Vier Risikoklassen, ein Geltungsbereich. Wenn du KI in der EU einsetzt, fällst du irgendwo hier rein.
TL;DR: Der EU AI Act ist kein KI-Verbot, sondern ein risikobasierter Pflichtenkatalog. Wer KI-Systeme in der EU einsetzt, entwickelt oder importiert, fällt darunter – unabhängig davon, wo das System entwickelt wurde. Die Verordnung teilt KI in vier Risikoklassen, von verboten bis minimal. Bußgelder reichen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Wir zeigen, was wirklich gilt und woran Hersteller-Pitches gerade vorbei argumentieren.
Warum der EU AI Act mehr ist als regulatorischer Reflex
Es kursieren zwei Erzählungen über den AI Act. Die eine: „Europa würgt KI-Innovation ab.“ Die andere: „Das betrifft uns nicht, wir nutzen ja keine KI.“ Beide sind falsch – die zweite gefährlicher als die erste. Der AI Act ist Teil des größeren EU-Regulierungspakets rund um digitale Souveränität, neben NIS2, DSGVO, DORA und CRA.
Wer auf „wir machen doch keine KI“ hofft, hat verloren
Wir hören diesen Satz in fast jedem Beratungsgespräch: „KI? Setzen wir nicht ein.“ Drei Klicks später taucht in der eigenen Microsoft 365-Umgebung Copilot auf, der Recruiting-Anbieter wirbt mit „KI-gestütztem Matching“, und das Service-Desk-Tool hat seit dem letzten Update eine Auto-Klassifizierung.
Drei Beispiele, die alle in den Geltungsbereich fallen:
- Recruiting-Software mit automatischer Bewerber-Bewertung – Hochrisiko-KI
- Chatbots auf der Webseite, die mit Kunden interagieren – Transparenzpflicht
- Spam-Filter im Postfach – minimales Risiko, aber Inventarisierungspflicht
Wer KI-Systeme nicht aktiv kartiert hat, wird im Audit schnell überrascht. Das ist keine Theorie, das ist seit Februar 2025 geltendes Recht – Verbote und KI-Kompetenzpflicht sind in Kraft.
Die vier Mythen, die wir aus aktuellen Vendor-Pitches kennen
In den letzten Monaten haben wir mehrere Hersteller-Präsentationen gehört, die den AI Act bewusst oder unbewusst falsch darstellen:
- „Unser Modell ist AI-Act-konform.“ Das ist meistens Unsinn. Ein KI-System ist nicht konform – es passt in eine Risikoklasse, und für die Klasse gelten Pflichten, die der Betreiber, nicht der Hersteller, erfüllen muss.
- „Wir sind nur Tool-Anbieter.“ Im AI Act gibt es klare Rollen: Provider, Deployer, Importer, Distributor. Wer ein KI-System in der EU bereitstellt, ist Provider. Diese Rolle lässt sich nicht abschütteln.
- „General-Purpose-AI ist außen vor.“ Falsch. GPAI-Modelle haben eigene Pflichten, mit zusätzlichen Anforderungen bei systemischen Risiken.
- „Open Source ist befreit.“ Teilweise. Die Ausnahmen gelten enger als oft behauptet – sobald ein Open-Source-Modell auf den Markt gebracht oder kommerziell eingesetzt wird, greifen Pflichten.
Wer wirklich betroffen ist
Der Geltungsbereich ist breit. Du fällst unter den AI Act, wenn du eine dieser Rollen einnimmst:
| Rolle | Was du tust | Hauptpflicht |
|---|---|---|
| Provider | KI-System entwickelt und in Verkehr gebracht | Klassifizierung, Dokumentation, Konformität |
| Deployer | KI-System unter eigener Verantwortung einsetzt | Risikobewertung, Aufsicht, Transparenz |
| Importer | KI-System aus Drittland in die EU bringt | Konformitäts-Prüfung des Provider |
| Distributor | KI-System weitergibt | Sichtprüfung, Korrekturmaßnahmen |
Wichtig: Die Verordnung gilt auch für Nicht-EU-Anbieter, sobald ihre Systeme in der EU genutzt werden. Brüssel hat lange gelernt, was das Brussels-Effect ist – Hersteller in den USA, China und anderswo werden faktisch mitreguliert.
Die vier Risikoklassen und was sie für dich bedeuten
Der AI Act ist kein binäres „erlaubt/verboten“-System. Er staffelt Anforderungen nach Risiko – je höher das Risiko für Grundrechte, Gesundheit oder Sicherheit, desto strenger die Pflichten. Wer die vier Klassen versteht, kann eigene KI-Systeme zuordnen und den Aufwand einschätzen.
Inakzeptables Risiko – die Verbote
Acht KI-Anwendungen sind seit Februar 2025 in der EU verboten. Wer sie betreibt, riskiert die maximalen Bußgelder.
Verboten sind unter anderem:
- Social Scoring durch öffentliche Stellen
- Manipulation durch subliminale Techniken
- Ausnutzung von Schwachstellen bei Kindern oder vulnerablen Gruppen
- Predictive Policing auf reiner Profil-Basis
- Biometrische Kategorisierung nach sensiblen Attributen
- Emotions-Erkennung am Arbeitsplatz und in Bildungseinrichtungen
- Echtzeit-Gesichtserkennung in öffentlichen Räumen (mit eng definierten Ausnahmen)
Die Liste klingt theoretisch, hat aber bereits konkrete Konsequenzen: Einige HR-Tools mit Emotions-Auswertung wurden vom EU-Markt zurückgezogen, manche Vendor-Roadmaps wurden komplett umgebaut.
Hochrisiko – wo es richtig anstrengend wird
Die zweite Klasse trifft die meisten Unternehmen härter. Hochrisiko-KI gibt es in zwei Familien:
- KI in Produkten, die unter EU-Produktsicherheitsrecht fallen (Medizinprodukte, Spielzeug, Maschinen, Aufzüge)
- Stand-alone-KI in acht Bereichen mit besonderem Grundrechtsbezug
Die acht Bereiche im Detail:
| Bereich | Beispiele |
|---|---|
| Biometrie | Identifizierung, Authentifizierung |
| Kritische Infrastruktur | Energie, Wasser, Verkehr |
| Bildung | Prüfungssysteme, Zugangsentscheidungen |
| Beschäftigung | Recruiting, Beurteilung, Beförderung |
| Wesentliche Dienste | Kreditvergabe, Versicherung, Notfalldienste |
| Strafverfolgung | Risikobewertung, Beweismittel |
| Migration & Asyl | Risikobewertung, Antragsbearbeitung |
| Justiz & Demokratie | Rechtsanwendung, Wahlbeeinflussung |
Wer Hochrisiko-KI einsetzt oder bereitstellt, hat sieben Pflichten zu erfüllen. Mehr dazu im eigenen Abschnitt weiter unten.
Begrenztes Risiko – Transparenz reicht meistens
Die dritte Klasse umfasst Systeme, die mit Menschen interagieren oder Inhalte erzeugen. Der AI Act verlangt hier vor allem eines: Transparenz.
Drei typische Pflichten:
- Chatbots müssen sich als KI zu erkennen geben
- KI-generierte Inhalte (Deepfakes, synthetische Texte, Bilder) müssen als solche kenntlich gemacht werden
- Emotions-Erkennung und biometrische Kategorisierung (außerhalb der verbotenen Fälle) brauchen Information der Betroffenen
Diese Pflichten klingen banal, werden aber gerade in B2C-Anwendungen oft unterschätzt. Wer eine KI-Service-Hotline ohne Hinweis betreibt, ist regelwidrig.
Minimales Risiko – das große Mittelfeld
Die vierte Klasse ist die größte: Spam-Filter, KI-gestützte Spiele, Inventur-Optimierung, einfache Empfehlungssysteme. Hier gibt es keine speziellen Pflichten – aber die übergreifenden Anforderungen wie KI-Kompetenz und die Möglichkeit, sich an freiwillige Verhaltenskodizes zu binden.
Vorsicht trotzdem: Die Einstufung kann sich ändern, wenn ein System in einem anderen Kontext eingesetzt wird. Ein Empfehlungssystem im Spielzeug-Shop ist minimales Risiko – dasselbe System in der Personalauswahl wäre Hochrisiko.
Wer dem AI Act unterliegt – die Rollen-Architektur
Bevor du Pflichten umsetzt, musst du wissen, in welcher Rolle du stehst. Die Verordnung kennt vier Hauptrollen, und in vielen Unternehmen treten mehrere parallel auf.
Provider, Deployer, Importer, Distributor
Die Rollen unterscheiden sich nach dem, was du mit dem KI-System tust:
- Provider entwickelt das KI-System und bringt es in Verkehr oder unter eigenem Namen in Betrieb
- Deployer setzt ein KI-System unter eigener Aufsicht ein (vorher hieß das „User“ – wurde umbenannt, um Verwirrung mit Endnutzern zu vermeiden)
- Importer bringt ein KI-System aus einem Drittland in die EU
- Distributor stellt ein KI-System auf dem EU-Markt bereit, ohne Provider oder Importer zu sein
Der Knackpunkt: Wenn du ein bestehendes KI-System wesentlich modifizierst oder unter eigenem Namen in Verkehr bringst, wirst du selbst zum Provider – mit allen Pflichten. Das passiert in der Praxis öfter als gedacht: Wer ein Open-Source-Modell fine-tunt und kommerziell einsetzt, übernimmt Provider-Pflichten.
Die wichtigste Falle: GPAI-Modelle
General-Purpose-AI-Modelle – die großen Foundation-Modelle wie GPT, Claude, Gemini, Llama – haben eigene Regeln. Das Gesetz unterscheidet zwischen:
- GPAI-Modellen mit Transparenz- und Dokumentationspflichten
- GPAI-Modellen mit systemischem Risiko – ab einer Trainings-Rechenleistung von 10²⁵ FLOPS – mit deutlich strengeren Anforderungen
Die Schwelle von 10²⁵ FLOPS ist nicht willkürlich. Sie liegt aktuell etwa bei GPT-4-Niveau. Wer ein eigenes Foundation-Modell mit dieser Größenordnung trainiert, fällt in die strengere Stufe. Für die meisten Unternehmen relevanter: Wenn du ein GPAI-Modell in deinen Workflow integrierst, übernimmst du als Deployer Verantwortung – auch wenn du das Modell nicht trainiert hast.
Geltungsbereich auch außerhalb der EU
Die räumliche Reichweite ist weit. Du fällst unter den AI Act, wenn:
- Du in der EU ansässig bist und KI-Systeme entwickelst oder einsetzt
- Du Provider bist und ein KI-System auf dem EU-Markt anbietest
- Der Output deines KI-Systems in der EU genutzt wird – selbst wenn du außerhalb der EU sitzt
Diese letzte Klausel ist die schärfste: Ein US-Anbieter, dessen API von EU-Kunden genutzt wird, ist mit drin. Das ist die Brussels-Effect-Logik, die schon bei der DSGVO funktioniert hat.
Hochrisiko-KI: Sieben Pflichten im Detail
Wer Hochrisiko-KI provided oder deployed, hat einen klaren Pflichtenkatalog. Das ist der teure Teil des Gesetzes – aber auch der, an dem die meisten Hersteller versuchen, ihre Kunden auf das eigene Lock-in-Modell zu schieben.
Die sieben Pflichten im Überblick
Anhang III der Verordnung listet die Anforderungen für Hochrisiko-KI auf. Hier die Kurzform:
| Pflicht | Was sie konkret bedeutet |
|---|---|
| Risiko-Management-System | Kontinuierlicher Prozess über den gesamten Lebenszyklus |
| Daten-Governance | Trainings-, Validierungs- und Testdaten dokumentiert und repräsentativ |
| Technische Dokumentation | Vor Inverkehrbringen vollständig vorhanden |
| Aufzeichnungspflichten | Logs zur Nachvollziehbarkeit über die Lebensdauer |
| Transparenz und Information | Klare Anleitung für Nutzer, was das System tut und nicht tut |
| Menschliche Aufsicht | Mensch muss eingreifen können, Eingriff muss wirken |
| Robustheit, Genauigkeit, Sicherheit | Resilienz gegen Fehler, Angriffe, Manipulation |
Das Risiko-Management-System ist Pflicht, nicht Empfehlung
Die meisten Pflichten münden in einem dokumentierten Risiko-Management-System, das den gesamten Lebenszyklus abdeckt. Es ist keine einmalige Studie, sondern ein laufender Prozess: Risiken identifizieren, bewerten, minimieren, überwachen, nachjustieren.
In der Praxis bedeutet das:
- Ein dokumentiertes Verfahren, idealerweise eingebettet in ein bestehendes ISMS nach ISO 27001
- Eine identifizierbare Verantwortlichkeit – „der KI-Beauftragte“ oder eine vergleichbare Rolle
- Versionierte Risiko-Register, die bei jeder Modell-Aktualisierung neu bewertet werden
Wer ein ISMS hat, hat den Hauptaufwand. Wer keines hat, baut faktisch eines auf, ob er will oder nicht.
Menschliche Aufsicht: das missverstandene Konzept
„Human-in-the-loop“ wird oft verkauft, als wäre das die Lösung. Der AI Act will mehr: Die menschliche Aufsicht muss wirksam sein, nicht nur formal existieren.
Drei Anforderungen an wirksame Aufsicht:
- Die aufsichtsführende Person muss die Grenzen des Systems verstehen
- Sie muss die Möglichkeit haben, Entscheidungen zu überstimmen oder das System abzuschalten
- Sie muss vor Automatisierungs-Verzerrung geschützt sein – also nicht in eine Position gedrängt werden, in der das KI-Ergebnis übernommen wird, weil ein Widerspruch zu aufwendig wäre
Wer also eine Recruiting-KI einsetzt und am Ende nur einen HR-Verantwortlichen sagen lässt „die Empfehlungen sehen vernünftig aus“, erfüllt die Pflicht nicht.
Allgemeinzweck-KI (GPAI): die Sonderregeln
GPAI-Modelle wurden während der Verhandlungen ein eigener Pfeiler. Vorher gab es nur Risikoklassen für Anwendungen – jetzt gibt es zusätzlich Pflichten für die zugrundeliegenden Modelle. Das ist die EU-Antwort auf den ChatGPT-Moment.
Was als General-Purpose zählt
Ein GPAI-Modell ist ein Modell mit erheblicher Allgemeingültigkeit, das eine breite Palette unterschiedlicher Aufgaben kompetent ausführen kann. Der Test ist nicht hart definiert, aber typisch sind:
- Große Sprachmodelle (LLMs): GPT, Claude, Gemini, Llama, Mistral
- Multimodale Modelle, die Text, Bild, Audio kombinieren
- Foundation-Modelle für Code (GitHub Copilot, Code Llama)
- Generative Bildmodelle (Stable Diffusion, DALL-E, Midjourney)
Wer eines dieser Modelle bereitstellt oder substantiell modifiziert, ist GPAI-Provider mit eigenen Pflichten.
Pflichten für GPAI-Provider
Die Basispflichten für GPAI-Modelle sind kein Hexenwerk, aber dokumentations-intensiv:
- Technische Dokumentation des Modells, der Trainingsdaten und der Evaluations-Ergebnisse
- Informationspflichten gegenüber nachgelagerten Anbietern
- Urheberrechts-Policy – Hinweise auf verwendete Trainingsdaten, opt-out-Mechanismen
- Zusammenfassung der Trainings-Inhalte mit ausreichendem Detail
Systemische Modelle – die zusätzliche Schwelle
Modelle ab 10²⁵ FLOPS Trainings-Rechenleistung gelten als „systemisch“ – mit zusätzlichen Anforderungen:
- Model-Evaluations und Red-Teaming
- Risiko-Bewertung systemischer Risiken
- Berichts- und Korrekturpflichten bei schweren Vorfällen
- Cybersicherheits-Anforderungen
Wir halten die FLOPS-Schwelle für gut gewählt, aber technisch bereits überholt – effizientere Architekturen schaffen mit weniger Rechenleistung vergleichbare Fähigkeiten. Die EU-Kommission kann die Schwelle anpassen, hat das aber bisher nicht getan.
Zeitplan und Sanktionen
Der AI Act ist im August 2024 in Kraft getreten, gilt aber gestaffelt. Wer den Zeitplan nicht im Kalender hat, läuft in vermeidbare Probleme.
Was schon gilt, was kommt
Die wichtigsten Daten in Reihenfolge:
| Stichtag | Was greift |
|---|---|
| Februar 2025 | Verbote der inakzeptablen KI-Praktiken, KI-Kompetenzpflicht |
| August 2025 | GPAI-Pflichten für neue Modelle |
| August 2026 | Vollständige Anwendung für Hochrisiko-KI (Anhang III) |
| August 2027 | Hochrisiko-KI in Produkten (Anhang I-Bereiche) |
Wer Hochrisiko-KI einsetzt, hat formal noch Zeit – aber der Aufbau eines Risiko-Management-Systems plus die nötige Dokumentation dauert in der Praxis 12 bis 24 Monate. Wer erst anfängt, wenn der Stichtag in Sichtweite ist, hat zu spät begonnen.
Bußgelder bis 35 Mio. EUR oder 7%
Die Sanktionen sind nach Schwere gestaffelt:
- Verbotene Praktiken: bis zu 35 Millionen EUR oder 7 Prozent des weltweiten Jahresumsatzes
- Verstöße gegen Hochrisiko-Pflichten: bis zu 15 Millionen EUR oder 3 Prozent des Umsatzes
- Falsche oder irreführende Angaben gegenüber Behörden: bis zu 7,5 Millionen EUR oder 1 Prozent des Umsatzes
Der jeweils höhere Betrag gilt. Bei mittleren Unternehmen wird die Bußgeld-Höhe nach unten gedeckelt – aber „mittel“ beginnt erst bei deutlich kleineren Größen als viele annehmen.
Wie die Aufsichtsbehörden aufgestellt sind
Jeder Mitgliedstaat benennt eine zuständige Behörde. In Deutschland wird das ein Verbund aus Bundesnetzagentur und sektoralen Aufsichten – die genaue Aufteilung ist im Prozess. Auf EU-Ebene koordiniert das AI Office bei der EU-Kommission, das auch direkt die Aufsicht über GPAI-Provider übernimmt.
Wer also Provider eines systemischen GPAI-Modells ist, hat es direkt mit Brüssel zu tun – nicht mit der nationalen Behörde.
Praxis: So bereitest du dich vor
Genug Theorie. Was tust du als Unternehmen konkret? Fünf Schritte, die jedes mittelständische Unternehmen durchlaufen sollte – egal ob du selbst KI entwickelst oder nur Tools einsetzt.
Schritt 1: KI-Inventur
Ohne Bestandsaufnahme keine Compliance. Die meisten Unternehmen wissen nicht, welche KI sie überhaupt einsetzen.
Drei Quellen, die du systematisch abklopfst:
- Software-Inventar auf KI-Komponenten – Microsoft 365 Copilot, Salesforce Einstein, SAP Joule, Slack AI
- Hardware und IoT auf eingebaute KI-Funktionen
- Schatten-IT – was nutzen Fachabteilungen selbst, ohne IT-Freigabe
Das Gespräch mit den Fachabteilungen ist entscheidend. Die HR-Abteilung weiß, dass das Recruiting-Tool „smart“ ist – die IT weiß es manchmal nicht.
Schritt 2: Risikoklassen-Mapping
Jedes gefundene KI-System wird einer Risikoklasse zugeordnet. Drei Fragen helfen bei der Einstufung:
- Bereich: Fällt der Einsatzkontext unter Anhang III (Recruiting, Bonität, Bildung, kritische Infrastruktur, …)?
- Wirkung: Wirkt sich die KI-Entscheidung auf Grundrechte aus?
- Interaktion: Interagiert das System mit Menschen oder erzeugt es Inhalte?
Das Ergebnis ist eine Tabelle mit Tools und ihren Risikoklassen – die Grundlage für alles Weitere.
Schritt 3: Lücken-Analyse
Pro Klasse ergeben sich Pflichten. Wo erfüllst du sie schon, wo fehlt was?
Eine einfache Matrix hilft:
| Pflicht | Status | Aufwand zur Erfüllung |
|---|---|---|
| KI-Kompetenz im Unternehmen | teilweise / vorhanden / fehlt | Schulung, Awareness |
| Inventar und Klassifikation | dokumentiert / informell / fehlt | Aufbau Register |
| Risiko-Management bei Hochrisiko | vorhanden / lückenhaft / fehlt | Prozess-Definition, Tooling |
| Transparenz bei begrenztem Risiko | implementiert / fehlt | UI-Anpassungen, Hinweise |
Schritt 4: Roadmap mit Stichtagen
Auf Basis der Lücken-Analyse baust du eine Roadmap, die zu den AI-Act-Stichtagen passt. Die Verbote sind seit Februar 2025 in Kraft – das ist heute. Hochrisiko-Pflichten greifen August 2026 vollständig. Hochrisiko in Produkten August 2027.
Für die meisten Unternehmen heißt das:
- Sofort: Verbote-Check abschließen, KI-Kompetenz aufbauen
- Bis Ende des laufenden Jahres: Inventar und Klassifikation abgeschlossen
- Innerhalb 12 Monate: Risiko-Management-System aufgebaut
- Vor Stichtag 2026: Hochrisiko-Systeme vollständig konform
Schritt 5: Schulung und Kompetenzaufbau
Die KI-Kompetenzpflicht gilt seit Februar 2025 für alle, die mit KI-Systemen umgehen. Was das konkret heißt, definiert die Verordnung nicht – aber die Auslegung verdichtet sich:
- Mitarbeitende, die KI einsetzen, müssen die Funktionsweise grob verstehen
- Sie müssen Grenzen und Risiken kennen
- Sie müssen wissen, wie sie eingreifen können
- Die Schulung muss dokumentiert sein
Standardisierte Kurse von BSI, TÜV-Akademien oder Branchenverbänden bilden eine pragmatische Basis. Wichtig: Die Schulung gilt nicht einmal, sondern muss bei Veränderungen der Systeme aktualisiert werden.
FAQ – Häufige Fragen zum EU AI Act
Was wir empfehlen – und wo wir kritisch bleiben
Der AI Act ist kein Innovationshemmer. Er ist ein Rahmen, der KI von einer Wildwest-Phase in einen geordneten Marktrahmen überführt. Wer früh anfängt, hat den entscheidenden Vorteil: weniger Aufholaufwand, weniger Audit-Stress, weniger Vendor-Argumente, die ins Leere laufen.
Drei konkrete Empfehlungen für die nächsten Monate:
- Inventur abschließen, bevor August 2026 in Sichtweite ist – wer mit fehlendem Bestand in einen Audit geht, hat verloren
- Vendor-Verträge auf AI-Act-Klauseln prüfen – Provider-Pflichten lassen sich nicht abschütteln, aber sie sind verteilbar
- KI-Kompetenz aufbauen, nicht nur formal dokumentieren – die Behörden werden Substanz prüfen, nicht Checklisten
Wir bleiben kritisch gegenüber zwei Punkten: Erstens der Diskrepanz zwischen technischer Realität und FLOPS-basierten Schwellenwerten – die Verordnung wird hier nachjustieren müssen. Zweitens der Beratungs-Industrie, die aus dem AI Act ein neues Geschäftsfeld macht und Pflichten gerne dramatisiert. Vieles ist Standard-Compliance-Arbeit, die in jedem ISMS aufgehoben ist. Wer das schon hat, baut nicht von vorne auf.
Quellen
- EU-Kommission: Regulation (EU) 2024/1689 – Artificial Intelligence Act
- AI Office bei der EU-Kommission: Implementation Guidelines
- Bundesnetzagentur: Nationale Umsetzung der KI-Verordnung
- BSI: Leitfaden Künstliche Intelligenz
- Bitkom: AI Act Praxis-Leitfaden
- ENISA: AI Cybersecurity Framework
