Der EU AI Act: Das wichtigste KI-Gesetz der Welt
Am 1. August 2024 ist der EU AI Act in Kraft getreten. Seitdem werden die Regelungen schrittweise wirksam. Das bedeutet: Die Schonfrist ist vorbei. Auch für den Mittelstand.
Dieser Artikel erklärt verständlich, was der EU AI Act für Ihr Unternehmen bedeutet — ohne Juristendeutsch, mit konkreten Handlungsempfehlungen.
Die wichtigsten Fristen im Überblick
| Datum | Was gilt ab dann? |
|---|---|
| Februar 2025 | Verbotene KI-Praktiken + KI-Kompetenzpflicht (Art. 4) |
| August 2025 | Pflichten für General-Purpose AI (GPT-4, Claude, etc.) |
| August 2026 | Alle Hochrisiko-KI-Systeme müssen reguliert sein |
| August 2027 | Volle Durchsetzung aller Bestimmungen |
Was jetzt schon gilt (seit Februar 2025):
Verbotene KI-Praktiken:
- Social Scoring (Bewertung von Personen auf Basis ihres Sozialverhaltens)
- Unterschwellige Manipulation (KI, die Verhalten unbewusst beeinflusst)
- Ausnutzung von Schwächen (Alter, Behinderung)
- Biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit Ausnahmen)
KI-Kompetenzpflicht (Artikel 4): Alle Personen, die KI-Systeme bedienen oder einsetzen, müssen über ausreichende KI-Kompetenz verfügen. Das betrifft:
- Mitarbeiter, die ChatGPT, Copilot & Co. nutzen
- Entscheider, die KI-basierte Empfehlungen verwenden
- HR-Teams, die KI für Recruiting einsetzen
Das Risikostufen-System: Wo steht Ihr KI-Einsatz?
Der EU AI Act kategorisiert KI-Systeme in 4 Risikostufen:
Stufe 1: Unannehmbares Risiko (VERBOTEN)
- Social Scoring
- Unterschwellige Manipulation
- Biometrische Massenüberwachung
Für den Mittelstand relevant? Normalerweise nicht — aber prüfen Sie Ihre Systeme.
Stufe 2: Hohes Risiko (STRENG REGULIERT)
- KI in HR und Recruiting
- Kreditwürdigkeitsprüfungen
- KI in Bildung und Berufsausbildung
- Sicherheitsrelevante Systeme
Pflichten:
- Risikomanagement-System implementieren
- Datenqualität sicherstellen
- Technische Dokumentation erstellen
- Transparenz gegenüber Nutzern
- Menschliche Aufsicht gewährleisten
- Protokollierung und Aufzeichnung
Für den Mittelstand relevant? Ja, wenn Sie KI für HR-Screening, Kundenbewertung oder Kreditentscheidungen nutzen.
Stufe 3: Begrenztes Risiko (TRANSPARENZPFLICHTEN)
- Chatbots (müssen als KI kennzeichnet sein)
- KI-generierte Inhalte (Bilder, Texte, Videos)
- Emotionserkennung
Pflichten:
- Nutzer müssen wissen, dass sie mit KI interagieren
- KI-generierte Inhalte als solche kennzeichnen
- Bei Deepfakes: klare Kennzeichnung
Für den Mittelstand relevant? Ja — wenn Sie einen KI-Chatbot auf Ihrer Website haben oder KI-Inhalte veröffentlichen.
Stufe 4: Minimales Risiko (KEINE BESONDEREN PFLICHTEN)
- Spam-Filter
- KI in Videospielen
- Textvorschläge in E-Mails
- Interne Textgenerierung
Für den Mittelstand relevant? Ja — die meisten KI-Anwendungen fallen hierunter. Keine zusätzlichen Pflichten, aber KI-Kompetenz bleibt Pflicht (Art. 4).
Artikel 4: Die KI-Kompetenzpflicht im Detail
Was steht im Gesetz?
„Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen."
Was bedeutet das konkret?
- Jeder Mitarbeiter, der KI nutzt, muss geschult sein
- Die Schulung muss dem Risiko der Anwendung angemessen sein
- Unternehmen müssen nachweisen können, dass sie Maßnahmen ergriffen haben
- „Ausreichende KI-Kompetenz" umfasst: Funktionsweise, Grenzen, Risiken, DSGVO
Was droht bei Nicht-Einhaltung?
- Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes
- In der Praxis: Zunächst Verwarnungen und Auflagen
- Aber: Aufsichtsbehörden werden aktiver
Praktische Checkliste: EU AI Act Compliance
Sofort (diese Woche):
- Inventar erstellen: Welche KI-Tools nutzen wir?
- Risikostufe pro Anwendung bestimmen
- Prüfen: Nutzen wir verbotene KI-Praktiken?
- KI-Schulung für Mitarbeiter planen
Kurzfristig (1-3 Monate):
- Interne KI-Richtlinie erstellen oder aktualisieren
- KI-Kompetenz-Schulung durchführen (Art. 4)
- Chatbots und KI-generierte Inhalte kennzeichnen
- Dokumentation der KI-Nutzung starten
Mittelfristig (bis August 2026):
- Hochrisiko-KI-Systeme identifizieren und regulieren
- Risikomanagement-System implementieren (falls nötig)
- Technische Dokumentation erstellen
- Regelmäßige Audits planen
Häufige Missverständnisse
„Der EU AI Act betrifft nur Tech-Unternehmen"
Falsch. Er betrifft jeden, der KI nutzt — auch Anwender, nicht nur Entwickler. Wenn Ihre Mitarbeiter ChatGPT nutzen, sind Sie betroffen.
„Wir nutzen ja nur ChatGPT, das fällt unter minimales Risiko"
Stimmt teilweise. ChatGPT für Texte = minimales Risiko. ChatGPT für Bewerbungs-Screening = Hochrisiko. Es kommt auf den Anwendungszweck an.
„Wir haben noch Zeit bis 2027"
Die KI-Kompetenzpflicht gilt bereits seit Februar 2025. Wenn ein Mitarbeiter morgen einen DSGVO-Verstoß mit KI begeht und Sie keine Schulung nachweisen können, haben Sie ein Problem.
„Eine einmalige E-Mail reicht als Schulung"
Nein. „Ausreichende KI-Kompetenz" erfordert praxisbezogene Schulung, nicht nur Information. Die Schulung muss dem Risiko angemessen sein.
So werden Sie EU AI Act compliant — in 3 Schritten
Schritt 1: KI-Kickstart für die Geschäftsführung
In 3 Stunden verstehen Sie als Entscheider: Was bedeutet der EU AI Act für uns? Welche Risikostufe haben unsere Anwendungen? Was müssen wir tun?
Schritt 2: Abteilungs-Training für Mitarbeiter
Ihr Team lernt den DSGVO-konformen, EU AI Act-konformen Umgang mit KI — mit Praxisübungen und einer internen KI-Richtlinie.
Schritt 3: KI-Champion für langfristige Compliance
Ein interner Multiplikator sorgt dafür, dass KI-Kompetenz und Compliance langfristig gesichert sind.
→ Alle Schulungsformate im Überblick
→ Jetzt Erstberatung vereinbaren
Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für eine rechtssichere EU AI Act Implementierung empfehlen wir die Zusammenarbeit mit einer spezialisierten Kanzlei.