Die weltweit erste umfassende KI-Regulierung: Risikostufen, Verbote, Fristen und konkrete Handlungspflichten für alle Unternehmen, die KI in der EU einsetzen oder entwickeln.
Die wichtigsten Fakten zur weltweit ersten umfassenden KI-Regulierung.
Der EU AI Act (Verordnung (EU) 2024/1689) ist eine europäische Verordnung, die den Einsatz, die Entwicklung und das Inverkehrbringen von KI-Systemen in der EU reguliert. Sie gilt für alle Unternehmen, die KI in der EU nutzen oder auf dem EU-Markt anbieten – unabhängig vom Firmensitz.
Sicherheit und Grundrechte schützen, ohne Innovation zu ersticken. Der Ansatz ist risikobasiert: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.
Der AI Act gilt für: (1) Anbieter von KI-Systemen, die in der EU in Verkehr gebracht werden, (2) Betreiber von KI-Systemen in der EU, (3) Importeure und Händler von KI-Systemen, (4) Hersteller von KI-Systemen unter EU-Produktsicherheitsrecht.
Die DSGVO reguliert den Datenschutz – sie gilt immer, wenn personenbezogene Daten verarbeitet werden. Der AI Act reguliert die KI-Systeme selbst. Beide Regelwerke gelten parallel und ergänzen sich.
Verstöße gegen Verboten: bis zu 35 Mio. € oder 7 % des globalen Jahresumsatzes. Verstöße gegen Hochrisiko-Pflichten: bis zu 15 Mio. € oder 3 %. Falsche Informationen gegenüber Behörden: bis zu 7,5 Mio. € oder 1 %.
Für alle Unternehmen – unabhängig von der Größe. KMU erhalten einige Erleichterungen (Sandboxes, vereinfachte Verfahren), sind aber nicht ausgenommen. Der größte Handlungsbedarf besteht für Unternehmen, die eigene Hochrisiko-KI entwickeln oder einsetzen.
Der AI Act klassifiziert KI-Systeme nach ihrem Risiko. Je höher das Risiko, desto strenger die Anforderungen.
Führen Sie jetzt eine KI-Inventarisierung durch: Welche KI-Tools nutzen Ihre Mitarbeiter? Welche Systeme entwickeln Sie selbst? Klassifizieren Sie diese nach dem EU AI Act, um die nötigen Maßnahmen frühzeitig einzuleiten. → Checkliste für Unternehmen
Seit August 2025 gelten besondere Pflichten für Anbieter von General Purpose AI (GPAI) – also Modellen wie GPT-4, Claude oder Gemini.
GPAI-Anbieter müssen technische Dokumentation bereitstellen, Informationen für Downstream-Anbieter (also Unternehmen, die das Modell nutzen) veröffentlichen und eine Zusammenfassung der Trainingsdaten bereitstellen.
GPAI-Anbieter müssen eine politik zur Einhaltung des EU-Urheberrechts veröffentlichen und Informationen über die verwendeten Trainingsdaten bereitstellen. Dies betrifft insbesondere das Text and Data Mining (TDM).
GPAI-Modelle mit systemischen Risiken (z. B. sehr leistungsfähige Modelle mit >10^25 FLOPs) unterliegen zusätzlichen Pflichten: Modellbewertung, Risikominderung, Cybersecurity-Maßnahmen, Berichterstattung an die Kommission.
Wenn Sie GPAI-Modelle in Ihren Produkten oder Prozessen einsetzen, müssen Sie sicherstellen, dass die Transparenzpflichten des Anbieters erfüllt sind. Prüfen Sie die Dokumentation und Zusammenfassungen der Trainingsdaten.
Die Verordnung wird schrittweise angewendet. Diese Fristen müssen Sie kennen.
Ja, der EU AI Act gilt grundsätzlich für alle Unternehmen – unabhängig von der Größe. Allerdings enthält die Verordnung Erleichterungen für KMU: Behörden sollen bei der Implementierung unterstützen, und Sandboxes (Reallabore) ermöglichen Tests unter aufsichtsbehördlicher Begleitung. Für KMU, die lediglich KI-Systeme anderer Anbieter nutzen (keine Eigenentwicklung), gelten primär die Pflichten des Betreibers (Operators), die weniger umfangreich sind als die des Anbieters (Providers).
Die DSGVO reguliert den Datenschutz personenbezogener Daten – sie gilt immer dann, wenn personenbezogene Informationen verarbeitet werden, unabhängig davon, ob KI im Spiel ist. Der EU AI Act hingegen reguliert die KI-Systeme selbst: ihre Entwicklung, ihr Inverkehrbringen und ihren Betrieb. Beide Regelwerke ergänzen sich und müssen parallel eingehalten werden. Die Datenschutzbehörden sind für die DSGVO zuständig, während nationale Marktaufsichtsbehörden den EU AI Act durchsetzen werden.
ChatGPT selbst ist kein Hochrisiko-KI-System, sondern ein GPAI-Modell (General Purpose AI). Es unterliegt den GPAI-Pflichten (Transparenz, Urheberrecht, technische Dokumentation). Allerdings: Wenn Sie ChatGPT in einem Hochrisiko-Anwendungsfeld einsetzen – z. B. für HR-Entscheidungen, Kreditvergabe oder medizinische Diagnostik – dann wird Ihr konkreter Einsatz zum Hochrisiko-System und unterliegt den strengen Hochrisiko-Pflichten.
Die wichtigsten Schritte: (1) Führen Sie eine KI-Inventarisierung durch – welche KI-Tools nutzen Sie? (2) Klassifizieren Sie diese nach Risikostufen. (3) Prüfen Sie, ob verbotene Praktiken vorliegen. (4) Für Hochrisiko-Systeme: Konformitätsbewertung, technische Dokumentation, Risikomanagement. (5) Für begrenzte Risiken: Transparenzpflichten umsetzen. (6) Erstellen Sie eine KI-Nutzungsrichtlinie für Mitarbeiter. (7) Binden Sie den Datenschutzbeauftragten ein. → Detaillierte Checkliste
Der EU AI Act (Art. 50) verpflichtet Anbieter von Systemen, die synthetische Inhalte erzeugen, diese technisch zu kennzeichnen (Wasserzeichen, Metadaten). Für Betreiber, die diese Systeme nutzen, gilt eine Transparenzpflicht gegenüber Nutzern, insbesondere bei Chatbots. In Deutschland ergeben sich zusätzliche Kennzeichnungspflichten aus dem Medienrecht, wenn KI-Inhalte journalistisch oder werblich eingesetzt werden. Unser Rat: Kennzeichnen Sie KI-generierte Inhalte auch über das gesetzliche Minimum hinaus – dies stärkt Vertrauen.
Der EU AI Act ist die weltweit erste umfassende Regulierung von künstlicher Intelligenz. Seit August 2024 in Kraft, wird er schrittweise bis 2027 vollständig angewendet. Für Unternehmen bedeutet dies: Wer KI in der EU einsetzt oder entwickelt, muss sich mit den neuen Pflichten auseinandersetzen.
Der Ansatz ist risikobasiert: Die meisten KI-Anwendungen fallen in die Kategorie „minimales Risiko" und unterliegen keinen spezifischen Pflichten. Anders sieht es bei Hochrisiko-KI aus – etwa KI in HR-Entscheidungen, Kreditvergabe oder kritischer Infrastruktur. Hier gelten strenge Anforderungen an Risikomanagement, Transparenz und menschliche Aufsicht.
Besonders relevant für viele Unternehmen ist die GPAI-Regulierung: Ab August 2025 müssen Anbieter von Allzweck-KI-Modellen wie GPT-4 oder Claude Transparenzpflichten erfüllen und eine Zusammenfassung ihrer Trainingsdaten bereitstellen. Unternehmen, die diese Modelle nutzen, müssen prüfen, ob die Anbieter diese Pflichten erfüllen.
Unser Rat: Starten Sie jetzt mit der KI-Inventarisierung, klassifizieren Sie Ihre Systeme und leiten Sie die nötigen Maßnahmen ab. Je früher Sie beginnen, desto geringer das Risiko von Bußgeldern und Reputationsschäden. → Zur Sofort-Checkliste für Unternehmen
Alle Inhalte auf legal-ki.de dienen ausschließlich der allgemeinen Information. Sie stellen keine Rechtsberatung im Einzelfall dar. Für verbindliche Einschätzungen zu Ihrem konkreten Fall wenden Sie sich bitte an eine qualifizierte Rechtsanwältin oder einen Rechtsanwalt.