Der EU AI Act ist seit August 2024 in Kraft. Für Hochrisiko-KI-Systeme gelten ab August 2026 umfangreiche Compliance-Pflichten — mit Bußgeldern bis 35 Mio. Euro oder 7 % des globalen Jahresumsatzes.
Die Verordnung (EU) 2024/1689 — bekannt als EU AI Act — ist das weltweit erste rechtsverbindliche Gesetz zur Regulierung von Systemen mit künstlicher Intelligenz. Sie trat am 1. August 2024 in Kraft und löst damit einen mehrjährigen Gesetzgebungsprozess ab, der 2021 mit dem ersten Kommissionsvorschlag begann. Anders als unverbindliche Leitlinien oder Verhaltenskodizes handelt es sich um unmittelbar geltendes EU-Recht, das in allen Mitgliedstaaten ohne nationale Umsetzungsakte gilt.
Der räumliche Anwendungsbereich folgt dem Marktortprinzip: Die Verordnung gilt für alle Unternehmen, die KI-Systeme in der EU in Verkehr bringen, in Betrieb nehmen oder einsetzen — unabhängig davon, wo das Unternehmen seinen Sitz hat. Ein US-amerikanisches SaaS-Unternehmen, das KI-gestützte Dienste an europäische Kunden verkauft, fällt ebenso unter den AI Act wie ein deutsches Mittelstandsunternehmen, das ein extern eingekauftes Analyse-Werkzeug betreibt.
Der Ansatz der Verordnung ist risikobasiert: Nicht jede KI-Anwendung unterliegt denselben Pflichten. Ein Spam-Filter und ein KI-System, das Kreditentscheidungen trifft, werden unterschiedlich behandelt. Je höher das potenzielle Schadenspotenzial für Einzelpersonen oder die Gesellschaft, desto umfangreicher die Anforderungen. Verbotene Praktiken wie Social Scoring oder bestimmte Formen biometrischer Massenüberwachung sind gänzlich untersagt.
Für die Praxis entscheidend ist die Rollendifferenzierung: Der AI Act unterscheidet zwischen Anbietern (Providers), die ein KI-System entwickeln oder in Verkehr bringen, und Betreibern (Deployers), die ein fremdes KI-System im eigenen Geschäftsbetrieb einsetzen. Beide Rollen tragen Pflichten — allerdings unterschiedliche. Wer ein KI-System von einem Drittanbieter einkauft und in internen Prozessen einsetzt, ist Deployer und muss unter anderem sicherstellen, dass menschliche Aufsicht gewährleistet ist und das System nur für den vorgesehenen Zweck genutzt wird. Wer das System selbst baut oder modifiziert, wird zum Anbieter und trägt die vollen technischen Dokumentationspflichten.
Die Verordnung wird in Stufen anwendbar — nicht alle Pflichten galten von Anfang an.
Verordnung in Kraft, 20 Tage nach Veröffentlichung im Amtsblatt. Beginn der Übergangfristen.
VergangenVerbotene KI-Praktiken (Art. 5) und KI-Kompetenzpflichten für Personal (Art. 4) anwendbar.
Bereits in KraftNationale Marktüberwachungsbehörden eingerichtet. Pflichten für GPAI-Modelle (Kap. V) anwendbar.
Bereits in KraftVollständige Compliance-Pflichten für alle Hochrisiko-Systeme nach Annex III. Konformitätsbewertung erforderlich.
Jetzt vorbereitenHinweis: Für KI-Systeme in bereits regulierten Produkten (Medizinprodukte, Fahrzeuge, Maschinen) gilt eine verlängerte Übergangsfrist bis August 2027.
Der AI Act ordnet jedes KI-System in eine von vier Kategorien ein. Die Klassifikation bestimmt, welche Pflichten gelten und welche Sanktionen bei Verstößen drohen.
Beispiele
Konsequenz
Sofortige Einstellung des Betriebs. Bis zu 35 Mio. € oder 7 % des Jahresumsatzes.
Beispiele
Konsequenz
Vollständige Compliance-Dokumentation, Konformitätsbewertung, EU-Datenbankregistrierung. Ab August 2026.
Beispiele
Konsequenz
Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren bzw. KI-generierte Inhalte konsumieren.
Beispiele
Konsequenz
Keine gesetzlichen Pflichten. Freiwillige Verhaltenskodizes werden von der Kommission empfohlen.
Fällt Ihr System in Annex III, gelten folgende Pflichten primär für Anbieter — also für alle, die das System entwickeln, wesentlich modifizieren oder in Verkehr bringen. Deployer tragen ergänzende Betreiberpflichten.
Dokumentierter, kontinuierlicher Prozess zur Identifikation, Analyse und Minderung von Risiken über den gesamten Lebenszyklus des Systems (Art. 9).
Nachweisliche Qualitätssicherung der Trainings-, Validierungs- und Testdaten: Herkunft, Aufbereitungsschritte, bekannte Verzerrungen (Art. 10).
Vollständige Systemdokumentation nach Annex IV: Architektur, Trainingsprozess, Leistungskennzahlen, Testprotokolle. Muss Marktüberwachungsbehörden auf Anfrage vorgelegt werden.
Das System muss Ereignisse automatisch protokollieren, die für die Rückverfolgbarkeit von Entscheidungen relevant sind — Zeitstempel, Eingaben, Ausgaben (Art. 12).
Anbieter müssen Betreibern ausreichende Informationen liefern: Betriebsanleitung, Leistungsgrenzen, bekannte Einschränkungen und Voraussetzungen für den bestimmungsgemäßen Gebrauch (Art. 13).
Das System muss so gestaltet sein, dass natürliche Personen die Ausgaben wirksam überwachen, korrigieren und erforderlichenfalls außer Betrieb nehmen können (Art. 14).
Nachweisliche Leistungskennzahlen und Widerstandsfähigkeit gegen Fehler, Fehleingaben und Manipulationsversuche (Adversarial Attacks) — dokumentiert und geprüft (Art. 15).
Vor dem Inverkehrbringen: interne Bewertung (Selbsteinschätzung) oder Einschaltung einer Notifizierten Stelle, je nach System-Kategorie. Ergebnis: EU-Konformitätserklärung (Art. 43/47).
Hochrisiko-Systeme müssen vor dem Markteintritt in der öffentlichen EU-KI-Datenbank registriert werden (Art. 49 + Annex VIII). Zuständig: Anbieter.
Unsicher, ob Ihr System unter Annex III fällt?
Der kostenlose Schnellcheck gibt Ihnen innerhalb weniger Minuten eine erste Einschätzung zu Ihrer Risikokategorie und den relevanten Pflichten.
Wer KI-Systeme mit personenbezogenen Daten betreibt, bewegt sich gleichzeitig im Anwendungsbereich der DSGVO. Beide Regelwerke definieren eigene Anforderungen — und verstärken sich teilweise gegenseitig.
DSGVO Art. 35
KI-Systeme, die personenbezogene Daten in großem Umfang verarbeiten oder systematisch zur Profilerstellung eingesetzt werden, lösen regelmäßig die DSFA-Pflicht nach Art. 35 DSGVO aus. Diese muss vor der Inbetriebnahme durchgeführt werden und ist inhaltlich eng mit der AI Act-Risikoanalyse verknüpft.
DSGVO Art. 22
Art. 22 DSGVO schützt Personen vor rein automatisierten Entscheidungen mit erheblicher Wirkung (z. B. Kreditvergabe, Bewerbungsauswahl). Dieselben Szenarien sind typischerweise auch Hochrisiko-KI nach Annex III. Unternehmen müssen beide Rechtsgrundlagen parallel erfüllen und die Anfechtungsrechte Betroffener sicherstellen.
DSGVO Kap. V
Viele KI-APIs und LLM-Dienste werden auf US-amerikanischen Clouds betrieben. Der US CLOUD Act ermöglicht US-Behörden Zugriff auf Daten US-amerikanischer Unternehmen, unabhängig vom Serverstandort. Ohne geeignete Drittland-Garantien (SCCs, TIA) verstößt der Einsatz gegen Art. 44 ff. DSGVO — ein Risiko, das häufig unterschätzt wird.
DSGVO Art. 28
KI-Dienstleister, die personenbezogene Daten im Auftrag verarbeiten, sind Auftragsverarbeiter im Sinne der DSGVO. Ein wirksamer AVV ist Pflicht — und muss die technisch-organisatorischen Maßnahmen des Dienstleisters explizit abdecken. KI-spezifische Klauseln (Trainingsdatenverwendung, Modellretention) fehlen in vielen Standardverträgen.
Hinweis für die Praxis: Unternehmen, die KI mit Personenbezug betreiben, sind durch EU AI Act und DSGVO doppelt reguliert — mit unterschiedlichen Zuständigkeiten (nationale Datenschutzbehörden vs. KI-Marktüberwachungsbehörden). Unser Audit deckt beide Regelwerke systematisch ab und liefert eine konsolidierte Risikobewertung.
Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er trat im August 2024 in Kraft und legt je nach Risikostufe des KI-Systems unterschiedliche Pflichten fest. Anders als Richtlinien gilt die Verordnung unmittelbar und ohne nationale Umsetzung in allen EU-Mitgliedstaaten. Ziel ist ein gemeinsamer Rechtsrahmen, der einerseits KI-Innovation ermöglicht und andererseits grundrechtliche Risiken kontrolliert.
Alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen — unabhängig vom Sitz des Unternehmens (Marktortprinzip, Art. 2). Das bedeutet: Auch ein Unternehmen mit Sitz in den USA oder Asien unterliegt dem AI Act, wenn seine KI-Produkte oder -Dienste von Nutzern in der EU verwendet werden. Ausgenommen sind militärische Zwecke und KI ausschließlich für Forschungszwecke.
Die Pflichten für Hochrisiko-KI-Systeme nach Annex III gelten vollständig ab August 2026. Bis dahin sollten Anbieter und Deployer betroffener Systeme ihre Compliance-Dokumentation aufbauen, Risikoanalysen durchführen und Konformitätsbewertungsverfahren einleiten. Für Systeme in bereits regulierten Produktbereichen (z. B. Medizinprodukte nach MDR, Fahrzeuge) gilt eine verlängerte Frist bis August 2027.
Hochrisiko-KI-Systeme sind in Annex III der Verordnung abschließend aufgezählt. Die zentralen Kategorien umfassen: KI in der Personalauswahl und im HR-Management, automatisierte Kreditvergabe und Bonitätsbewertung, medizinische Diagnoseunterstützung, biometrische Identifikation, KI in kritischer Infrastruktur (Energie, Wasser, Verkehr), KI in Bildung und Berufsausbildung sowie KI im Strafverfolgungsbereich. Entscheidend ist nicht die Technologie, sondern der Verwendungszweck und das Schadenspotenzial.
Der AI Act sieht ein dreistufiges Sanktionssystem vor: Verstöße gegen die Verbote nach Art. 5 (verbotene Praktiken) werden mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet — je nachdem, welcher Betrag höher ist. Verstöße gegen sonstige Pflichten für Hochrisiko-KI (z. B. fehlende Dokumentation) können mit bis zu 15 Mio. € oder 3 % sanktioniert werden. Falsche oder irreführende Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1 %. KMU und Start-ups werden bei der Bußgeldbemessung gesondert berücksichtigt.
Unser KI-Compliance Audit prüft Ihren gesamten KI-Einsatz systematisch gegen EU AI Act und DSGVO. Sie erhalten einen konkreten Bericht mit Risikobewertung, Handlungsempfehlungen und priorisierten Maßnahmen. Festpreis 1.990 €. Ergebnis in 10 Werktagen. Kein Beratersprech.
Entdecken Sie auch Sentio Systems — unsere proprietäre Enterprise Context Intelligence Software für den B2B-Mittelstand. Zu Sentio Systems →