Verbotene KI-Praktiken? Gelten seit Februar 2025. KI-Kompetenzpflicht für Mitarbeiter? Ebenfalls seit Februar 2025. GPAI-Regeln und Transparenzpflichten? Seit August 2025.
Falls du jetzt denkst: “Moment, davon hab ich ja gar nichts mitbekommen” – dann bist du nicht allein. Die meisten Unternehmen haben die ersten EU-AI-Act-Fristen schlicht verschlafen. Und die nächste steht schon vor der Tür: Ab 2. August 2026 gelten die Hochrisiko-Pflichten. Bußgelder? Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Puh. Klingt dramatisch. Ist es teilweise auch – aber für die allermeisten KMU ist die Sache deutlich überschaubarer, als die Schlagzeilen vermuten lassen. Ich hab mich durch die Verordnung, das deutsche Durchführungsgesetz und die Orientierungshilfen von BNetzA, BSI und DSK gewühlt. Hier kommt die Kurzversion.
Die Timeline: Was gilt wann?
| Datum | Was tritt in Kraft | Betroffene |
|---|---|---|
| 02.02.2025 | Verbotene Praktiken (Art. 5) + KI-Kompetenz (Art. 4) | Alle KI-Nutzer |
| 02.08.2025 | GPAI-Regeln + Transparenzpflichten (Art. 50) + Sanktionen | GPAI-Anbieter + KI-Deployer |
| 02.08.2026 | Hochrisiko-Pflichten (Anhang III) | Anbieter & Betreiber von Hochrisiko-KI |
| 02.08.2027 | Eingebettete KI in regulierten Produkten (Anhang I) | Produkthersteller |
Wichtig: Die EU-Kommission hat im November 2025 vorgeschlagen, die Hochrisiko-Frist (Anhang III) auf Dezember 2027 zu verschieben (Digital Omnibus). Der Grund: Harmonisierte technische Standards von CEN/CENELEC sind noch nicht fertig. Aber – und das ist der entscheidende Punkt – das ist noch nicht beschlossen. Parlament und Rat verhandeln noch. Wer jetzt sagt “Na dann haben wir ja noch Zeit” und erstmal nichts tut, spielt halt mit dem Feuer.
Meine Empfehlung: Weiterhin mit August 2026 planen. Wenn’s doch Dezember 2027 wird – umso besser.
Die 4 Risikoklassen – einfach erklärt
Der ganze EU AI Act dreht sich eigentlich um eine Frage: Wie riskant ist dein KI-System? Je höher das Risiko, desto strenger die Pflichten.
1. Unannehmbares Risiko (verboten)
Seit 02.02.2025 verboten. Punkt. Wer dagegen verstößt: 7% des weltweiten Jahresumsatzes.
Was drunter fällt:
- Social Scoring – Bewertung von Personen anhand ihres Sozialverhaltens
- Manipulative KI – Techniken, die Schwächen ausnutzen (Alter, Behinderung, wirtschaftliche Lage)
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (Ausnahme: Medizin/Sicherheit)
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (Ausnahmen für Strafverfolgung)
Betrifft das dein Unternehmen? Wahrscheinlich nicht direkt. Aber: Ein KI-Tool, das im Bewerbungsgespräch Emotionen analysiert, fällt da schon drunter. Und ja, solche Tools gibt es.
2. Hohes Risiko (strenge Pflichten)
Das ist der Kern des Gesetzes. KI-Systeme in diesen 8 Bereichen gelten als Hochrisiko:
- Biometrie – Fernidentifizierung, biometrische Kategorisierung
- Kritische Infrastruktur – Steuerung von Wasser, Gas, Strom, Verkehr
- Bildung – Zugang zu Bildungseinrichtungen, Prüfungsbewertung
- Beschäftigung/HR – Recruiting, Beförderung, Kündigung, Leistungsbewertung
- Wesentliche Dienstleistungen – Kreditscoring, Sozialleistungen
- Strafverfolgung – Risikobeurteilung, Beweisbewertung
- Migration – Visumanträge, Asylverfahren
- Justiz – Rechtsauslegung, Streitbeilegung
Der häufigste Stolperstein für Unternehmen: Bereich 4, Beschäftigung. Wer KI im Recruiting einsetzt – und seien es “nur” automatisierte Vorfilter für Bewerbungen – landet direkt bei Hochrisiko. Mit allem was dazugehört: Risikomanagement, Datenqualität, menschliche Aufsicht, Konformitätsbewertung.
Tja, und Amazon hat das mal auf die harte Tour gelernt: Deren KI bevorzugte systematisch männliche Bewerber. Seit dem EU AI Act wäre das nicht nur peinlich, sondern teuer.
Es gibt allerdings eine Ausnahmeklausel (Art. 6 Abs. 3): Wenn dein KI-System nur eine enge Verfahrensaufgabe erfüllt, menschliche Arbeit verbessert (ohne sie zu ersetzen) oder reine Mustererkennung macht, kann die Hochrisiko-Einstufung entfallen. Aber: Sobald Profiling natürlicher Personen im Spiel ist, gilt die Ausnahme nicht. Nie. Punkt.
Wer hier tief einsteigen will: Der Kurs KI-Risikobewertung geht alle 8 Bereiche durch, inklusive Entscheidungsbaum und Praxisbeispiele für Grenzfälle.
3. Begrenztes Risiko (Transparenzpflichten)
Gilt seit August 2025. Eigentlich simpel:
- Chatbots: Nutzer muss wissen, dass er mit einer KI spricht
- KI-generierte Inhalte: Müssen maschinenlesbar gekennzeichnet werden (Text, Bild, Audio, Video)
- Deepfakes: Strengere Kennzeichnungspflicht
Bußgeld bei Verstoß: bis 15 Mio. Euro oder 3% Umsatz.
In der Praxis heißt das: Wenn dein Kundenservice-Chatbot nicht klar als KI gekennzeichnet ist, hast du ein Problem. Und nein, “Powered by AI” ganz unten auf der Seite reicht nicht.
4. Minimales Risiko (fast keine Pflichten)
Hier landen die meisten KI-Anwendungen im Alltag: ChatGPT für E-Mails, KI-gestützte Übersetzung, Bildbearbeitung, Textzusammenfassung. Keine spezifischen Pflichten – außer der KI-Kompetenz-Schulung (Art. 4, seit Februar 2025).
Und das ist eigentlich die gute Nachricht: Wenn du KI für Textgenerierung, Dokumentation oder Marketing nutzt, brauchst du dir um Hochrisiko-Pflichten keine Sorgen zu machen. Trotzdem brauchst du eine KI-Nutzungsrichtlinie für deine Mitarbeiter – schon allein wegen DSGVO.
Der Kurs DSGVO und KI behandelt genau das: Datenschutz-Folgenabschätzung, Rechtsgrundlagen für KI-Einsatz und was die DSK dazu sagt.
Die Bußgeld-Staffel
Drei Stufen, je nach Schwere des Verstoßes:
| Verstoß | Bußgeld |
|---|---|
| Verbotene Praktiken (Art. 5) | Bis 35 Mio. EUR oder 7% Jahresumsatz |
| Hochrisiko-Verstöße | Bis 15 Mio. EUR oder 3% Jahresumsatz |
| Falsche Angaben gegenüber Behörden | Bis 7,5 Mio. EUR oder 1,5% Jahresumsatz |
KMU-Erleichterung: Für kleine und mittlere Unternehmen gilt der niedrigere Betrag aus Festbetrag und Umsatzprozentsatz. Heißt: Bei einem KMU mit 5 Mio. Euro Umsatz sind es maximal 150.000 Euro (3%) statt 15 Millionen. Immer noch viel – aber nicht existenzbedrohend.
Nö, das heißt aber nicht, dass KMU sich zurücklehnen können. Die BNetzA wird ab August 2026 Marktüberwachung betreiben. Und die ersten Abmahnungen dürften schnell kommen – die DSGVO hat gezeigt, wie das läuft.
KI-MIG: Das deutsche Durchführungsgesetz
Der EU AI Act gilt direkt in allen Mitgliedsstaaten – aber jedes Land braucht ein nationales Durchführungsgesetz. In Deutschland ist das der KI-MIG (KI-Marktüberwachungs- und Innovationsförderungsgesetz).
Status März 2026: Kabinettsbeschluss am 11. Februar 2026. Jetzt im Bundestag und Bundesrat. Noch nicht in Kraft.
(Kleine Randnotiz: Deutschland hat die EU-Frist für die Benennung nationaler Aufsichtsbehörden – 2. August 2025 – verpasst. Überrascht das jemanden? Mich ehrlich gesagt nicht.)
Was der KI-MIG regelt:
- Bundesnetzagentur (BNetzA) wird zentrale KI-Aufsichtsbehörde
- KoKIVO – das Koordinierungs- und Kompetenzzentrum für die KI-Verordnung bei der BNetzA (kein eigenes Gesetz, sondern eine Organisationseinheit)
- KI-Service-Desk als erste Anlaufstelle für Unternehmen (läuft schon seit Juli 2025!)
- Föderaler Ansatz: BNetzA koordiniert Netzwerk aus Bundes- und Landesbehörden
Der KI-Service-Desk der BNetzA ist übrigens jetzt schon erreichbar und berät speziell KMU. Dazu gibt’s den KI-Compliance-Kompass – ein Online-Selbsttest, der dir zeigt, ob dein System reguliert ist und welche Pflichten du hast. Kostenlos. Nicht rechtsverbindlich, aber ein guter Startpunkt.
Die 5-Schritte-Checkliste
Okay, genug Theorie. Was musst du konkret tun? Hier der Fahrplan – sortiert nach Dringlichkeit:
Schritt 1: KI-Inventar erstellen (sofort)
Erfasse alle KI-Systeme in deinem Unternehmen. Und zwar wirklich alle – auch die ChatGPT-Abos, die Mitarbeiter auf eigene Faust abgeschlossen haben (Stichwort: Schatten-KI).
Pro System dokumentieren:
- Was macht es?
- Wer nutzt es?
- Welche Daten verarbeitet es?
- Wer ist Anbieter (Provider) und wer Betreiber (Deployer)?
Schritt 2: Risikoklasse bestimmen (sofort)
Für jedes System im Inventar: Welche Risikoklasse? Den BNetzA KI-Compliance-Kompass als Orientierung nutzen. Bei Hochrisiko: externe Beratung holen.
Schritt 3: KI-Kompetenz sicherstellen (überfällig!)
Gilt ja seit Februar 2025. Falls du noch nichts gemacht hast – jetzt. Kein formales Zertifikat nötig, aber nachweisbare Schulung. Proportional zum Risiko: Wer Hochrisiko-KI betreibt, braucht tiefere Schulung als jemand, der ChatGPT für E-Mails nutzt.
Der Kurs EU AI Act Praxis deckt die KI-Kompetenz-Anforderungen ab und hilft dir, einen Schulungsplan aufzusetzen.
Schritt 4: KI-Nutzungsrichtlinie erstellen (bis Q2 2026)
Regeln für den KI-Einsatz im Unternehmen:
- Welche Tools sind erlaubt?
- Was darf mit Kundendaten passieren?
- Wie werden KI-generierte Inhalte gekennzeichnet?
- Wer ist verantwortlich?
- Wie ist der Betriebsrat eingebunden?
Ach ja, Betriebsrat: Die KI-Nutzung fällt unter §87 Abs. 1 Nr. 6 BetrVG (technische Überwachungseinrichtungen). Das ArbG Hamburg hat 2024 im ersten deutschen KI-Urteil zwar entschieden, dass freiwillige Browser-Nutzung von ChatGPT keine Mitbestimmungspflicht auslöst – aber sobald dein Unternehmen KI-Tools offiziell einführt, sieht das anders aus. Betriebsvereinbarung empfohlen.
Schritt 5: Hochrisiko-Compliance aufbauen (bis August 2026)
Nur relevant, wenn du Hochrisiko-KI betreibst. Dann brauchst du:
- Risikomanagementsystem (Art. 9) – kontinuierlich, nicht einmalig
- Datenqualitätsmanagement (Art. 10)
- Technische Dokumentation (Art. 11)
- Protokollierung (Art. 12) – Logs 6 Monate aufbewahren
- Transparenz für Nutzer (Art. 13)
- Menschliche Aufsicht (Art. 14) – die Person muss das System verstehen, Automation Bias erkennen und Entscheidungen überstimmen können
- Genauigkeit und Robustheit (Art. 15)
- Konformitätsbewertung (Art. 43) – bei Anhang III Nr. 2-8 reicht interne Kontrolle
Na ja, klingt nach viel Arbeit. Ist es auch. Konformitätsbewertungen dauern erfahrungsgemäß 3-6 Monate. Wer im März 2026 noch nicht angefangen hat, wird eng.
Der Kurs KI-Compliance für Unternehmen führt durch den gesamten Compliance-Aufbau – von der Inventarisierung bis zur Konformitätsbewertung, inklusive ISO 42001 und IDW PS 861.
Was die meisten vergessen: Informationssicherheit
Der EU AI Act steht nicht allein. Parallel gelten:
- DSGVO – Datenschutz-Folgenabschätzung bei KI-Einsatz mit personenbezogenen Daten (Art. 35)
- NIS2 – seit Dezember 2025 in Kraft, betrifft ~29.500 Unternehmen in Deutschland
- DORA – für den Finanzsektor: KI als IKT-Asset im Risikomanagement
- Produkthaftungsrichtlinie 2024/2853 – Software (inkl. KI und SaaS) erstmals als Produkt definiert, Umsetzung bis Dezember 2026
Gerade das Zusammenspiel von EU AI Act und DSGVO unterschätzen viele. Die DSK hat seit 2024 drei Orientierungshilfen zu KI veröffentlicht. Und Art. 22 DSGVO (automatisierte Einzelentscheidungen) ist strenger als die meisten denken: Europäische Datenschutzbehörden werten ihn als Verbot, nicht nur als Recht.
Für alle, die IT-Sicherheit und KI zusammen denken wollen: Der Kurs Informationssicherheit und KI behandelt BSI IT-Grundschutz, NIS2, KRITIS und ISO 27001 im KI-Kontext.
Die unbequeme Wahrheit für KMU
Mal ehrlich: Der EU AI Act ist primär für Großunternehmen geschrieben worden. Die meisten KMU nutzen KI auf Minimal-Risk-Level – ChatGPT, Claude, Gemini für Texte, E-Mails, Marketing. Da gelten praktisch keine zusätzlichen Pflichten jenseits der KI-Kompetenz.
Aber (und das hab ich in den letzten Monaten immer wieder gesehen): KMU, die KI-Tools ohne Richtlinien, ohne Schulung und ohne Datenschutz-Folgenabschätzung einsetzen, haben trotzdem ein Problem. Nicht unbedingt mit dem AI Act – aber mit der DSGVO. Und die kennt bekanntlich kein Pardon.
Der pragmatische Weg: KI-Inventar, KI-Nutzungsrichtlinie, DSGVO-konforme Toolauswahl. Kostet einen Nachmittag. Spart potenziell sehr viel Ärger.
Und wer den ganzen Compliance-Stack systematisch abarbeiten will: Die Kurse EU AI Act Praxis, KI-Compliance und KI-Risikobewertung decken zusammen alles ab – von Risikoklassifizierung bis Konformitätsbewertung. Mit 8 Lektionen, Quiz und Zertifikat.