Leitfaden · EU AI Act · Governance & Regulierung
Der EU AI Act ist das erste umfassende KI-Gesetz der Welt. Was er konkret bedeutet, welche Unternehmen betroffen sind und was Führungskräfte jetzt tun müssen.
Der EU AI Act ist Europas Antwort auf die Frage, wie KI-Systeme fair, transparent und im Einklang mit gesellschaftlichen Werten eingesetzt werden können. Für Unternehmen wird das zunehmend relevant: Bereits jedes fünfte Unternehmen in Deutschland setzt KI ein, und die Nutzung wächst rasant.
Dieser Artikel gibt einen strukturierten Überblick: Was regelt der EU AI Act? Welche Risikokategorien gibt es? Und was müssen Unternehmen konkret tun, um compliant zu sein?
Was ist der EU AI Act?
Der EU AI Act ist eine europäische Verordnung über künstliche Intelligenz, das erste umfassende KI-Gesetz der Welt. Er schafft einen Rechtsrahmen für die Entwicklung und Anwendung von KI-Systemen in der EU. Der Grundgedanke: Die Chancen der KI nutzen und Risiken so gering wie möglich halten.
Im Kern steht ein risikobasierter Ansatz. KI-Anwendungen werden in Kategorien eingeteilt: vom Verbot unannehmbarer Praktiken bis hin zu minimalem Risiko ohne spezielle Regulierung. Je höher das Risiko für Menschen, desto strenger die Anforderungen.
Das Wichtigste in Kürze: Die ersten Regelungen traten im Februar 2025 in Kraft. Es gibt drei Risikokategorien: unannehmbares Risiko, hohes Risiko und minimales Risiko. KI-generierte Inhalte müssen gekennzeichnet werden, und alle Unternehmen sind verpflichtet, KI-Kompetenz bei Mitarbeitenden sicherzustellen.
Weshalb wird KI reguliert?
KI wirkt sich inzwischen auf nahezu alle Bereiche des Lebens aus: In der Medizin unterstützen Systeme bei Diagnosen, in der Personalauswahl filtern sie Bewerbungen, in der Kreditvergabe bewerten sie Risiken. Damit rücken Fragen von Datenschutz, Sicherheit, Fairness und Grundrechten unweigerlich in den Fokus.
Der EU AI Act adressiert genau diese Punkte. Er stellt sicher, dass KI-Systeme nicht unkontrolliert in Bereichen eingesetzt werden, die erhebliche Auswirkungen auf Menschen haben, ohne dass jemand die Verantwortung dafür übernimmt.
Die Risikokategorien des EU AI Act
1. Unannehmbares Risiko: verboten
Bestimmte KI-Anwendungen sind vollständig verboten, weil sie grundlegende Rechte verletzen oder gesellschaftliche Werte untergraben. Dazu zählen staatliches Social Scoring, manipulative Beeinflussung vulnerabler Gruppen und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Enge Ausnahmen für die Strafverfolgung sind möglich.
2. Hohes Risiko: strenge Anforderungen
Hochrisiko-Systeme umfassen KI in sicherheitskritischen Produkten wie Fahrzeugen oder Medizinprodukten sowie KI in sensiblen Bereichen: kritische Infrastruktur, Bildung, Beschäftigung, Zugang zu Dienstleistungen, Strafverfolgung und Migration. Für diese Systeme gelten strenge Pflichten: Qualitäts- und Risikomanagement, repräsentative Daten, lückenlose Dokumentation, menschliche Aufsicht, Robustheit und Registrierung in einer EU-Datenbank.
3. Begrenztes und minimales Risiko: Basisstandards
Für die meisten KI-Anwendungen gelten keine strengen Hochrisiko-Anforderungen. Dennoch müssen Basis-Sicherheitsstandards eingehalten werden. KI-generierte Inhalte müssen gekennzeichnet werden, und die freiwillige Übernahme bewährter Verfahren wird empfohlen.
Zeitplan: Wann gilt was?
- Juni 2024: Verordnung verabschiedet.
- Februar 2025: Verbot unannehmbarer KI-Praktiken wirksam.
- +9 Monate ab Inkrafttreten: Verhaltenskodizes für Anbieter:innen und Nutzende.
- +12 Monate: Transparenzpflichten für allgemeine KI-Systeme.
- +24 Monate: Volle Anwendung der Verordnung.
- +36 Monate: Pflichten für Hochrisiko-Anwendungen im Anhang I vollständig verbindlich.
Transparenzpflichten für alle
Unabhängig von der Risikokategorie gelten für alle KI-Anwendungen grundlegende Transparenzanforderungen: KI-generierte Inhalte müssen eindeutig gekennzeichnet werden, insbesondere Deepfakes und synthetisches Bildmaterial. Die Verwendung urheberrechtlich geschützter Trainingsdaten muss offengelegt werden. Und illegale Inhalte dürfen weder erzeugt noch verbreitet werden.
Was der EU AI Act für Unternehmen konkret bedeutet
Für viele Unternehmen ist die wichtigste und unmittelbarste Anforderung Artikel 4 der Verordnung: Alle, die KI in der EU entwickeln oder einsetzen, müssen sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Das bedeutet konkret: Teams sollen Chancen und Risiken von KI-Systemen kennen, diese überwachen und jederzeit eingreifen können.
Das ist keine abstrakte Forderung, sondern ein klarer Auftrag an Führung und Weiterbildung. Unternehmen, die KI-Kompetenz heute aufbauen, sind nicht nur compliant, sie sind auch besser vorbereitet auf die tiefergehenden Anforderungen, die in den nächsten Jahren wirksam werden.
KI-Kompetenz aufbauen mit ada Shift
ada Shift ist ein zwölfwöchiges KI-Transformationsprogramm für Unternehmen im Mittelstand. Teilnehmende arbeiten an realen Projekten aus ihrer eigenen Organisation, lernen branchenübergreifend und bauen KI-Kompetenz auf, die EU AI Act-konform und im Arbeitsalltag tragfähig ist.
FAQ: EU AI Act
Gilt der EU AI Act auch für kleine und mittlere Unternehmen?
Ja, grundsätzlich gilt er für alle Unternehmen, die KI-Systeme in der EU entwickeln oder einsetzen. Für KMU und Start-ups sind allerdings proportional geringere Bußgelder vorgesehen, und bestimmte Anforderungen sind abgestuft.
Was passiert bei Verstößen gegen den EU AI Act?
Es drohen empfindliche Sanktionen. Bei Verstößen gegen die Verbote unannehmbarer Praktiken können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes verhängt werden. Für KMU gelten niedrigere Obergrenzen.
Was bedeutet Artikel 4 des EU AI Act konkret?
Artikel 4 verpflichtet Unternehmen, bei Mitarbeitenden ein angemessenes Maß an KI-Kompetenz sicherzustellen. Das gilt für alle, die mit KI-Systemen arbeiten oder diese überwachen. Die Anforderung ist bewusst offen formuliert, um unterschiedliche Kontexte abzudecken.
Welche KI-Anwendungen sind durch den EU AI Act verboten?
Verboten sind unter anderem staatliches Social Scoring, die manipulative Beeinflussung vulnerabler Gruppen und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Eine vollständige Liste findet sich in Artikel 5 der Verordnung.
Müssen KI-generierte Inhalte gekennzeichnet werden?
Ja. Der EU AI Act schreibt vor, dass KI-generierte Inhalte, insbesondere Deepfakes und synthetisches Bildmaterial, eindeutig als solche gekennzeichnet werden müssen. Das gilt unabhängig von der Risikokategorie des eingesetzten Systems.
Was ist der Unterschied zwischen dem EU AI Act und der DSGVO?
Die DSGVO regelt den Schutz personenbezogener Daten. Der EU AI Act regelt den Einsatz von KI-Systemen und deren Auswirkungen auf Menschen. Beide Regelwerke ergänzen sich: Wer KI mit personenbezogenen Daten betreibt, muss beide einhalten.
Wie sieht die Zukunft mit KI und dem EU AI Act aus?
Der EU AI Act schafft einen Rahmen, der Innovation ermöglichen und gleichzeitig Risiken begrenzen soll. Unternehmen, die früh in Governance, Dokumentation und KI-Kompetenz investieren, sind besser positioniert, diesen Rahmen zu nutzen statt ihn als Bürde zu erleben.
Quellen
- Statistisches Bundesamt (2024): Unternehmen mit Einsatz von KI-Technologien. destatis.de
- Europäisches Parlament (2024): EU AI Act. Verordnung (EU) 2024/1689. eur-lex.europa.eu
- Europäische Kommission: AI Act: Erster Rechtsrahmen für KI. digital-strategy.ec.europa.eu

