EU AI Act – Was ab August 2025 in Theorie und Praxis zählt

Als das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz (KI) ist seit dem 1. August 2024 der EU AI Act (oder KI-Verordnung) in Kraft. Sie fragen sich, was jetzt Ihre Rechte und Pflichten im Umgang mit KI sind? Die Verordnung sieht einen gestaffelten Zeitplan vor, der die schrittweise Umsetzung der Vorschriften fordert. Am 2. August 2025 ist die nächste Stufe wirksam geworden, sodass Unternehmen in der Pflicht stehen. Unternehmen sollten jetzt ihre KI-Produkte und -Prozesse prüfen und an die geltenden Vorschriften anpassen. Ziel unserer Seite zum EU AI Act ist es, zunächst die rechtlichen Grundlagen der Verordnung zu vermitteln, um im Anschluss praxisnahe Empfehlungen für die Umsetzung im Unternehmen auszusprechen.

Der EU AI Act in der Theorie

Um möglichst konkrete Handlungsempfehlungen geben zu können, haben wir hier zunächst die wichtigsten Grundlagen und Begriffe der Verordnung für Sie zusammengetragen.

Ziele des EU AI Acts

Der Einsatz von KI eröffnet Unternehmen erhebliche Chancen: Prozesse können beschleunigt, Kosten gespart und Produkte verbessert werden. In vielen Fällen bleibt das Unternehmen erst durch den zielgerichteten Einsatz von KI wettbewerbs- und damit zukunftsfähig.
Gleichzeitig birgt die Nutzung von KI Herausforderungen und Risiken. Diese können sich aus den zugrunde liegenden Datensätzen, aus den KI-Modellen selbst, aus der Integration der Systeme im Unternehmen, aus rechtlichen oder ethischen Gesichtspunkten ergeben.
Der EU AI Act setzt genau dort an und soll diese Chancen und Risiken in ein ausgewogenes Verhältnis bringen. Für diesen Balanceakt legt der EU AI Act den Schwerpunkt darauf, die Entwicklung und Nutzung von KI am Menschen auszurichten. Die in der EU verankerten Grundrechte und -freiheiten sollen vor den Gefahren von KI bestmöglich geschützt werden. Klare Regeln sollen das Vertrauen in KI-Anwendungen stärken. Gleichzeitig soll die Innovationskraft europäischer Unternehmen gefördert und letztlich das Funktionieren des Binnenmarkts sichergestellt werden.

Anwendungsbereich des EU AI Acts

Ob der EU AI Act für ein Unternehmen von Relevanz ist, richtet sich nach dem persönlichen, sachlichen und räumlichen Anwendungsbereich der Verordnung.

Persönlicher Anwendungsbereich

In persönlicher Hinsicht differenziert der EU AI Act gemäß Art. 2 Abs. 1 zwischen folgenden Personen:
  • Anbieter, die in der EU KI-Systeme in Verkehr bringen oder in Betrieb nehmen,
  • Betreiber von KI-Systemen, die ihren Sitz in der EU haben oder sich in der EU befinden,
  • Anbieter und Betreiber, die ihren Sitz in einem Drittland haben oder sich in einem Drittland befinden, wenn die KI-Systeme in der EU verwendet werden,
  • Einführer, die ein KI-System, das den Namen oder die Handelsmarke einer in einem Drittland niedergelassenen natürlichen oder juristischen Person trägt, in Verkehr bringen,
  • Händler, die ein KI-System auf dem EU-Markt bereitstellen und nicht Anbieter oder Einführer sind,
  • Produkthersteller, die KI-Systeme zusammen mit ihrem Produkt unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringen oder in Betrieb nehmen,
  • Bevollmächtigte von Anbietern außerhalb der EU,
  • weitere betroffene Personen, die sich in der EU befinden.
Zu betonen ist in erster Hinsicht, dass juristische als auch natürliche Personen vom EU AI Act umfasst sein können.
Für Anbieter und Betreiber hat der EU AI Act die größte praktische Bedeutung. Für sie können unterschiedliche Pflichten gelten, sodass insbesondere die Abgrenzung zwischen diesen Personen zu beleuchten ist.
Anbieter definieren sich laut Art. 3 Nr. 3, 9 und 11 durch folgende Tätigkeiten:
  • (Beauftragung von) Entwicklung eines KI-Modells mit allgemeinen Verwendungszweck
  • Inbetriebnahme oder Inverkehrbringen eines KI-Modells unter eigenem Namen oder einer Handelsmarke
  • Anbieter-Definition ist unabhängig von Entgelt-Zahlung der Nutzenden
Der Betreiber ist dagegen in Art. 3 Nr. 4 der Verordnung definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet.“
Diejenigen Unternehmen, die ein KI-System verwenden, fallen unter die Betreiber. Da davon ausgegangen wird, dass mittlerweile in der überwiegenden Anzahl der Unternehmen KI an irgendeiner Stelle genutzt wird, stellen die meisten Unternehmen Betreiber, eine dagegen kleinere Anzahl Anbieter dar.
Gleichzeitig besteht die Möglichkeit, dass ein Unternehmen sowohl Betreiber als auch Anbieter ist und somit in unterschiedlicher Hinsicht dem EU AI Act unterliegt.
Die weiteren genannten Personen spielen im Vergleich dazu eine untergeordnete Rolle.

Sachlicher Anwendungsbereich

In sachlicher Hinsicht ist vor allem maßgeblich, ob ein KI-System vorliegt.
Vereinfachend ist für diese Frage maßgeblich, ob über die reine Verarbeitung von Daten hinausgehend das System eigenständig die Fähigkeit zum „Ableiten“ von Schlussfolgerungen und „Anpassen“ an Umstände hat. Dies kann nur dann der Fall sein, wenn für die Funktionsfähigkeit des Systems erforderlich ist, dass es mit Daten trainiert wird.

Räumlicher Anwendungsbereich

Maßgebliches Kriterium für den räumlichen Anwendungsbereich des EU AI Acts ist, dass das KI-System innerhalb der EU zum Einsatz kommt. Es sind daher auch ausdrücklich Personen einbezogen, die sich in Drittländern befinden, sofern der Bezug zur EU durch das KI-System besteht.
Merke: Der Anwendungsbereich des EU AI Acts ist weitreichend. Der Einsatz von KI im Unternehmen genügt, damit dieses als Betreiber dem EU AI Act unterliegt.

Risikobasierter Ansatz

Soweit der Anwendungsbereich des EU AI Acts eröffnet ist, ist es sinnvoll, sich mit der Regelungsweise des EU AI Acts auseinanderzusetzen. Im Grundsatz geht der EU AI Act von einem risikobasierten Ansatz aus. Es können verschiedene Risikostufen unterschieden werden. Je höher das Risiko aufgrund des jeweiligen KI-Systems ist, desto strengere Vorgaben greifen.
Dabei werden folgende Risikostufen unterschieden:
  • unannehmbares Risiko,
  • hohes Risiko,
  • beschränktes Risiko und
  • minimales Risiko.
Neben diesen Risikostufen kennt der EU AI Act noch die KI mit allgemeinem Verwendungszweck mit und ohne systemische Risiken. Was hierunter zu verstehen ist und welche Pflichten diesbezüglich greifen, wird im Folgenden ebenfalls aufgegriffen.
Merke: Je höher das Risiko durch die Nutzung von KI ist, desto strengere Regelungen sieht der EU AI Act vor.

Unannehmbares Risiko

Bei einem unannehmbaren Risiko sind die Praktiken verboten. Hierbei werden wesentliche Rechtsgüter der betroffenen Personen verletzt oder gefährdet, was mit den EU-Grundrechten nicht im Einklang steht.
Nach Art. 5 des EU AI Acts liegt ein solches Risiko dann vor, wenn eine unterschwellige Manipulation oder absichtliche Täuschung vorliegt. Gleiches gilt für die Ausnutzung von Schutzbedürftigkeit aufgrund von Alter, Behinderung oder sozialer Lage sowie für soziale Bewertungssysteme, die zu ungerechtfertigter oder unverhältnismäßiger Benachteiligung führen, und bei Risikoprognosen zu Straftaten, sofern diese ausschließlich auf Profiling beruhen. Ferner unzulässig ist das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder Überwachungsaufnahmen, die Erkennung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen und die Kategorisierung sensibler Merkmale wie ethnische Zugehörigkeit, politische Einstellung, Religion oder sexuelle Orientierung.
Merke: KI-Praktiken mit unannehmbarem Risiko sind seit dem 2. Februar 2025 verboten.

Hohes Risiko

Bei einem hohen Risiko gelten besondere Anforderungen und damit einhergehende Pflichten für Unternehmen. Die Grundrechte und Grundfreiheiten von Personen sind zumindest bedroht, sodass die betroffenen KI-Systeme nur unter Einschränkungen genutzt werden dürfen.
Ein solches hohes Risiko kann gemäß Art. 6 des EU AI Acts aufgrund des Produktes oder dessen Anwendungsbezugs vorliegen. Produktbezogen gilt dies gemäß Art. 6 Abs. 1 EU AI Act für Produkte, die dem harmonisiertem Produktsicherheitsrecht unterliegen, also zum Beispiel für Spielzeuge, Medizinprodukte oder Aufzüge. Sofern das KI-System als Sicherheitsbauteil in ein darunter fallendes Produkt verwendet wird oder selbst ein solches Produkt ist, gilt es als Hochrisiko-KI-System.
Ferner können solche KI-Systeme gemäß Art. 6 Abs. 2 EU AI Act aufgrund ihres Anwendungsbezugs unter die Hochrisiko-KI-Systeme fallen, wenn sie im Bereich der Biometrie, kritischen Infrastruktur, der Bildung, des Personalmanagements, grundlegender Dienste und Leistungen, der Strafverfolgung, der Migration, Asyl und Grenzkontrollen sowie der Rechtspflege und der demokratischen Prozesse eingesetzt werden. In Anlage III des EU AI Acts werden die genannten Anwendungsbezüge weiter konkretisiert, sodass eine genaue Prüfung zu empfehlen ist. Nicht als Hochrisiko-KI gelten diese jedoch gemäß Art. 6 Abs. 3 des EU AI Acts dann, wenn von ihnen kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Grundrechte natürlicher Personen birgt, z.B. wenn es das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflusst.
Beachte: Für Hochrisiko-KI-Systeme laufen die Umsetzungsfristen bis zum 2. August 2026 oder 2. August 2027.

Pflichten für Anbieter von Hochrisiko-KI-Systemen

Anbieter sind dazu verpflichtet, die in Abschnitt 2 des EU AI Acts festgelegten Anforderungen an das Hochrisiko-KI-System zu erfüllen und diese Erfüllung im Einzelfall nachweisen zu können. Dazu gehören
  • Durchführung eines Konformitätsbewertungsverfahrens, bestehend aus:
    • Konformitätserklärung
    • CE-Kennzeichnung
      • dienen beide der Erklärung der Erfüllung der Anforderungen durch den Anbieter
  • Einrichtung und kontinuierliche Pflege eines Risikomanagementsystems
    • beinhaltet Analyse, Abschätzung und Bewertung vorhersehbare Risiken für die Gesundheit, Sicherheit und Grundrechte von Personen
    • definiert geeignete und gezielte Risikomanagementmaßnahmen
  • Erstellen einer technischen Dokumentation
    • Dient dem Beleg, dass die anzuwendenden Anforderungen eingehalten werden
    • Kontinuierlich zu aktualisieren und aufzubewahren
    • Für KMUs und Start-Ups gelten hierbei erleichterte Darstellungsformen
  • Pflicht zur Protokollierung
    • automatische Aufzeichnung durch das KI-System vom Zeitraum der Nutzung, der Referenzdatenbank, der Eingabedaten sowie der an der Überprüfung der Ergebnisse beteiligten Personen
    • Protokolle unterliegen einer Aufbewahrungspflicht
  • Einführung eines Data-Governance Systems
    • Entwicklung von Trainings-, Validierungs- und Testdatensätzen , die bestimmten Qualitätskriterien entsprechen, sodass eine möglichst hohe Datenqualität gesichert werden kann.
    • Betroffen sind hiervon insbesondere die Herkunft der Daten, das Datenerhebungsverfahren, die Datenaufbereitung, der Umfang der Datensätze und die Untersuchung der Datenqualität.
  • Einführung eines Qualitätsmanagementsystems
    • Beinhaltet die Regeln, Verfahren und Anweisungen, die die Konzepte, Techniken und Verfahren zur Einhaltung der Vorschriften widerspiegeln
  • Transparenzpflicht
    • Pflicht zur Offenlegung des Anbieternamens, des/ der Handelsnamens/-marke und der Kontaktanschrift
    • Registrierung des KI-Systems in EU-Datenbank (ab August 2026 in Betrieb)
  • Erfüllung der Barrierefreiheitsanforderungen aus den Richtlinien (EU) 2016/2012 und (EU) 2019/882

Pflichten für Betreiber von Hochrisiko-KI-Systemen

Für Betreiber von Hochrisiko-KI-Systemen gilt im Vergleich zu den Anbietern ein geringerer Pflichtenkatalog. Dennoch werden ihnen einige zusätzliche Pflichten auferlegt:
  • Einrichtung technischer und organisatorischer Maßnahmen, um das KI-System entsprechend der Betriebsanleitung zu verwenden und zu überwachen.
  • Dabei ist das KI-System unter menschlicher Aufsicht zu nutzen.
  • Die Eingabedaten müssen repräsentativ sein.
  • Automatisch erzeugte Protokolle sind aufzubewahren.
  • Arbeitnehmer sind über die Verwendung eines Hochrisiko-KI-Systems zu informieren.
  • Sofern eine Nutzung des KI-Systems zur biometrischen Fernidentifizierung erfolgt, gilt eine Genehmigungspflicht.
  • Zudem ist durch Einrichtungen des öffentlichen Rechts oder private Einrichtungen, die öffentliche Dienste erbringen, eine Grundrechte-Folgenabschätzung vorzunehmen.

Pflichten für Einführer und Händler von Hochrisiko-KI-Systemen

Die Pflichten für Einführer und Händler von Hochrisiko-KI-Systemen beschränken sich im Großteil auf die Überprüfung der Erfüllung der Anforderungen durch den Anbieter. Dies betrifft insbesondere das Konformitätsbewertungsverfahren.
Einführer müssen zudem ihren Namen und ihre Kontaktdaten angeben.
Merke:
Ein hohes Risiko und damit die Einstufung als Hochrisiko-KI-System kann sich aus dem Produkt selbst oder dem Anwendungsbereich ergeben. Für Hochrisiko-KI-Systeme sieht der EU AI Act insbesondere für Anbieter strenge Anforderungen vor, aber auch Betreiber, Einführer und Händler werden in die Pflicht genommen.

Beschränktes Risiko

In bestimmten Fällen stuft der EU AI Act das Risiko von KI-Systemen als beschränkt ein. Hier liegt zwar keine unmittelbare Gefahr für die Gesundheit, Sicherheit und Grundrechte von Personen vor, jedoch eine erhöhte Gefahr für Irreführung und Täuschung. In diesen Fällen gelten ab dem 2. August 2026 besondere Transparenzpflichten nach Art. 50 der Verordnung.
  • Pflicht zur Information der Nutzenden über Interaktion mit einem KI-System
  • Wird KI zur Emotionserkennung oder zur biometrischen Kategorisierung eingesetzt, muss darüber informiert werden.
  • Maschinenlesbare Kennzeichnung von mit KI erzeugten Deepfakes, Audio-, Bild-, Video- oder Textinhalten als künstlich erzeugt oder manipuliert
Merke: Anbieter und Betreiber haben ab dem 2. August 2026 Transparenzpflichten bei KI-Systemen mit beschränktem Risiko zu erfüllen. Ein beschränktes Risiko liegt aufgrund von Gefahren der Irreführung oder Täuschung vor.

KI mit allgemeinem Verwendungszweck – mit und ohne systemische Risiken

Neben den bereits benannten Risikostufen sieht der EU AI Act Besonderheiten für KI mit allgemeinem Verwendungszweck (auch als GPAI benannt - General Purpose Artificial Intelligence) vor. Dies sind solche KI-Systeme, die grundsätzlich unterschiedlichen Zwecken dienen. Der EU AI Act spricht davon, dass diese ein breites Spektrum unterschiedlicher Aufgaben kompetent erfüllen und somit in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden können (vgl. Art. 3 Nr. 63).
Hierbei wird weiterhin zwischen KI mit allgemeinem Verwendungszweck mit oder ohne systemische Risiken differenziert. Dies hängt von der Höhe des Wirkungsgrades für den Markt bzw. die Gesellschaft ab. Ein systemisches Risiko liegt bei einem hohen Wirkungsgrad vor, der grundsätzlich durch verschiedene Kriterien gemessen werden kann (vgl. Anhang XIII EU AI Acts). Hierunter fallen die Anzahl der Parameter, die Qualität und Größe des Datensatzes, die Menge der Berechnungen, die Ein- und Ausgabemodalitäten, die Fähigkeiten des Modells, die Reichweite und die Zahl der Endnutzer.
Für KI mit allgemeinem Verwendungszweck sowohl mit als auch ohne systemische Risiken, fordert der EU AI Act von den Anbietern:
  • eine technische Dokumentation zu erstellen und aktuell zu halten.
  • eine Strategie zur Einhaltung des Urheberrechts zu erstellen.
  • eine hinreichend detaillierte Zusammenfassung der für das Training des KI-Modells verwendeten Inhalte zu erstellen und zu veröffentlichen.
Sofern ein systemisches Risiko vorliegt, hat der Anbieter
  • dies der Kommission mitzuteilen.
  • eine Modellbewertung durchzuführen.
  • mögliche systemische Risiken zu bewerten und zu mindern.
  • bei schwerwiegenden Vorfällen Informationen zu erfassen, Abhilfemaßnahmen zu ergreifen und die Behörde zu unterrichten.
  • ein angemessenes Maß an Cybersicherheit sicherzustellen.
Die Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck gelten seit dem 2. August 2025.
Merke: Von KI mit allgemeinem Verwendungszweck („GPAI“) spricht man bei KI-Systemen, die eine Vielzahl von Einsatzmöglichkeiten haben. Haben diese einen besonders hohen Wirkungskreis, tragen sie ein „systemisches Risiko“. Für GPAI gelten insbesondere Dokumentationsanforderungen. Liegt zudem ein systemisches Risiko vor, sind weitergehende Pflichten zu erfüllen, insbesondere eine Modell- und Risikobewertung vorzunehmen. Diese Pflichten gelten seit dem 2. August 2025.

Minimales Risiko

Im Übrigen ist in jedem unter den sachlichen Anwendungsbereich des EU AI Acts fallenden KI-System ein minimales Risiko begründet. Für diese gilt zumindest die allgemeine Pflicht. Auf freiwilliger Basis können darüber hinaus für einen hohen Sicherheitsstandard zum Beispiel KI-Verhaltenskodizes im Unternehmen eingeführt werden.

Allgemeine Pflichten

Für Anbieter und Betreiber jeglichen Risikos gilt seit dem 2. Februar 2025 die KI-Kompetenz-Pflicht aus Art. 4 des EU AI Acts. Danach haben sie sicherzustellen, dass das Personal über ein ausreichendes Maß an KI-Kompetenz (auch bekannt als AI Literacy) verfügt.
Merke: Anbieter und Betreiber haben seit dem 2. Februar 2025 die KI-Kompetenz ihrer Mitarbeiter sicherzustellen. Siehe hier für praktische Tipps!

Nationale Behörde

Nach dem EU AI Act sind in jedem Mitgliedstaat eine notifizierende Behörde und eine Marktüberwachungsbehörde einzurichten, welche die Anwendung und Durchführung des EU AI Acts beaufsichtigen. Diesen Funktionen soll in Deutschland die Bundesnetzagentur nachkommen. Die notifizierende Behörde ist vor allem für die Notifizierung sowie Überwachung der Konformitätsbewertungsstellen zuständig, welche die Hochrisiko-KI-Systeme beurteilen. Die Marktüberwachungsbehörde kann, soweit erforderlich, Maßnahmen in Bezug auf alle KI-Systeme ergreifen.
Merke: In Deutschland soll die Bundesnetzagentur die zentrale Stelle im Rahmen der Umsetzung des EU AI Acts einnehmen. Diese stellt schon jetzt diverse Ressourcen für Unternehmen als Hilfestellung bereit. Bundesnetzagentur - KI

KI-Reallabor

Wie oben dargestellt, bezweckt der EU AI Act nicht nur die Schaffung eines Rechtsrahmens zum Schutz der Grundrechte und Grundfreiheiten bei der Nutzung von KI, sondern auch die Förderung von Innovationen. Maßgeblich zur Innovation beitragen sollen sog. KI-Reallabore – auch bezeichnet als Sandboxes. In jedem Mitgliedstaat soll ab dem 2. August 2026 mindestens ein KI-Reallabor einsatzbereit sein. In diesem Rahmen soll eine kontrollierte Umgebung geschaffen werden, um die Entwicklung, das Training, das Testen und die Validierung von KI-Systemen für einen begrenzten Zeitraum vor dem Inverkehrbringen unter geringeren regulatorischen Anforderungen zu erleichtern.
Ein KI-Reallabor kann in physischer, digitaler oder hybrider Form eingerichtet werden. Dabei soll insbesondere KMUs und Start-Ups vorrangig Zugang zu den KI-Reallaboren gewährt werden. In Hamburg ist das Artificial Intelligence Center Hamburg (ARIC e.V.) mit der Konzeptionierung und dem Aufbau einer KI-Sandbox betraut. Diese wird dann für die Hamburger Unternehmen weitere Hilfestellung bei der Entwicklung, Testung und Validierung von KI-Systemen leisten.
Merke: KI-Reallabore sind kontrollierte und rechtssichere Testumgebungen, in denen innovative KI-Systeme entwickelt, trainiert, getestet und validiert werden können.

Sanktionen

Bei Nichteinhaltung der Vorschriften des EU AI Acts können empfindliche Sanktionen drohen. Die Höchststrafe von bis zu 35 Mio. Euro oder 7 % des Jahresumsatzes ist bei Missachtung des Verbots von KI-Systemen mit unannehmbaren Risiken möglich. Eine Geldbuße von bis zu 15 Mio. Euro oder bis zu 3 % des Jahresumsatzes kann verhängt werden bei Verstoß gegen Pflichten der Anbieter von Hochrisiko-KI-Systemen, der Einführer, Händler und Betreiber sowie bei Verstoß gegen Transparenzpflichten und bestimmten Pflichten für Anbieter von GPAI-Modellen.
Merke: Bei Verstoß gegen den EU AI Act drohen Geldbußen von bis zu 35 Mio. Euro oder 7 % des weltweiten Umsatzes.

Umsetzungsfristen im Detail

Zeitplan AI Act
Bereits geltend sind die allgemeinen Bestimmungen, in denen auch die KI-Kompetenz-Pflicht verortet ist, und das Verbot für KI-Praktiken mit unannehmbarem Risiko sowie die Pflichten für die GPAI-Modelle. Auch können seit dem 2. August 2025 Sanktionen verhängt werden.
Sofern die Hochrisiko-KI-Systeme aufgrund des Produktsicherheitsrechts nach Art. 6 Abs. 1 und nicht anwendungsbezogen nach Art. 6 Abs. 2 als Hochrisiko-KI-System einzustufen ist, gilt eine Umsetzungsfrist ab dem 2. August 2027. Die Pflichten für GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, sind ebenfalls erst bis zum 2. August 2027 zu erfüllen. Ferner gilt für Hochrisiko-KI-Systeme, die von bestimmten Behörden verwendet werden und vor dem 2. August 2026 in Verkehr gebracht werden, eine Umsetzungsfrist zum 2. August 2030. Für bestimme KI-Systeme in IT-Großsystemen, die vor dem 2. August 2027 in Verkehr gebracht werden, gilt die Umsetzungsfrist zum 31. Dezember 2030.
Merke:
Das war bereits zuvor zu beachten
- KI-Kompetenzpflicht
- Verbot von KI-Praktiken mit unannehmbarem Risiko
Das gilt seit dem 2. August 2025
- Pflichten für GPAI-Modelle
- Sanktionsmöglichkeit

Der EU AI Act in der Praxis

Umsetzung des EU AI Acts

Die vorherigen Ausführungen zeigen, dass der EU AI Act in unterschiedlicher Weise auf den Einzelfall einwirken kann. Daher ist es unerlässlich, die jeweils anzuwendenden Vorschriften zu identifizieren.

KI-Strategie

Dies ist jedoch mit einigen Vorfragen verbunden.
Zunächst sollte in Erfahrung gebracht werden, ob ein KI-System im Sinne des EU AI Acts genutzt wird. Je nach Größe des Unternehmens kann es erforderlich sein, Mitarbeiter in unterschiedlichen Rollen zu befragen, ob, welche und wofür KI eingesetzt wird. Ist ein Unternehmen Anbieter, können wohlmöglich bereits genaue Aussagen über das entwickelte KI-System getroffen werden.
An dieser Stelle mag es auch sinnvoll sein, eine umfangreichere Bearbeitung des Themas KI im Unternehmen anzusteuern. So kann die strategische Planung von KI im Unternehmen, eine KI-Strategie, angedacht werden: Wie steht das Unternehmen zum Einsatz von KI? Wo bestehen Automatisierungspotenziale, die mittels KI abgebildet werden könnten? Im Einzelfall ist zusätzlich eine Wettbewerbsanalyse sinnvoll, um in Erfahrung zu bringen, ob und wie Wettbewerber KI einsetzen und dadurch möglicherweise Wettbewerbsvorteile nutzen.
Noch ganz neu beim Thema KI? Da es für Unternehmen eine Vielzahl von Themen und Fragestellungen gibt, bieten wir den KI-Kompass Hamburg an. Dort finden Sie eine Übersicht über wichtige Themen und die entsprechen Unterstützungsangebote im KI-Ökosystem in Hamburg:

Prüfung der Risikostufe

Sobald eine Auflistung der KI-Einsatzarten angefertigt wurde, muss ausgeschlossen werden, dass eine verbotene KI-Praktik i.S.d. Art. 5 des EU AI Acts vorliegt. Sodann ist zu überprüfen, ob ein Hochrisiko-KI-System i.S.d. Art. 6 des EU AI Acts vorliegt. Ist dies der Fall, sollte nach der Lektüre der oben genannten Informationen deutlich geworden sein, dass dadurch umfangreiche Anforderungen zu erfüllen sein könnten.
Hierzu schließt sich die Frage an, ob das Unternehmen Anbieter, Bevollmächtigter, Einführer, Händler oder Betreiber ist. Es ist zu empfehlen, dass die detaillierte Auseinandersetzung mit dem Anforderungskatalog in Kapitel III Abschnitt 2 und den entsprechenden Pflichten aus Abschnitt 3 erfolgt.
Kann das Vorliegen eines Hochrisiko-KI-Systems ausgeschlossen werden, sollte eine dahingehende Prüfung vorgenommen werden, ob ein beschränktes Risiko vorliegt, also ob Transparenzpflichten auf Grundlage von Art. 50 des EU AI Acts zu erfüllen sind oder aber das Unternehmen Anbieter eines KI-Modells mit allgemeinem Verwendungszweck ist. Daran schließt sich die Überprüfung an, ob ein systemisches Risiko vorliegt.

Umsetzung von Pflichten

Konnten nun die jeweils einschlägigen Vorschriften des EU AI Acts identifiziert werden, sollten diese unter Berücksichtigung der jeweils geltenden Umsetzungsfrist umgesetzt werden. Liegt ein Compliance-Managementsystem vor, sind die Anforderungen und Maßnahmen entsprechend einzubetten.
Eine Vielzahl von Unternehmen wird Betreiber eines KI-Systems sein, welches nur ein minimales Risiko begründet. Insbesondere für diese, aber, wie die obigen Ausführungen bereits dargelegt haben, auch für alle weiteren Risikostufen, ist die KI-Kompetenz-Pflicht aus Art. 4 EU AI Act von Bedeutung, sodass auf diese vertieft einzugehen ist. Hierbei ist noch einmal zu betonen, dass diese Pflicht bereits seit dem 2. Februar 2025 gilt, sodass, sofern dies noch nicht erfolgt ist, aktueller Handlungsbedarf besteht.
Praxistipp - erste Schritte:
1. Unternehmensanalyse
  • Wo und wofür wird KI eingesetzt?
  • Welche KI wird eingesetzt?
2. Identifikation der anzuwendenden Vorschriften des EU AI Acts
  • Kein unannehmbares Risiko
  • Vorliegen eines Hochrisiko-KI-Systems?
  • Vorliegen eines beschränkten Risikos nach Art. 50 EU AI Act?
  • Vorliegen von GPAI?
    • Vorliegen eines systemischen Risikos?
  • Welche Rolle nimmt das Unternehmen ein (Anbieter, Betreiber etc.)?
  • Beachtung der Umsetzungsfristen
3. Implementation der anzuwendenden Vorschriften des EU AI Acts

KI-Kompetenz

Wie genau die KI-Kompetenz-Pflicht aus Art. 4 EU AI Act auszugestalten ist, stellt der EU AI Act nicht weiter dar. Daher kann unter Berücksichtigung des jeweiligen Unternehmens entschieden werden, wie das erforderliche Maß an KI-Kompetenz sichergestellt wird. Hierbei sollten personen- und kontextbezogene Faktoren berücksichtigt werden. Fest steht, dass die KI-Kompetenz nur durch einen kontinuierlichen Prozess etabliert werden kann und die Pflicht aus Art. 4 EU AI Act nicht durch einmalige Vornahme erledigt ist. Sinnvoll erscheint ab einer gewissen Unternehmensgröße daher die Entwicklung eines Schulungskonzeptes.
Für die Erstellung eines Schulungskonzeptes ist es ratsam, zunächst in Erfahrung zu bringen, welche Kenntnisse in Bezug auf KI vorhanden sind und welche Kenntnisse fehlen. Hierbei können Bedürfnisse und Wünsche der Mitarbeitenden hinsichtlich der Ausgestaltung des Schulungsinhalts berücksichtigt werden. Ist dieser Bedarf ermittelt, sollten die passenden Maßnahmen und Inhalte identifiziert werden. An dieser Stelle kann es sinnvoll sein, abzuwägen, ob das Schulungsangebot überhaupt intern abgebildet werden kann oder ob ein externer Dienstleister herangezogen werden sollte. Ratsam ist es auch, zu kostenfreien Angeboten zu recherchieren. Inhaltlich könnte beispielhaft auf folgende Inhalte Bezug genommen werden:
  • Technologische Grundlagen von KI,
  • Allgemeine Chancen und Risiken von KI,
  • Rolle von KI im Unternehmen,
    • Haltung des Unternehmens zu KI/ KI-Strategie,
    • Anwendungsbereiche von KI im Unternehmen,
    • Anwendungspotentiale von KI im Unternehmen,
    • Spezifische Chancen und Risiken von KI im Unternehmen,
  • Individuelle Themengebiete, z.B.
    • Umgang mit Datenschutz,
    • Umgang mit Geschäftsgeheimnissen,
    • Umgang mit Urheberrechten,
    • vertieftes technisches Wissen.
In dem Schulungskonzept können zudem Nachholungen und Überarbeitungen terminiert werden. Zudem können Maßnahmen zur Sicherstellung der Umsetzung nützlich sein. Diesbezüglich ist eine Dokumentation der vorgenommenen Schulungen und ihrer Teilnehmenden sinnvoll.
Praxistipp - KI-Kompetenz:
  1. Erstellung eines Schulungskonzeptes
  2. Bedarfsermittlung und Kompetenzanalyse
  • Wer nutzt KI und wofür?
  • Welche KI-Kenntnisse sind vorhanden? Welche fehlen?
  • Wünsche und Bedarfe der Mitarbeitenden einbeziehen
3. Festlegung von Maßnahmen und Inhalten
  • Entscheidung, ob interne oder externe Schulungsangebote genutzt werden sollen
  • Recherche zu kostenfreien Angeboten
  • Mögliche Inhalte:
  • Technologischen Grundlagen von KI,
  • Allgemeinen Chancen und Risiken von KI,
  • Rolle von KI im Unternehmen,
    • Haltung des Unternehmens zu KI/ KI-Strategie,
    • Anwendungsbereiche von KI im Unternehmen,
    • Anwendungspotentiale von KI im Unternehmen,
    • Spezifische Chancen und Risiken von KI im Unternehmen,
  • Individuelle Themengebiete, z.B.
    • Umgang mit Datenschutz,
    • Umgang mit Geschäftsgeheimnissen,
    • Umgang mit Urheberrechten,
    • vertieftes technisches Wissen.
4. Erstellung des Schulungskonzeptes
5. Umsetzung des Schulungskonzeptes
  • Soweit eine interne Abbildung erfolgt: Schulungsmaterial erstellen
  • Durchführung der Schulungen
  • Dokumentation
6. Sicherstellung der Kontinuität
  • Festlegung der Häufigkeit von Auffrischungen
  • Berücksichtigung von Überarbeitungsbedarf

Weiterführende Links