Leitfaden15 min Lesezeit

EU AI Act Grundlagen: Alles was Unternehmen wissen müssen

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Dieser Leitfaden erklärt, was die Verordnung bedeutet, wann sie gilt und was Unternehmen jetzt tun müssen.

Zuletzt aktualisiert: Dezember 2025 | Von RegStackAI

Inhalt

1. Was ist der EU AI Act?

Der EU AI Act (offiziell: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht, schafft es einen einheitlichen Rechtsrahmen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der EU.

Historischer Kontext

Die Arbeit am EU AI Act begann bereits 2019, als die Europäische Kommission eine High-Level Expert Group on Artificial Intelligence einsetzte. Im April 2021 legte die Kommission ihren Vorschlag vor. Nach intensiven Verhandlungen zwischen Parlament, Rat und Kommission wurde der finale Text im März 2024 angenommen.

Ziele und Zweck

Der EU AI Act verfolgt mehrere zentrale Ziele:

  • Schutz der Grundrechte: Sicherstellung, dass KI-Systeme Menschenwürde, Privatsphäre und Nichtdiskriminierung respektieren
  • Förderung von Innovation: Schaffung von Rechtssicherheit für Unternehmen, die in KI investieren
  • Harmonisierung: Ein einheitlicher EU-Binnenmarkt für KI-Produkte und -Dienstleistungen
  • Vertrauenswürdige KI: Etablierung von Standards für sichere und ethische KI-Systeme

Rechtlicher Rahmen

Als EU-Verordnung ist der AI Act direkt in allen Mitgliedstaaten anwendbar - ohne nationale Umsetzungsgesetze. Er ergänzt bestehende Regelwerke wie die DSGVO, das Produktsicherheitsrecht und sektorspezifische Vorschriften.

Wichtig

Der EU AI Act gilt als Verordnung unmittelbar in allen 27 EU-Mitgliedstaaten. Unternehmen müssen keine nationalen Umsetzungsgesetze abwarten.

2. Wann tritt der EU AI Act in Kraft?

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die Anwendung erfolgt jedoch stufenweise, um Unternehmen Zeit für die Umsetzung zu geben:

Stufenplan 2024-2027

Feb 2025
Verbotene Praktiken (Art. 5)

Social Scoring, manipulative KI, biometrische Echtzeit-Identifikation in öffentlichen Räumen

Aug 2025
GPAI und Governance

Regeln für General Purpose AI, Einrichtung nationaler Behörden, Verhaltenskodizes

Aug 2026
Hochrisiko-Anforderungen (Annex III)

Vollständige Anwendung für Hochrisiko-KI-Systeme nach Annex III (Beschäftigung, Bildung, etc.)

Aug 2027
Sicherheitsprodukte (Annex I)

KI als Sicherheitskomponente in regulierten Produkten (Medizinprodukte, Maschinen, etc.)

Übergangsbestimmungen

Für bereits auf dem Markt befindliche KI-Systeme gelten Übergangsfristen. Systeme, die vor dem jeweiligen Anwendungsdatum in Verkehr gebracht wurden, müssen die Anforderungen erst bei wesentlichen Änderungen erfüllen.

3. Für wen gilt der EU AI Act?

Der EU AI Act definiert verschiedene Akteure mit unterschiedlichen Pflichten:

Provider (Anbieter)

Provider sind natürliche oder juristische Personen, die ein KI-System entwickeln oder entwickeln lassen und es unter eigenem Namen auf den Markt bringen oder in Betrieb nehmen. Sie tragen die Hauptverantwortung für Compliance.

  • Müssen Konformitätsbewertungen durchführen
  • Erstellen technische Dokumentation
  • Registrieren Hochrisiko-Systeme in EU-Datenbank
  • Implementieren Qualitätsmanagementsystem

Deployer (Betreiber)

Deployer sind natürliche oder juristische Personen, die ein KI-System unter eigener Verantwortung einsetzen - es sei denn, die Nutzung erfolgt rein privat.

  • Müssen KI gemäß Gebrauchsanweisung nutzen
  • Implementieren menschliche Aufsicht
  • Überwachen den Betrieb des Systems
  • Melden schwerwiegende Vorfälle an Provider und Behörden

Importeure und Händler

Importeure bringen KI-Systeme von außerhalb der EU auf den Markt. Händler vertreiben KI-Systeme, ohne sie zu verändern. Beide müssen sicherstellen, dass die Systeme die Anforderungen erfüllen.

Territoriale Anwendung

Der EU AI Act gilt für:

  • Provider mit Sitz in der EU
  • Provider außerhalb der EU, deren Systeme in der EU genutzt werden
  • Deployer mit Sitz in der EU
  • Provider und Deployer in Drittländern, wenn der Output in der EU verwendet wird

Praxis-Tipp

Auch Unternehmen außerhalb der EU sind betroffen, wenn ihre KI-Systeme in der EU eingesetzt werden. Ähnlich wie bei der DSGVO hat der EU AI Act extraterritoriale Wirkung.

4. Das Risiko-basierte Modell

Der EU AI Act folgt einem risiko-basierten Ansatz. Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen.

Die vier Risikoklassen

🚫
Unakzeptables Risiko (Art. 5)

Verbotene Praktiken: Social Scoring, manipulative KI, biometrische Echtzeit-Identifikation. Diese Systeme dürfen nicht entwickelt oder eingesetzt werden.

⚠️
Hochrisiko (Art. 6, Annex III)

KI in kritischen Bereichen: Beschäftigung, Bildung, Justiz, kritische Infrastruktur. Unterliegen strengen Anforderungen an Dokumentation, Überwachung und Transparenz.

📋
Begrenztes Risiko (Art. 50)

Transparenzpflichten: Chatbots, Deepfakes, Emotionserkennung. Nutzer müssen informiert werden, dass sie mit KI interagieren.

Minimales Risiko

Die meisten KI-Anwendungen: Spam-Filter, Produktempfehlungen, Spiele. Keine spezifischen Pflichten, freiwillige Verhaltenskodizes empfohlen.

Verbotene Praktiken (Art. 5)

Absolut verboten sind KI-Systeme, die:

  • Unterschwellige Manipulation einsetzen, um Verhalten zu beeinflussen
  • Schwachstellen ausnutzen (Alter, Behinderung, soziale Situation)
  • Social Scoring durch Behörden durchführen
  • Biometrische Echtzeit-Identifikation in öffentlichen Räumen für Strafverfolgung nutzen (mit Ausnahmen)

Hochrisiko-Systeme (Annex III)

Hochrisiko-KI-Systeme sind in Annex III des EU AI Act definiert und umfassen unter anderem:

  • Biometrische Identifikation und Kategorisierung von Personen
  • Management kritischer Infrastruktur
  • Bildung und berufliche Ausbildung
  • Beschäftigung und Personalwesen
  • Zugang zu wesentlichen Dienstleistungen
  • Strafverfolgung
  • Migration, Asyl und Grenzkontrolle
  • Rechtspflege und demokratische Prozesse

Ist Ihr KI-System hochriskant?

Prüfen Sie in 3 Minuten, ob Ihr KI-System unter die Hochrisiko-Kategorie fällt.

Kostenloser Risiko-Check →

5. Was müssen Unternehmen jetzt tun?

Angesichts der nahenden Fristen sollten Unternehmen jetzt mit der Vorbereitung beginnen. Hier ist eine praktische Roadmap:

Phase 1: Inventarisierung (Q1-Q2 2025)

  • Erfassen Sie alle KI-Systeme in Ihrem Unternehmen (eigene und zugekaufte)
  • Dokumentieren Sie Einsatzzweck und betroffene Personen
  • Identifizieren Sie Provider und Deployer-Rollen
  • Erstellen Sie ein zentrales KI-Register

Phase 2: Klassifizierung (Q3 2025)

  • Klassifizieren Sie jedes System nach Risikoklasse
  • Prüfen Sie auf verbotene Praktiken (sofortige Einstellung erforderlich!)
  • Identifizieren Sie Hochrisiko-Systeme nach Annex III
  • Dokumentieren Sie die Klassifizierungsentscheidungen

Phase 3: Gap-Analyse (Q4 2025)

  • Vergleichen Sie Ist-Zustand mit AI Act Anforderungen
  • Identifizieren Sie Lücken in Dokumentation und Prozessen
  • Priorisieren Sie Maßnahmen nach Risiko und Aufwand
  • Erstellen Sie Budget und Ressourcenplanung

Phase 4: Umsetzung (2026)

  • Implementieren Sie fehlende technische Maßnahmen
  • Erstellen Sie erforderliche Dokumentation (Annex IV)
  • Führen Sie Konformitätsbewertungen durch
  • Registrieren Sie Hochrisiko-Systeme in der EU-Datenbank
  • Schulen Sie Mitarbeiter

RegStackAI hilft bei jedem Schritt

Von der Inventarisierung über die Klassifizierung bis zur EU-Datenbank-Registrierung - RegStackAI ist Ihre zentrale Plattform für EU AI Act Compliance.

Mehr erfahren →

6. Häufig gestellte Fragen

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Es schafft einen einheitlichen Rechtsrahmen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der Europäischen Union.

Wann tritt der EU AI Act in Kraft?

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die Regelungen werden stufenweise anwendbar: Verbotene Praktiken ab Februar 2025, GPAI-Regeln ab August 2025, Hochrisiko-Anforderungen ab August 2026.

Für wen gilt der EU AI Act?

Der EU AI Act gilt für Anbieter (Provider), die KI-Systeme entwickeln oder auf den EU-Markt bringen, sowie für Betreiber (Deployer), die KI-Systeme in der EU einsetzen. Er gilt auch für Anbieter außerhalb der EU, wenn ihre Systeme in der EU genutzt werden.

Was sind die Risikoklassen im EU AI Act?

Der EU AI Act unterscheidet vier Risikoklassen: Unakzeptables Risiko (verboten), Hochrisiko (strenge Anforderungen), Begrenztes Risiko (Transparenzpflichten) und Minimales Risiko (keine spezifischen Pflichten).

Welche Strafen drohen bei Verstößen?

Bei Verstößen gegen den EU AI Act drohen Bußgelder von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei verbotenen Praktiken, bis zu 15 Millionen Euro oder 3% bei anderen Verstößen.

Weiterführende Artikel

Nächster Artikel

KI Risikoklassifizierung nach EU AI Act

Detaillierte Anleitung zur Klassifizierung Ihrer KI-Systeme

Vertiefung

Hochrisiko-KI: Alle Anforderungen

Was Hochrisiko-Systeme erfüllen müssen (Annex III/IV)