EU AI Act in der Praxis: Was Unternehmen jetzt konkret tun müssen
Risikoklassen, Meldepflichten, Strafen — der Praxis-Leitfaden
Der EU AI Act ist seit seiner Verabschiedung im Juli 2024 eines der meistdiskutierten Regelwerke der Digitalpolitik weltweit. Was lange als europäische Absichtserklärung galt, wird nun zur konkreten Pflicht für Unternehmen — ob kleines Startup oder Großkonzern. Doch während die Verordnung in Brüssel verabschiedet ist, herrscht in vielen Betrieben noch erhebliche Verunsicherung: Was genau muss ich tun? Welche Fristen gelten? Welche Strafen drohen bei Verstößen? Dieser Leitfaden bringt Klarheit in den Dschungel aus Compliance-Anforderungen, Risikoklassen und praktischen Umsetzungsschritten.
EU AI Act: Warum diese Verordnung die KI-Nutzung in Unternehmen grundlegend verändert
Die Europäische Union hat mit dem AI Act das weltweit erste umfassende gesetzliche Regelwerk für künstliche Intelligenz geschaffen. Die Verordnung verbietet KI nicht — sie reguliert sie nach einem risikobasierten Prinzip: Je höher das potenzielle Risiko einer KI-Anwendung für Mensch und Gesellschaft, desto strenger die gesetzlichen Anforderungen. Das ist ein konzeptionell wichtiger Unterschied zu einem pauschalen Verbot oder einer bloßen Empfehlung.
Der AI Act wurde am 13. März 2024 vom Europäischen Parlament verabschiedet, trat am 1. August 2024 in Kraft und gilt unmittelbar in allen 27 EU-Mitgliedstaaten — ohne nationale Umsetzungsgesetze. Die Fristen sind gestaffelt: Verbotene KI-Praktiken sind seit dem 2. Februar 2025 untersagt. Anforderungen an Allzweck-KI-Modelle (GPAI) gelten ab dem 2. August 2025. Hochrisiko-KI-Systeme müssen spätestens bis zum 2. August 2026 vollständig konform sein.
Für die deutsche Wirtschaft ist dieser Rahmen von besonderer Bedeutung: Deutschland ist international führend bei Maschinenbau, Industrie 4.0 und autonomen Systemen. Der AI Act schafft Rechtssicherheit anstelle eines Flickenteppichs nationaler Regelungen. Langfristig senkt das Compliance-Kosten und ermöglicht einheitliche europäische Standards — ein Effekt, den viele Unternehmen von der DSGVO kennen und ähnlich auch beim Lieferkettengesetz in der Praxis: Was Unternehmen wirklich tun müssen, die anfangs als bürokratische Last galten und heute als Vertrauensgrundlagen gelten.
Kerndaten zum EU AI Act: Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft. Verbotene KI-Praktiken sind seit dem 2. Februar 2025 untersagt. Die maximale Geldbuße bei Verstößen gegen Verbotsvorschriften beträgt 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes — je nachdem, welcher Betrag höher liegt. Bei Hochrisiko-Verstößen drohen bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes. Für KMU und Startups gelten abgestufte Bußgeldrahmen. (Quellen: Amtsblatt der Europäischen Union, Verordnung (EU) 2024/1689; Europäische Kommission, Pressemitteilung vom 12. Juli 2024)
Die vier Risikoklassen im EU AI Act: Von minimalen Pflichten bis zum Totalverbot
Das Herzstück des EU AI Act ist die Klassifizierung von KI-Systemen nach Risikostufen. Diese Einstufung bestimmt unmittelbar, welche Compliance-Pflichten ein Unternehmen erfüllen muss. Ein Fehler bei der Klassifizierung kann teuer werden — denn wer ein Hochrisikosystem irrtümlich als risikoarm einstuft, haftet bei Verstößen in vollem Umfang.
Verbotene KI-Praktiken: Das absolute Tabu
Bestimmte KI-Anwendungen sind im EU-Binnenmarkt grundsätzlich verboten, weil sie als unvereinbar mit europäischen Grundrechten gelten. Dazu gehören: KI-Systeme zur unterschwelligen Beeinflussung von Verhalten ohne Wissen der betroffenen Person, Systeme zur Ausnutzung von Schwächen vulnerabler Gruppen, Social-Scoring-Systeme staatlicher Behörden sowie — mit engen Ausnahmen für Strafverfolgungsbehörden — die biometrische Echtzeit-Identifikation im öffentlichen Raum. Wer solche Systeme ab dem 2. Februar 2025 betreibt, riskiert die höchsten Bußgelder des gesamten Regelwerks. Vergleichbar streng sind auch regulatorische Ansätze wie die Exportkontrolle: Was Unternehmen bei Rüstungsgeschäften beachten müssen.
Minimales Risiko: Grünes Licht mit Transparenzpflicht
Die überwiegende Mehrheit kommerziell genutzter KI-Systeme fällt in diese Kategorie. Spamfilter, Produktempfehlungssysteme, KI-gestützte Bildbearbeitung oder allgemeine Chatbots unterliegen keinen zwingenden Sonderpflichten aus dem AI Act — mit einer wichtigen Ausnahme: Wenn Nutzer mit einem KI-System interagieren, müssen sie darüber informiert werden. Ein kurzer, deutlich sichtbarer Hinweis wie „Diese Antwort wurde durch ein KI-System generiert" erfüllt die Anforderung. Unternehmen können freiwillig einen Verhaltenskodex unterzeichnen, um gegenüber Kunden Vertrauen zu signalisieren. Besonders innovative Unternehmen nutzen KI strategisch — wie in unserem Leitfaden Datenschatz heben: Wie Unternehmen KI richtig nutzen beschrieben.
Hohes Risiko: Strenge Pflichten vor dem Markteintritt
Hochrisiko-KI-Systeme sind solche, die grundlegende Rechte von Menschen erheblich beeinträch
