Die EU-KI-Verordnung (Artificial Intelligence Act, kurz: AI Act) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Sie tritt schrittweise ab August 2024 in Kraft und hat ab August 2026 volle Wirkung. Für KMU, die KI-Systeme einsetzen oder entwickeln, ist der AI Act ein zentrales Compliance-Thema geworden — besonders beim Einsatz von ChatGPT, Copilot oder anderen generierten KI-Systemen in der täglichen Arbeit.
Kurze Antwort
Der AI Act ist Europas gesetzliche Antwort auf unkontrollierte KI-Entwicklung. Er unterteilt KI-Systeme in vier Risikokategorien (verboten, Hochrisiko, begrenztes Risiko, minimales Risiko) und schreibt vor, was Entwickler und Nutzer dazu sagen, prüfen und dokumentieren müssen. Für kleine Unternehmen bedeutet das: mehr Transparenz beim KI-Einsatz, Dokumentationspflichten und mögliche Haftung bei Schäden. Die Strafen sind erheblich (bis 35 Mio. Euro oder 7 % Jahresumsatz).
Definition
Der AI Act ist eine europäische Verordnung, die Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von Künstlicher Intelligenz in der EU schafft. Der risikobasierte Ansatz ist das Kernprinzip: Je höher das Schadensrisiko einer KI, desto strenger die Anforderungen.
Vier Risikokategorien:
- Verbotene KI (ab 02.02.2025): Social Scoring, subliminale psychologische Manipulation, Echtzeit-Gesichtserkennung in der Öffentlichkeit ohne Ausnahme
- Hochrisiko-KI: Bestimmte KI-Systeme in sensiblen Bereichen wie Beschäftigung, Kreditscoring, Zugang zu öffentlichen Diensten oder kritischer Infrastruktur — erfordern Risikobewertungen, Tests, Dokumentation, menschliche Überwachung. Nicht jede KI in diesen Bereichen fällt automatisch darunter; die konkrete Funktion ist entscheidend
- Begrenztes Risiko: Chatbots, generative KI — Transparenzpflichten je nach Anwendungsfall (z.B. muss bei KI-Interaktion ggf. kenntlich gemacht werden, dass kein Mensch antwortet; hängt vom Kontext ab)
- Minimales Risiko: KI mit geringem Schadenpotential — keine speziellen Anforderungen
Der AI Act verpflichtet Hersteller, Importeure und Betreiber zu unterschiedlichen Maßnahmen — vom Verbot über Dokumentation bis zur Transparenzkennzeichnung.
Beispiel aus der Praxis
Ein deutsches Handwerksunternehmen nutzt ein KI-System zur automatischen Analyse von Bewerbungen und Shortlisting. Nach dem AI Act ist diese Anwendung Hochrisiko-KI (Entscheidung über Arbeitsvertrag). Das Unternehmen muss nun:
- Eine schriftliche Risikobewertung durchführen
- Dokumentieren, wie das KI-System eingesetzt wird (Zweck, Nutzergruppe, Kontrollmechanismen) — die Dokumentation des Trainings obliegt dem Anbieter, nicht dem Betreiber
- Testergebnisse speichern (Diskriminierungsfreiheit, Zuverlässigkeit)
- Ein menschliches Qualitätskontroll-System einrichten (alle Entscheidungen überprüfen)
- Kandidaten transparent mitteilen, dass eine KI beteiligt war
- Zuständigkeiten für den KI-Einsatz intern festlegen (kein gesetzlich vorgeschriebener AI-Act-Beauftragter für die meisten KMU)
Ohne diese Maßnahmen drohen Bußgelder bis 35 Millionen Euro. Mit Maßnahmen ist die KI-gestützte Bewerbungsanalyse (mit menschlicher Kontrolle) erlaubt und sogar effizienter als Freiform-Bewertung.
Typische Anwendungsfälle
Was müssen KMU konkret tun, wenn Sie KI nutzen?
- Chatbots & generative KI nutzen (ChatGPT, Claude): Transparenzkennzeichnung wenn der KI-Output veröffentlicht wird (z. B. auf der Website)
- Automatische Entscheidungen treffen (Bonität, Versicherung): Hochrisiko-Compliance — Dokumentation, Tests, menschliche Überwachung
- Personaldaten mit KI verarbeiten (Analyse, Klassifizierung): Risikobewertung erforderlich, Mitarbeiter müssen informiert werden
- KI-Systeme verkaufen oder anbieten: Konformitätserklärung, Dokumentation, technische Dokumentation
- Externe KI-Dienstleister nutzen (API-Anbieter): Prüfen, welche AI-Act-bezogenen Zusicherungen und Informationen der Anbieter bereitstellt
- Daten zum Training von KI nutzen: Dokumentation erforderlich, welche Daten wo landen
- Reputationsrisiko managen: Transparenz über KI-Einsatz schafft Vertrauen, geheimnisvoll wirkt rechtlich verdächtig
DSGVO-Relevanz
Der AI Act und die DSGVO arbeiten parallel und verstärken sich gegenseitig. Beide Gesetze verpflichten Organisationen zu Transparenz, Risikomanagement und Dokumentation — aber mit unterschiedlichen Fokussen:
DSGVO (Datenschutz) regelt: personenbezogene Daten, Datensicherheit, Betroffenenrechte, Datenschutz-Folgeabschätzung (DSFA), Auftragsverarbeiter-Verträge (AVV)
AI Act (KI-Kontrolle) regelt: KI-Systeme unabhängig von Daten, Hochrisiko-Klassifizierung, Testpflicht, Bias-Kontrolle, Disclosure (Kennzeichnung), Compliance-Überwachung
Praktisches Szenario: Ein KI-Tool für automatische Rechnungsverarbeitung mit Kundendaten muss beide erfüllen:
- DSGVO: AVV mit Verarbeiter, ggf. DSFA wenn die Verarbeitung voraussichtlich hohes Risiko birgt (nicht automatisch wegen KI-Einsatz), Zugriffsprotokolle
- AI Act: Risikobewertung (ist es Hochrisiko?), Dokumentation des Modells, Tests auf Fehler
Für KMU-Tools ist die DSGVO-konforme Datenverarbeitung Voraussetzung — der AI Act kommt zusätzlich hinzu. Viele KI-Anbieter (OpenAI, Google) regeln AI-Act-Compliance bereits in ihren Nutzungsbedingungen und AVVen.
Verwandte Begriffe
- Datenschutz-Folgeabschätzung (DSFA) — Risikobewertung für Datenverarbeitung; AI Act ergänzt um KI-spezifische Risiken
- Auftragsverarbeiter-Vertrag (AVV) — Datenschutzvertrag mit KI-Anbietern; regelt Datenschutz nach DSGVO, nicht AI-Act-Compliance (das sind getrennte Regelwerke)
- EU-US Data Privacy Framework (DPF) — relevant wenn KI-Daten in die USA übertragen werden (z. B. ChatGPT); AI Act gilt zusätzlich
- Standardvertragsklauseln (SCCs) — für Datentransfer in Nicht-EU-Länder; mit AI Act verschärfen sich Anforderungen
- Bias & Diskriminierung in KI — AI Act zwingt zur Bias-Prüfung, besonders bei Hochrisiko
- Künstliche Intelligenz (KI) — Oberbegriff; AI Act regelt deren Einsatz
- Large Language Models (LLM) — große Sprachmodelle; als sog. GPAI-Modelle (General Purpose AI) unterliegen sie eigenen Anforderungen im AI Act (Transparenz, Urheberrecht, ggf. systemisches Risiko); die Hochrisiko-Einstufung hängt von der konkreten Anwendung ab
- KI-Agenten — autonome KI-Systeme; Einstufung nach AI Act hängt vom Einsatzbereich ab, nicht vom Typ allein
Häufige Missverständnisse
“Der AI Act verbietet ChatGPT und Co.” Falsch. Der AI Act verbietet nur spezifische hochgefährliche KI (Social Scoring, Gesichtserkennung im öffentlichen Raum). ChatGPT und ähnliche Systeme sind erlaubt, müssen aber als KI gekennzeichnet werden und bei Hochrisiko-Entscheidungen stärkere Safeguards haben.
“Der AI Act gilt nur für große Tech-Konzerne.” Falsch. Kleine Unternehmen, die KI nutzen oder entwickeln, sind Betreiber oder Hersteller — beide Rollen sind reguliert. Kleinstunternehmen haben unter 50 Mitarbeiter reduzierte Pflichten bei manchen Anforderungen, aber nicht durchweg.
“Ich nutze ChatGPT in meinem Unternehmen — der AI Act schert mich nicht.” Teilweise richtig. Die Nutzung von ChatGPT für Brainstorming oder Textentwürfe fällt in der Regel nicht unter die Hochrisiko-Kategorien des AI Act. Sobald KI-Systeme jedoch in sensiblen Bereichen eingesetzt werden oder kritische Entscheidungen unterstützen, gelten strengere Anforderungen.
“DSGVO reicht aus — ich bin compliance.” Nein. DSGVO regelt Daten, AI Act regelt KI-Systeme. Beide gelten parallel. Eine datenschutzkonforme KI kann trotzdem AI-Act-nicht-konform sein, wenn z. B. Bias-Tests fehlen.
Häufig gestellte Fragen
F: Wann muss ich den AI Act erfüllen? A: Ab August 2026 volle Anwendung. Verbotene KI bereits seit 02.02.2025 strafbar. Hochrisiko-Systeme sollten bereits Dokumentation und Tests zeigen können.
F: Wie hoch sind die Strafen? A: Bis 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (was höher ist). Erste Bußgeldverfahren sind noch ausstehend (Verordnung neu).
F: Muss ich mein bestehendes KI-System sofort umstellen? A: Nein, Übergangsfristen gelten. Allerdings: Hochrisiko-KI sollte dokumentiert und getestet werden, um im Streitfall nachzuweisen, dass Sie die Anforderungen kennen.
F: Wer ist verantwortlich — mein Unternehmen oder der KI-Anbieter? A: Beides. Der Anbieter (z. B. OpenAI) muss das System konform entwickeln. Sie als Nutzer müssen sicherstellen, dass Sie es konform nutzen. Bei kritischen Entscheidungen tragen Sie die Verantwortung für menschliche Überwachung.
F: Können kleine KMU den AI Act überhaupt erfüllen? A: Ja, mit Unterstützung. Für Hochrisiko: Risikobewertung (~Tage), Tests (intern oder mit Beratung), Dokumentation (Templates), menschliche Kontrolle. Der Aufwand ist managebar, wenn kein hausinterner KI-Entwicklung betrieben wird.
Wichtige Fristen des AI Act
| Datum | Schritt |
|---|---|
| August 2024 | Inkrafttreten der Verordnung |
| Februar 2025 | Verbotene KI-Praktiken gelten (Artikel 5) |
| August 2025 | GPAI-Regeln und Governance-Strukturen gelten |
| August 2026 | Hauptteil der Verordnung gilt (inkl. Hochrisiko-Anforderungen) |
| August 2027 | Hochrisiko-KI in bestehenden Produkten vollständig erfasst |
Für die meisten KMU, die Standard-SaaS-Tools nutzen, sind die Pflichten des Anbieters entscheidend — nicht die des Betreibers.
Fazit
Die EU-KI-Verordnung ist keine Hürde — sie ist eine Mindeststandard-Garantie für sichere, faire KI in Europa. Für KMU bedeutet das:
- Inventur machen — Welche KI-Systeme nutzen wir oder bauen wir selbst?
- Risiko einschätzen — Sind es Hochrisiko-Anwendungen (Entscheidungen über Menschen, Daten, Kritisches)?
- Dokumentieren & testen — Bei Hochrisiko-Einsatz: Dokumentation, Tests und Kontrollmechanismen nachweisen, soweit die eigene Rolle im AI Act dies erfordert
- Transparent sein — Nutzer, Kunden, Mitarbeiter sollten wissen, dass KI am Werk ist
- Support holen — Compliance-Berater, Anbieter-Verträge (AVV), interne Verantwortliche
Ab 2026 ist der AI Act Realität. Mit frühzeitiger Dokumentation und durchdachtem Einsatz ist Compliance erreichbar — und schafft Vertrauen.
Passende Tooltests
Weiterführende Begriffe
- Künstliche Intelligenz (KI)
- Large Language Models (LLM)
- KI-Halluzinationen
- Auftragsverarbeiter-Vertrag (AVV)
- EU-US Data Privacy Framework (DPF)