Der EU AI Act wird oft noch wie ein Zukunftsthema behandelt. Tatsächlich ist es eher ein Stresstest für die Art, wie Organisationen KI einsetzen. Spätestens ab dem 2. August 2026 reicht es nicht mehr, KI einfach als Tool einzuführen. Unternehmen müssen nachvollziehbar zeigen können, wie KI-Systeme betrieben werden: mit klarer Kennzeichnung, dokumentierten Entscheidungen, menschlicher Kontrolle und eindeutig verteilten Verantwortlichkeiten.
Was der EU AI Act eigentlich regelt
Der EU AI Act ist eine europäische Verordnung. Das bedeutet: Er gilt direkt in allen Mitgliedstaaten, ohne dass nationale Gesetze erst umgesetzt werden müssen.
Die Verordnung folgt einem risikobasierten Ansatz. KI-Systeme werden je nach Risiko unterschiedlich stark reguliert. Vier Kategorien sind zentral:
Verbotene Anwendungen (Unacceptable Risk)
Einige Anwendungen sind grundsätzlich untersagt, etwa Social Scoring oder bestimmte Formen der Emotionserkennung am Arbeitsplatz.
Hochrisiko-Systeme (High Risk)
Dazu gehören KI-Anwendungen in sensiblen Bereichen wie Personalentscheidungen, Kreditvergabe oder kritischer Infrastruktur. Diese Systeme unterliegen strengen Anforderungen an Dokumentation, Risikomanagement und menschliche Kontrolle.
Systeme mit Transparenzpflichten
Hierzu zählen unter anderem Chatbots oder generative KI-Systeme. Nutzer müssen erkennen können, dass sie mit einer KI interagieren oder dass Inhalte künstlich erzeugt wurden.
Minimales Risiko
Viele KI-Systeme – etwa Spamfilter oder Empfehlungssysteme – fallen in diese Kategorie und unterliegen nur sehr wenigen Anforderungen.
Der entscheidende Punkt: Die meisten Unternehmen bewegen sich in der Praxis zwischen den Kategorien "Transparenzpflicht" und "High Risk". Und dort entstehen die organisatorischen Herausforderungen.
Der wichtige Stichtag: 2. August 2026
Der EU AI Act tritt nicht auf einmal vollständig in Kraft. Verschiedene Regelungen greifen zu unterschiedlichen Zeitpunkten, einen offiziellen Zeitplan für die Umsetzung gibt es hier.
Einige Verbote gelten bereits seit Februar 2025. Weitere Regeln betreffen Anbieter großer KI-Modelle.
Der wichtigste Termin für viele Unternehmen ist jedoch der 2. August 2026. Ab diesem Zeitpunkt gelten zentrale Anforderungen für:
- Hochrisiko-KI-Systeme
- Transparenzpflichten nach Artikel 50
- Nachweispflichten gegenüber Aufsichtsbehörden
Mit diesem Datum beginnt auch die tatsächliche Durchsetzung. Behörden können dann Bußgelder verhängen, wenn Organisationen ihre Pflichten nicht erfüllen.
Artikel 50: Transparenzpflichten für KI
Artikel 50 des EU AI Act betrifft Transparenz. Bestimmte KI-Systeme müssen offenlegen, dass sie künstliche Intelligenz verwenden. Beispiele sind Chatbots, generative Textsysteme, synthetische Bilder oder Videos und sogenannte Deepfakes. In solchen Fällen muss klar erkennbar sein, dass Inhalte oder Interaktionen durch KI erzeugt wurden.
In der Praxis bedeutet das mehr als einen kleinen Hinweis im Interface. Transparenz muss technisch und organisatorisch abgesichert werden. Organisationen brauchen klare Regeln dafür,
- wann Inhalte gekennzeichnet werden
- wie Kennzeichnungen automatisiert erfolgen
- wer Inhalte vor Veröffentlichung prüft
- wie diese Prozesse dokumentiert werden
Provider vs. Deployer – zwei Rollen, zwei Verantwortungen
Der AI Act unterscheidet zwei zentrale Rollen.
Provider entwickeln ein KI-System selbst oder lassen es entwickeln und bringen es unter eigenem Namen oder ihrer Marke auf den Markt oder in Betrieb; deshalb tragen sie die Hauptverantwortung für Konformität, Dokumentation und Risikomanagement.
Deployer setzen ein KI-System unter eigener Verantwortung ein und müssen den sicheren, regelkonformen Einsatz organisieren – inklusive menschlicher Aufsicht und Nutzung nach Vorgaben.
Wichtig ist die Abgrenzung: Ein Deployer kann selbst zum Provider werden, wenn ein Hochrisiko-System wesentlich verändert, sein Zweck geändert oder es unter eigenem Namen weitergeführt wird.
Wo der EU AI Act in der Praxis relevant wird
Chatbots und Assistenzsysteme
Viele Unternehmen setzen bereits interne oder externe Chatbots ein. Diese fallen häufig unter Transparenzpflichten: Kennzeichnung, Logging, Freigaben und Monitoring müssen sauber organisiert sein.
HR- und Personalprozesse
KI-Systeme zur Unterstützung bei Bewerbungen oder Leistungsbewertungen können schnell als Hochrisiko-Systeme gelten. In solchen Fällen sind klare Prozesse für menschliche Überprüfung und Dokumentation erforderlich.
Marketing und Content
Generative KI wird zunehmend für Texte, Bilder und Kampagnen eingesetzt. Sobald Inhalte veröffentlicht werden, können Transparenzpflichten greifen. Organisationen brauchen deshalb klare Regeln, wann Inhalte gekennzeichnet werden müssen und wie dieser Prozess technisch umgesetzt wird.
Wissenssysteme mit RAG
Viele moderne KI-Anwendungen nutzen sogenannte Retrieval-Augmented Generation (RAG). Dabei greift das Modell auf Unternehmensdokumente zu, um Antworten zu erzeugen. Das verbessert Nachvollziehbarkeit und Quellenbezug, bringt aber neue Fragen zu Datenzugriff, Berechtigungen und Dokumentation mit sich.
Ein pragmatischer Readiness-Check
Fünf Fragen sind besonders entscheidend:
- Gibt es eine klare Governance-Struktur für KI?
- Sind alle KI-Systeme inventarisiert und nach Risiko bewertet?
- Existiert belastbare Dokumentation für relevante Systeme?
- Sind Transparenzpflichten technisch und organisatorisch umgesetzt?
- Gibt es Monitoring, Incident-Prozesse und menschliche Kontrolle?
Organisationen, die mehrere dieser Fragen nicht klar beantworten können, stehen meist noch am Anfang ihrer AI-Act-Readiness. In vielen Fällen liegt das Problem nicht bei der Technologie, sondern bei fehlender Governance, unklaren Verantwortlichkeiten oder unzureichender Dokumentation.
AI Literacy: KI-Kompetenz wird zur organisatorischen Pflicht
Der EU AI Act betrifft nicht nur Technologie, sondern auch Kompetenz im Umgang damit. Organisationen müssen sicherstellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse verfügen. Diese sogenannte AI Literacy ist ausdrücklich Teil der Verordnung.
Gemeint ist damit kein tiefes technisches Verständnis von Machine Learning. Entscheidend ist vielmehr, dass Mitarbeitende die grundlegenden Eigenschaften und Grenzen von KI-Systemen kennen. Dazu gehört etwa zu verstehen, dass KI-Modelle Fehler machen können, dass Ergebnisse überprüft werden müssen und dass sensible Daten nicht unkontrolliert in Systeme eingegeben werden dürfen. Damit wird KI-Kompetenz erstmals zu einer formalen organisatorischen Anforderung. Wer KI einsetzt, muss auch sicherstellen, dass Menschen verantwortungsvoll damit umgehen können.
Der EU AI Act und die Parallelen zur DSGVO
Viele Organisationen fühlen sich beim EU AI Act an die Einführung der DSGVO erinnert. Der Vergleich ist nicht zufällig. In beiden Fällen geht es weniger um einzelne technische Maßnahmen als um nachweisbare organisatorische Strukturen.
Die DSGVO hat Datenschutz von einer rein technischen Frage zu einer Managementaufgabe gemacht. Plötzlich brauchte es Datenschutzbeauftragte, Dokumentation, Prozesse für Vorfälle und klare Verantwortlichkeiten.
Der EU AI Act verfolgt eine ähnliche Logik, nur diesmal eben für künstliche Intelligenz. Auch hier entstehen Anforderungen an Governance, Risikobewertung, Dokumentation und Aufsicht.
In a nutshell: Die DSGVO konzentriert sich vor allem auf Daten. Der EU AI Act richtet sich auf Entscheidungsprozesse, Risiken und Transparenz von KI-Systemen.
Typische Missverständnisse beim EU AI Act
Rund um den EU AI Act haben sich bereits einige typische Fehlannahmen entwickelt. Ein häufiger Irrtum ist die Annahme, der AI Act sei vor allem ein Thema für die Rechtsabteilung. In der Praxis betrifft er jedoch mehrere Bereiche gleichzeitig: IT, Datenschutz, Compliance, Fachbereiche und Management.
Ein zweites Missverständnis betrifft die Rolle der Technologie selbst. Oft wird angenommen, dass ein bestimmtes Tool „AI-Act-konform“ oder „nicht konform“ ist. Reguliert wird jedoch nicht das Tool allein, sondern der konkrete Einsatzkontext.
Und schließlich wird der organisatorische Aufwand häufig unterschätzt. Viele Anforderungen des AI Act betreffen Dokumentation, Governance und Nachweisführung. Dort entstehen in der Praxis die größten Lücken, nicht bei der Technologie selbst.
Fazit
Der EU AI Act ist kein Papierproblem. Er ist ein Belastungstest für die Art, wie Organisationen KI einführen, steuern und verantworten. Bis August 2026 reicht es nicht, ein Tool auszurollen, ein paar Guidelines zu schreiben und auf gesunden Menschenverstand zu hoffen. Wer KI produktiv nutzt, braucht klare Rollen, belastbare Prozesse, saubere Nachweise und einen Betrieb, der auch dann noch funktioniert, wenn etwas schiefläuft.
FAQ
Wann tritt der EU AI Act in Kraft?
Der EU AI Act wird schrittweise umgesetzt. Einige Verbote gelten bereits seit Februar 2025. Für viele Unternehmen ist jedoch der 2. August 2026 der entscheidende Zeitpunkt. Ab dann greifen zentrale Anforderungen für Hochrisiko-KI und Transparenzpflichten.
Was sind Hochrisiko-KI-Systeme im EU AI Act?
Hochrisiko-KI umfasst Anwendungen, die besonders starke Auswirkungen auf Menschen haben können. Dazu gehören etwa Systeme im Personalwesen, bei Kreditentscheidungen, im Bildungsbereich oder in kritischer Infrastruktur. Für diese Systeme gelten strengere Anforderungen an Dokumentation, Risikomanagement und menschliche Aufsicht.
Welche Strafen drohen bei Verstößen gegen den EU AI Act?
Der EU AI Act sieht erhebliche Bußgelder vor. Je nach Verstoß können Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden. Besonders hohe Strafen gelten für verbotene KI-Anwendungen.
Gilt der EU AI Act auch für generative KI wie ChatGPT?
Ja. Generative KI-Systeme fallen insbesondere unter die Transparenzpflichten des EU AI Act. Nutzer müssen erkennen können, wenn Inhalte oder Interaktionen durch KI erzeugt wurden, etwa bei Chatbots oder KI-generierten Bildern.
Was regelt Artikel 50 des EU AI Act?
Artikel 50 des EU AI Act enthält Transparenzpflichten für bestimmte KI-Systeme. Wenn Nutzer mit einer KI interagieren oder wenn Inhalte durch KI erzeugt wurden, muss dies klar erkennbar sein. Dazu gehören zum Beispiel Chatbots, generative Textsysteme oder KI-erstellte Bilder und Videos.
Geschrieben von:
Jens ist Mitgründer von bakedwith, einer Boutique-Beratung für smarte Automatisierung und KI. Er unterstützt mittelständische Unternehmen und Konzerne dabei, Prozesse zu optimieren, manuelle Arbeit zu reduzieren und durch effiziente Workflows Wachstum zu erzielen. Zuvor war Jens Growth Lead bei OMR und begleitete als Freelancer zahlreiche Unternehmen bei der Optimierung ihrer CRM- und Automationssysteme. Seine Leidenschaft gilt der Verbindung von Wachstum und Effizienz – damit Teams sich auf das Wesentliche konzentrieren können.
