Framework Typ: Gesetz
Gesetz

EU AI Act

Der EU AI Act reguliert den Einsatz von KI-Systemen in der EU nach Risikoklassen. Je höher das Risiko eines Systems, desto strenger die Anforderungen. Die ersten Pflichten gelten bereits heute.

Vollständiger Name
EU-Verordnung über Künstliche Intelligenz (EU) 2024/1689
In Kraft seit August 2024, gestaffelte Fristen bis 2027

Was ist der EU AI Act?

Der EU AI Act (EU-Verordnung über Künstliche Intelligenz, Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Er gilt als EU-Verordnung direkt in allen Mitgliedstaaten, ohne nationale Umsetzungsgesetze zu benötigen.

Der Ansatz ist risikobasiert: Nicht jedes KI-System wird gleich behandelt. Je nachdem, welches Schadenspotenzial ein System hat, gelten unterschiedlich strenge Anforderungen. Systeme mit minimalem Risiko, wie einfache Spam-Filter oder KI-gestützte Playlist-Empfehlungen, unterliegen keinen besonderen Pflichten. Systeme mit hohem Risiko, etwa in der Personalauswahl oder kritischen Infrastruktur, müssen strenge Anforderungen erfüllen.

Wann gilt der EU AI Act für mein Unternehmen?

Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, in Verkehr bringen oder einsetzen. Das betrifft nicht nur KI-Anbieter, also Unternehmen, die KI-Systeme entwickeln und verkaufen, sondern auch Betreiber (Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen).

Für KMU relevant: Wer ChatGPT, KI-gestützte Recruiting-Tools oder automatisierte Entscheidungssysteme nutzt, ist als Betreiber potenziell betroffen. Die Pflichten hängen davon ab, in welche Risikoklasse das eingesetzte System fällt.

Die Fristen sind gestaffelt und wurden zuletzt durch den KI-Omnibus (ein Vereinfachungspaket der EU-Kommission, zu dem am 7. Mai 2026 eine politische Einigung erzielt wurde) angepasst:

Bereits in Kraft

Verbotene KI-Praktiken gelten seit Februar 2025. Dazu zählen soziales Scoring durch Behörden, manipulative KI-Systeme und biometrische Echtzeit-Fernüberwachung im öffentlichen Raum.

Ab August 2025

Anforderungen für Anbieter neuer GPAI-Modelle (General Purpose AI – KI-Systeme für allgemeine Zwecke, wie große Sprachmodelle) sind seit August 2025 wirksam.

Ab August 2026

Transparenzpflichten und KI-Kompetenzpflichten (Art. 4: Unternehmen müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt) gelten ab dem 2. August 2026. Außerdem treten die Anforderungen für KI-Systeme mit begrenztem und geringem Risiko in Kraft.

Ab Dezember 2027

Die vollständigen Anforderungen für Hochrisiko-KI-Systeme in sensiblen Bereichen wie Biometrie, kritische Infrastruktur, Bildung und Personalwesen gelten ab dem 2. Dezember 2027.

Kernanforderungen

Die konkreten Anforderungen hängen von der Risikoklasse des KI-Systems ab.

Verbotene KI-Praktiken

Einige KI-Anwendungen sind grundsätzlich untersagt: soziales Scoring, manipulative Systeme, die Schwächen von Personen ausnutzen, und biometrische Kategorisierungssysteme auf Basis sensibler Merkmale.

Anforderungen für Hochrisiko-Systeme

KI-Systeme mit hohem Risiko müssen unter anderem registriert werden, Risikomanagement- und Qualitätsmanagementsysteme vorweisen, technische Dokumentation bereitstellen und eine Konformitätsbewertung (Nachweis, dass das System die gesetzlichen Anforderungen erfüllt) durchlaufen.

KI-Kompetenzpflicht (Art. 4)

Ab August 2026 müssen alle Unternehmen, die KI-Systeme einsetzen oder entwickeln, sicherstellen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen. Schulungen und interne Richtlinien zum KI-Einsatz sind der praktische Weg zur Erfüllung dieser Pflicht.

Transparenzpflichten

Bei bestimmten KI-Systemen, etwa KI-generierten Texten, Deepfakes oder Chatbots, müssen Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren.

GPAI-Modell-Anforderungen

Anbieter von KI-Modellen für allgemeine Zwecke müssen technische Dokumentation bereitstellen, Urheberrechtsvorgaben einhalten und bei Modellen mit systemischem Risiko zusätzliche Sicherheitsbewertungen durchführen.

Konsequenzen bei Nichteinhaltung

Bei Verstößen gegen den EU AI Act können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes verhängt werden. Das gilt für die schwersten Verstöße, etwa den Einsatz verbotener KI-Praktiken. Für weniger schwere Verstöße sind Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes vorgesehen. Für KMU sieht der EU AI Act verhältnismäßige Bußgelder vor.

Wie hilft Digimojo?

Die KI-Kompetenzpflicht ab August 2026 ist der erste konkrete Handlungsbedarf für die meisten Unternehmen. Digimojo unterstützt dich bei der Bestandsaufnahme der eingesetzten KI-Systeme, der Einordnung in Risikoklassen, dem Aufbau interner KI-Richtlinien und der Vorbereitung auf die Compliance-Anforderungen des EU AI Act.

DigimojoCOMPLY hilft dabei, die erforderliche Dokumentation und Risikoanalyse strukturiert aufzubauen und aktuell zu halten.

Mehr zum Thema

Die KI-Verordnung 2025: Anforderungen und Auswirkungen auf Unternehmen

Ab dem 2. Februar 2025 tritt die KI-Verordnung (KI-VO) der EU in Kraft. Sie regelt die Entwicklung, Nutzung und Vermarktung von Künstlicher Intelligenz und bringt insbesondere für Unternehmen neue Pflichten mit sich. Die Vorschriften betreffen nicht nur große Tech-Konzerne, sondern auch kleine und mittlere Unternehmen (KMU), die KI-gestützte Tools einsetzen. In diesem Artikel erfährst du, welche Anforderungen auf dich zukommen, welche KI-Systeme betroffen sind und wie du dein Unternehmen konform aufstellst.

→ Weiterlesen
AVV mit OpenAI / ChatGPT abschließen – so geht’s

Unter bestimmten Lizenzmodellen (z. B. Enterprise, API) bietet OpenAI ein Data Processing Addendum (DPA) an, das als Auftragsverarbeitungsvertrag (AVV) dient. Nicht alle ChatGPT-Versionen ermöglichen dies, insbesondere Free oder Plus. In diesem Artikel erfährst du, welche Lizenzen infrage kommen, wie du den Vertrag praktisch abschließt, worauf du achten solltest und welche zusätzlichen Anforderungen der AI Act künftig stellt.

→ Weiterlesen
EU Digital-Omnibus – Was die größte DSGVO-Reform für KMU bedeutet

Der EU Digital-Omnibus ist die größte Reform der DSGVO seit 2018. Am 19. November 2025 hat die EU-Kommission ein umfassendes Gesetzespaket vorgelegt, das nicht nur die Datenschutzgrundverordnung modernisieren, sondern auch NIS2, den AI Act und andere Digital-Verordnungen besser verzahnen soll. Die EU spricht von „Vereinfachung" – doch was bedeutet das konkret für dein Unternehmen? Die Realität: Es gibt einzelne Erleichterungen wie einen Single-Entry-Point für Vorfallsmeldungen oder eine höhere Schwelle für Datenpannen-Meldungen. Gleichzeitig steigt aber das Tempo regulatorischer Änderungen insgesamt. NIS2 ist aktiv, der AI Act tritt phasenweise in Kraft, der Cyber Resilience Act kommt 2026. Das eigentliche Problem ist nicht eine einzelne Verordnung – sondern die Frage, ob dein Compliance-System flexibel genug ist, um mit diesem Tempo Schritt zu halten. In diesem Artikel erfährst du, was sich konkret ändert, warum „Vereinfachung" nicht automatisch weniger Arbeit bedeutet und welche Strategie du jetzt brauchst, um regulatorischen Änderungen nicht hinterherzulaufen.

→ Weiterlesen

Aus dem Magazin

KI-Verordnung 2025: Neue Regeln für Künstliche Intelligenz: Das müssen kleine Unternehmen beachten

Ab Februar 2025 gilt die neue EU-KI-Verordnung – ein entscheidender Schritt für den sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz. Besonders für kleine und mittlere Unternehmen (KMU) bringt sie neue Herausforderungen, aber auch Chancen. In diesem Leitfaden erfährst du, welche Pflichten auf dich zukommen, welche KI-Risikostufen es gibt und wie du die Vorschriften effizient und kostengünstig umsetzt. Zudem bieten wir praxisnahe Lösungen, Schulungen und Tools, die dich optimal auf die kommenden Anforderungen vorbereiten. Jetzt handeln und compliant bleiben!

→  Weiterlesen

Verwandte Frameworks

ISO 42001

ISO 42001 ist die internationale Norm für KI-Managementsysteme. Sie hilft Unternehmen, den verantwortungsvollen Einsatz von KI systematisch zu steuern, nachzuweisen und kontinuierlich zu verbessern.

→ Mehr erfahren
▶︎
Alle Frameworks
▶︎
Gesetz
Thorsten Wälde, Gründer und Geschäftsführer von Digimojo, Experte für Datenschutz und Informationssicherheit
Kontakt

Wie können wir dich unterstützen?

Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.

Unverbindlich anfragen
Einfach. Klar. Verlässlich.
Informationssicherheit | Datenschutz | Cybersecurity
Lösungen
DigimojoCOMPLYDigimojoSECURE
Leistungen
Externer DSBExterner ISBNIS-2-BeratungCyberRisikoCheck
Ressourcen
Kostenlose RessourcenMagazinWissenNewsletter
Frameworks
Unternehmen
Über DigimojoKontaktStrategiegespräch
© 2026 Digimojo
Impressum
|
Datenschutz
|
LinkedIn