Warum du diesen Artikel lesen solltest

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz und betrifft jedes Unternehmen, das KI nutzt - von der einfachen ChatGPT-Nutzung bis hin zu komplexen KI-Systemen. Während viele Artikel den AI Act als komplexes Regelwerk darstellen, konzentriert sich dieser Text auf die wirklich relevanten Kernpunkte, die du als Praktiker verstehen musst. Du erfährst, welche KI-Anwendungen wie reguliert werden, wann welche Pflichten greifen und was das konkret für dein Unternehmen bedeutet.

Das Grundprinzip: Risiko bestimmt Regulierung

Der EU AI Act folgt einem eleganten Grundprinzip: Je höher das Risiko einer KI-Anwendung, desto strenger die Regulierung. Diese risikobasierte Herangehensweise macht das Gesetz praktikabel und verhindert, dass harmlose KI-Anwendungen übermäßig belastet werden. Das Gesetz ist seit August 2024 in Kraft, wird aber schrittweise umgesetzt, um Unternehmen ausreichend Zeit zur Anpassung zu geben.

Die vier Risikokategorien im Detail

Die vier Risikokategorien bilden das Herzstück des AI Act.

KI-Systeme mit inakzeptablem Risiko sind komplett verboten - dazu gehören Social Scoring-Systeme wie in China, manipulative KI-Techniken und die meisten Formen der Gesichtserkennung im öffentlichen Raum. Diese Verbote gelten bereits seit Februar 2025 und sind nicht verhandelbar.

Hochrisiko-KI-Systeme unterliegen den strengsten Anforderungen. Hierzu zählen KI-Anwendungen in kritischen Bereichen wie Gesundheitswesen, Bildung, Strafverfolgung oder kritischer Infrastruktur. Schätzungsweise fallen nur etwa 20 Prozent aller KI-Anwendungen in diese Kategorie, aber für diese gelten umfassende Dokumentations-, Test- und Überwachungspflichten. Anbieter solcher Systeme müssen Risikomanagement-Systeme etablieren, die Datenqualität sicherstellen und kontinuierliche Überwachung gewährleisten.

KI-Systeme mit begrenztem Risiko - wie Chatbots oder Deepfake-Generatoren - müssen hauptsächlich Transparenzpflichten erfüllen. Nutzer müssen klar erkennen können, dass sie mit KI interagieren oder KI-generierte Inhalte konsumieren. Diese Kategorie ist besonders relevant für Unternehmen, die generative KI wie ChatGPT oder ähnliche Tools nutzen.

Die vierte Kategorie umfasst KI mit minimalem Risiko, wie Videospiele oder Spam-Filter. Für diese gelten keine besonderen Auflagen, sie müssen lediglich die allgemeinen Rechtsprinzipien beachten.

General Purpose AI: Die ChatGPT-Regeln

Eine Besonderheit stellen General Purpose AI-Modelle dar - die großen Sprachmodelle wie GPT, Claude oder Gemini. Für deren Anbieter gelten spezielle Regeln, unabhängig davon, wie die Modelle später eingesetzt werden. Sie müssen technische Dokumentation bereitstellen, Urheberrechte beachten und Zusammenfassungen ihrer Trainingsdaten veröffentlichen. Bei besonders leistungsstarken Modellen mit systemischem Risiko kommen zusätzliche Sicherheitstests und Meldepflichten hinzu.

Der Zeitplan: Wann was gilt

Der zeitliche Rahmen der Umsetzung ist gestaffelt und gibt Unternehmen Planungssicherheit. Seit Februar 2025 sind die Verbote in Kraft und Unternehmen müssen ihre Mitarbeiter in KI-Kompetenz schulen. Ab August 2025 greifen die Regeln für General Purpose AI vollständig. Die umfassenden Anforderungen für Hochrisiko-Systeme werden erst ab August 2026 vollständig durchgesetzt, mit finalen Übergangsfristen bis August 2027.

Durchsetzung und Strafen

Die Durchsetzung erfolgt durch nationale Aufsichtsbehörden, die bis August 2025 benannt werden sollten (was nicht überall klappen wird…). In Deutschland wird voraussichtlich die Bundesnetzagentur diese Rolle übernehmen. Die Bußgelder sind erheblich und können bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes betragen - je nachdem, was höher ist.

Chance statt Bürde

Unser Fazit: Entscheidend ist zu verstehen, dass der AI Act nicht nur Pflichten auferlegt, sondern auch Chancen schafft. Unternehmen, die frühzeitig compliant werden, können dies als Wettbewerbsvorteil nutzen und Vertrauen bei Kunden und Partnern aufbauen. Der Act schafft einen einheitlichen europäischen Rahmen, der Rechtssicherheit bietet und Innovation in verantwortungsvolle Bahnen lenkt.

Bei diesem Artikel hatte ich digitale Unterstützung: KI hat beim Research und beim Formulieren geholfen, die Endredaktion und inhaltliche Verantwortung liegen bei mir als Autor.