EU AI Act: Was sich fuer Unternehmen in Deutschland aendert

EU AI Act: Der umfassende Leitfaden fuer deutsche Unternehmen

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung kuenstlicher Intelligenz. Nach einer langen Uebergangsphase treten jetzt die meisten Vorschriften vollstaendig in Kraft. Fuer Unternehmen in Deutschland bedeutet das: Es ist hoechste Zeit, sich mit den neuen Regeln vertraut zu machen.

Was ist der EU AI Act?

Der EU AI Act ist eine Verordnung der Europaeischen Union, die einen rechtlichen Rahmen fuer die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen schafft. Aehnlich wie die DSGVO fuer den Datenschutz soll der AI Act klare Regeln fuer den Umgang mit kuenstlicher Intelligenz etablieren.

Die Verordnung verfolgt einen risikobasierten Ansatz. Das bedeutet: Je hoeher das Risiko eines KI-Systems, desto strenger sind die Anforderungen.

Die vier Risikokategorien

Der AI Act unterscheidet vier Risikostufen:

1. Inakzeptables Risiko (verboten) Diese KI-Systeme sind in der EU komplett verboten:

• Social Scoring durch Behoerden
• Biometrische Echtzeit-Fernidentifizierung in oeffentlichen Raeumen (mit Ausnahmen fuer die Strafverfolgung)
• KI-Systeme, die menschliches Verhalten manipulieren
• Systeme, die Schwaechen bestimmter Gruppen ausnutzen

2. Hohes Risiko (streng reguliert) Diese Systeme unterliegen strengen Auflagen:

• KI in der Personalrekrutierung und Mitarbeiterbewertung
• KI in der Kreditwuerdigkeitspruefung
• KI in der medizinischen Diagnostik
• KI in der Strafverfolgung
• KI in der Bildung (Pruefungsbewertung, Zugangssteuerung)

Anforderungen fuer Hochrisiko-Systeme umfassen:

• Risikomanagement-Systeme
• Datenqualitaetsmanagement
• Technische Dokumentation
• Menschliche Aufsicht
• Transparenzpflichten
• Robustheit und Genauigkeit

3. Begrenztes Risiko (Transparenzpflichten) KI-Systeme mit begrenztem Risiko muessen bestimmte Transparenzanforderungen erfuellen:

• Chatbots muessen kenntlich machen, dass der Nutzer mit einer KI interagiert
• KI-generierte Inhalte muessen als solche gekennzeichnet werden
• Deepfakes muessen als kuenstlich erzeugt markiert werden

4. Minimales Risiko (kaum Auflagen) Die meisten KI-Anwendungen fallen in diese Kategorie und sind von den meisten Auflagen ausgenommen:

• Spam-Filter
• KI in Videospielen
• Empfehlungssysteme

Zeitplan fuer die Umsetzung

Die Umsetzung erfolgt gestaffelt:

• Seit Februar 2025: Verbot von KI-Systemen mit inakzeptablem Risiko
• Seit August 2025: Pflichten fuer Anbieter von Allzweck-KI-Modellen (wie GPT, Gemini, Claude)
• Ab August 2026: Vollstaendige Anwendung aller Vorschriften fuer Hochrisiko-KI-Systeme
• Ab August 2027: Pflichten fuer in Produkte eingebettete KI-Systeme

Was muessen deutsche Unternehmen jetzt tun?

Fuer Unternehmen in Deutschland empfehlen wir folgende Schritte:

Schritt 1: Bestandsaufnahme Identifiziere alle KI-Systeme in deinem Unternehmen. Dazu gehoeren auch Tools von Drittanbietern wie ChatGPT, Copilot oder KI-basierte Analysetools.

Schritt 2: Risikoklassifizierung Ordne jedes KI-System einer der vier Risikokategorien zu. Im Zweifelsfall solltest du einen spezialisierten Anwalt hinzuziehen.

Schritt 3: Compliance-Massnahmen Fuer Hochrisiko-Systeme muessen umfangreiche Massnahmen umgesetzt werden:

• Erstellung einer technischen Dokumentation
• Implementierung eines Qualitaetsmanagementsystems
• Durchfuehrung einer Konformitaetsbewertung
• Registrierung in der EU-Datenbank

Schritt 4: Schulung der Mitarbeiter Alle Mitarbeiter, die mit KI-Systemen arbeiten, muessen ueber die grundlegenden Regeln informiert werden. Dies ist eine explizite Pflicht aus dem AI Act (Artikel 4: KI-Kompetenz).

Schritt 5: Dokumentation Fuehre eine lueckenlose Dokumentation ueber alle eingesetzten KI-Systeme, durchgefuehrte Risikobewertungen und ergriffene Massnahmen.

Strafen bei Verstoessen

Die Strafen sind empfindlich und orientieren sich am Modell der DSGVO:

• Verstoesse gegen verbotene KI-Praktiken: bis zu 35 Millionen EUR oder 7% des weltweiten Jahresumsatzes
• Verstoesse gegen Hochrisiko-Pflichten: bis zu 15 Millionen EUR oder 3% des weltweiten Jahresumsatzes
• Falsche Angaben gegenueber Behoerden: bis zu 7,5 Millionen EUR oder 1,5% des weltweiten Jahresumsatzes

Fuer KMU und Start-ups gelten allerdings niedrigere Obergrenzen, um die Innovationskraft nicht zu hemmen.

Auswirkungen auf den deutschen Mittelstand

Besonders der deutsche Mittelstand steht vor Herausforderungen. Viele Unternehmen setzen bereits KI-Loesungen ein, ohne sich der regulatorischen Anforderungen bewusst zu sein. Eine aktuelle Umfrage des Branchenverbands Bitkom zeigt, dass erst 23% der deutschen Unternehmen eine vollstaendige Bestandsaufnahme ihrer KI-Systeme durchgefuehrt haben.

Gleichzeitig bietet der AI Act auch Chancen: Er schafft Rechtssicherheit und kann als Vertrauenssignal gegenueber Kunden dienen. Wer fruehzeitig compliant ist, hat einen Wettbewerbsvorteil.

Fazit

Der EU AI Act ist kein Grund zur Panik, aber ein klarer Handlungsauftrag. Unternehmen sollten jetzt mit der Bestandsaufnahme beginnen und schrittweise die notwendigen Massnahmen umsetzen. Wer das Thema auf die lange Bank schiebt, riskiert nicht nur hohe Strafen, sondern auch Vertrauensverlust bei Kunden und Geschaeftspartnern.