Was der EU AI Act für Ihr Unternehmen bedeutet – und warum Sie jetzt handeln sollten
Der EU AI Act wird vieles verändern – auch für kleine und mittelständische Unternehmen. Deshalb sollten Sie sich jetzt damit beschäftuigen. Was Sie wissen müssen, um Ihre Mitarbeiter fit für die Zukunft zu machen und um Bußgelder zu vermeiden, erfahren Sie hier.
Was steckt hinter dem EU AI Act – und warum betrifft er auch Sie?
Der EU AI Act ist das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz (KI). Die Ziele sind: Grundrechte schützen, Risiken minimieren – und Innovation ermöglichen.
Ab August 2024 tritt das Gesetz stufenweise in Kraft. Infolgedessen sind schon ab Februar 2025 erste Regelungen verpflichtend – auch für kleinere Unternehmen.
Die 4 Risikoklassen – und was das für Ihre KI bedeutet
Ob Chatbot oder Personalauswahl-Tool – jede KI wird einer von vier Risikoklassen zugeordnet:
Inakzeptables Risiko (Art. 5) – diese KI ist verboten
Was ist das?
- Social-Scoring-Systeme
- Manipulative KI, die auf bestimmte Personen oder Gruppen abzielt und dieser Person oder anderen erheblichen Schaden zufügen kann, und
- Bestimmte Anwendungen biometrischer Echtzeit-Identifikation im öffentlichen Raum für den Zweck der Strafverfolgung.
Beispiel: Eine Software, die Rückfallrisiken von Straftätern bewertet – basierend auf Hautfarbe, Wohnort oder Sprache.
🛑 Verbot ab Februar 2025. Keine Ausnahmen – außer mit richterlicher Genehmigung in der Strafverfolgung.
Hohes Risiko (Art.6, An. I / III) – Erlaubt – aber nur mit umfangreicher Nachweispflicht.
Was ist das? KI, die Entscheidungen mit großer Tragweite trifft – z. B. bei Jobbewerbungen, medizinischer Versorgung, Bildung oder Strafverfolgung.
Beispiel: Eine Software, die Bewerber:innen automatisch sortiert oder Patient:innen in der Notaufnahme priorisiert.
✔️ Erlaubt, aber nur, wenn unter anderem diese Vorgaben erfüllt sind (Art.8-21, Art.4, Art.26):
- Qualitätsmanagementsystem
- Technische Dokumentation
- CE-Kennzeichnung
- Registrierung in einer EU-Datenbank
Begrenztes Risiko (Art.50) – Transparenz ist Pflicht
Was ist das? Systeme, die mit Nutzern interagieren, ohne weitreichende Entscheidungen zu treffen.
Beispiel: Ein Chatbot auf Ihrer Website, der Kundenfragen beantwortet. Oder ein Tool zur automatischen Texterstellung.
Pflicht: Nutzer müssen wissen, dass sie mit einer KI sprechen. Auch Deepfakes müssen klar als künstlich erzeugt gekennzeichnet sein.
Geringes Risiko – freiwillige Standards empfohlen
Was ist das? KI-Systeme im Tagesgeschäft, ohne tiefen Einfluss auf Rechte oder Sicherheit.
Beispiel: Spamfilter, E-Mail-Sortierung, intelligente Assistenten oder Videospiel-KI.
🟢 Keine rechtliche Verpflichtung – aber: Mitarbeitende sollten trotzdem geschult werden, um verantwortungsvoll mit KI umzugehen.
Eine erste Einschätzung bringt Klarheit. Was macht Ihre KI? Wer nutzt sie? Wie werden Entscheidungen getroffen? Daraus ergibt sich die passende Risikoklasse.
Der Zeitplan – diese Fristen sollten Sie sich merken
- August 2024: Gesetz tritt offiziell in Kraft.
- Februar 2025: Verbot für KI-Systeme mit inakzeptablem Risiko. Artikel 4 (Kompetenzpflicht) wird verbindlich.
- August 2025: Strengere Auflagen für KI-Modelle wie ChatGPT. Nationale Aufsichtsbehörden werden aktiv.
- August 2026/2027: Alle Regelungen greifen. Auch Hochrisiko-KI fällt ab 2027 vollständig unter die Anforderungen.
„Anbieter“ vs. „Betreiber“ – kennen Sie Ihre Rolle?
Der Anbieter entwickelt das KI-System – z. B. ein Softwareunternehmen. Der Betreiber nutzt das System – z. B. Sie als Unternehmer, wenn Sie ein KI-Tool im Betrieb einsetzen. Wichtig: Beide Rollen haben klare Pflichten. Als Betreiber tragen Sie die Verantwortung für den sicheren Einsatz. Das gilt auch bei geringem Risiko.
Artikel 4: Ohne Kompetenz geht nichts mehr
Ab Februar 2025 ist klar: Wer KI nutzt, braucht das nötige Know-how. Egal, ob Entwickler, Nutzer oder Führungskraft, eine EU AI Act – Schulung wird Pflicht.
Artikel 4 schreibt vor: Jeder, der mit KI-Systemen arbeitet, muss verstehen, wie diese funktionieren, welche Auswirkungen sie haben, und wie Risiken erkannt werden.
Welche Pflichten gelten – je nach Rolle und Risiko
Verpflichtungen für Anbieter
Hohes Risiko
- Dokumentiertes Qualitätsmanagementsystem (Art. 17)
- Technische Dokumentation mit Zweck, Funktion und Entwicklung (Art. 18)
- Protokollierung relevanter Systemereignisse (Art. 19)
- Korrekturmaßnahmen und Meldepflicht bei Fehlfunktionen (Art. 20)
- Zusammenarbeit mit Behörden (Art. 21)
- CE-Kennzeichnung, Konformitätserklärung, EU-Datenbankeintrag (Art. 16)
Begrenztes Risiko
- Transparenzpflicht: Nutzer:innen müssen informiert werden (Art. 50(1))
- Offenlegung bei Deepfakes oder Emotionserkennung (Art. 50(2))
Verpflichtungen für Betreiber
Hohes Risiko (Art.26)
- Verwendung gemäß Anleitung
- Mitarbeitende müssen geschult sein
- Verantwortung für Eingabedaten
- Betrieb überwachen – bei Problemen handeln
- Logs aufbewahren (mind. 6 Monate)
- Arbeitnehmervertretung informieren
- Kooperation mit Behörden
Begrenztes Risiko (Art.50)
- Information über Einsatz von Emotionserkennung
- Offenlegung bei KI-generierten Inhalten (Deepfakes)
- Einhaltung der DSGVO
Das bedeutet: Investieren Sie jetzt in Schulung und Aufklärung, bevor die ersten Strafen kommen.
Fazit: Warum der EU AI Act keine Sache für „die Großen“ ist
Auch wenn Ihr Unternehmen klein ist – der EU AI Act betrifft Sie. Transparenzpflichten, Kompetenznachweise und klare Rollenverteilungen werden bald zur Realität.
Machen Sie den ersten Schritt:
✅ Prüfen Sie Ihre KI-Systeme
✅ Klären Sie Ihre Rolle (Anbieter oder Betreiber?)
✅ Planen Sie eine EU AI Act – Schulung für Ihr Team
Denn wer vorbereitet ist, muss keine Angst vor neuen Gesetzen haben – sondern kann sie als Wettbewerbsvorteil nutzen.
