KI-Compliance & EU AI Act

Der EU AI Act ist in Kraft.
Ist Ihr Unternehmen vorbereitet?

Seit August 2024 gilt die weltweit erste umfassende KI-Regulierung. Die ersten Verbote sind bereits wirksam, Hochrisiko-Anforderungen greifen ab 2026. Unternehmen, die jetzt handeln, sichern sich Compliance-Sicherheit — und einen Wettbewerbsvorteil gegenüber denen, die zu spät reagieren.

Zeitplan

EU AI Act: Die wichtigsten Fristen im Überblick

Die Verordnung tritt stufenweise in Kraft. Nicht alle Anforderungen gelten sofort — aber die Vorbereitung muss jetzt beginnen.

BEREITS IN KRAFT Feb. 2025 Verbote für inakzeptable Risiken (Art. 5) Aug. 2025 GPAI-Anforderungen gelten (General Purpose AI) JETZT VORBEREITEN Aug. 2026 Hochrisiko-KI-Anforderungen (Annex I & III) HR, Kredit, Infrastruktur Aug. 2027 Eingebettete KI-Systeme Produktintegration

Quelle: EU AI Act (Verordnung (EU) 2024/1689) — eur-lex.europa.eu

Risikoklassifizierung

Die EU AI Act Risikopyramide

Welche Anforderungen gelten für Ihre KI-Systeme? Die Klassifizierung bestimmt den Umfang Ihrer Compliance-Pflichten.

Verbotene KI-Praktiken Social Scoring · Verhaltensmanipulation Hochrisiko-KI Kredit · HR-Entscheidungen · kritische Infrastruktur · Bildung · Strafverfolgung ANNEX I & III — Strengste Anforderungen Begrenzte Risiko-KI Chatbots · Deepfakes · Emotionserkennung Transparenzpflicht (Art. 50) Minimales Risiko Spamfilter · KI-Spiele · Empfehlungssysteme Keine spezifischen Pflichten VERBOTEN HOCHRISIKO BEGRENZT MINIMAL

Quelle: EU AI Act (Verordnung (EU) 2024/1689) — eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689

Pflichten

Was bedeutet das für Ihr Unternehmen?

Je nach Risikokategorie der eingesetzten KI-Systeme entstehen unterschiedliche rechtliche Pflichten. Hier die drei zentralen Anforderungsbereiche für den Mittelstand.

visibility

Transparenzpflichten

Art. 50 EU AI Act

Nutzer müssen informiert werden, wenn sie mit einem KI-System interagieren. Gilt für Chatbots, KI-generierte Texte und Bilder sowie Systeme zur Emotionserkennung.

  • KI-Kennzeichnungspflicht
  • Deepfake-Offenlegung
  • Chatbot-Transparenz
description

Dokumentationspflichten

Hochrisiko-KI (Annex I & III)

Für Hochrisiko-KI-Systeme gelten umfangreiche Dokumentations- und Governance-Anforderungen: technische Dokumentation, Risikobewertung, Qualitätsmanagementsystem und Konformitätserklärung.

  • Technische Dokumentation
  • Risikobewertungssystem
  • Konformitätsbewertung
school

Schulungspflichten

Art. 4 EU AI Act

Unternehmen müssen sicherstellen, dass Personen, die für den Betrieb und die Nutzung von KI-Systemen verantwortlich sind, über ausreichende KI-Kompetenz verfügen — dokumentierbar und nachweisbar.

  • KI-Literacy für alle Nutzer
  • Vertiefung für Verantwortliche
  • Nachweisdokumentation
Umsetzungsfahrplan

KI-Compliance in 4 Schritten

Kein Unternehmen muss von Null anfangen. Mit einem strukturierten Ansatz lässt sich KI-Compliance systematisch und ohne Panik aufbauen.

01

Bestandsaufnahme: Welche KI-Systeme nutzen wir?

Viele Unternehmen wissen nicht vollständig, welche KI-Systeme in welchen Abteilungen eingesetzt werden. Der erste Schritt ist ein vollständiges KI-Inventar: von eingebetteter KI in bestehender Software über selbst entwickelte Algorithmen bis hin zu genutzten KI-APIs und Drittanbieter-Tools. Nur was bekannt ist, kann bewertet werden.

02

Risikoklassifizierung: In welche EU AI Act Kategorie fallen sie?

Auf Basis des KI-Inventars wird jedes System anhand der EU AI Act Kategorien bewertet: Verboten, Hochrisiko, Begrenzt oder Minimal. Diese Klassifizierung bestimmt den gesamten Compliance-Aufwand. Besondere Aufmerksamkeit gilt KI-Systemen im HR-Bereich (Bewerbungsauswahl, Leistungsbewertung) und im Kreditwesen — diese fallen häufig unter Hochrisiko.

03

Maßnahmenplan: Was müssen wir konkret tun?

Aus der Klassifizierung entsteht ein prioriserter Maßnahmenplan mit klaren Verantwortlichkeiten und Fristen: Welche Systeme brauchen technische Dokumentation? Wo müssen Transparenzhinweise eingeführt werden? Welche Prozesse müssen geändert oder eingestellt werden? Der Plan priorisiert nach Risiko und Aufwand — nicht jede Maßnahme ist gleich dringend.

04

Schulung & Dokumentation: Teams vorbereiten und nachweispflichtig handeln

Art. 4 EU AI Act verlangt nachweisbare KI-Kompetenz. Das bedeutet strukturierte Schulungen für alle Mitarbeiter, die KI-Systeme einsetzen oder verantworten — und eine saubere Dokumentation, die im Prüfungsfall vorgelegt werden kann. Wir entwickeln rollenspezifische Schulungsformate, die Compliance sicherstellen und gleichzeitig praktischen Nutzen bieten.

Mehr zu unseren KI-Schulungen →
Nächster Schritt

KI-Compliance-Readiness in 30 Minuten klären.

Wir analysieren mit Ihnen, welche KI-Systeme in Ihrem Unternehmen betroffen sind, welche Fristen für Sie relevant sind und was die konkreten nächsten Schritte sind — ohne Fachjargon, mit klarem Handlungsplan.

Kostenlos · 30 Minuten · Ohne Verpflichtung

FAQ

Häufig gestellte Fragen zu KI-Compliance & EU AI Act

Wann gilt der EU AI Act für mein Unternehmen? add

Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, in Verkehr bringen oder einsetzen — unabhängig vom Unternehmenssitz. Als mittelständisches Unternehmen in Deutschland sind Sie betroffen, sobald Sie KI-Systeme nutzen, die unter die Kategorien Hochrisiko oder Begrenzt fallen. Die Verbote für inakzeptable Risiken gelten seit Februar 2025. Die Anforderungen für Hochrisiko-KI greifen ab August 2026. Die Vorbereitung sollte jetzt beginnen.

Was ist der Unterschied zwischen Hochrisiko-KI und verbotener KI? add

Verbotene KI-Praktiken (Art. 5) sind absolut untersagt und müssen sofort eingestellt werden — dazu zählen Social-Scoring-Systeme, unbewusstes Verhaltensbeeinflussung, biometrische Kategorisierung nach sensiblen Merkmalen in öffentlichen Räumen und bestimmte Formen der Emotionserkennung. Hochrisiko-KI (Annex I & III) ist erlaubt, unterliegt aber strengen Anforderungen an Dokumentation, Governance, Datenschutz und menschliche Aufsicht. Typische Hochrisiko-Anwendungen im Mittelstand: KI-gestützte Personalentscheidungen und Kredit-Scoring.

Müssen wir unsere KI-Systeme beim EU-Amt registrieren? add

Eine Registrierungspflicht gilt nur für bestimmte Hochrisiko-KI-Systeme über die EU-Datenbank (EUDAMED-ähnliches KI-Register). Für die meisten mittelständischen Unternehmen, die KI-Systeme als Anwender einsetzen (nicht selbst entwickeln), entfällt die direkte Registrierungspflicht — die Pflichten liegen primär bei Entwicklern und Anbietern. Als Anwender ("Deployer") haben Sie jedoch eigene Pflichten in Bezug auf Dokumentation, Datenschutz-Folgenabschätzung und Schulung.

Was droht bei Verstößen gegen den EU AI Act? add

Der EU AI Act sieht ein dreistufiges Bußgeldsystem vor: bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken; bis zu 15 Mio. Euro oder 3% bei anderen Verstößen; bis zu 7,5 Mio. Euro oder 1,5% bei falschen Angaben gegenüber Behörden. Für KMU gelten abgestufte Regelungen. Hinzu kommen Reputationsschäden und mögliche zivilrechtliche Haftungsansprüche betroffener Personen.

Brauchen wir einen KI-Beauftragten (Chief AI Officer)? add

Der EU AI Act schreibt keine verpflichtende CAIO-Rolle vor. Allerdings erfordert die Verordnung klare interne Verantwortlichkeiten für KI-Governance — wer Systeme überwacht, wer Dokumentation verantwortet, wer bei Vorfällen reagiert. Für mittelständische Unternehmen empfehlen wir keine neue Stelle, sondern die Erweiterung bestehender Rollen: Der Datenschutzbeauftragte, ein IT-Verantwortlicher oder ein Compliance-Manager kann KI-Governance mit übernehmen — mit gezielter Schulung und klaren Prozessen.