EU-Verordnung 2024/1689

Der AI Act: ein Plan, kein Papierberg.

Die KI-Verordnung der EU gilt seit 1. August 2024 und trifft praktisch jedes Unternehmen, das KI nutzt — ob als Anbieter oder Betreiber. Hier: was sie verlangt, ab wann was gilt, und welche Pflichten Sie konkret betreffen.

Was der AI Act ist — und was er nicht ist.

Die EU-Verordnung 2024/1689 — bekannt als KI-Verordnung oder AI Act — ist das weltweit erste umfassende Gesetz für Künstliche Intelligenz. Sie reguliert nicht KI an sich, sondern ihren Einsatz: nach Risiko, nicht nach Technologie.

Das heißt: Eine harmlose KI bleibt harmlos, eine kritische KI bekommt Pflichten — egal, ob im Hintergrund ChatGPT, ein eigenes Modell oder ein Excel-Makro mit AI-Vorzeichen läuft.

Vier Risikoklassen, vier Pflichten-Niveaus.

Je höher das Risiko, desto mehr Pflichten. Die Einstufung ist nicht selbsterklärend — sie ergibt sich aus Anhang III der Verordnung.

Klasse 1 · Verboten

Inakzeptables Risiko

Verboten seit Februar 2025. Diese Anwendungen sind in der EU schlicht nicht erlaubt.

  • • Social Scoring durch Behörden
  • • Manipulative oder ausnutzende Systeme
  • • Biometrische Echtzeit-Identifizierung im öffentlichen Raum
  • • Emotionserkennung am Arbeitsplatz

Klasse 2 · Hochrisiko

Hochrisiko-KI

Hier kommen die meisten Pflichten zusammen: technische Doku, Risikomanagement, menschliche Aufsicht.

  • • KI in Personalauswahl (HR)
  • • Bonitäts- und Kreditprüfung
  • • Bildung & Bewerbermanagement
  • • Kritische Infrastruktur (Energie, Verkehr)

Klasse 3 · Begrenzt

Begrenztes Risiko

Vor allem Transparenzpflichten: Nutzer müssen erkennen, dass sie mit KI interagieren.

  • • Chatbots / Konversations-KI
  • • Deepfakes / KI-generierte Inhalte
  • • Emotionserkennung (außer HR)
  • • Kennzeichnungspflicht für KI-Texte

Klasse 4 · Minimal

Minimales Risiko

Keine spezifischen Pflichten unter dem AI Act — aber andere Gesetze (DSGVO, UWG) bleiben bestehen.

  • • KI-Spamfilter
  • • Empfehlungssysteme
  • • KI in Computerspielen
  • • Standard-Office-Funktionen

Rollen unter dem AI Act

Anbieter, Betreiber, Importeur — wer sind Sie?

Anbieter

Sie entwickeln eine KI

Wer KI entwickelt oder unter eigenem Namen vertreibt — auch intern. Härteste Pflichten, gerade bei Hochrisiko.

Betreiber

Sie nutzen eine KI

Wer ChatGPT & Co. einsetzt — das sind die meisten Mittelständler. Pflichten zu Aufsicht, Schulung, Transparenz.

Importeur / Händler

Sie verkaufen KI weiter

Wer Drittanbieter-KI weiterverkauft oder im EU-Markt einführt. Pflichten zur Prüfung der Anbieter-Konformität.

Was Sie konkret tun müssen.

  • 1. KI-Inventar erstellen. Welche KI-Werkzeuge laufen schon im Haus? (Auch die, von denen niemand weiß.) Dazu hilft ein KI-Audit.
  • 2. Risiko-Klassifizierung. Pro Werkzeug einordnen: Verboten, Hochrisiko, Begrenzt, Minimal. Anhang III der Verordnung gibt die konkrete Liste.
  • 3. KI-Kompetenz aufbauen (Art. 4). Mitarbeitende schulen, die KI nutzen. Pflicht seit Februar 2025. Wir bieten passende Schulungen.
  • 4. Technische Dokumentation bei Hochrisiko-Systemen. Wie funktioniert die KI, welche Daten, welche Aufsicht?
  • 5. Transparenz bei Chatbots und generativer KI. Nutzer müssen wissen, dass sie mit KI sprechen.
  • 6. Aufsicht und Überwachung. Bei Hochrisiko: laufende Überwachung des Systems, Vorfälle melden, Modelle prüfen.

Stichtage 2024 bis 2027.

01.08.2024

Inkrafttreten

Die KI-Verordnung tritt in Kraft. Die meisten Pflichten greifen schrittweise.

02.02.2025

Verbote & KI-Kompetenz-Pflicht

Verbotene KI-Praktiken sind ab jetzt nicht mehr erlaubt. Die KI-Kompetenz-Pflicht (Art. 4) gilt: alle Mitarbeitende, die KI nutzen, müssen geschult sein.

02.08.2025

GPAI-Modelle & Strafen

Pflichten für General-Purpose-AI-Modelle (z.B. GPT-4, Claude). Sanktionen werden vollziehbar.

02.02.2026

Hochrisiko-Pflichten

Volle Pflichten für Hochrisiko-Systeme greifen. Wer KI in HR, Bildung oder Kreditprüfung einsetzt, muss jetzt liefern.

02.08.2027

Vollständige Anwendbarkeit

Übergangsfristen für Bestandssysteme laufen aus. Ab jetzt greift der AI Act in allen Aspekten.

Was kostet ein Verstoß?

Die Strafen sind — angelehnt an die DSGVO — teils erheblich, gestaffelt nach Schwere des Verstoßes:

  • Verbotene KI: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — je nachdem, was höher ist.
  • Hochrisiko-Verstöße: Bis zu 15 Mio. € oder 3 % Jahresumsatz.
  • Falsche Angaben gegenüber Behörden: Bis zu 7,5 Mio. € oder 1,5 % Jahresumsatz.

Wo stehen Sie heute?

Ein KI-Audit bringt in zwei Tagen Klarheit — welche Werkzeuge laufen schon, welche Risiken sind im Haus, was muss als Nächstes passieren.