt. Im Gegensatz zu EU-Richtlinien ist keine umfassende nationale Umsetzung durch eigene Gesetze nötig. Dennoch ergeben sich wichtige Schnittstellen zum deutschen Recht, und in einigen Bereichen wird es voraussichtlich ergänzende nationale Regelungen geben.
Zum jetzigen Zeitpunkt (Stand: August 2025) liegt noch kein deutsches Umsetzungsgesetz zum EU AI Act vor. Experten erwarten, dass unter anderem nationale Datenschutzbestimmungen, das Arbeitsrecht und das Produktsicherheitsrecht mit den Anforderungen des EU AI Act verzahnt werden.
Tipp
Auch wenn der EU AI Act direkt gilt, sollten Unternehmen mit Deutschlandbezug die nationalen Entwicklungen aufmerksam verfolgen. Gerade im Bereich der behördlichen Zuständigkeiten, Kontrollverfahren, arbeitsrechtlichen Fragen und Datenschutzpraxis wird es mit hoher Wahrscheinlichkeit zusätzliche Regelungen oder Auslegungshilfen auf deutscher Ebene geben.
Unternehmen sollten also nicht nur die europäische Perspektive im Blick haben, sondern auch das nationale Recht, insbesondere wenn sie KI-Systeme im HR-, Gesundheits- oder Finanzbereich einsetzen.
Dieser Artikel ist Teil unseres Leitfadens Compliance-Vorschriften in Deutschland: Ihr umfassender Leitfaden. Lesen Sie den vollständigen Leitfaden, um Ihre regulatorischen Pflichten einzuordnen und ein belastbares, vertrauenswürdiges Compliance-Programm aufzubauen.
Compliance-Vorschriften in Deutschland: Ihr umfassender Leitfaden
Das regulatorische Umfeld in Deutschland gehört zu den komplexesten in Europa. Für Unternehmen mit Aktivitäten in oder Verbindungen zum deutschen Markt ist ein fundiertes Verständnis der geltenden …
