Zum Inhalt springen
Zurueck zur Uebersicht
03 · EU AI Act

EU AI Act: Das erste umfassende KI-Gesetz

Die Verordnung (EU) 2024/1689 ist seit 02.08.2024 in Kraft. Sie klassifiziert KI in vier Risikoklassen — verboten, hoch, begrenzt, minimal — und legt fuer jede Klasse Pflichten fest. Verstoesse kosten bis zu 35 Mio EUR oder 7% des weltweiten Umsatzes.

EU AI Act: Das erste umfassende KI-Gesetz

Worum es geht

Der AI Act ist die erste umfassende KI-Regulierung weltweit und betrifft alle, die KI-Systeme in der EU anbieten, importieren oder beruflich einsetzen — nicht nur Hersteller. Sein Geltungsbereich ist extraterritorial: auch ein US-Anbieter, dessen Output in der EU genutzt wird, faellt darunter. Maßstab ist nicht die Technologie, sondern der Anwendungszweck. Ein Sprachmodell ist nicht 'an sich' hochriskant — entscheidend ist, wofuer es eingesetzt wird.

Der AI Act tritt gestaffelt in Kraft: verbotene Praktiken seit 02.02.2025 (Manipulation, Social Scoring, Emotion Recognition am Arbeitsplatz, ungezielte Gesichtserfassung im oeffentlichen Raum), GPAI-Pflichten seit 02.08.2025 (Pflichten fuer General-Purpose-Modelle wie GPT, Claude oder Mistral), Hochrisiko-Systeme ab 02.08.2026 (Annex III: Bildung, Beschaeftigung, Strafverfolgung, Sozialleistungen, kritische Infrastruktur). Auch fuer 'begrenztes Risiko' (Chatbots, Bildgenerierung, Deepfakes) gelten Transparenz-Pflichten: Nutzer muessen wissen, dass sie mit KI interagieren oder KI-generierte Inhalte sehen.

Fuer Software-Anbieter heisst das in der Praxis: jede neue KI-Funktion braucht VOR Release eine Risiko-Klassifizierung, eine technische Dokumentation und eine sichtbare Kennzeichnung im UI. Die Frist 02.08.2026 klingt weit weg, aber wenn dein Produkt unter Annex III faellt, braucht es bis dahin eine Konformitaetsbewertung — und die dauert Monate. Wer im Sommer 2026 anfaengt, ist zu spaet.

Wer ist betroffen

  • Anbieter von KI-Systemen, die in der EU vermarktet oder genutzt werden — unabhaengig vom Sitz des Anbieters. Ein US-Startup, dessen Tool in Deutschland Kunden hat, faellt darunter.
  • Betreiber: Unternehmen oder Behoerden, die KI in ihrem operativen Geschaeft einsetzen (z.B. KI-gestuetzte Bewerber-Vorauswahl, automatische Schadensregulierung, Kundensupport-Chatbot).
  • Importeure und Haendler von KI-Systemen aus Drittlaendern — sie haften mit, wenn sie ein nicht-konformes System in der EU vertreiben.
  • SaaS-Anbieter, die KI-Features in bestehende Workflows integrieren — auch wenn das eigentliche Modell von OpenAI oder Anthropic stammt.
  • GPAI-Anbieter (General Purpose AI) mit eigenen Modellen — strengere Pflichten ab 10^25 FLOPS Trainingsbudget (Art. 51 ff.).
  • Oeffentliche Stellen und Behoerden, die KI in den Annex-III-Bereichen einsetzen (Sozialleistungen, Migration, Strafverfolgung).
  • Jeder Arbeitgeber, der KI fuer Personalentscheidungen nutzt (Recruiting, Performance, Kuendigung) — fast immer Hochrisiko (Annex III Punkt 4).

Was Pflicht ist

  • Art. 4: AI Literacy — Mitarbeiter, die KI einsetzen, muessen geschult sein (Pflicht seit 02.02.2025, oft uebersehen).
  • Art. 5: Verbotene Praktiken aktiv ausschliessen (Manipulation, Social Scoring, ungezielte Gesichtserfassung, Emotion Recognition am Arbeitsplatz oder in Bildungseinrichtungen).
  • Art. 6-7: Hochrisiko-Klassifizierung gegen Annex III pruefen — vor Release, dokumentiert, im Zweifel mit Anwalt.
  • Art. 9-15: Bei Hochrisiko vollstaendiges Risikomanagement-System, Datenqualitaets-Pruefung, technische Dokumentation, Logging.
  • Art. 13: Transparenz — Nutzer muessen wissen, was die KI tut, mit welchen Daten, mit welcher Genauigkeit.
  • Art. 14: Human Oversight — bei Hochrisiko muss ein Mensch eingreifen koennen, bevor die Entscheidung Wirkung entfaltet.
  • Art. 26: Betreiber-Pflichten — Eingangsdaten pruefen, Logs aufbewahren (mindestens 6 Monate), Vorfaelle melden.
  • Art. 49-50: Kennzeichnung — KI-generierte Inhalte (Text, Bild, Audio, Video) muessen sichtbar markiert sein. Bei Hochrisiko zusaetzlich CE-Kennzeichnung.
  • Art. 50 Abs. 1: Chatbots, Voice-Agents, KI-Assistenten — Nutzer muss erkennen koennen, dass er mit einer Maschine spricht.
  • Art. 71: Schwerwiegende Vorfaelle (Schaeden an Gesundheit, Sicherheit, Grundrechten) innerhalb von 15 Tagen an Marktueberwachungsbehoerde melden.
  • GPAI (Art. 51-55): Trainingsdaten-Zusammenfassung veroeffentlichen, Urheberrechts-Policy, Energieverbrauch dokumentieren — Pflicht seit 02.08.2025.
  • DSGVO Art. 22: Keine vollautomatisierten Einzelentscheidungen mit Rechtswirkung ohne Opt-in oder gesetzliche Grundlage.

Was ich fuer dich uebernehme

  • Risiko-Klassifizierung pro Feature, dokumentiert im Repo (`docs/history/YYYY-MM-DD_*.md`) mit Verweis auf konkrete AI-Act-Artikel — pruefbar fuer Audits und interne Reviews.
  • AiBadge-Komponente fuer alle KI-Outputs (Text, Bild, Audio) — DE+EN, Dark/Light Mode, mit Provider-Angabe und Confidence-Score wenn verfuegbar.
  • Approval-Gates fuer kundensichtbare KI-Inhalte (Blog, E-Mail, Rechnung) — die KI schlaegt vor, ein Mensch gibt frei. Nichts wird automatisch versendet.
  • Audit-Logs in Postgres mit Such-UI fuer Admins: welcher Agent hat wann was getan, mit welchem Modell, welchem Prompt, welchem Ergebnis. Retention: 6+ Monate (Art. 26 Abs. 6).
  • EU-hosted Modelle als Default (Scaleway Paris mit Mistral und Pixtral) statt US-LLMs fuer sensible Workloads — geringeres Compliance-Risiko bei DSGVO-Drittlandstransfer.
  • Datenschutzerklaerung mit dediziertem KI-Abschnitt: welche Modelle, welche Daten, welche Zwecke, welche Rechte hat der Nutzer (Auskunft, Loeschung, Widerspruch).
  • AI-Literacy-Schulung fuer dein Team (Art. 4): 2-Stunden-Workshop, wann KI eingesetzt werden darf, wo Grenzen liegen, wie Vorfaelle gemeldet werden.
  • Risiko-Workshop fuer dein Produkt: 90-Minuten-Termin, in dem wir gemeinsam die AI-Act-Risikoklasse bestimmen und einen schriftlichen Bericht erstellen.
  • Bei Hochrisiko: vollstaendiges Risikomanagement-System nach Art. 9-15, inkl. Bedrohungsmodell, Testdaten-Dokumentation, technische Spezifikation und Konformitaetsbewertung.

Rechtsgrundlage

Verordnung (EU) 2024/1689 (AI Act) · Durchfuehrungsverordnungen der EU-Kommission · DSGVO Art. 22 (automatisierte Einzelentscheidungen) · ProdHaftG-Neufassung (Produkthaftung bei KI-Schaeden, Umsetzung der EU-Produkthaftungsrichtlinie 2024/2853) · NIS2-Richtlinie (wenn KI in kritischer Infrastruktur eingesetzt wird) · Art. 99 AI Act (Sanktionen)

Haeufige Fragen

Mein Chatbot beantwortet nur Fragen zu Produkten — bin ich betroffen?
Ja. Schon ein einfacher Chatbot faellt unter Art. 50 AI Act: der Nutzer muss erkennen koennen, dass er mit einer KI interagiert (nicht mit einem Menschen). Das ist 'begrenztes Risiko' und kostet dich technisch nur einen klaren Hinweis im UI. Hochrisiko bist du nur bei Annex-III-Anwendungen (Bildung, Beschaeftigung, Strafverfolgung etc.).
Was muss ich tun, wenn ich KI-generierte Texte auf meiner Website veroeffentliche?
Art. 50 verlangt eine Kennzeichnung als KI-generiert — sichtbar fuer den Nutzer. Bei Schwankl-Software-Installationen ist das die `<AiBadge />`-Komponente. Wenn die KI nur ein Mensch-erstellter Text 'umformuliert' hat, ist die Lage uneindeutig — sicherer ist immer, zu kennzeichnen.
Darf ich OpenAI/Anthropic in der EU nutzen oder muss alles auf EU-Servern laufen?
Nutzen darfst du, aber du brauchst dann einen tragfaehigen Rechtsrahmen fuer den Drittlandstransfer (Standardvertragsklauseln + Transfer Impact Assessment) UND musst Nutzer transparent informieren. Fuer sensible Workloads (Personalentscheidungen, Gesundheit, Finanzen) empfehle ich EU-hosted Modelle wie Scaleway Mistral — geringeres Compliance-Risiko.
Was kostet ein konkreter Verstoss gegen den AI Act?
Art. 99 stuft Verstoesse in drei Klassen: Verbotene Praktiken (Art. 5) bis 35 Mio EUR oder 7% Weltumsatz — was hoeher ist. Verstoesse gegen Hochrisiko- oder GPAI-Pflichten bis 15 Mio EUR oder 3%. Falschauskunft an Aufsichtsbehoerden bis 7,5 Mio EUR oder 1%. Fuer KMU werden die Bussgelder auf den jeweils niedrigeren der beiden Werte (absolut/prozentual) gedeckelt — aber das ist immer noch sechsstellig.
Brauche ich eine eigene KI-Policy fuer Mitarbeiter?
Ja, faktisch — auch wenn der AI Act es nicht woertlich als 'Policy' fordert. Art. 4 verpflichtet alle Anbieter und Betreiber, sicherzustellen, dass Mitarbeiter, die KI einsetzen, ueber ausreichende KI-Kompetenz verfuegen. In der Praxis heisst das: schriftliche Richtlinie, was erlaubt ist (z.B. ChatGPT fuer interne Recherche), was nicht (z.B. Kundendaten in externe LLMs kippen), wie Vorfaelle gemeldet werden, plus Schulung bei Eintritt + jaehrlich. Ich liefere dir Template + Workshop.
Wie dokumentiere ich Risiko-Bewertungen audit-fest?
Im Repository, nicht im Word-Dokument. Pro Feature ein Eintrag in `docs/history/YYYY-MM-DD_*.md` mit: welche AI-Act-Artikel geprueft wurden, welche Risikoklasse rauskam, wer die Entscheidung getroffen hat, welche Kontrollen eingebaut sind, welche Tests existieren. Wenn die Aufsichtsbehoerde kommt, kannst du Git-Historie + Code zeigen statt 'da war doch mal eine PDF'. Das ist auch der Standard, den die EU-Kommission in ihren Leitfaeden empfiehlt.
Tiefere Lesetour
Vertiefung im Blog

Brauchst du Unterstuetzung?

Lass uns 30 Minuten reden. Ich schaue mir deine Situation an und sage dir, was als Naechstes sinnvoll ist.

Termin vereinbaren
Made in Germany100% DSGVO-konformEU AI Act ReadySicheres HostingBarrierefreiCookie ConsentDaten-Anonymisierung