HVNHAI

Recht & Compliance

EU AI Act

Kurz beantwortet

Der EU AI Act ist die weltweit erste umfassende KI-Verordnung. Sie teilt KI-Systeme in Risikoklassen ein und knüpft daran abgestufte Pflichten: Verbotene Praktiken und die Pflicht zur KI-Kompetenz gelten seit Februar 2025, Regeln für allgemeine KI-Modelle seit August 2025, der Großteil der übrigen Pflichten ab dem 2. August 2026.

Wie der EU AI Act funktioniert

Der AI Act folgt einem risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Anforderungen. Verbotene Praktiken (etwa Social Scoring) sind untersagt, Hochrisiko-Systeme (z. B. in Personalauswahl oder Kreditvergabe) unterliegen strengen Pflichten, und für viele Systeme mit begrenztem Risiko gelten vor allem Transparenzpflichten — etwa die Kennzeichnung von Chatbots als KI.

Die Verordnung tritt gestaffelt in Kraft: Seit dem 2. Februar 2025 gelten die Verbote und die Pflicht zur KI-Kompetenz (Art. 4), seit dem 2. August 2025 die Regeln für Anbieter allgemeiner KI-Modelle (GPAI), und ab dem 2. August 2026 greift der Großteil der übrigen Vorschriften, darunter viele Pflichten für Hochrisiko-Systeme.

Was das für Unternehmen im Mittelstand bedeutet

Die meisten typischen KI-Anwendungen im Mittelstand — E-Mail-Automatisierung, Dokumentenverarbeitung, interne Assistenten, Chatbots — fallen nicht in die Hochrisiko-Kategorie. Relevant sind hier vor allem drei Punkte: die Transparenzpflicht (Nutzer müssen erkennen können, dass sie mit KI interagieren), die Schulungspflicht für Mitarbeitende, die KI-Systeme bedienen, und eine saubere Dokumentation, welche KI-Systeme im Einsatz sind.

Wer jetzt KI einführt, sollte den AI Act von Anfang an mitdenken: ein internes KI-Register führen, Verantwortlichkeiten klären und bei jedem neuen System kurz prüfen, in welche Risikoklasse es fällt. Das ist mit überschaubarem Aufwand machbar und erspart später teure Nachbesserungen.

Anbieter oder Betreiber: welche Rolle Ihr Unternehmen hat

Der AI Act unterscheidet mehrere Rollen mit unterschiedlich strengen Pflichten. Anbieter ist, wer ein KI-System entwickelt und unter eigenem Namen in Verkehr bringt — ihn treffen die umfangreichsten Anforderungen. Betreiber ist, wer ein KI-System in eigener Verantwortung beruflich nutzt — die Rolle, in der sich die meisten Mittelständler wiederfinden: Wer einen Chatbot eines Anbieters einsetzt, ein KI-Tool im Backoffice nutzt oder einen Agenten für die Belegverarbeitung betreibt, ist Betreiber. Dessen Pflichten sind deutlich schlanker: das System bestimmungsgemäß nutzen, Transparenz- und Kompetenzpflichten erfüllen, bei Hochrisiko-Systemen die vorgeschriebene Aufsicht sicherstellen.

Vorsicht ist an einer Stelle geboten: Wer ein fremdes System wesentlich verändert oder unter eigenem Namen vermarktet, kann rechtlich zum Anbieter werden — mit allen Folgepflichten. Für die Praxis heißt das: Beim Einsatz von Standard-Tools bleibt die Pflichtenlage überschaubar, bei individuell entwickelten oder stark angepassten Lösungen gehört die Rollenfrage in die Projektklärung. Ein seriöser Umsetzungspartner beantwortet sie mit — inklusive der Dokumentation, wer für was verantwortlich ist.

AI Act und DSGVO: zwei getrennte Regelwerke

Ein verbreitetes Missverständnis ist, der AI Act ersetze oder verändere den Datenschutz. Das Gegenteil ist der Fall: Es handelt sich um zwei eigenständige Regelwerke mit unterschiedlichen Schutzzielen, die nebeneinander gelten. Die DSGVO schützt personenbezogene Daten und fragt, ob und wie eine Verarbeitung zulässig ist. Der AI Act adressiert die Risiken von KI-Systemen für Gesundheit, Sicherheit und Grundrechte — unabhängig davon, ob überhaupt personenbezogene Daten im Spiel sind. Ein Unternehmen kann daher gleichzeitig beiden Regelwerken unterliegen: Wer etwa einen KI-Assistenten mit Kundendaten betreibt, erfüllt DSGVO-Pflichten (Rechtsgrundlage, AVV, Betroffenenrechte) und AI-Act-Pflichten (Transparenz, KI-Kompetenz) parallel.

In der Praxis überschneiden sich die Anforderungen aber weniger, als es zunächst wirkt, und lassen sich gut gemeinsam abarbeiten. Ein internes KI-Register, das ohnehin für den AI Act sinnvoll ist, kann dieselben Systeme erfassen, die auch im Verarbeitungsverzeichnis der DSGVO auftauchen. Die Transparenzpflicht des AI Act und die Informationspflichten der DSGVO lassen sich in einem Aufwasch erfüllen. Wichtig ist nur, die Regelwerke nicht zu verwechseln: Eine DSGVO-konforme Verarbeitung macht ein KI-System nicht automatisch AI-Act-konform und umgekehrt. Wer beide von Anfang an zusammen denkt, spart Doppelarbeit — wer eines für das andere hält, übersieht Pflichten.

Bußgelder und Durchsetzung: was wirklich droht

Der AI Act sieht ein gestaffeltes Bußgeldsystem vor. Die schwerste Stufe — bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes — gilt für Verstöße gegen verbotene Praktiken. Wer gegen Pflichten für Hochrisiko-Systeme, GPAI-Modelle oder Transparenzregeln verstößt, riskiert bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Für unrichtige Angaben gegenüber Behörden sieht der Rahmen bis zu 7,5 Millionen Euro vor. Bei KMU gilt jeweils der niedrigere der beiden Werte als Obergrenze.

Zuständig für die Aufsicht sind in erster Linie die nationalen Marktüberwachungsbehörden, die jeder Mitgliedstaat benennen muss. Für Anbieter allgemeiner KI-Modelle übernimmt das neu geschaffene EU AI Office auf europäischer Ebene die zentrale Rolle. Für die meisten Mittelständler ist die Bußgeldhöhe weniger das unmittelbare Thema als die Frage der Dokumentation: Wer nachweisen kann, welche Systeme er einsetzt, wie er sie eingestuft hat und welche Schulungen durchgeführt wurden, steht bei einer Behördenanfrage belastbar da — und vermeidet die hektische Nacharbeit, wenn eine Anfrage kommt.

Praxisbeispiel

Ein mittelständischer Dienstleister führt einen KI-Chatbot auf seiner Website ein. Für die AI-Act-Konformität reicht hier im Kern: Der Bot wird klar als KI gekennzeichnet, das Team erhält eine kurze Schulung zum richtigen Umgang, und das System wird im internen KI-Register mit Zweck und Risikoeinstufung dokumentiert.

Häufige Fragen zu EU AI Act

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Der AI Act kennt keine generelle Ausnahme für KMU. Die Pflichten hängen von der Risikoklasse des eingesetzten KI-Systems ab, nicht von der Unternehmensgröße. Für typische Anwendungen im Mittelstand sind die Anforderungen aber überschaubar — meist geht es um Transparenz, Schulung und Dokumentation.

Ab wann gilt der EU AI Act?

Gestaffelt: Verbotene Praktiken und die Pflicht zur KI-Kompetenz gelten seit dem 2. Februar 2025, Regeln für allgemeine KI-Modelle seit dem 2. August 2025. Der Großteil der übrigen Pflichten — insbesondere für Hochrisiko-Systeme — greift ab dem 2. August 2026.

Ist ein KI-Chatbot ein Hochrisiko-System?

In der Regel nein. Ein Chatbot für Kundenanfragen fällt typischerweise unter die Transparenzpflichten: Nutzer müssen erkennen können, dass sie mit einer KI kommunizieren. Hochrisiko sind vor allem Systeme in sensiblen Bereichen wie Personalauswahl, Kreditvergabe oder kritischer Infrastruktur.

Was passiert bei Verstößen gegen den AI Act?

Es drohen empfindliche Bußgelder, deren Höhe von der Art des Verstoßes abhängt — bei verbotenen Praktiken können sie bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen. Für die meisten Unternehmen ist aber weniger die Strafe das Thema als die frühzeitige, unaufgeregte Umsetzung der Pflichten.

Ersetzt der AI Act die DSGVO?

Nein. Es sind zwei eigenständige Regelwerke mit unterschiedlichen Schutzzielen, die nebeneinander gelten: Die DSGVO schützt personenbezogene Daten, der AI Act adressiert Risiken von KI-Systemen — auch ohne Personenbezug. Ein Unternehmen kann beiden zugleich unterliegen. Eine DSGVO-konforme Verarbeitung macht ein System nicht automatisch AI-Act-konform und umgekehrt.

Wer überwacht die Einhaltung des EU AI Act?

Jeder Mitgliedstaat muss eine oder mehrere nationale Marktüberwachungsbehörden benennen. Für Anbieter allgemeiner KI-Modelle ist das EU AI Office auf europäischer Ebene die zuständige Stelle. Für die meisten Unternehmen gilt praktisch: Wer dokumentiert, welche Systeme er einsetzt, wie er sie eingestuft hat und welche Schulungen stattgefunden haben, ist bei einer Behördenanfrage gut aufgestellt.

Wie relevant ist das für Ihren Betrieb?

Im kostenlosen Erstgespräch schauen wir uns Ihren konkreten Prozess an.

Kostenloses Erstgespräch anfragen