S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
IN KRAFTVO 2024/1689Zuletzt aktualisiert: Mai 2026 · Quelle: EU Amtsblatt

EU AI Act — Der vollständige Leitfaden für Unternehmen

Die Verordnung (EU) 2024/1689 ist seit August 2024 in Kraft: das weltweit erste umfassende KI-Gesetz. Was bedeutet das konkret für Ihr Unternehmen? Welche Pflichten gelten wann? Und wie werden Bußgelder bis 35 Millionen Euro vermieden?

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Regelwerk für Künstliche Intelligenz. Er wurde am 1. August 2024 im EU-Amtsblatt veröffentlicht und trat am selben Tag in Kraft. Der AI Act gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen, unabhängig davon, wo das Unternehmen seinen Sitz hat.

Der Ansatz ist risikobasiert: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen. Das Spektrum reicht von vollständigen Verboten bis zu Systemen ohne besondere Auflagen.

Die vier Risikoklassen

Inakzeptables RisikoSeit Feb. 2025
Beispiele
Soziales Scoring durch BehördenManipulation von MenschenEchtzeit-Biometrie an öffentlichen Orten (mit Ausnahmen)KI zur Ausnutzung von Schwächen
Pflichten

Verboten. Keine Ausnahmen für Unternehmen.

Hohes RisikoAb Aug. 2026
Beispiele
KI in HR & RecruitingKI in KreditvergabeKI in medizinischen DiagnosenKI in kritischer InfrastrukturKI in der StrafverfolgungKI in der Bildung
Pflichten

Konformitätsbewertung, Risikomanagement, Dokumentation, menschliche Aufsicht, Registrierung in EU-Datenbank.

Spezifische TransparenzpflichtenAb Aug. 2026
Beispiele
Chatbots (müssen als KI kenntlich gemacht werden)Deep FakesEmotionserkennungBiometrische Kategorisierung
Pflichten

Offenlegung gegenüber Nutzern, dass sie mit einer KI interagieren.

Minimales / kein RisikoKeine Pflichten
Beispiele
KI-SpamfilterKI-gestützte SucheEmpfehlungssysteme (ohne kritische Anwendung)Produktivitäts-KI (Copilot, ChatGPT für Texte)
Pflichten

Keine gesetzlichen Pflichten. Freiwillige Verhaltenskodizes empfohlen.

Fristen & Zeitplan

August 2024

EU AI Act in Kraft getreten (VO 2024/1689)

Februar 2025

Verbote für inakzeptables Risiko gelten (Kapitel I & II)

August 2025

Verhaltenskodizes für GPAI-Modelle werden angewendet

August 2026

Hauptteil gilt: Hochrisiko-KI, Transparenzpflichten, Behörden eingerichtet

August 2027

Vollständiger Rollout, auch für bestehende Hochrisiko-Systeme

Bußgelder & Sanktionen

35 Mio. €

Verstoß gegen verbotene KI-Praktiken (Artikel 5)

15 Mio. €

Verstöße gegen Anforderungen für Hochrisiko-KI

7,5 Mio. €

Falsche Informationen gegenüber Behörden

* Alternativ: % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Häufig gestellte Fragen

?Häufig gestellte Fragen
Antwort

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende KI-Regelwerk. Er klassifiziert KI-Systeme nach Risikostufen und definiert Pflichten für Unternehmen, die KI entwickeln oder einsetzen. Er gilt EU-weit und damit auch für alle deutschen Unternehmen.

Antwort

Alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen, unabhängig von ihrer Größe oder ihrem Sitz. Auch Nicht-EU-Unternehmen sind betroffen, wenn ihre KI-Systeme in der EU genutzt werden.

Antwort

Der AI Act definiert KI-Systeme als maschinenbasierte Systeme, die auf Basis von Eingaben Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte erzeugen und damit physische oder virtuelle Umgebungen beeinflussen können. Das umfasst LLMs wie ChatGPT, Bilderkennungssysteme, Empfehlungsalgorithmen und mehr.

Antwort

Für die meisten Einsatzzwecke (Texterstellung, Zusammenfassung, Recherche) fallen ChatGPT und Copilot in die Kategorie minimales Risiko und es gelten keine speziellen Pflichten. Werden sie jedoch in hochriskanten Kontexten eingesetzt (z.B. HR-Entscheidungen, Kreditbewertung), gelten die Hochrisiko-Anforderungen.

Antwort

Schritt 1: Inventar aller eingesetzten KI-Systeme erstellen. Schritt 2: Risikoklasse jedes Systems bestimmen. Schritt 3: Für Hochrisiko-Systeme: Konformitätsbewertung, Risikomanagement und Dokumentationspflichten aufsetzen. Schritt 4: Mitarbeiter schulen, die mit KI arbeiten. Schritt 5: KI-Governance-Richtlinie erstellen.

Antwort

GPAI-Modelle sind leistungsstarke KI-Grundlagenmodelle wie GPT-4, Claude oder Gemini. Ab einer Trainingsrechenleistung von 10²⁵ FLOP gelten sie als systemisch relevant und unterliegen zusätzlichen Transparenz- und Sicherheitspflichten.

Antwort

Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei Verstößen gegen verbotene KI-Praktiken. Bis zu 15 Millionen Euro oder 3% des Umsatzes bei Verletzung der Hochrisiko-Anforderungen.

Antwort

Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Beide Regelwerke gelten parallel. Die DSGVO regelt den Datenschutz, der AI Act regelt die KI-Sicherheit und -Transparenz. Bei KI-Systemen, die personenbezogene Daten verarbeiten, müssen beide Regelwerke eingehalten werden.

Kostenlose Checkliste
AI Act Compliance Check
KI-Inventar erstellt: Alle eingesetzten KI-Tools und -Systeme dokumentiert
Risikoklassen bestimmt: Jedes System einer der vier Kategorien zugeordnet
Hochrisiko-Systeme identifiziert und Maßnahmenplan erstellt
KI-Nutzungsrichtlinie für Mitarbeiter erstellt
Transparenzpflichten umgesetzt (Chatbots als KI kenntlich gemacht)
Datenschutz-Folgenabschätzung für hochriskante KI durchgeführt
Menschliche Aufsicht für Hochrisiko-KI-Entscheidungen sichergestellt
Schulungen für KI-nutzende Mitarbeiter geplant oder durchgeführt
Lieferantenverträge auf AI-Act-Konformität geprüft
Verantwortliche Person für KI-Compliance benannt
Quick Facts
RechtsaktVO 2024/1689
In KraftAug. 2024
Vollständig abAug. 2027
Max. Bußgeld€ 35 Mio.
Gültig inEU + EWR
AI Act Compliance für Ihr Unternehmen

Wir prüfen, ob Ihre KI-Systeme konform sind und erstellen einen konkreten Maßnahmenplan.

Jetzt anfragen →