Der EU AI Act tritt in die Durchsetzungsphase: Was Sie wissen müssen

Gerónimo
Gerónimo
Fractional CTO
7 Min. Lesezeit

Wir hören schon seit Jahren vom EU AI Act als etwas, das „irgendwann kommen wird". Nun, er ist da: Der 2. August 2026 war von Anfang an als der Tag der vollen Anwendung der Verordnung markiert, und auch wenn sich der Zeitplan in den letzten Monaten geändert hat (dazu gleich mehr im Zeitstrahl), bleibt er ein Wendepunkt für jedes Unternehmen, das KI in Europa einsetzt oder seine Dienste europäischen Nutzern anbietet.

Ich habe in den letzten Monaten mit etlichen Unternehmen gesprochen und stoße dabei auf zwei Extreme: die einen glauben, das betreffe sie nicht, weil sie „keine KI machen", die anderen frieren Initiativen aus Angst vor der Regulierung ein. Ich finde, beide Haltungen beruhen darauf, die Verordnung nicht richtig zu verstehen, daher soll dieser Beitrag eine Einführung in die zentralen Ideen sein, ohne ins juristische Detail zu gehen.

Zunächst zwei Details, die oft übersehen werden. Der AI Act (Verordnung (EU) 2024/1689) ist eine Verordnung, keine Richtlinie: Er gilt unmittelbar in allen Mitgliedstaaten, ohne dass nationale Gesetze abgewartet werden müssen. Und er hat extraterritoriale Reichweite: Wenn Ihr Unternehmen außerhalb der EU sitzt, Ihre KI-Systeme aber auf europäischem Gebiet genutzt werden, gilt er auch für Sie. Das ist derselbe Brüssel-Effekt, den wir schon von der DSGVO kennen.

Wie er eingeführt wird: der aktualisierte Zeitplan

Die Verordnung tritt nicht auf einen Schlag in Kraft, sondern wird in Phasen eingeführt. Und genau hier liegt die größte Quelle der Verwirrung: Im Mai 2026 hat die politische Einigung zum „Digital Omnibus" die Pflichten für Hochrisiko-Systeme verschoben. Viele vor diesem Datum veröffentlichte Inhalte behaupten, „das gesamte Hochrisiko" trete im August 2026 in Kraft, und das stimmt nicht mehr. Hier der aktualisierte Zeitplan:

1. August 2024
Inkrafttreten
Die Verordnung tritt in Kraft, und der Zeitplan für die stufenweise Anwendung beginnt.
2. Februar 2025
Verbote und Kompetenzvermittlung
Praktiken mit unannehmbarem Risiko werden verboten, und die KI-Schulung des Personals wird verpflichtend (Artikel 4).
2. August 2025
Allzweckmodelle
Die Pflichten für Anbieter von GPAI-Modellen (großen Sprachmodellen) treten in Kraft, und die europäische Governance startet (AI Office).
2. August 2026 Estás aquí
Transparenz
Die Transparenzpflichten aus Artikel 50 treten in Kraft: Hinweis darauf, dass KI im Spiel ist, und Kennzeichnung synthetischer Inhalte.
2. Dezember 2027
Hohes Risiko (Anhang III)
Durch den Omnibus verschoben: Pflichten für Hochrisiko-Systeme in Beschäftigung, Bildung, Kredit, Biometrie, Migration usw.
2. August 2028
Hohes Risiko in Produkten (Anhang I)
Ebenfalls verschoben: KI als Sicherheitskomponente in regulierten Produkten (Medizinprodukte, Maschinen, Spielzeug...).

Die vier Risikostufen

Das ist das Erste, was man verinnerlichen muss: Der AI Act reguliert nicht „KI" im Abstrakten, sondern die Verwendungszwecke, für die wir sie einsetzen. Dasselbe Modell kann keinerlei Pflichten oder sehr viele haben, je nachdem, wofür man es nutzt.

Die Tabelle folgt der offiziellen Klassifizierung der Europäischen Kommission (die Kommission nennt die dritte Stufe übrigens „Transparenzrisiko", nicht „begrenztes Risiko"):

CategoríaUnannehmbares RisikoHohes RisikoTransparenzrisikoMinimales oder kein Risiko
StatusVerbotenStrenge PflichtenOffenlegungspflichtenKeine Pflichten
Was es istKlare Bedrohung für die Sicherheit, den Lebensunterhalt oder die Rechte von PersonenVerwendungen, die ernste Risiken für Gesundheit, Sicherheit oder Grundrechte bergen könnenVerwendungen, bei denen Menschen wissen müssen, dass eine KI beteiligt ist, um Vertrauen zu wahrenDie große Mehrheit der heute in der EU genutzten KI-Systeme
Beispiele
Die Verordnung verbietet 8 Praktiken:
  • Schädliche Manipulation und Täuschung
  • Ausnutzung von Schwachstellen
  • Soziales Scoring
  • Vorhersage individueller Straftaten
  • Massenhaftes Scraping für Datenbanken zur Gesichtserkennung
  • Emotionserkennung am Arbeitsplatz und in der Bildung
  • Biometrische Kategorisierung geschützter Merkmale
  • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zu Strafverfolgungszwecken
  • Sicherheitskomponenten kritischer Infrastrukturen
  • Zugang zu Bildung (z. B. Korrektur von Prüfungen)
  • Beschäftigung und Personalmanagement (z. B. Vorauswahl von Lebensläufen)
  • Zugang zu wesentlichen Dienstleistungen (z. B. Kredit-Scoring)
  • Biometrie
  • Strafverfolgung
  • Migration und Grenzkontrolle
  • Justiz
  • Chatbots
  • Generative KI
  • Deepfakes und KI-generierte Texte, die veröffentlicht werden, um über Angelegenheiten von öffentlichem Interesse zu informieren
  • Videospiele mit KI
  • Spamfilter
  • Einfache Empfehlungssysteme
  • Der Großteil interner Tools
PflichtenKeine: Sie sind direkt verboten
  • Risikobewertung und -minderung
  • Qualität der Datensätze
  • Aktivitätsprotokollierung und Rückverfolgbarkeit
  • Technische Dokumentation
  • Information an den Betreiber
  • Menschliche Aufsicht
  • Robustheit, Cybersicherheit und Genauigkeit
  • Offenlegen, dass man mit einer KI interagiert
  • Generierte Inhalte identifizierbar machen
  • Deepfakes und Inhalte von öffentlichem Interesse sichtbar kennzeichnen
Keine. Freiwillige Verhaltenskodizes
Gilt abFebruar 2025Dezember 2027 (Anhang III) und August 2028 (in Produkte integrierte KI)August 2026

Basierend auf der offiziellen Klassifizierung der Europäischen Kommission: digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

Hinzu kommt eine eigene Regelung für Allzweckmodelle (GPAI). Wenn Sie ein Unternehmen sind, das diese Modelle nur über eine API nutzt, sind diese Pflichten nicht Ihre, sondern die des Anbieters. Ihre eigenen hängen davon ab, wofür Sie sie nutzen.

Was am 2. August 2026 in Kraft tritt

Was jetzt in Kraft tritt und nicht verschoben wurde, sind die Transparenzpflichten aus Artikel 50:

  • Interaktion mit KI: Wenn Ihr System mit Menschen interagiert (zum Beispiel ein Chatbot), müssen diese wissen, dass sie mit einer KI sprechen, es sei denn, dies ist aus dem Kontext offensichtlich.
  • Synthetische Inhalte: Wenn Sie mit KI Bilder, Videos oder Audio erzeugen oder manipulieren, die authentisch wirken können (Deepfakes), müssen Sie diese entsprechend kennzeichnen.
  • Texte von öffentlichem Interesse: KI-generierte Texte, die veröffentlicht werden, um über Angelegenheiten von öffentlichem Interesse zu informieren, müssen gekennzeichnet werden, es sei denn, es gibt eine redaktionelle Prüfung und menschliche Verantwortung.
  • Technische Kennzeichnung: Anbieter generativer KI müssen ihre Ausgaben technisch als künstlich erzeugt kennzeichnen, in einem maschinenlesbaren Format.

Das betrifft deutlich mehr Unternehmen, als es scheint. Man muss keine Modelle trainieren oder Kredit-Scoring betreiben: Ein Kundenservice-Chatbot oder das Veröffentlichen von KI-generierten Inhalten reicht schon aus.

Sanktionen

Das Sanktionsregime gehört zu den härtesten im europäischen Digitalrecht. Bußgelder werden auf Basis des festen Betrags oder des Prozentsatzes des weltweiten Jahresumsatzes berechnet, je nachdem, was höher ist:

35 Mio. € / 7 %
Verbotene KI-Praktiken
15 Mio. € / 3 %
Verstoß gegen Hochrisiko-, Transparenz- oder GPAI-Pflichten
7,5 Mio. € / 1 %
Bereitstellung falscher Informationen an die Behörden
Für KMU sind Verhältnismäßigkeitskriterien vorgesehen, aber die Pflicht zur Einhaltung bleibt dieselbe.

FAQ

Gilt der AI Act für mich, wenn ich nur KI von Drittanbietern nutze?
Höchstwahrscheinlich ja. Die Verordnung erfasst sowohl Anbieter als auch Betreiber von in der EU genutzten KI-Systemen, einschließlich Unternehmen, die nur Modelle Dritter integrieren. Ihre Pflichten hängen von der Risikostufe der Nutzung ab, die Sie machen.
Was ändert sich genau am 2. August 2026?
Die Transparenzpflichten aus Artikel 50 treten in Kraft: darüber informieren, wenn jemand mit einer KI interagiert, und synthetische Inhalte kennzeichnen. Die Verbote und die GPAI-Regeln galten bereits vorher.
Wurde nicht alles durch den Digital Omnibus verschoben?
Nicht alles. Der Omnibus (politische Einigung vom Mai 2026) hat das Hochrisiko aus Anhang III auf Dezember 2027 und das aus Anhang I auf August 2028 verschoben. Die Transparenz aus Artikel 50 wurde nicht verschoben und gilt seit August 2026.
Was passiert, wenn ich einen Kundenservice-Chatbot nutze?
Das ist ein typischer Fall von Transparenzrisiko: Sie müssen Nutzer darüber informieren, dass sie mit einer KI sprechen, es sei denn, dies ist aus dem Kontext offensichtlich. Das ist eine der Pflichten, die jetzt in Kraft treten.
Ist die Nutzung von Modellen verboten, die außerhalb der EU gehostet werden?
Nein, der AI Act verbietet nicht die Nutzung von KI-Modellen oder -Anbietern, die außerhalb der EU gehostet werden. Was das im Allgemeinen verbietet, ist die DSGVO: die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) ohne einen gültigen Übermittlungsmechanismus (etwa einen Angemessenheitsbeschluss oder die Standardvertragsklauseln). Das ist eine Frage des Datenschutzes, nicht des AI Act.

Der AI Act steht kurz davor, in seine Durchsetzungsphase einzutreten. Es ist daher nicht ratsam, die Arbeit an der Sicherstellung der Regelkonformität noch länger hinauszuzögern.

Für die meisten Unternehmen ist der erste Schritt einfach und erfordert keine Anwälte: Bestandsaufnahme der genutzten KI-Systeme (eigene und von Dritten), Einordnung nach Risikostufe und, davon ausgehend, Klärung, welche Pflichten wann gelten.

Dieser Beitrag ist eine informative Einführung, keine Rechtsberatung. Um Ihre Systeme einzuordnen und Ihre konkreten Pflichten zu kennen, wenden Sie sich an spezialisierte Rechtsberatung.

KI KI-Regulierung EU AI Act Compliance europäische union