AI-Act: Was Unternehmen jetzt wissen müssen

Mit der KI-Verordnung (AI Act, (EU) 2024/1689) hat die EU einen Regulierungsrahmen für Künstliche Intelligenz geschaffen. Die Verordnung ist seit dem 1. August 2024 in Kraft, ihre Umsetzung erfolgt schrittweise. Erste Regelungen gelten bereits, die aktuelle Stufe gilt seit dem 2. August 2025. Doch was bedeutet das für Schleswig-Holsteins Unternehmen? Kurz gesagt: Es geht um sogenannte "AI-Literacy" – also die Fähigkeit, Künstliche Intelligenz (KI) zu verstehen und sicher anzuwenden.
Für Unternehmen, die KI-Systeme entwickeln oder einsetzen, stellt der AI Act einen neuen europäischen Rechtsrahmen dar, der bereits jetzt Wirkung entfaltet und ab Anfang August 2025 deutlich an Schärfe gewinnt. Die Pflichten reichen von Verboten bestimmter Anwendungen über Transparenzauflagen bis hin zu umfassenden Konformitätsverfahren für Hochrisiko- und GPAI-Systeme.
Vor allem Tech-Unternehmen sollten den AI Act nicht nur rechtlich, sondern auch strategisch angehen. Denn neben dem regulatorischen Risiko eröffnet die Einhaltung der Vorgaben des AI Acts auch eine Chance: Vertrauen, Marktakzeptanz und Zukunftsfähigkeit im europäischen KI-Ökosystem.
Service-Angebote der Behörden, wie der KI-Service-Desk der Bundesnetzagentur sowie künftig auch der AI Act Service Desk der EU-Kommission, können hierbei besonders KMU unterstützen.

Was fordert Artikel 4?

Unternehmen, die KI-Systeme entwickeln oder nutzen, müssen sicherstellen, dass ihre Mitarbeitenden ausreichend über KI informiert sind. So will es der Gesetzgeber. Das bedeutet, dass Schulungen und Weiterbildungen angeboten werden müssen, um das technische Wissen und die praktische Anwendung von KI zu fördern. Konkret fordert die EU-Verordnung, dass ab dem 2. Februar 2025 alle Mitarbeitenden, die mit KI arbeiten, über entsprechende “KI-Kompetenz” verfügen müssen. Dies umfasst technische, rechtliche und ethische Aspekte. Diese Kompetenzen sollen in strukturierten Schulungen oder Weiterbildungsprogrammen vermittelt werden.
Die Umsetzung der KI-Verordnung soll durch nationale Aufsichtsbehörden erfolgen, die bis August 2025 etabliert werden müssen – im Falle Deutschlands wird dies die Bundesnetzagentur (BNetzA) sein. Bis dahin liegt die Sicherstellung der KI-Kompetenz in der Eigenverantwortung der Unternehmen. Aber: Bis das Durchführungsgesetz auf nationaler Ebene beschlossen ist und die BNetzA als Aufsichtsbehörde ihre Arbeit aufnehmen aufnimmt, wird es in einem ersten Schritt hier primär um Sorgfaltspflichten gehen.
Warum ist das wichtig?
KI ist aus unserem Alltag nicht mehr wegzudenken. Sie hilft uns, Prozesse zu optimieren, Entscheidungen zu treffen und innovative Produkte zu entwickeln. Doch ohne das nötige Wissen kann der Einsatz von KI auch Risiken bergen. Artikel 4 soll sicherstellen, dass alle Beteiligten – von Entwicklern bis zu Endnutzern – die nötigen Kenntnisse haben, um KI verantwortungsvoll und effektiv zu nutzen.

Für wen ist der AI Act relevant?

Der Anwendungsbereich ist breit gefasst: Betroffen sind sowohl Anbieter (Art. 3 (3), AI Act) als auch Betreiber (Art. 3 (4), AI Act) von KI-Systemen – unabhängig davon, ob das Unternehmen seinen Sitz in der EU hat. Entscheidend ist, ob die Systeme im EU-Binnenmarkt bereitgestellt oder eingesetzt werden. Dieser Ansatz ist bereits von der Datenschutz-Grundverordnung (DSGVO) und von anderen EU-Verordnungen bekannt.
Tech-Unternehmen und AI-Anbieter – insbesondere Anbieter generativer KI – sollten die Vorgaben des AI Act daher frühzeitig in ihrer Produktentwicklung berücksichtigen und konsequent umsetzen: von der Einstufung ihrer Produkte bis hin zu Registrierung, Transparenz und Prüfung.
Ebenso unterliegen Anwenderorganisationen wie beispielsweise Banken, Versicherungen, Gesundheitsdienstleister oder öffentliche Stellen umfangreichen Pflichten. Auf besondere Pflichten und Verbote ist insbesondere dann zu achten, wenn die KI in hochregulierten Bereichen wie Personal, Kreditvergabe oder Justiz eingesetzt werden soll.

Sonderregeln für KMU

Für kleine und mittlere Unternehmen (KMU) sieht der AI Act gewisse Erleichterungen vor, wie etwa reduzierte Gebühren und Beratungsangebote.

Vermittlung von KI-Kompetenzen

Der Branchenverband bitkom empfiehlt folgende Herangehensweise:

Analyse des Kompetenzbedarfs

Ermitteln Sie die spezifischen Anforderungen für Ihre Mitarbeitenden und Ihr Unternehmen:
  • Analyse und Bewertung der eingesetzten KI-Systeme und deren Risiken
  • Die Identifikation von Mitarbeitenden, die direkt mit den Systemen arbeiten
  • Eine Bestandsaufnahme des vorhandenen Wissens und der erforderlichen individuellen Kompetenzen im Team

Entwicklung und Identifizierung zielgerichteter Trainings- oder Schulungskonzepte

Basierend auf den Ergebnissen der Bedarfsanalyse sollten Schulungsmaßnahmen entwickelt oder passende Schulungsangebote am Markt identifiziert werden. Dies können zum Beispiel sein.
  • Grundlagen-Workshops: Einführung in KI, Funktionsweise, Chancen und Risiken
  • Fachspezifische Trainings: Vertiefende Inhalte für spezifische Anwendungsfälle, zum Beispiel in sicherheitskritischen Bereichen oder branchenspezifischen Kontexten
  • Regelmäßige Auffrischungskurse

Empfehlung: Einführung klarer Leitlinien

  • Neben Schulungen sollten Unternehmen interne Richtlinien oder Guidelines für den Umgang mit KI-Systemen erstellen. Diese definieren beispielsweise Standards, Vorgehensweisen und Verhaltensregeln, den Umgang mit Daten für die Nutzung von KI-Systemen.

Empfehlung: Einrichtung einer zentralen Ansprechstelle

  • Die Ernennung eines KI-Beauftragten oder eines internen Kompetenzteams kann helfen, die Umsetzung der Schulungsmaßnahmen zu koordinieren und offene Fragen im Umgang mit KI zu klären. Diese Stelle sollte auch für die Überwachung der Einhaltung von KI-Standards zuständig sein.
Dabei sei erwähnt, dass es sich bei Artikel 4 der KI-Verordnung nicht um eine externe Schulungsverpflichtung handelt. Sie können die KI-Kompetenz auch auf andere Weise sicherstellen.

Nachweis der Vermittlung von KI-Kompetenzen

In der aktuellen Verordnung finden sich keine Anforderungen an eine Dokumentation oder Nachweispflicht der KI-Kompetenzvermittlung. Unternehmen sollten dennoch jegliche Evaluationen, Schulungsmaßnahmen, Inhalte und Umsetzung dokumentierten, um mögliche Risiken und Haftung im Schadensfall zu minimieren.
Ein Verstoß gegen die Sicherstellung der KI-Kompetenz ist aktuell nicht bußgeldbehaftet. Die zentrale Rolle als nationale Aufsichtsbehörde bei der Umsetzung ist aktuell noch nicht besetzt, diese wird aber voraussichtlich die Bundesnetzagentur (BNetzA) übernehmen.
Auf EU-Ebene wird derzeit noch an Leitlinien für die Unternehmen gearbeitet. An denen können sich die Betriebe dann orientieren. Die Ergebnisse dieser Arbeiten sollen dann laut Bundesnetzagentur in verständlicher Art und Weise zur Verfügung gestellt werden.

Überblick: Zeitplan und Struktur des AI Acts

Datum Maßnahme / Regelung
1. August 2024 Formelles Inkrafttreten der KI-Verordnung
2. Februar 2025
2. August 2025
2. August 2026
  • Vollanwendung der Vorgaben für Hochrisiko-KI-Systeme
  • Anwendbarkeit aller anderen Regeln des AI Acts, sofern nicht anders angegeben
2. August 2027
  • Pflichten in Bezug auf risikoreiche KI-Systeme, die Produkte oder Sicherheitskomponenten von Produkten sind, die unter die Rechtsvorschriften in Anhang I fallen
  • Pflichten für GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht werden
2. August 2030 Pflichten für Hochrisiko-KI-Systeme, die von bestimmten Behörden verwendet werden und vor Beginn der Anwendung am 2. August 2025 in Verkehr gebracht wurden
31. Dezember 2030 Pflichten in Bezug auf KI-Systeme in europäischen Informationssystemen in den Bereichen Freiheit, Recht und Sicherheit, die vor dem 2. August 2027 in Verkehr gebracht oder verwendet werden

Was galt schon vor dem 2. August 2025?

Verbot unvertretbarer Praktiken

Seit Februar 2025 sind KI-Systeme mit „unvertretbarem Risiko“ EU-weit untersagt (Art. 5 AI Act). Darunter fallen etwa:
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (mit Ausnahmen),
  • Social Scoring zur Bewertung des Sozialverhaltens,
  • manipulative Systeme, die gezielt kognitive oder emotionale Schwächen ausnutzen, sowie
  • Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung).

Transparenzverpflichtungen für Anbieter und Betreiber (Kapitel IV, AI Act)

Bestimmte KI-Anwendungen müssen Nutzerinnen und Nutzer darüber informieren, dass sie mit einem KI-System interagieren. Dies gilt insbesondere für Chatbots, aber auch für KI-generierte oder KI-veränderte Inhalte (Deepfakes), die entsprechend zu kennzeichnen sind.

KI-Kompetenz (AI Literacy, Art. 4 AI Act)

Organisationen, die KI-Systeme einsetzen oder betreiben, müssen sicherstellen, dass ihre Mitarbeitenden über ausreichende Kenntnisse im Umgang mit KI verfügen. Die praktische Ausgestaltung – etwa durch Schulungen oder interne Leitlinien – obliegt dem Unternehmen. Zertifizierungen sind nach derzeitigem Stand nicht erforderlich.

Was gilt seit dem 2. August 2025?

General Purpose AI (GPAI, Kapitel V, AI Act)

Seit dem 2. August 2025 gelten erstmals regulatorische Vorgaben für Anbieter von „General Purpose AI-Modellen“ – darunter fallen große Sprachmodelle. Diese Anbieter müssen unter anderem:
  • eine Risiko- und Konformitätsbewertung durchführen,
  • Informationen über Trainingsdaten offenlegen und
  • technische Dokumentation und Transparenzberichte vorlegen.
Für bereits bestehende Modelle gilt eine Übergangsfrist bis August 2027. Hierzu hat die EU-Kommission Leitlinien sowie einen dreiteiligen Verhaltenskodex, den „General Purpose AI Code of Practice“, veröffentlicht. Der Verhaltenskodex soll Unternehmen mit konkreten Anleitungen und als DOCX-Dateien vorliegenden Ankreuzformularen dabei unterstützen, ihre Modelle nach dem Stand der Wissenschaft und Technik konform zur KI-Verordnung zu gestalten.
Der erste Abschnitt des GPAI-Verhaltenskodexes betrifft den Bereich Transparenz:
  • Womit, wie und von wem wurde das System trainiert?
  • Wer ist der Anbieter, wer sind die Betreiber?
  • Welcher Ressourcenverbrauch liegt der Nutzung zugrunde?
Der zweite Teil beschäftigt sich mit dem komplizierten Themenbereich des Urheberrechts. Zwar enthält die aktuell geltende europäische Urheberrechtssystematik bereits speziell für das Training von KI geschaffene Ausnahmeklauseln, nach denen das Einlesen, die Verarbeitung und auch das kreative neue Zusammenstellen der Tokens erlaubt sein kann. Die Unternehmen sollen sich jedoch dazu verpflichten, ihre Modelle zumindest nicht mit eindeutig illegal beschafften Inhalten zu „füttern“. Außerdem sollen sie sich dazu bekennen, ausgesprochene Rechtebeschränkungen zu respektieren, beispielsweise solche, die Betreiber von Websites in robots.txt-Dateien hinterlegen.
Der für die Unternehmen heikelste Teil des Verhaltenskodexes ist der dritte, in dem es um die Sicherheit des Betriebs und den Schutz vor negativen Auswirkungen geht. Die Bandbreite der beschriebenen Risiken ist groß. Sie kann zum Beispiel von künstlich erzeugter Pornografie, die auf echten Personenfotos basiert, bis zur Unterstützung bei der Entwicklung von ABC-Waffen reichen.
Der GPAI-Verhaltenscodex dient in erster Linie als Leitplanke, die Anbieter dabei unterstützen soll, mit dieser Art von systemimmanenten Risiken umzugehen. In den meisten Kontexten bietet er jedoch keine Anleitung zur konkreten Lösung solcher Probleme.

Governance und Aufsicht (Governance and Enforcement)

Bereits im Februar 2024 nahm das European AI Office seine Tätigkeit auf. Nun sollen die nationalen Aufsichtsbehörden hinzukommen. Diese nationalen Behörden sind für die Umsetzung, Überwachung und Durchsetzung der Vorschriften für KI-Systeme verantwortlich. Sie sind befugt, die Einhaltung der Vorschriften zu überprüfen und durchzusetzen, benannte Stellen zu benennen, die Zulassungen vor dem Inverkehrbringen durchführen, sowie KI-Regulierungs-Sandboxes einzurichten. Die EU-Mitgliedstaaten sollten bis zum 2. August 2025 die zuständigen Behörden benennen und sie mit den entsprechenden Befugnissen ausstatten. Die zuständigen Marktüberwachungsbehörden der Mitgliedstaaten werden künftig auf dieser Internetseite veröffentlicht.
Anbieter hochriskanter KI-Systeme müssen sich künftig einem Konformitätsverfahren unter Einbindung sogenannter „Benannter Stellen“ (Notified Bodies) unterziehen. Benannte Stellen zu den Regularien des europäischen Binnenmarkts werden üblicherweise im NANDO-Informationssystem (New Approach and Designated Organisations) der Europäischen Kommission veröffentlicht. Es ist davon auszugehen, dass dies auch für die – erst noch zu benennenden – Benannten Stellen zum AI Act gelten wird.

Sanktionsmechanismus (Kapitel XII, AI Act)

Ebenfalls Anfang August 2025 wurde erstmals der Bußgeldrahmen des AI Act wirksam: Bei Verstößen drohen Geldbußen von bis zu 35Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes je nachdem, welcher Betrag höher ist. Die volle Sanktionsbefugnis der zentralen EU-Behörden greift de facto jedoch erst ab August 2026.

KI-Service-Desk der Bundesnetzagentur

Anfang Juli 2025 stellte Bundesdigitalminister Karsten Wildberger mit dem „KI-Service-Desk“ ein neues Beratungsangebot der Bundesnetzagentur vor. Dieses richtet sich insbesondere an kleine und mittlere Unternehmen (KMU).
Der KI-Service-Desk soll Unternehmen, Behörden und Organisationen dabei helfen, die KI-Verordnung rechtssicher umzusetzen. Der Fokus liegt dabei unter anderem auf KMU. Diese sollen mit dem KI-Service Desk eine Anlaufstelle erhalten, die sie dabei unterstützt, die Anforderungen der KI-Verordnung zu erfüllen. Es geht also in erster Linie um Informationsangebote. Ein wichtiges Angebot ist hierbei ein neues Tool der „Interaktive Compliance Kompass“ der Bundesnetzagentur. Damit können Unternehmen beispielsweise herausfinden, in welche Risikoklasse der Verordnung ein bestimmtes KI-System fällt.
Dies ist wichtig, um die jeweiligen Compliance-Pflichten für die unterschiedlichen Risikoklasse zu kennen. Die Pflichten, die sich für Unternehmen aus der KI-Verordnung ergeben, unterscheiden sich auch danach, ob sie KI-Systeme entwickeln oder nur einsetzen. Zu den Compliance-Pflichten zählen beispielsweise Transparenzpflichten für KI-Systeme mit geringem Risiko. Ein Beispiel hierfür ist ein Chatbot im Kundenservice, der als KI-Bot gekennzeichnet ist. Der KI-Service-Desk informiert außerdem über Schulungsangebote zur Erlangung von KI-Kompetenz.

Zuständige Marktüberwachungsbehörde in Deutschland

Jeder Mitgliedsstaat muss mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde als zuständige nationale Behörde einrichten oder benennen. Laut AI Act sollte dies ebenfalls bis zum 2. August 2025 erfolgen. Dafür bedarf es in Deutschland allerdings noch eines nationalen Durchführungsgesetzes, das derzeit noch erarbeitet wird.
Die letzte Bundesregierung hatte in einem Gesetzesentwurf zur Umsetzung der KI-Verordnung die Bundesnetzagentur als Marktüberwachungsbehörde vorgesehen. Das Gesetz wurde in der vorherigen Legislaturperiode allerdings nicht mehr verabschiedet. Wegen der vorgezogenen Bundestagswahl, des Regierungswechsels und der anschließend erforderlichen Neuabstimmung wurde ein Abschluss des Gesetzgebungsverfahrens in der aktuellen Legislatur bis zum 2. August 2025 nicht erreicht.
Laut dem neu geschaffenen Bundesministerium für Digitales und Staatsmodernisierung (BMDS) befindet sich der Entwurf für das Gesetz derzeit in der Abstimmung innerhalb der Bundesregierung. Anschließend müssen sich die Länder noch damit befassen und es folgt eine öffentliche Beteiligung. Das BMDS möchte die Umsetzung der KI-Verordnung nun zügig vorantreiben und zeitnah nach Abschluss der öffentlichen Beteiligung damit ins Kabinett.
Das noch fehlende Durchführungsgesetz hat zur Folge, dass eine Umsetzung der Regeln, sofern diese eine nationale Behörde voraussetzen, in Deutschland noch nicht erfolgen kann. Nach Informationen seitens des BMDS und eigenen Angaben der Bundesnetzagentur (BNetzA) soll diese „eine zentrale Rolle bei der Anwendung der KI-Verordnung erhalten“.
Wer schon jetzt Kontakt zu der Behörde aufnehmen will, kann dies über den oben beschriebenen KI-Service-Desk tun.

Auch die EU-Kommission plant einen Service Desk

Die Kommission hat angekündigt, ebenfalls einen „AI Act Service Desk“ zu etablieren, der allerdings noch nicht existiert. Mit ihrem KI-Büro (AI Office) widmet sich die Kommission aber bereits durch zahlreiche Maßnahmen der Umsetzung der KI-Verordnung. Hierzu gehört der „KI-Pakt“, ein Bündnis von Unternehmen, die sich freiwillig zur vorgezogenen Umsetzung von Teilen der KI-Verordnung verpflichten. Die KI-Verordnung schreibt die Existenz eines „Service Desks“ übrigens nicht vor. Es soll sich dabei vielmehr um ein operatives Hilfsangebot handeln. Ob dieses Angebot in seiner konkreten Ausgestaltung mit dem der Bundesnetzagentur vergleichbar ist, wird sich zeigen.

Aktuelle Debatte um den AI Act: Eine Pause des AI Acts ist nicht in Sicht

Im Juni 2025 forderten mehrere Tech-Verbände, Start-ups und Investoren öffentlich eine vorübergehende Aussetzung des AI Acts. Kritisiert wird vor allem, dass zentrale Begriffsdefinitionen und technische Durchführungsbestimmungen (etwa für GPAI) erst kurz vor dem Anwendbarkeitsstart veröffentlicht wurden bzw. noch werden.
Die EU-Kommission wies die Forderung nach einem Moratorium zwar zurück, veröffentlichte jedoch zwei Wochen vor dem 2. August 2025 den umfassenden Leitfaden zur Anwendung der GPAI-Vorgaben. Die Aufsichtsbehörden sollen zudem im ersten Jahr der Umsetzung „mit Augenmaß“ vorgehen. Dies könnte eine faktische, wenn auch nicht formelle Übergangszeit bedeuten.
Mehr Informationen rund um den AI Act finden Sie beispielsweise auf der Website von TaylorWessing: Der AI (Act) Guide und auf der Website EU Artificial Intelligence Act: Das EU-Gesetz zur künstlichen Intelligenz.