Der EU AI Act betrifft Unternehmen jeder Größe, die KI-Systeme entwickeln, vertreiben oder einsetzen - und damit den gesamten deutschen Mittelstand. Seit dem 1. August 2024 ist die KI-Verordnung (Verordnung (EU) 2024/1689) in Kraft. Sie ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Laut Bitkom nutzt bereits jedes dritte Unternehmen in Deutschland KI produktiv, doch die wenigsten haben ihre Compliance-Pflichten geklärt. Dieser Leitfaden zeigt, welche Anforderungen gelten, welche Fristen laufen und wie Sie die Umsetzung konkret angehen.
EU AI Act - Kennzahlen auf einen Blick
Kennzahl Wert Betroffene Unternehmen in der EU über 300.000 (EU-Kommission) KI-Nutzung in Deutschland 30 % aller Unternehmen (Bitkom 2025) Höchststrafe bei Verstößen 35 Mio. Euro oder 7 % des Jahresumsatzes Hochrisiko-Anteil 5-15 % aller KI-Anwendungen (EU-Kommission) Compliance-Kosten pro Hochrisiko-System 6.500-400.000 Euro (EU Impact Assessment) Quellen: EU-Kommission Impact Assessment 2021, Bitkom 2025, Verordnung (EU) 2024/1689
Was der EU AI Act für Unternehmen bedeutet
Der EU AI Act ist eine europäische Verordnung zur Regulierung Künstlicher Intelligenz, die unmittelbar in allen Mitgliedstaaten gilt. Unternehmen brauchen also nicht auf ein deutsches Umsetzungsgesetz zu warten - die Pflichten greifen direkt. Kern der Regulierung ist ein risikobasierter Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Auflagen.
Die Verordnung unterscheidet zwischen drei Rollen. Anbieter (Provider) entwickeln oder trainieren KI-Systeme und bringen sie auf den Markt. Betreiber (Deployer) setzen KI-Systeme ein, die andere entwickelt haben. Die meisten Mittelständler fallen in die Rolle des Betreibers - etwa wenn sie ein KI-gestütztes Bewerbermanagement-Tool nutzen oder ChatGPT für Kundenanfragen einsetzen. Und auch Betreiber tragen konkrete Compliance-Pflichten.
Für Unternehmen außerhalb der EU gilt die Verordnung ebenfalls, sobald ihre KI-Systeme Auswirkungen auf Personen in der EU haben. Das betrifft beispielsweise US-amerikanische SaaS-Anbieter, deren Tools europäische Kunden nutzen.
Ziele der KI-Verordnung
Die EU verfolgt mit dem AI Act drei Ziele: den Schutz von Grundrechten und Sicherheit, die Schaffung eines einheitlichen Binnenmarkts für KI und die Förderung von Innovation durch klare Regeln. Für den Mittelstand bedeutet das vor allem Rechtssicherheit. Wer die Anforderungen kennt und umsetzt, kann KI-Systeme ohne rechtliche Grauzone einsetzen.
Wen betrifft der EU AI Act konkret?
Die Verordnung erfasst praktisch jedes Unternehmen, das KI nutzt. Das schließt Standardanwendungen wie Chatbots, automatisierte Textgenerierung oder KI-gestützte Datenanalyse ein. Auch Unternehmen, die KI nur indirekt einsetzen - etwa über eingekaufte Software mit eingebetteten KI-Funktionen - fallen unter den Anwendungsbereich. Eine appliedAI-Studie zeigt, dass bei 40 Prozent der untersuchten 106 Enterprise-KI-Systeme unklar war, in welche Risikoklasse sie fallen. Das verdeutlicht: Ohne systematische Prüfung wissen viele Betriebe gar nicht, welche Pflichten auf sie zukommen.
Die vier Risikoklassen im Überblick
Das Herzstück des EU AI Act ist die Einteilung in vier Risikoklassen. Diese Klassifizierung bestimmt, welche Pflichten ein Unternehmen erfüllen muss. Die Einordnung erfolgt nicht nach der Technologie selbst, sondern nach dem Einsatzzweck und den möglichen Auswirkungen auf betroffene Personen.
| Risikoklasse | Beispiele | Regulierung |
|---|---|---|
| Unannehmbares Risiko | Social Scoring, manipulative KI, biometrische Echtzeit-Fernidentifizierung | Vollständig verboten |
| Hohes Risiko | KI in Personalauswahl, Kreditwürdigkeitsprüfung, kritische Infrastruktur | Strenge Auflagen und Konformitätsbewertung |
| Begrenztes Risiko | Chatbots, Deepfakes, Emotionserkennung | Transparenzpflichten |
| Minimales Risiko | Spam-Filter, Empfehlungsalgorithmen, Textkorrektur | Keine speziellen Auflagen |
Verbotene KI-Praktiken
Seit dem 2. Februar 2025 sind acht KI-Praktiken in der EU vollständig verboten. Dazu gehören Social Scoring, unterschwellig manipulative KI-Systeme, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie das ungezielte Scraping von Gesichtsbildern. Unternehmen, die solche Systeme einsetzen, riskieren Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Hochrisiko-KI-Systeme
Besonders relevant für den Mittelstand ist der Bereich Hochrisiko-KI. Acht Anwendungsbereiche hat die EU in Anhang III der Verordnung definiert. Für Unternehmen im DACH-Raum sind vor allem zwei Bereiche kritisch: KI im Personalwesen (Bewerbervorauswahl, Leistungsbewertung, Beförderungsentscheidungen) und KI in der Kreditwürdigkeitsprüfung. Wer ein KI-Tool zur Bewerberauswahl einsetzt, unterliegt den strengen Hochrisiko-Anforderungen - selbst dann, wenn die finale Entscheidung ein Mensch trifft. Laut einer appliedAI-Umfrage unter 113 EU-KI-Startups glauben 33 Prozent, dass ihre Systeme als Hochrisiko eingestuft werden.
Transparenzpflichten bei begrenztem Risiko
Unternehmen, die Chatbots, KI-generierte Texte oder synthetische Medien einsetzen, müssen Nutzer darüber informieren. Wer einen Chatbot auf der Firmenwebsite betreibt, muss kenntlich machen, dass der Nutzer mit einer KI interagiert. KI-generierte Bilder, Videos oder Audiodateien müssen sowohl sichtbar als auch maschinenlesbar gekennzeichnet werden. Diese Transparenzpflichten gelten ab August 2026.
Welche Pflichten haben Unternehmen nach dem EU AI Act?
Die konkreten Pflichten hängen von der Rolle des Unternehmens und der Risikoklasse des KI-Systems ab. Für Betreiber von Hochrisiko-KI gelten zehn Kernpflichten, die in der Verordnung detailliert geregelt sind. Anbieter tragen noch weitergehende Verantwortung.
- Risikomanagement über den gesamten Lebenszyklus
- Daten-Governance für Trainings- und Testdaten
- Technische Dokumentation der KI-Architektur
- Automatische Protokollierung (Logging)
- Transparenz und Gebrauchsanweisungen
- Menschliche Aufsicht (Human Oversight)
- Genauigkeit, Robustheit und Cybersicherheit
- Konformitätsbewertung mit CE-Kennzeichnung
- Registrierung in der EU-Datenbank
- Post-Market-Monitoring
Pflichten für Betreiber im Mittelstand
Die meisten mittelständischen Unternehmen sind Betreiber, keine Anbieter. Als Betreiber müssen Sie sicherstellen, dass eingekaufte KI-Systeme konform eingesetzt werden. Konkret heißt das: Sie prüfen, ob der Anbieter die Konformitätsbewertung durchgeführt hat, Sie setzen das System gemäß der Gebrauchsanweisung ein, und Sie überwachen den Betrieb. Dazu kommt die Pflicht, betroffene Personen zu informieren - etwa Bewerber, deren Unterlagen von einer KI vorselektiert werden.
Sonderregeln für General Purpose AI
Für sogenannte General Purpose AI (GPAI) - also Basismodelle wie GPT-4 oder Gemini - gelten eigene Regeln. Die Pflichten treffen primär die Anbieter dieser Modelle, nicht die Unternehmen, die sie nutzen. Seit August 2025 müssen GPAI-Anbieter unter anderem technische Dokumentation bereitstellen und die Urheberrechts-Compliance sicherstellen. Für Unternehmen, die KI im Unternehmen einsetzen, bleibt die Verantwortung für den konkreten Einsatzzweck - etwa ob die Nutzung von ChatGPT in einem Hochrisiko-Kontext erfolgt.
Wie setzen Unternehmen den EU AI Act konkret um?
Die praktische Umsetzung der KI-Verordnung lässt sich in fünf Schritte gliedern. Die gute Nachricht: Unternehmen, die bereits ein Datenschutz-Management nach DSGVO betreiben, können auf bestehende Strukturen aufbauen. Ein KI-Governance-System muss keine Parallelstruktur sein, sondern kann in vorhandene GRC-Prozesse integriert werden.
- KI-Inventar erstellen (4-8 Wochen)
- Risikoklassifizierung durchführen
- Dokumentation und Qualitätsmanagement aufbauen
- KI-Governance-Struktur etablieren
- Schulungen durchführen und dokumentieren
Schritt 1: KI-Inventar erstellen
Erfassen Sie alle KI-Systeme in Ihrem Unternehmen - auch die, die Sie nicht auf dem Schirm haben. Das betrifft eingebettete KI in CRM-Systemen, KI-Funktionen in Microsoft 365 Copilot, automatisierte Chatbots und jedes Tool, das maschinelles Lernen einsetzt. Laut Gartner haben weniger als 10 Prozent der betroffenen Organisationen ihr KI-Inventar abgeschlossen. Gerade Shadow-AI, also KI-Nutzung ohne Wissen der IT-Abteilung, ist ein verbreitetes Problem im Mittelstand.
Schritt 2: Risikoklassifizierung
Für jeden erfassten KI-Einsatz prüfen Sie, in welche Risikoklasse er fällt. Ist die Anwendung verboten (Art. 5)? Fällt sie unter Hochrisiko (Anhang III)? Gelten Transparenzpflichten? Oder handelt es sich um minimales Risiko ohne Auflagen? Bei unklaren Fällen hilft die Faustregel: Wenn das KI-System Entscheidungen über Menschen trifft oder maßgeblich beeinflusst, prüfen Sie besonders genau.
Schritt 3: Dokumentation aufbauen
Für Hochrisiko-Systeme verlangt der AI Act eine technische Dokumentation, die Architektur, Trainingsverfahren, Leistungskennzahlen und Tests umfasst. Als Betreiber fordern Sie diese Dokumentation vom Anbieter an. Zusätzlich dokumentieren Sie Ihren eigenen Einsatzkontext: Welche Daten fließen ein, wer überwacht das System, und wie ist die menschliche Aufsicht organisiert?
Schritt 4: Governance-Struktur aufbauen
Benennen Sie einen KI-Verantwortlichen oder AI-Officer. In kleineren Unternehmen kann das eine Zusatzfunktion für den Datenschutzbeauftragten sein. Erstellen Sie eine interne KI-Richtlinie, die regelt, welche KI-Tools zugelassen sind, wie neue Tools geprüft werden und wer Freigaben erteilt. Legen Sie ein Risiko-Register an und definieren Sie Eskalationswege.
Schritt 5: KI-Kompetenz sicherstellen
Die Schulungspflicht (AI Literacy) gilt bereits seit Februar 2025. Alle Mitarbeiter, die KI-Systeme bedienen oder Entscheidungen auf Basis von KI-Ergebnissen treffen, müssen ausreichend geschult sein. Die Bundesnetzagentur empfiehlt kontextangemessene Schulungen: Entscheider brauchen tieferes Wissen als Endanwender. Dokumentieren Sie Inhalte, Teilnehmerlisten und Intervalle der Schulungen.
Checkliste: AI-Act-Readiness
- KI-Inventar vollständig erstellt
- Alle KI-Systeme einer Risikoklasse zugeordnet
- Verbotene KI-Praktiken ausgeschlossen
- KI-Verantwortlicher benannt
- Interne KI-Richtlinie erstellt
- Mitarbeiterschulungen durchgeführt und dokumentiert
- Technische Dokumentation von Anbietern angefordert
- Human-Oversight-Prozesse definiert
- Vendor-Due-Diligence durchgeführt
- Monitoring-Prozess für regulatorische Änderungen etabliert
Welche Fristen gelten für Unternehmen?
Der EU AI Act wird stufenweise wirksam. Einige Pflichten gelten bereits seit Februar 2025, andere treten erst 2027 in Kraft. Die folgende Übersicht zeigt, welche Fristen für Unternehmen relevant sind.
| Datum | Was gilt | Status |
|---|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken und KI-Kompetenzpflicht | Bereits aktiv |
| 2. August 2025 | GPAI-Pflichten, Governance-Regeln, Sanktionen für Verbote | Bereits aktiv |
| 2. August 2026 | Hochrisiko-KI (Anhang III), Transparenzpflichten, volle Durchsetzung | Geplant |
| 2. August 2027 | In Produkte eingebettete Hochrisiko-KI (Anhang I) | Geplant |
Der Digital Omnibus der EU-Kommission (November 2025) sieht eine Verschiebung der Hochrisiko-Frist auf Dezember 2027 vor. Rat und Parlament haben dem zugestimmt, die finale Verabschiedung steht noch aus. Planen Sie dennoch mit August 2026 als Frist - die Verschiebung ist wahrscheinlich, aber nicht gesichert. Unternehmen, die jetzt mit der Umsetzung beginnen, gewinnen in jedem Fall Zeit.
Zusammenspiel von AI Act und DSGVO
Wer KI-Systeme einsetzt, die personenbezogene Daten verarbeiten, muss sowohl den EU AI Act als auch die DSGVO einhalten. Beide Regelwerke greifen parallel, und bei Verstößen können Bußgelder aus beiden Verordnungen verhängt werden. Die maximalen Sanktionen des AI Act (35 Mio. Euro oder 7 % Umsatz) übersteigen sogar die der DSGVO (20 Mio. Euro oder 4 % Umsatz).
Die größten Überschneidungen betreffen automatisierte Entscheidungen. Art. 22 DSGVO schränkt rein automatisierte Entscheidungen mit rechtlicher Wirkung bereits ein. Der AI Act ergänzt diese Anforderungen um spezifische Pflichten wie Risikomanagement, technische Dokumentation und Human Oversight. Unternehmen, die bereits ein DSGVO-konformes KI-Management aufgebaut haben, können diese Strukturen erweitern, statt bei null anzufangen.
Ein integrierter Governance-Ansatz spart Ressourcen. KI-Risiken lassen sich in bestehende GRC-Systeme (Governance, Risk & Compliance) und Informationssicherheits-Managementsysteme einbetten. Parallelstrukturen für DSGVO und AI Act sind weder nötig noch sinnvoll.
Welche Strafen drohen bei Verstößen gegen den EU AI Act?
Die Bußgelder des EU AI Act sind nach Schwere des Verstoßes gestaffelt und orientieren sich am Modell der DSGVO - fallen aber teilweise höher aus. Die Verordnung sieht drei Stufen vor, die sich am weltweiten Jahresumsatz des Unternehmens bemessen.
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. Euro oder 7 % des Jahresumsatzes |
| Hochrisiko-Pflichten und sonstige Verstöße | 15 Mio. Euro oder 3 % des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. Euro oder 1,5 % des Jahresumsatzes |
Für KMU und Start-ups sieht die Verordnung verhältnismäßig angepasste Bußgelder vor. Die konkreten Modalitäten werden noch finalisiert. In der Praxis dürften die Behörden ähnlich wie bei der DSGVO-Einführung zunächst auf Unternehmen fokussieren, die keinerlei Strukturen, Dokumentation und Verantwortlichkeiten vorweisen können. Bisher sind keine öffentlichen Durchsetzungsmaßnahmen bekannt, doch Untersuchungen in den Bereichen Emotionserkennung und prädiktive Polizeiarbeit laufen bereits.
Neben Bußgeldern drohen weitere Konsequenzen: Behörden können die Rücknahme eines KI-Systems vom Markt oder den Rückruf von KI-Modellen anordnen. Für Unternehmen, deren Geschäftsmodell auf KI basiert, ist das existenzbedrohend.
Häufige Fehler bei der Umsetzung des EU AI Act
Viele Unternehmen machen bei der AI-Act-Umsetzung vermeidbare Fehler. Die folgenden fünf Probleme sehen wir in der Beratungspraxis am häufigsten.
KI-Einsatz nicht inventarisiert
Der häufigste Fehler: Unternehmen wissen gar nicht, welche KI-Systeme sie einsetzen. Eingebettete KI in Standardsoftware, KI-Funktionen in Cloud-Diensten oder Mitarbeiter, die eigenständig ChatGPT nutzen - das alles bleibt oft unter dem Radar. Ohne vollständiges Inventar ist keine Risikoklassifizierung möglich.
Risikoklasse falsch eingeschätzt
Die Einordnung in Risikoklassen erfordert juristische und technische Expertise. Eine Personalverwaltungs-Software, die KI zur Leistungsbewertung nutzt, fällt unter Hochrisiko. Dieselbe Software ohne KI-Bewertungsfunktion nicht. Die Grenze ist oft schmal, und eine Fehleinschätzung kann teuer werden.
DSGVO und AI Act isoliert behandelt
Unternehmen, die getrennte Compliance-Strukturen für Datenschutz und KI-Regulierung aufbauen, verdoppeln ihren Aufwand. Die Überschneidungen sind erheblich, und ein integrierter Ansatz ist effizienter. Gerade im Mittelstand, wo Ressourcen knapp sind, macht ein kombiniertes GRC-System den Unterschied.
Betriebsrat nicht eingebunden
Beim Einsatz von KI-Systemen, die Mitarbeiterdaten verarbeiten oder Leistung bewerten, hat der Betriebsrat ein Mitbestimmungsrecht. Wer den Betriebsrat nicht frühzeitig einbindet, riskiert nicht nur rechtliche Konflikte, sondern auch Widerstand in der Belegschaft. Die KI-Governance sollte den Betriebsrat von Anfang an einbeziehen.
Vendor-Due-Diligence vernachlässigt
Als Betreiber haften Sie auch für zugekaufte KI-Systeme. Wenn Ihr HR-Software-Anbieter keine Konformitätsbewertung vorweisen kann, haben Sie ein Problem. Fordern Sie Konformitätszusagen vertraglich ein, prüfen Sie die technische Dokumentation und passen Sie SLAs an die Anforderungen des AI Act an.
Reifegrad-Modell: Wo steht Ihr Unternehmen?
Nicht jedes Unternehmen muss sofort alle Anforderungen vollständig umsetzen. Die folgende Übersicht hilft bei der Einschätzung, wo Ihr Unternehmen aktuell steht und was der nächste Schritt ist.
| Stufe | Bezeichnung | Typische Merkmale | Nächster Schritt |
|---|---|---|---|
| 1 | Unbekannt | Kein Überblick über eingesetzte KI-Systeme, keine Richtlinie | KI-Inventar erstellen |
| 2 | Bewusst | KI-Inventar vorhanden, aber keine Risikoklassifizierung | Risikoklassen zuordnen |
| 3 | Strukturiert | Risikoklassifizierung abgeschlossen, KI-Richtlinie existiert | Governance und Schulungen aufbauen |
| 4 | Konform | Alle Pflichten umgesetzt, Dokumentation vollständig, Monitoring aktiv | Kontinuierliche Verbesserung |
| 5 | Vorbildlich | Integriertes GRC-System, proaktive Anpassung an neue Regeln, AI-Officer etabliert | Wettbewerbsvorteil nutzen |
Die EU-Kommission schätzt, dass über 300.000 Unternehmen in der EU unter den regulatorischen Anwendungsbereich fallen. Laut Gartner haben weniger als 10 Prozent der betroffenen Organisationen ihr KI-Inventar abgeschlossen. Die Mehrheit befindet sich also noch auf Stufe 1 oder 2. Wer jetzt handelt, verschafft sich einen messbaren Vorsprung.
EU AI Act als Chance für den Mittelstand
Der EU AI Act schafft Rechtssicherheit für Unternehmen, die KI einsetzen. Statt in einer regulatorischen Grauzone zu operieren, können Mittelständler ihre KI-Nutzung auf ein solides rechtliches Fundament stellen. Das stärkt das Vertrauen von Kunden, Partnern und Mitarbeitern.
Der Digital Omnibus sieht zudem Erleichterungen für kleinere Unternehmen vor: vereinfachte Dokumentationspflichten für Betriebe bis 750 Mitarbeiter, KI-Reallabore (Sandboxes) zum Testen unter Aufsicht und reduzierte Gebühren bei Konformitätsbewertungen. Auch die Bundesnetzagentur, die in Deutschland als zentrale Marktaufsicht für KI vorgesehen ist, soll Leitfäden und Unterstützung bereitstellen.
Unternehmen, die den EU AI Act frühzeitig umsetzen, profitieren dreifach: Sie vermeiden Bußgelder, sie schaffen Vertrauen bei Geschäftspartnern durch nachweisbare KI-Compliance, und sie bauen interne Strukturen auf, die den Einsatz von Künstlicher Intelligenz langfristig sicherer und effektiver machen. Die regulatorische Richtung ist klar - der Zeitplan mag sich verschieben, die Substanz der Anforderungen nicht. Unternehmen, die beim EU AI Act jetzt die Weichen stellen, sichern sich einen Wettbewerbsvorteil.
Sie möchten den EU AI Act in Ihrem Unternehmen umsetzen und brauchen Orientierung? Sprechen Sie uns an - wir beraten Sie unverbindlich zu KI-Governance, Risikoklassifizierung und den nächsten Schritten.
Häufige Fragen
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er trat am 1. August 2024 in Kraft und wird stufenweise bis 2027 wirksam. Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten und betrifft Unternehmen, die KI-Systeme entwickeln, vertreiben oder einsetzen.
Welche Unternehmen sind vom EU AI Act betroffen?
Der EU AI Act betrifft praktisch jedes Unternehmen, das KI-Systeme nutzt - unabhängig von Größe oder Branche. Das schließt auch Unternehmen ein, die KI indirekt über eingekaufte Software mit eingebetteten KI-Funktionen einsetzen. Laut EU-Kommission fallen über 300.000 Unternehmen in der EU unter den Anwendungsbereich.
Welche Risikoklassen gibt es im EU AI Act?
Die Verordnung unterscheidet vier Risikoklassen: unannehmbares Risiko (verboten), hohes Risiko (strenge Auflagen), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine speziellen Auflagen). Die Einstufung erfolgt nach dem Einsatzzweck des KI-Systems, nicht nach der Technologie selbst.
Welche KI-Anwendungen sind nach dem AI Act verboten?
Seit Februar 2025 sind acht KI-Praktiken vollständig verboten. Dazu gehören Social Scoring, manipulative KI-Systeme, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie das ungezielte Scraping von Gesichtsbildern. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Was müssen Unternehmen tun, um den EU AI Act einzuhalten?
Unternehmen sollten in fünf Schritten vorgehen: Zuerst ein KI-Inventar aller eingesetzten KI-Systeme erstellen, dann eine Risikoklassifizierung durchführen, die nötige Dokumentation aufbauen, eine KI-Governance-Struktur etablieren und Mitarbeiterschulungen durchführen. Die Schulungspflicht (AI Literacy) gilt bereits seit Februar 2025.
Welche Fristen gelten beim EU AI Act?
Die Verordnung wird stufenweise wirksam. Seit Februar 2025 gelten die Verbote und die Schulungspflicht. Seit August 2025 sind GPAI-Pflichten und Governance-Regeln aktiv. Ab August 2026 greifen die Hochrisiko-Anforderungen und Transparenzpflichten. Der Digital Omnibus der EU-Kommission sieht eine mögliche Verschiebung der Hochrisiko-Frist auf Dezember 2027 vor.
Wie hoch sind die Bußgelder beim EU AI Act?
Die Bußgelder sind nach Schwere gestaffelt: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder 3 Prozent für Verstöße gegen Hochrisiko-Pflichten, und bis zu 7,5 Millionen Euro oder 1,5 Prozent für falsche Angaben gegenüber Behörden. Für KMU sind verhältnismäßig angepasste Bußgelder vorgesehen.
Was ist der Unterschied zwischen AI Act und DSGVO?
Die DSGVO schützt personenbezogene Daten, der AI Act reguliert die Sicherheit und Grundrechtskonformität von KI-Systemen. Beide Regelwerke greifen parallel, wenn KI-Systeme personenbezogene Daten verarbeiten. Die Bußgelder des AI Act (bis zu 7 Prozent Umsatz) sind höher als die der DSGVO (bis zu 4 Prozent Umsatz). Unternehmen sollten einen integrierten Compliance-Ansatz verfolgen.
Gilt der EU AI Act auch für kleine und mittlere Unternehmen?
Ja, der AI Act gilt unabhängig von der Unternehmensgröße. Der Digital Omnibus der EU-Kommission sieht jedoch Erleichterungen für kleinere Unternehmen vor: vereinfachte Dokumentationspflichten für Betriebe bis 750 Mitarbeiter, KI-Reallabore zum Testen unter Aufsicht und reduzierte Gebühren bei Konformitätsbewertungen.
Wer überwacht die Einhaltung des AI Acts in Deutschland?
In Deutschland ist die Bundesnetzagentur als zentrale Marktaufsicht für KI vorgesehen. Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) wurde im Februar 2026 vom Bundeskabinett beschlossen und befindet sich im parlamentarischen Verfahren. Auf EU-Ebene koordiniert das AI Office der EU-Kommission die Durchsetzung, insbesondere für General Purpose AI.
Was bedeutet AI Literacy und was müssen Unternehmen dafür tun?
AI Literacy bezeichnet die KI-Kompetenzpflicht nach Art. 4 des EU AI Act. Sie gilt bereits seit Februar 2025 und verpflichtet Unternehmen, alle Mitarbeiter kontextangemessen im Umgang mit KI-Systemen zu schulen. Entscheider brauchen tieferes Wissen als Endanwender. Unternehmen müssen Schulungsinhalte, Teilnehmerlisten und Intervalle dokumentieren.
Sie möchten KI in Ihrem Unternehmen einsetzen? Sprechen Sie uns an - wir beraten Sie unverbindlich.