Zum Inhalt springen
Zurück zur Übersicht
03 · EU AI Act

EU AI Act: Das erste umfassende KI-Gesetz

Die Verordnung (EU) 2024/1689 ist seit 02.08.2024 in Kraft. Sie klassifiziert KI in vier Risikoklassen — verboten, hoch, begrenzt, minimal — und legt für jede Klasse Pflichten fest. Verstöße kosten bis zu 35 Mio EUR oder 7% des weltweiten Umsatzes.

EU AI Act: Das erste umfassende KI-Gesetz

Worum es geht

Der AI Act ist die erste umfassende KI-Regulierung weltweit und betrifft alle, die KI-Systeme in der EU anbieten, importieren oder beruflich einsetzen — nicht nur Hersteller. Sein Geltungsbereich ist extraterritorial: auch ein US-Anbieter, dessen Output in der EU genutzt wird, fällt darunter. Maßstab ist nicht die Technologie, sondern der Anwendungszweck. Ein Sprachmodell ist nicht 'an sich' hochriskant — entscheidend ist, wofür es eingesetzt wird.

Der AI Act tritt gestaffelt in Kraft: verbotene Praktiken seit 02.02.2025 (Manipulation, Social Scoring, Emotion Recognition am Arbeitsplatz, ungezielte Gesichtserfassung im öffentlichen Raum), GPAI-Pflichten seit 02.08.2025 (Pflichten für General-Purpose-Modelle wie GPT, Claude oder Mistral), Hochrisiko-Systeme ab 02.08.2026 (Annex III: Bildung, Beschäftigung, Strafverfolgung, Sozialleistungen, kritische Infrastruktur). Auch für 'begrenztes Risiko' (Chatbots, Bildgenerierung, Deepfakes) gelten Transparenz-Pflichten: Nutzer müssen wissen, dass sie mit KI interagieren oder KI-generierte Inhalte sehen.

Für Software-Anbieter heißt das in der Praxis: jede neue KI-Funktion braucht VOR Release eine Risiko-Klassifizierung, eine technische Dokumentation und eine sichtbare Kennzeichnung im UI. Die Frist 02.08.2026 klingt weit weg, aber wenn dein Produkt unter Annex III fällt, braucht es bis dahin eine Konformitätsbewertung — und die dauert Monate. Wer im Sommer 2026 anfängt, ist zu spät.

Wer ist betroffen

  • Anbieter von KI-Systemen, die in der EU vermarktet oder genutzt werden — unabhängig vom Sitz des Anbieters. Ein US-Startup, dessen Tool in Deutschland Kunden hat, fällt darunter.
  • Betreiber: Unternehmen oder Behörden, die KI in ihrem operativen Geschäft einsetzen (z.B. KI-gestützte Bewerber-Vorauswahl, automatische Schadensregulierung, Kundensupport-Chatbot).
  • Importeure und Händler von KI-Systemen aus Drittländern — sie haften mit, wenn sie ein nicht-konformes System in der EU vertreiben.
  • SaaS-Anbieter, die KI-Features in bestehende Workflows integrieren — auch wenn das eigentliche Modell von OpenAI oder Anthropic stammt.
  • GPAI-Anbieter (General Purpose AI) mit eigenen Modellen — strengere Pflichten ab 10^25 FLOPS Trainingsbudget (Art. 51 ff.).
  • Öffentliche Stellen und Behörden, die KI in den Annex-III-Bereichen einsetzen (Sozialleistungen, Migration, Strafverfolgung).
  • Jeder Arbeitgeber, der KI für Personalentscheidungen nutzt (Recruiting, Performance, Kündigung) — fast immer Hochrisiko (Annex III Punkt 4).

Was Pflicht ist

  • Art. 4: AI Literacy — Mitarbeiter, die KI einsetzen, müssen geschult sein (Pflicht seit 02.02.2025, oft übersehen).
  • Art. 5: Verbotene Praktiken aktiv ausschließen (Manipulation, Social Scoring, ungezielte Gesichtserfassung, Emotion Recognition am Arbeitsplatz oder in Bildungseinrichtungen).
  • Art. 6-7: Hochrisiko-Klassifizierung gegen Annex III prüfen — vor Release, dokumentiert, im Zweifel mit Anwalt.
  • Art. 9-15: Bei Hochrisiko vollständiges Risikomanagement-System, Datenqualitäts-Prüfung, technische Dokumentation, Logging.
  • Art. 13: Transparenz — Nutzer müssen wissen, was die KI tut, mit welchen Daten, mit welcher Genauigkeit.
  • Art. 14: Human Oversight — bei Hochrisiko muss ein Mensch eingreifen können, bevor die Entscheidung Wirkung entfaltet.
  • Art. 26: Betreiber-Pflichten — Eingangsdaten prüfen, Logs aufbewahren (mindestens 6 Monate), Vorfälle melden.
  • Art. 49-50: Kennzeichnung — KI-generierte Inhalte (Text, Bild, Audio, Video) müssen sichtbar markiert sein. Bei Hochrisiko zusätzlich CE-Kennzeichnung.
  • Art. 50 Abs. 1: Chatbots, Voice-Agents, KI-Assistenten — Nutzer muss erkennen können, dass er mit einer Maschine spricht.
  • Art. 71: Schwerwiegende Vorfälle (Schäden an Gesundheit, Sicherheit, Grundrechten) innerhalb von 15 Tagen an Marktüberwachungsbehörde melden.
  • GPAI (Art. 51-55): Trainingsdaten-Zusammenfassung veröffentlichen, Urheberrechts-Policy, Energieverbrauch dokumentieren — Pflicht seit 02.08.2025.
  • DSGVO Art. 22: Keine vollautomatisierten Einzelentscheidungen mit Rechtswirkung ohne Opt-in oder gesetzliche Grundlage.

Was ich für dich übernehme

  • Risiko-Klassifizierung pro Feature, dokumentiert im Repo (`docs/history/YYYY-MM-DD_*.md`) mit Verweis auf konkrete AI-Act-Artikel — prüfbar für Audits und interne Reviews.
  • AiBadge-Komponente für alle KI-Outputs (Text, Bild, Audio) — DE+EN, Dark/Light Mode, mit Provider-Angabe und Confidence-Score wenn verfügbar.
  • Approval-Gates für kundensichtbare KI-Inhalte (Blog, E-Mail, Rechnung) — die KI schlägt vor, ein Mensch gibt frei. Nichts wird automatisch versendet.
  • Audit-Logs in Postgres mit Such-UI für Admins: welcher Agent hat wann was getan, mit welchem Modell, welchem Prompt, welchem Ergebnis. Retention: 6+ Monate (Art. 26 Abs. 6).
  • EU-hosted Modelle als Default (Scaleway Paris mit Mistral und Pixtral) statt US-LLMs für sensible Workloads — geringeres Compliance-Risiko bei DSGVO-Drittlandstransfer.
  • Datenschutzerklärung mit dediziertem KI-Abschnitt: welche Modelle, welche Daten, welche Zwecke, welche Rechte hat der Nutzer (Auskunft, Löschung, Widerspruch).
  • AI-Literacy-Schulung für dein Team (Art. 4): 2-Stunden-Workshop, wann KI eingesetzt werden darf, wo Grenzen liegen, wie Vorfälle gemeldet werden.
  • Risiko-Workshop für dein Produkt: 90-Minuten-Termin, in dem wir gemeinsam die AI-Act-Risikoklasse bestimmen und einen schriftlichen Bericht erstellen.
  • Bei Hochrisiko: vollständiges Risikomanagement-System nach Art. 9-15, inkl. Bedrohungsmodell, Testdaten-Dokumentation, technische Spezifikation und Konformitätsbewertung.

Verordnung (EU) 2024/1689 (AI Act) · Durchführungsverordnungen der EU-Kommission · DSGVO Art. 22 (automatisierte Einzelentscheidungen) · ProdHaftG-Neufassung (Produkthaftung bei KI-Schäden, Umsetzung der EU-Produkthaftungsrichtlinie 2024/2853) · NIS2-Richtlinie (wenn KI in kritischer Infrastruktur eingesetzt wird) · Art. 99 AI Act (Sanktionen)

Häufige Fragen

Mein Chatbot beantwortet nur Fragen zu Produkten — bin ich betroffen?
Ja. Schon ein einfacher Chatbot fällt unter Art. 50 AI Act: der Nutzer muss erkennen können, dass er mit einer KI interagiert (nicht mit einem Menschen). Das ist 'begrenztes Risiko' und kostet dich technisch nur einen klaren Hinweis im UI. Hochrisiko bist du nur bei Annex-III-Anwendungen (Bildung, Beschäftigung, Strafverfolgung etc.).
Was muss ich tun, wenn ich KI-generierte Texte auf meiner Website veröffentliche?
Art. 50 verlangt eine Kennzeichnung als KI-generiert — sichtbar für den Nutzer. Bei Schwankl-Software-Installationen ist das die `<AiBadge />`-Komponente. Wenn die KI nur ein Mensch-erstellter Text 'umformuliert' hat, ist die Lage uneindeutig — sicherer ist immer, zu kennzeichnen.
Darf ich OpenAI/Anthropic in der EU nutzen oder muss alles auf EU-Servern laufen?
Nutzen darfst du, aber du brauchst dann einen tragfähigen Rechtsrahmen für den Drittlandstransfer (Standardvertragsklauseln + Transfer Impact Assessment) UND musst Nutzer transparent informieren. Für sensible Workloads (Personalentscheidungen, Gesundheit, Finanzen) empfehle ich EU-hosted Modelle wie Scaleway Mistral — geringeres Compliance-Risiko.
Was kostet ein konkreter Verstoß gegen den AI Act?
Art. 99 stuft Verstöße in drei Klassen: Verbotene Praktiken (Art. 5) bis 35 Mio EUR oder 7% Weltumsatz — was höher ist. Verstöße gegen Hochrisiko- oder GPAI-Pflichten bis 15 Mio EUR oder 3%. Falschauskunft an Aufsichtsbehörden bis 7,5 Mio EUR oder 1%. Für KMU werden die Bußgelder auf den jeweils niedrigeren der beiden Werte (absolut/prozentual) gedeckelt — aber das ist immer noch sechsstellig.
Brauche ich eine eigene KI-Policy für Mitarbeiter?
Ja, faktisch — auch wenn der AI Act es nicht wörtlich als 'Policy' fordert. Art. 4 verpflichtet alle Anbieter und Betreiber, sicherzustellen, dass Mitarbeiter, die KI einsetzen, über ausreichende KI-Kompetenz verfügen. In der Praxis heißt das: schriftliche Richtlinie, was erlaubt ist (z.B. ChatGPT für interne Recherche), was nicht (z.B. Kundendaten in externe LLMs kippen), wie Vorfälle gemeldet werden, plus Schulung bei Eintritt + jährlich. Ich liefere dir Template + Workshop.
Wie dokumentiere ich Risiko-Bewertungen audit-fest?
Im Repository, nicht im Word-Dokument. Pro Feature ein Eintrag in `docs/history/YYYY-MM-DD_*.md` mit: welche AI-Act-Artikel geprüft wurden, welche Risikoklasse rauskam, wer die Entscheidung getroffen hat, welche Kontrollen eingebaut sind, welche Tests existieren. Wenn die Aufsichtsbehörde kommt, kannst du Git-Historie + Code zeigen statt 'da war doch mal eine PDF'. Das ist auch der Standard, den die EU-Kommission in ihren Leitfäden empfiehlt.

Brauchst du Unterstützung?

Lass uns 30 Minuten reden. Ich schaue mir deine Situation an und sage dir, was als Nächstes sinnvoll ist.

Termin vereinbaren
Made in Germany100% DSGVO-konformEU AI Act ReadySicheres HostingBarrierefreiCookie ConsentDaten-Anonymisierung