EU AI Act 2025: Was Unternehmen die KI nutzen jetzt wissen müssen
Der EU AI Act gilt seit August 2024 schrittweise. Die erste Welle läuft bereits. Die zweite — mit Bußgeldern für Hochrisiko-KI — kommt im August 2026. Das sind drei Monate.
Was seit Februar 2025 gilt
Seit dem 2. Februar 2025 ist Art. 4 EU AI Act anwendbar: die KI-Kompetenzpflicht.
Jedes Unternehmen, das KI-Systeme einsetzt, muss sicherstellen, dass seine Mitarbeiter über ausreichende KI-Kompetenz verfügen. Wer im Fall der Fälle nachweisen muss, dass er ihr nachgekommen ist, braucht Dokumentation: Wer wurde geschult, wann, womit.
Gleichzeitig gilt seit Februar 2025 das Verbot bestimmter KI-Praktiken (Art. 5): Social Scoring, manipulative KI-Systeme, Real-Time-Biometrie im öffentlichen Raum.
Die vier Risikoklassen
Verbotene KI (Art. 5)
Systeme die grundlegende Rechte verletzen. Keine Übergangsfrist, sofortiges Verbot. Beispiele: KI die Personen nach sozialen Kriterien diskriminiert, KI die Verhalten durch unterschwellige Techniken manipuliert.
Hochrisiko-KI (Anhang III)
Das ist die Kategorie die für KMUs relevant wird. Hochrisiko-KI umfasst:
- KI in Personalentscheidungen (Recruiting, Leistungsbewertung)
- KI in der Kreditvergabe
- KI in Bildung und Berufsausbildung
- KI in kritischer Infrastruktur
- KI in medizinischen Geräten
Für Hochrisiko-KI gelten ab August 2026 strenge Anforderungen: Risikomanagement, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung.
Transparenzpflichtige KI (Art. 50)
Chatbots und KI-generierte Inhalte müssen als solche erkennbar sein. Gilt ab August 2026.
Minimales Risiko
Spam-Filter, Rechtschreibprüfung, Produktempfehlungen. Keine spezifischen Pflichten.
Wer ist betroffen: Deployer, nicht nur Anbieter
Das ist der Punkt, den viele übersehen. Der AI Act unterscheidet zwischen Anbietern (die KI entwickeln) und Betreibern (die KI einsetzen). Die meisten KMUs sind Betreiber — mit eigenen Pflichten, auch wenn sie das System nicht selbst gebaut haben.
Wenn ihr ein KI-gestütztes Recruiting-Tool nutzt, das unter Hochrisiko fällt, müsst ihr als Betreiber sicherstellen, dass menschliche Aufsicht stattfindet und Mitarbeiter entsprechend geschult sind.
Die Deadlines im Überblick
| Datum | Was gilt |
|---|---|
| Aug. 2024 | AI Act in Kraft getreten |
| Feb. 2025 | Verbotene Praktiken (Art. 5), KI-Kompetenzpflicht (Art. 4) — bereits in Kraft |
| Aug. 2025 | Pflichten für Anbieter von KI-Allzweckmodellen (GPAI, Art. 53/55) — bereits in Kraft |
| Aug. 2026 | Hochrisiko-KI (Anhang III), Transparenzpflichten, Durchsetzungsbefugnis EU AI Office |
| Aug. 2027 | Hochrisiko-KI nach Anhang I (regulierte Produkte) |
Stand Mai 2026: Die Hochrisiko-Pflichten und die aktive Durchsetzung durch das EU AI Office treten in drei Monaten in Kraft. Erste Bußgelder sind ab August 2026 möglich. In Deutschland ist das BSI als nationale Marktüberwachungsbehörde benannt. Das KI-MIG (Künstliche-Intelligenz-Marktüberwachungs- und Innovationsförderungsgesetz) wurde im Februar 2026 vom Bundesrat verabschiedet und regelt die nationale Umsetzung.
Wer jetzt noch kein KI-Inventar hat, hat keine drei Monate für eine strukturierte Vorbereitung mehr.
Was Bußgelder bedeuten
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. € oder 7% des globalen Jahresumsatzes |
| Hochrisiko-Pflichten verletzt | 15 Mio. € oder 3% des Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. € oder 1% des Jahresumsatzes |
Für ein Unternehmen mit 10 Mio. Jahresumsatz wären 3% bereits 300.000 €.
Was Unternehmen jetzt tun sollten
- KI-Inventar erstellen — welche KI-Systeme nutzt das Unternehmen? Eingekaufte Software mit KI-Funktionen zählt.
- Risikoklassen bestimmen — für jedes System prüfen ob es unter Anhang III fällt.
- KI-Kompetenz dokumentieren — welche Mitarbeiter wurden wann geschult? Das ist jetzt Pflicht.
- Anbieter befragen — wie klassifiziert der Anbieter sein System? Welche Dokumentation stellt er bereit?
Fazit
Art. 4 gilt seit Februar 2025. Wer kein KI-Inventar hat und keine Dokumentation über KI-Kompetenzschulungen, ist bereits nicht compliant. Ab August 2026 kommen Hochrisiko-Pflichten und aktive Durchsetzung dazu. Ein KI-Inventar mit dokumentierten Schulungen ist keine Dissertation — es ist eine Tabelle und ein Schulungsnachweis. Wer jetzt damit anfängt, hat noch genug Zeit. Wer wartet, nicht.
Bereit für DSGVO-konforme KI-Nutzung?
Anoniq anonymisiert alle personenbezogenen Daten automatisch bevor sie an LLM-Provider gesendet werden. OpenAI-kompatible API, keine Code-Änderungen nötig.