Zum Inhalt springen
KI-Regulierung in Europa

Der EU AI Act: Was Unternehmen jetzt wissen müssen

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung der Welt. Er ist am 1. August 2024 in Kraft getreten und gilt gestaffelt bis 2027. Statt jede Technologie gleich zu behandeln, verfolgt er einen risikobasierten Ansatz: Je größer das Risiko einer KI-Anwendung für Menschen und Grundrechte, desto strenger sind die Pflichten. Manche Praktiken sind seit Februar 2025 sogar ganz verboten.

Risikoklassen-Schnellcheck → Erstgespräch buchen

Wenn ihr KI einsetzt oder selbst KI-Anwendungen baut, betrifft euch der AI Act in der einen oder anderen Form. Die gute Nachricht vorweg: Der Großteil aller Anwendungen fällt in eine niedrige Risikoklasse und bringt kaum zusätzliche Pflichten mit sich. Ein Spamfilter, eine Produktempfehlung, ein Übersetzungstool – damit müsst ihr euch nicht stundenlang durch Paragrafen wühlen.

Heikel wird es in bestimmten Bereichen: bei der Vorauswahl von Bewerbern, bei Kreditwürdigkeitsprüfungen, bei biometrischen Systemen oder überall dort, wo eine KI über den Zugang von Menschen zu wichtigen Diensten mitentscheidet. Dort gelten strenge Anforderungen. Und einige Praktiken hat der Gesetzgeber komplett untersagt.

Auf dieser Seite ordnen wir das für euch ein: welche Risikoklassen es gibt, welche Fristen wann greifen und worauf ihr konkret achten solltet – je nachdem, ob ihr KI nur nutzt oder selbst entwickelt. Sachlich, ohne Paragrafen-Kauderwelsch und ohne Panikmache.

Fristen & Zeitplan

Stand: Juni 2026
  1. 1. August 2024 in Kraft

    Inkrafttreten

    Der EU AI Act tritt als Verordnung (EU) 2024/1689 in Kraft. Ab hier laufen die Übergangsfristen für die einzelnen Pflichten.

  2. 2. Februar 2025 in Kraft

    Verbote + KI-Kompetenz

    Unzulässige KI-Praktiken sind verboten. Gleichzeitig gilt die Pflicht zur KI-Kompetenz (AI Literacy): Wer KI einsetzt, muss für ausreichendes Wissen im Team sorgen.

  3. 2. August 2025 in Kraft

    GPAI und Governance

    Pflichten für General-Purpose-AI-Modelle (GPAI) greifen. Außerdem stehen die Governance-Struktur, die nationalen Behörden und die Sanktionsregeln.

  4. 2. August 2026 geplant

    Hochrisiko (Anhang III)

    Der Großteil der Pflichten wird wirksam, allen voran die strengen Anforderungen für Hochrisiko-KI nach Anhang III – etwa in HR, Bonität oder kritischer Infrastruktur.

  5. 2. August 2027 geplant

    Hochrisiko (Anhang I)

    Die Regeln gelten auch für KI, die als Sicherheitskomponente in bereits regulierten Produkten steckt (Anhang I), zum Beispiel in Maschinen oder Medizinprodukten.

Die vier Risikoklassen

Unannehmbar

Verbotene KI-Praktiken

Diese Anwendungen sind seit dem 2. Februar 2025 in der EU untersagt, weil sie Grundrechte zu stark gefährden. Hier gibt es keine Konformitätsprüfung – sie sind schlicht nicht erlaubt.

z. B. Social Scoring durch Behörden, manipulative oder Schwächen ausnutzende Systeme, ungezieltes Auslesen von Gesichtsbildern, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, bestimmte biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum.

Hoch

Hochrisiko-KI

Erlaubt, aber an strenge Auflagen gebunden: Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht sowie Genauigkeit, Robustheit und Cybersicherheit – plus eine Konformitätsbewertung vor dem Einsatz.

z. B. Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalauswahl (HR), Zugang zu wesentlichen Diensten wie der Kreditwürdigkeitsprüfung, Strafverfolgung, Migration und Asyl, Justiz.

Begrenzt

Transparenzpflichten

Hier reichen Transparenzregeln: Menschen müssen erkennen können, dass sie mit einer KI interagieren oder dass ein Inhalt künstlich erzeugt wurde. Es geht um Offenlegung, nicht um aufwendige Prüfverfahren.

z. B. Chatbots müssen sich als KI zu erkennen geben. KI-generierte oder -manipulierte Inhalte wie Deepfakes sowie synthetische Texte und Bilder sind zu kennzeichnen.

Minimal

Minimales Risiko

Der Großteil aller KI-Anwendungen landet hier. Es gelten keine besonderen Pflichten aus dem AI Act – ihr könnt diese Systeme frei einsetzen und entwickeln.

z. B. Spamfilter, KI in Videospielen, Produktempfehlungen, Bestandsoptimierung und die meisten alltäglichen Automatisierungen im Unternehmen.

Risikoklassen-Schnellcheck

Vier kurze Fragen für eine fundierte Ersteinordnung deines KI-Vorhabens nach dem EU AI Act.

1 von 4

Nutzt oder plant ihr KI für etwas, das verboten sein könnte? (z. B. Social Scoring, Emotionserkennung am Arbeitsplatz, ungezielte Gesichtserkennung, manipulative Systeme)

Ihr setzt KI ein? Das gilt für euch (Betreiber)

Als Betreiber (deployer) nutzt ihr KI-Systeme, die jemand anderes gebaut hat – etwa ein Recruiting-Tool, einen Chatbot oder eine Bonitätsprüfung. Eure Pflichten hängen stark von der Risikoklasse der eingesetzten Anwendung ab. Diese To-dos helfen euch, den Überblick zu behalten.

  • Verschafft euch einen Überblick: Listet auf, welche KI-Systeme bei euch im Einsatz sind – auch die, die als Funktion in bestehender Software stecken und gar nicht als KI beworben werden.
  • Ordnet jede Anwendung einer Risikoklasse zu. Besonders genau bei HR, Bonitätsprüfung, Biometrie und allem, was über den Zugang von Menschen zu Diensten mitentscheidet.
  • Sorgt für KI-Kompetenz im Team: Seit Februar 2025 müssen die Menschen, die mit KI arbeiten, ausreichend geschult sein, um Ergebnisse einordnen und hinterfragen zu können.
  • Stellt sicher, dass Chatbots und KI-generierte Inhalte gekennzeichnet sind. Wer mit einer KI spricht oder einen synthetischen Inhalt sieht, soll das erkennen können.
  • Richtet bei Hochrisiko-Anwendungen eine echte menschliche Aufsicht ein – nicht nur auf dem Papier. Jemand muss Ergebnisse prüfen und im Zweifel eingreifen können.
  • Lasst euch vom Anbieter die nötigen Informationen und die Dokumentation geben und setzt das System so ein, wie es vorgesehen ist. Eigenmächtige Zweckentfremdung kann euch zum Anbieter machen.
  • Prüft kritisch, ob eine geplante Anwendung womöglich in die Kategorie der verbotenen Praktiken fällt – etwa Emotionserkennung am Arbeitsplatz.

Ihr entwickelt oder bietet KI an? Das gilt für euch (Anbieter)

Als Anbieter (provider) baut ihr KI-Systeme oder bringt sie unter eurem Namen auf den Markt. Hier liegt die Hauptlast der Pflichten – besonders, wenn euer System als Hochrisiko-KI eingestuft wird. Plant das früh ein, denn vieles muss in der Entwicklung selbst angelegt sein, nicht erst am Ende drangeschraubt werden.

  • Klärt zuerst die Einstufung: In welche Risikoklasse fällt euer System? Davon hängt ab, ob ihr mit Transparenzregeln auskommt oder den vollen Hochrisiko-Pflichtenkatalog erfüllen müsst.
  • Baut für Hochrisiko-Systeme ein Risikomanagement und eine saubere Daten-Governance auf: Trainingsdaten müssen relevant, repräsentativ und so fehlerfrei wie möglich sein.
  • Erstellt die technische Dokumentation und richtet eine Protokollierung ein, mit der sich der Betrieb des Systems nachvollziehen lässt.
  • Sorgt für Genauigkeit, Robustheit und Cybersicherheit und legt das System so an, dass Menschen es wirksam beaufsichtigen können.
  • Durchlauft die vorgeschriebene Konformitätsbewertung, bevor das System auf den Markt kommt, und haltet die Transparenzpflichten ein – etwa die Kennzeichnung KI-generierter Inhalte.
  • Wenn ihr ein General-Purpose-AI-Modell (GPAI) anbietet, beachtet die seit August 2025 geltenden zusätzlichen Pflichten für solche Modelle.
  • Liefert euren Betreibern die Informationen mit, die sie für einen rechtskonformen Einsatz brauchen – ihre Pflichten bauen auf eurer Dokumentation auf.

Checkliste: Worauf ihr achten solltet

  • Wir haben alle eingesetzten und angebotenen KI-Systeme erfasst – auch versteckte KI-Funktionen in bestehender Software.
  • Jedes System ist einer Risikoklasse zugeordnet (unannehmbar, hoch, begrenzt, minimal).
  • Wir haben geprüft, dass keine unserer Anwendungen unter die verbotenen Praktiken fällt.
  • Chatbots und KI-generierte Inhalte sind als solche gekennzeichnet.
  • Unser Team verfügt über ausreichende KI-Kompetenz (AI Literacy).
  • Für Hochrisiko-Systeme ist eine echte menschliche Aufsicht eingerichtet.
  • Wir kennen unsere Rolle (Anbieter, Betreiber, Importeur oder Händler) und die jeweiligen Pflichten.
  • Die relevanten Fristen (2025, 2026, 2027) sind uns bekannt und im Plan berücksichtigt.
  • Wir haben Verantwortliche und Prozesse für Dokumentation und Nachweise benannt.
  • Im Zweifel haben wir rechtliche Prüfung eingeplant, bevor heikle Systeme produktiv gehen.
Checkliste herunterladen
Die erweiterte Compliance-Checkliste mit Erklärungen – mit unserem Logo, zum Abhaken und Mitnehmen.

Häufige Fragen zum EU AI Act

Was ist der EU AI Act in einem Satz?

Der EU AI Act ist die Verordnung (EU) 2024/1689 und die erste umfassende KI-Regulierung der Welt. Sie ordnet KI-Anwendungen nach ihrem Risiko in vier Klassen ein und knüpft daran abgestufte Pflichten – von gar keinen Auflagen bis hin zu einem Verbot.

Ab wann gilt der EU AI Act?

Der EU AI Act ist am 1. August 2024 in Kraft getreten und gilt gestaffelt. Seit dem 2. Februar 2025 sind verbotene Praktiken untersagt und die KI-Kompetenzpflicht greift. Ab dem 2. August 2025 gelten Regeln für GPAI-Modelle und die Governance-Struktur, ab dem 2. August 2026 der Großteil der Hochrisiko-Pflichten und ab dem 2. August 2027 die Regeln für KI in bereits regulierten Produkten.

Welche KI-Praktiken sind verboten?

Verboten sind seit Februar 2025 KI-Praktiken mit unannehmbarem Risiko. Dazu zählen unter anderem Social Scoring durch Behörden, manipulative oder die Schwächen von Menschen ausnutzende Systeme, das ungezielte Auslesen von Gesichtsbildern, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie bestimmte Formen biometrischer Echtzeit-Fernidentifizierung im öffentlichen Raum.

Was bedeutet Hochrisiko-KI für mein Unternehmen?

Hochrisiko-KI ist erlaubt, aber an strenge Pflichten gebunden: Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit sowie eine Konformitätsbewertung. Betroffen sind Bereiche wie Personalauswahl (HR), Kreditwürdigkeitsprüfung, Biometrie, kritische Infrastruktur, Bildung, Strafverfolgung, Migration und Justiz.

Was ist der Unterschied zwischen Anbieter und Betreiber?

Der Anbieter (provider) entwickelt ein KI-System oder bringt es unter seinem Namen auf den Markt und trägt die Hauptlast der Pflichten. Der Betreiber (deployer) nutzt ein bestehendes KI-System im eigenen Betrieb und hat eigene, meist leichtere Pflichten. Daneben gibt es noch Importeure und Händler. Achtung: Wer ein System stark zweckentfremdet, kann selbst zum Anbieter werden.

Wie hoch sind die Strafen bei Verstößen?

Die Strafen sind gestaffelt. Für verbotene Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für andere Verstöße liegen die Höchstbeträge darunter.

Muss ich Chatbots und KI-Inhalte kennzeichnen?

Ja. Für Systeme mit begrenztem Risiko gelten Transparenzpflichten. Nutzer müssen erkennen können, dass sie mit einer KI interagieren, etwa bei einem Chatbot. Und KI-generierte oder -manipulierte Inhalte wie Deepfakes sowie synthetische Texte und Bilder müssen entsprechend gekennzeichnet werden.

Mein Unternehmen nutzt nur einfache KI-Tools – betrifft mich der AI Act?

Meist nur in geringem Umfang. Die allermeisten alltäglichen Anwendungen wie Spamfilter oder Produktempfehlungen fallen in die Klasse mit minimalem Risiko und bringen keine besonderen Pflichten mit sich. Seit Februar 2025 gilt aber für alle die KI-Kompetenzpflicht, und sobald ein Tool in einen sensiblen Bereich wie HR oder Bonität reicht, kann es schnell als Hochrisiko-KI gelten.

Unsicher, wie der AI Act eure KI-Projekte trifft?

Wir bauen KI in eure bestehenden Systeme – mit Compliance von Anfang an mitgedacht statt nachträglich drangeschraubt. In einem unverbindlichen Erstgespräch ordnen wir gemeinsam ein, in welche Risikoklasse eure Anwendungen fallen und worauf ihr achten solltet. Schreibt uns an info@rocket-monkeys.com.

Erstgespräch buchen
⚠️ Wichtiger Hinweis: Diese Seite dient der Information und Orientierung und ist keine Rechtsberatung. Die Inhalte geben den Stand 2026 wieder und können eine Einzelfallprüfung nicht ersetzen. Für eine verbindliche Einschätzung eurer konkreten KI-Anwendungen zieht im Zweifel einen Fachanwalt für IT-Recht oder euren Datenschutzbeauftragten hinzu.