Der EU AI Act: Das wichtigste KI-Gesetz der Welt

Am 1. August 2024 ist der EU AI Act in Kraft getreten. Seitdem werden die Regelungen schrittweise wirksam. Das bedeutet: Die Schonfrist ist vorbei. Auch für den Mittelstand.

Dieser Artikel erklärt verständlich, was der EU AI Act für Ihr Unternehmen bedeutet — ohne Juristendeutsch, mit konkreten Handlungsempfehlungen.

Die wichtigsten Fristen im Überblick

Datum	Was gilt ab dann?
Februar 2025	Verbotene KI-Praktiken + KI-Kompetenzpflicht (Art. 4)
August 2025	Pflichten für General-Purpose AI (GPT-4, Claude, etc.)
August 2026	Alle Hochrisiko-KI-Systeme müssen reguliert sein
August 2027	Volle Durchsetzung aller Bestimmungen

Was jetzt schon gilt (seit Februar 2025):

Verbotene KI-Praktiken:

Social Scoring (Bewertung von Personen auf Basis ihres Sozialverhaltens)
Unterschwellige Manipulation (KI, die Verhalten unbewusst beeinflusst)
Ausnutzung von Schwächen (Alter, Behinderung)
Biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit Ausnahmen)

KI-Kompetenzpflicht (Artikel 4): Alle Personen, die KI-Systeme bedienen oder einsetzen, müssen über ausreichende KI-Kompetenz verfügen. Das betrifft:

Mitarbeiter, die ChatGPT, Copilot & Co. nutzen
Entscheider, die KI-basierte Empfehlungen verwenden
HR-Teams, die KI für Recruiting einsetzen

Das Risikostufen-System: Wo steht Ihr KI-Einsatz?

Der EU AI Act kategorisiert KI-Systeme in 4 Risikostufen:

Stufe 1: Unannehmbares Risiko (VERBOTEN)

Social Scoring
Unterschwellige Manipulation
Biometrische Massenüberwachung

Für den Mittelstand relevant? Normalerweise nicht — aber prüfen Sie Ihre Systeme.

Stufe 2: Hohes Risiko (STRENG REGULIERT)

KI in HR und Recruiting
Kreditwürdigkeitsprüfungen
KI in Bildung und Berufsausbildung
Sicherheitsrelevante Systeme

Pflichten:

Risikomanagement-System implementieren
Datenqualität sicherstellen
Technische Dokumentation erstellen
Transparenz gegenüber Nutzern
Menschliche Aufsicht gewährleisten
Protokollierung und Aufzeichnung

Für den Mittelstand relevant? Ja, wenn Sie KI für HR-Screening, Kundenbewertung oder Kreditentscheidungen nutzen.

Stufe 3: Begrenztes Risiko (TRANSPARENZPFLICHTEN)

Chatbots (müssen als KI kennzeichnet sein)
KI-generierte Inhalte (Bilder, Texte, Videos)
Emotionserkennung

Pflichten:

Nutzer müssen wissen, dass sie mit KI interagieren
KI-generierte Inhalte als solche kennzeichnen
Bei Deepfakes: klare Kennzeichnung

Für den Mittelstand relevant? Ja — wenn Sie einen KI-Chatbot auf Ihrer Website haben oder KI-Inhalte veröffentlichen.

Stufe 4: Minimales Risiko (KEINE BESONDEREN PFLICHTEN)

Spam-Filter
KI in Videospielen
Textvorschläge in E-Mails
Interne Textgenerierung

Für den Mittelstand relevant? Ja — die meisten KI-Anwendungen fallen hierunter. Keine zusätzlichen Pflichten, aber KI-Kompetenz bleibt Pflicht (Art. 4).

Artikel 4: Die KI-Kompetenzpflicht im Detail

Was steht im Gesetz?

„Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen."

Was bedeutet das konkret?

Jeder Mitarbeiter, der KI nutzt, muss geschult sein
Die Schulung muss dem Risiko der Anwendung angemessen sein
Unternehmen müssen nachweisen können, dass sie Maßnahmen ergriffen haben
„Ausreichende KI-Kompetenz" umfasst: Funktionsweise, Grenzen, Risiken, DSGVO

Was droht bei Nicht-Einhaltung?

Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes
In der Praxis: Zunächst Verwarnungen und Auflagen
Aber: Aufsichtsbehörden werden aktiver

Praktische Checkliste: EU AI Act Compliance

Sofort (diese Woche):

Inventar erstellen: Welche KI-Tools nutzen wir?
Risikostufe pro Anwendung bestimmen
Prüfen: Nutzen wir verbotene KI-Praktiken?
KI-Schulung für Mitarbeiter planen

Kurzfristig (1-3 Monate):

Interne KI-Richtlinie erstellen oder aktualisieren
KI-Kompetenz-Schulung durchführen (Art. 4)
Chatbots und KI-generierte Inhalte kennzeichnen
Dokumentation der KI-Nutzung starten

Mittelfristig (bis August 2026):

Hochrisiko-KI-Systeme identifizieren und regulieren
Risikomanagement-System implementieren (falls nötig)
Technische Dokumentation erstellen
Regelmäßige Audits planen

Häufige Missverständnisse

„Der EU AI Act betrifft nur Tech-Unternehmen"

Falsch. Er betrifft jeden, der KI nutzt — auch Anwender, nicht nur Entwickler. Wenn Ihre Mitarbeiter ChatGPT nutzen, sind Sie betroffen.

„Wir nutzen ja nur ChatGPT, das fällt unter minimales Risiko"

Stimmt teilweise. ChatGPT für Texte = minimales Risiko. ChatGPT für Bewerbungs-Screening = Hochrisiko. Es kommt auf den Anwendungszweck an.

„Wir haben noch Zeit bis 2027"

Die KI-Kompetenzpflicht gilt bereits seit Februar 2025. Wenn ein Mitarbeiter morgen einen DSGVO-Verstoß mit KI begeht und Sie keine Schulung nachweisen können, haben Sie ein Problem.

„Eine einmalige E-Mail reicht als Schulung"

Nein. „Ausreichende KI-Kompetenz" erfordert praxisbezogene Schulung, nicht nur Information. Die Schulung muss dem Risiko angemessen sein.

So werden Sie EU AI Act compliant — in 3 Schritten

Schritt 1: KI-Kickstart für die Geschäftsführung

In 3 Stunden verstehen Sie als Entscheider: Was bedeutet der EU AI Act für uns? Welche Risikostufe haben unsere Anwendungen? Was müssen wir tun?

Schritt 2: Abteilungs-Training für Mitarbeiter

Ihr Team lernt den DSGVO-konformen, EU AI Act-konformen Umgang mit KI — mit Praxisübungen und einer internen KI-Richtlinie.

Schritt 3: KI-Champion für langfristige Compliance

Ein interner Multiplikator sorgt dafür, dass KI-Kompetenz und Compliance langfristig gesichert sind.

→ Alle Schulungsformate im Überblick

→ Jetzt Erstberatung vereinbaren

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für eine rechtssichere EU AI Act Implementierung empfehlen wir die Zusammenarbeit mit einer spezialisierten Kanzlei.

EU AI Act 2026: Was Ihr Unternehmen jetzt wissen muss