EU AI Act
Verordnung über künstliche Intelligenz
Der EU AI Act ist die weltweit erste umfassende Regulierung von Künstlicher Intelligenz. Er klassifiziert KI-Systeme in vier Risikoklassen (verboten, hochriskant, begrenzt, minimal) und stellt entsprechend gestaffelte Pflichten an Betreiber und Anbieter. Erste Pflichten greifen ab Februar 2026, Hochrisiko-Pflichten ab August 2026.
Der EU AI Act (Verordnung 2024/1689) trat am 1. August 2024 in Kraft und gilt direkt in allen EU-Mitgliedstaaten. Er adressiert sowohl Anbieter (z. B. wer ein KI-Modell entwickelt) als auch Betreiber (z. B. ein Mittelständler, der ChatGPT in HR einsetzt).
Vier Risikoklassen: Inakzeptabel (verboten – z. B. Social Scoring), Hochriskant (strenge Pflichten – z. B. KI in der Personalauswahl, Kreditvergabe, kritischer Infrastruktur), Begrenzt (Transparenzpflichten – z. B. Chatbots müssen sich als KI zu erkennen geben), Minimal (keine speziellen Pflichten – z. B. Spam-Filter).
Für Mittelständler relevant: Wer KI in HR-Entscheidungen, Bonitätsprüfung oder Mitarbeiter-Monitoring einsetzt, ist Hochrisiko-Betreiber – mit Pflichten zu Risikomanagement, Datengovernance, technischer Dokumentation und menschlicher Aufsicht. Bußgelder bis 35 Mio. Euro oder 7 % des Konzernumsatzes.
Praxis-Beispiel
Ein Mittelständler nutzte ChatGPT zur Vorsortierung von Bewerbungen – ohne es als KI-Einsatz zu deklarieren oder die Auswahl zu dokumentieren. Nach einer rechtlichen Erstprüfung musste das Unternehmen den Prozess auf menschliche Endentscheidung umstellen, technische Dokumentation nachholen und Bewerber explizit über den KI-Einsatz informieren.
Häufige Fragen zu EU AI Act
Wann greifen die EU-AI-Act-Pflichten?
Verbote ab Februar 2026, Pflichten für General-Purpose-AI-Modelle ab August 2026, Hochrisiko-Pflichten ab August 2026/2027 (gestaffelt). Wer hochriskante KI einsetzt, sollte die Compliance-Vorbereitung 2026 abschließen.
Bin ich Anbieter oder Betreiber?
Anbieter ist, wer ein KI-System entwickelt oder unter eigenem Namen vertreibt. Betreiber ist, wer ein KI-System unter eigener Verantwortung einsetzt. Die meisten Mittelständler sind Betreiber – z. B. wenn sie Microsoft Copilot, ChatGPT Enterprise oder einen eigenen Chatbot nutzen.