Der EU AI Act ist in Kraft.
Ist dein Unternehmen vorbereitet?

Seit August 2024 gilt die weltweit erste umfassende KI-Regulierung. Die ersten Verbote sind bereits wirksam, die Hochrisiko-Anforderungen aus Annex III greifen — nach der Verschiebung durch den Digital Omnibus — ab Ende 2027. Unternehmen, die jetzt handeln, sichern sich Compliance-Sicherheit — und einen Wettbewerbsvorteil gegenüber denen, die zu spät reagieren.

Zeitplan

EU AI Act: Die wichtigsten Fristen im Überblick

Die Verordnung tritt stufenweise in Kraft. Nicht alle Anforderungen gelten sofort — aber die Vorbereitung muss jetzt beginnen.

BEREITS IN KRAFT Feb. 2025 Verbote für inakzeptable Risiken (Art. 5) Aug. 2025 GPAI-Anforderungen gelten (General Purpose AI) JETZT VORBEREITEN Aug. 2026 Hochrisiko-KI-Anforderungen (Annex I & III) HR, Kredit, Infrastruktur Aug. 2027 Eingebettete KI-Systeme Produktintegration

Quelle: EU AI Act (Verordnung (EU) 2024/1689) — eur-lex.europa.eu

Risikoklassifizierung

Die EU AI Act Risikopyramide

Welche Anforderungen gelten für deine KI-Systeme? Die Klassifizierung bestimmt den Umfang deiner Compliance-Pflichten.

Verbotene KI-Praktiken Social Scoring · Verhaltensmanipulation Hochrisiko-KI Kredit · HR-Entscheidungen · kritische Infrastruktur · Bildung · Strafverfolgung ANNEX I & III — Strengste Anforderungen Begrenzte Risiko-KI Chatbots · Deepfakes · Emotionserkennung Transparenzpflicht (Art. 50) Minimales Risiko Spamfilter · KI-Spiele · Empfehlungssysteme Keine spezifischen Pflichten VERBOTEN HOCHRISIKO BEGRENZT MINIMAL

Quelle: EU AI Act (Verordnung (EU) 2024/1689) — eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689

Pflichten

Was bedeutet das für dein Unternehmen?

Je nach Risikokategorie der eingesetzten KI-Systeme entstehen unterschiedliche rechtliche Pflichten. Hier die drei zentralen Anforderungsbereiche für den Mittelstand.

Transparenzpflichten

Art. 50 EU AI Act

Nutzer müssen informiert werden, wenn sie mit einem KI-System interagieren. Gilt für Chatbots, KI-generierte Texte und Bilder sowie Systeme zur Emotionserkennung.

  • KI-Kennzeichnungspflicht
  • Deepfake-Offenlegung
  • Chatbot-Transparenz

Dokumentationspflichten

Hochrisiko-KI (Annex I & III)

Für Hochrisiko-KI-Systeme gelten umfangreiche Dokumentations- und Governance-Anforderungen: technische Dokumentation, Risikobewertung, Qualitätsmanagementsystem und Konformitätserklärung.

  • Technische Dokumentation
  • Risikobewertungssystem
  • Konformitätsbewertung

Schulungspflichten

Art. 4 EU AI Act

Unternehmen müssen sicherstellen, dass Personen, die für den Betrieb und die Nutzung von KI-Systemen verantwortlich sind, über ausreichende KI-Kompetenz verfügen — dokumentierbar und nachweisbar.

  • KI-Literacy für alle Nutzer
  • Vertiefung für Verantwortliche
  • Nachweisdokumentation
Umsetzungsfahrplan

KI-Compliance in 4 Schritten

Kein Unternehmen muss von Null anfangen. Mit einem strukturierten Ansatz lässt sich KI-Compliance systematisch und ohne Panik aufbauen.

01

Bestandsaufnahme: Welche KI-Systeme nutzen wir?

Viele Unternehmen wissen nicht vollständig, welche KI-Systeme in welchen Abteilungen eingesetzt werden. Der erste Schritt ist ein vollständiges KI-Inventar: von eingebetteter KI in bestehender Software über selbst entwickelte Algorithmen bis hin zu genutzten KI-APIs und Drittanbieter-Tools. Nur was bekannt ist, kann bewertet werden.

02

Risikoklassifizierung: In welche EU AI Act Kategorie fallen sie?

Auf Basis des KI-Inventars wird jedes System anhand der EU AI Act Kategorien bewertet: Verboten, Hochrisiko, Begrenzt oder Minimal. Diese Klassifizierung bestimmt den gesamten Compliance-Aufwand. Besondere Aufmerksamkeit gilt KI-Systemen im HR-Bereich (Bewerbungsauswahl, Leistungsbewertung) und im Kreditwesen — diese fallen häufig unter Hochrisiko.

03

Maßnahmenplan: Was müssen wir konkret tun?

Aus der Klassifizierung entsteht ein prioriserter Maßnahmenplan mit klaren Verantwortlichkeiten und Fristen: Welche Systeme brauchen technische Dokumentation? Wo müssen Transparenzhinweise eingeführt werden? Welche Prozesse müssen geändert oder eingestellt werden? Der Plan priorisiert nach Risiko und Aufwand — nicht jede Maßnahme ist gleich dringend.

04

Schulung & Dokumentation: Teams vorbereiten und nachweispflichtig handeln

Art. 4 EU AI Act verlangt nachweisbare KI-Kompetenz. Das bedeutet strukturierte Schulungen für alle Mitarbeiter, die KI-Systeme einsetzen oder verantworten — und eine saubere Dokumentation, die im Prüfungsfall vorgelegt werden kann. Wir entwickeln rollenspezifische Schulungsformate, die Compliance sicherstellen und gleichzeitig praktischen Nutzen bieten.

Mehr zu unseren KI-Schulungen →
Nächster Schritt

KI-Compliance-Readiness in 30 Minuten klären.

Wir analysieren gemeinsam mit dir, welche KI-Systeme in deinem Unternehmen betroffen sind, welche Fristen für dich relevant sind und was die konkreten nächsten Schritte sind — ohne Fachjargon, mit klarem Handlungsplan.

Kostenlos · 30 Minuten · Ohne Verpflichtung

FAQ

Häufige Fragen zu KI-Compliance & EU AI Act

„KI-Compliance ist kein Bremsklotz, sondern dein Fundament: Wenn du den EU AI Act sauber aufsetzt, nutzt dein Team KI mit ruhigem Gewissen — rechtssicher und mit echtem Vorsprung.“
Michael Urban · NxtLvlOrg

Wann gilt der EU AI Act für dein Unternehmen?

Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, in Verkehr bringen oder einsetzen — unabhängig vom Unternehmenssitz. Als mittelständisches Unternehmen in Deutschland bist du betroffen, sobald du KI-Systeme nutzt, die unter die Kategorien Hochrisiko oder Begrenzt fallen. Die Verbote für inakzeptable Risiken gelten seit Februar 2025, die Anforderungen für Hochrisiko-KI (Annex III) greifen nach der Verschiebung durch den Digital Omnibus ab Dezember 2027. Du startest die Vorbereitung am besten jetzt.

Was ist der Unterschied zwischen Hochrisiko-KI und verbotener KI?

Verbotene KI-Praktiken (Art. 5) sind absolut untersagt und gehören sofort eingestellt — dazu zählen Social-Scoring-Systeme, unbewusste Verhaltensbeeinflussung, biometrische Kategorisierung nach sensiblen Merkmalen in öffentlichen Räumen und bestimmte Formen der Emotionserkennung. Hochrisiko-KI (Annex I & III) bleibt erlaubt, unterliegt aber strengen Anforderungen an Dokumentation, Governance, Datenschutz und menschliche Aufsicht. Typische Hochrisiko-Anwendungen im Mittelstand: KI-gestützte Personalentscheidungen und Kredit-Scoring.

Was droht bei Verstößen gegen den EU AI Act?

Der EU AI Act sieht ein dreistufiges Bußgeldsystem vor: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen verbotene Praktiken; bis zu 15 Mio. Euro oder 3 % bei anderen Verstößen; bis zu 7,5 Mio. Euro oder 1,5 % bei falschen Angaben gegenüber Behörden. Für KMU gelten abgestufte Regelungen. Hinzu kommen Reputationsschäden und mögliche zivilrechtliche Haftungsansprüche betroffener Personen. Mit einer sauberen KI-Compliance bleibst du hier auf der sicheren Seite.

Dürft ihr ChatGPT und Microsoft Copilot legal im Unternehmen nutzen?

Grundsätzlich ja — mit den richtigen Rahmenbedingungen. Entscheidend ist, welche Daten an den Dienst übermittelt werden. Personenbezogene Daten (Kundendaten, Mitarbeiterdaten) nutzt du DSGVO-konform, wenn ein gültiger Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter besteht und die Verarbeitung in EU-konformer Infrastruktur erfolgt. Microsoft 365 Copilot erfüllt diese Anforderungen mit den richtigen Einstellungen. Bei ChatGPT bietet die Enterprise-Version deutlich bessere Datenschutzgarantien als die kostenlose Variante.

Was gehört in eine KI-Nutzungsrichtlinie?

Eine unternehmensweite KI-Nutzungsrichtlinie regelt mindestens: welche KI-Tools freigegeben sind, welche Daten außerhalb von KI-Systemen bleiben, wie ihr mit KI-generierten Inhalten umgeht (Kennzeichnung, Qualitätsprüfung), wer für KI-Entscheidungen verantwortlich ist und wie ihr mit Verstößen umgeht. Dazu kommen Hinweise auf geltende Gesetze (EU AI Act, DSGVO) und Verweise auf eure Schulungsangebote. Halte die Richtlinie kurz, verständlich und aktuell — so wird sie im Alltag gelebt.

Gilt der EU AI Act auch für KI-Tools, die ihr eingekauft habt?

Ja — als sogenannte „Deployer“ (Nutzer von KI-Systemen) habt ihr eigene Pflichten nach dem EU AI Act, auch wenn ihr die KI selbst nicht entwickelt habt. Bei Hochrisiko-KI-Systemen stellst du als Deployer unter anderem menschliche Aufsicht sicher, schulst dein Team, betreibst ein Risikomanagement und führst eine Grundrechte-Folgenabschätzung durch. Entscheidend bleibt, welcher Risikoklasse das eingesetzte System zugeordnet wird.