EU AI Act: Pflichten für Unternehmen im Überblick

16. Mai 2026

Artikel teilen

Die EU AI Act Pflichten für Unternehmen sind seit dem vollständigen Inkrafttreten der KI-Verordnung (EU) 2024/1689 keine abstrakte Zukunftsperspektive mehr, sondern konkreter Handlungsbedarf. Die Verordnung etabliert einen risikobasierten Regelungsrahmen für Künstliche Intelligenz im Europäischen Wirtschaftsraum und erfasst nahezu jedes Unternehmen, das KI-Systeme entwickelt, in Verkehr bringt, importiert, vertreibt oder in eigenen Geschäftsprozessen betreibt. Dabei reicht das Spektrum von strikten Verboten bestimmter KI-Praktiken über umfangreiche Konformitätspflichten für Hochrisikosysteme bis hin zu Transparenzanforderungen für KI-generierte Inhalte. Für Geschäftsführer, Compliance-Verantwortliche und IT-Leitungen entsteht damit ein neues Haftungsfeld, das parallel zu bestehenden Verpflichtungen aus der DSGVO, der NIS2-Richtlinie und dem Produkthaftungsrecht wirkt. Dieser Beitrag strukturiert die wesentlichen Regelungsbereiche, ordnet sie nach Betroffenheit und gibt konkrete Umsetzungsempfehlungen für die betriebliche Praxis. Besonderes Gewicht liegt auf den Pflichten für Betreiber, da diese Rolle in der Mehrzahl mittelständischer Unternehmen am häufigsten zutrifft, in der öffentlichen Diskussion jedoch oft zugunsten der Anbieterpflichten unterbelichtet bleibt.

Der risikobasierte Ansatz des EU AI Act

Die KI-Verordnung folgt einem gestuften Regelungsmodell: Je höher das Risiko eines KI-Systems für Grundrechte, Sicherheit oder gesellschaftliche Integrität, desto strenger die Anforderungen. Diese Logik zieht sich durch alle Titeln der Verordnung und bestimmt, welche konkreten Pflichten für ein Unternehmen entstehen.

Verbotene KI-Praktiken (Artikel 5)

Einige KI-Anwendungen sind ohne Ausnahme verboten. Das Verbot gilt ab dem 2. Februar 2025 und war damit das erste Regelwerk, das zeitlich in Kraft trat. Unternehmen dürfen keine KI-Systeme einsetzen oder entwickeln, die:

subliminale Techniken verwenden, um Menschen zu manipulieren, ohne dass diese es bemerken,
Schwächen oder Verletzlichkeiten bestimmter Personengruppen (Alter, Behinderung) ausnutzen,
ein soziales Scoring durch öffentliche Stellen ermöglichen, das zur Benachteiligung in anderen Lebensbereichen führt,
biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgungsbehörden durchführen (mit engen Ausnahmen),
Emotionen am Arbeitsplatz oder in Bildungseinrichtungen erkennen,
biometrische Kategorisierungen nach sensiblen Merkmalen wie politischer Überzeugung, religiöser Zugehörigkeit oder sexueller Orientierung vornehmen.

Für Unternehmen relevant ist insbesondere das Verbot von Manipulations- und Schwachstellenausnutzungssystemen. Wer KI-basierte Kundenkommunikation oder personalisierte Werbetechnologien einsetzt, sollte prüfen, ob die verwendeten Systeme in diese Verbotskategorien fallen könnten. Dies betrifft vor allem dark-pattern-nahe Konfigurationen von Empfehlungsalgorithmen.

Hochriskante KI-Systeme (Artikel 6 und Anhang III)

Hochrisiko-KI-Systeme unterliegen den umfangreichsten Anforderungen. Sie sind entweder Sicherheitskomponenten von Produkten, die unter bestehende Harmonisierungsrichtlinien fallen (z.B. Medizinprodukte, Fahrzeuge, Aufzüge), oder sie fallen unter einen der acht Anwendungsbereiche des Anhangs III:

Biometrische Identifizierung und Kategorisierung von Personen
Kritische Infrastruktur (Energie, Wasser, Verkehr, digitale Infrastruktur)
Allgemeine und berufliche Bildung
Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit
Zugang zu privaten und öffentlichen Dienstleistungen (Kreditwürdigkeitsprüfung, Notfalleinsätze)
Strafverfolgung
Migration, Asyl, Grenzkontrolle
Rechtspflege und demokratische Prozesse

Für die betriebliche Praxis besonders relevant: KI-gestützte Bewerbungsauswahlsysteme, automatisierte Leistungsbeurteilungen oder KI-Kreditscoring-Systeme für Geschäftskunden fallen unter Anhang III. Wer solche Systeme betreibt oder entwickelt, unterliegt dem vollen Anforderungskatalog für Hochrisiko-KI.

KI mit begrenztem Risiko

KI-Systeme, die direkt mit Menschen interagieren (Chatbots, generative KI für öffentlich zugängliche Inhalte, Deepfakes), unterliegen Transparenzpflichten: Nutzer müssen wissen, dass sie mit einem KI-System interagieren oder dass ein Inhalt KI-generiert ist. Diese Anforderung gilt seit dem 2. August 2026 vollständig.

KI mit minimalem Risiko

KI-Systeme mit minimalem Risiko, etwa einfache Spam-Filter oder KI-gestützte Suchwerkzeuge, unterliegen keinen spezifischen Pflichten. Für sie empfiehlt die Verordnung freiwillige Verhaltenskodizes, die von Branchenverbänden entwickelt werden können.

Wer ist betroffen? Rollen und Pflichten im EU AI Act

Die Verordnung unterscheidet mehrere Akteurskategorien mit jeweils eigenen Pflichtenprogrammen. Entscheidend ist nicht die Firmengröße, sondern die Rolle, die ein Unternehmen im Lebenszyklus eines KI-Systems einnimmt.

Anbieter (Provider)

Anbieter entwickeln KI-Systeme und bringen sie auf den Markt oder in Betrieb. Sie tragen die schwersten Pflichten: technische Dokumentation, Registrierung im EU-Datenbank, Konformitätsbewertung (bei Hochrisiko teils durch Dritte), Qualitätsmanagementsystem, Marktzulassung mit CE-Kennzeichnung (bei produktbezogenen Hochrisikosystemen), Überwachung nach dem Inverkehrbringen sowie Incident-Meldepflichten. Für KMU und Start-ups sieht die Verordnung vereinfachte Konformitätswege und Prioritätszugang zu Regulatory Sandboxes vor.

Betreiber (Deployer)

Betreiber setzen KI-Systeme im eigenen Namen für eigene Zwecke ein, ohne sie selbst entwickelt zu haben. Diese Rolle ist in der Unternehmenspraxis am häufigsten anzutreffen: Wer eine KI-Software für HR-Screening, Kundenservice oder Produktionssteuerung einkauft und nutzt, ist in der Regel Betreiber. Die Betreiberpflichten bei Hochrisiko-KI umfassen:

Sicherstellung der Nutzung gemäß Betreiberhandbuch des Anbieters,
menschliche Aufsicht durch fachkundige Personen,
Datenschutz-Folgenabschätzung bei Verarbeitung biometrischer oder sensitiver Daten (Verknüpfung mit DSGVO Art. 35),
Protokollierung der Systementscheidungen (Logging), soweit technisch möglich,
Mitteilung wesentlicher Vorkommnisse an den Anbieter,
Grundrechte-Folgenabschätzung bei bestimmten öffentlichen Stellen und privaten Betreibern von öffentlichen Dienstleistungen.

Importeure und Händler

Importeure, die Hochrisiko-KI-Systeme aus Drittstaaten in die EU einführen, tragen ähnliche Pflichten wie Anbieter und haften subsidiär. Händler, die Systeme vertreiben, ohne sie zu verändern, unterliegen Sorgfaltspflichten: Sie müssen prüfen, ob ein CE-Kennzeichen vorhanden ist und ob der Anbieter seine Dokumentationspflichten erfüllt hat.

Hochrisiko-KI: Konkrete technische und organisatorische Anforderungen

Für Hochrisiko-KI-Systeme verlangt der EU AI Act ein umfassendes Anforderungspaket, das sowohl auf Anbieter- als auch auf Betreiberseite wirkt.

Anforderung	Anbieter	Betreiber
Risikomanagementsystem (Art. 9)	Pflicht (vollständig)	Teilpflicht (betriebsbezogene Risiken)
Datenlenkung und -verwaltung (Art. 10)	Pflicht	Datenqualität für eigene Trainingsdaten
Technische Dokumentation (Art. 11)	Pflicht (Anhang IV)	Aufbewahrung der Anbieter-Doku
Protokollierung/Logging (Art. 12)	Technische Umsetzung	Aktivierung und Aufbewahrung
Transparenz gegenüber Betreiber (Art. 13)	Pflicht (Betreiberhandbuch)	Weitergabe an betroffene Personen
Menschliche Aufsicht (Art. 14)	Technische Gestaltung	Operative Umsetzung
Genauigkeit, Robustheit, Cybersicherheit (Art. 15)	Pflicht	Sicherstellung im Betrieb
Qualitätsmanagementsystem (Art. 17)	Pflicht	Nicht vorgeschrieben
Konformitätsbewertung (Art. 43)	Pflicht (intern oder durch Dritte)	Prüfpflicht der Anbieter-Zertifikate
EU-Datenbankregistrierung (Art. 49)	Pflicht	Pflicht bei bestimmten Systemen

General Purpose AI (GPAI) und Foundation Models

Titel VIII des AI Act regelt KI-Modelle mit allgemeinem Verwendungszweck (GPAI), zu denen Large Language Models wie GPT-Klassen, Bildgeneratoren und multimodale Modelle zählen. Diese Regelungen sind besonders für Unternehmen relevant, die eigene KI-Anwendungen auf der Grundlage von GPAI-Modellen von Drittanbietern entwickeln.

Alle GPAI-Anbieter müssen technische Dokumentation bereitstellen, Urheberrechtsvorgaben einhalten und Zusammenfassungen der Trainingsdaten veröffentlichen. Für Anbieter sogenannter systemischer Risiken (definiert durch einen Schwellenwert der kumulierten Rechenkapazität von 10^25 FLOP) gelten zusätzlich: Durchführung und Dokumentation von Modellbewertungen, Adversarial Testing, Incident-Meldung an die EU-Kommission und Cybersicherheitsmaßnahmen.

Für mittelständische Unternehmen, die GPAI-Modelle über API-Dienste in eigene Produkte integrieren, ist die Frage entscheidend: Werden sie dadurch selbst zum Anbieter eines Hochrisiko-KI-Systems? Die Antwort hängt vom konkreten Einsatzbereich ab. Wer ein auf GPT basierendes Tool für automatisierte Kreditentscheidungen entwickelt, ist als Anbieter eines Hochrisiko-Systems zu behandeln, auch wenn das Basismodell von einem Dritten stammt.

Transparenzpflichten für KI-generierte Inhalte

Artikel 50 AI Act verpflichtet Anbieter und Betreiber von KI-Systemen, die mit natürlichen Personen interagieren oder Inhalte erzeugen, zu spezifischen Transparenzmaßnahmen:

Chatbots und virtuelle Assistenten: Personen müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Ausnahmen gelten für offensichtliche Nutzungskontexte (z.B. wenn die KI-Natur aus dem Dienst klar hervorgeht).
Deepfakes und synthetische Medien: KI-generierte Bild-, Audio- und Videoinhalte müssen als solche gekennzeichnet werden. Für journalistische Inhalte bestehen Ausnahmen, wenn die KI-Nutzung der Redaktionskontrolle unterliegt.
Maschinenlesbare Kennzeichnung: GPAI-Anbieter müssen KI-generierte Inhalte maschinell kennzeichnen (Wasserzeichen oder Metadaten), sofern dies technisch praktikabel ist.

Für Marketingabteilungen, die KI-generierte Texte, Produktbilder oder Videoanzeigen erstellen, entsteht hier operativer Handlungsbedarf: Interne Workflows müssen sicherstellen, dass Kennzeichnungspflichten vor der Veröffentlichung geprüft werden.

Governance und Aufsicht: EU AI Office und nationale Behörden

Die Aufsichtsarchitektur des AI Act ist zweischichtig. Auf europäischer Ebene hat die EU-Kommission das EU AI Office innerhalb der Kommission eingerichtet, das insbesondere für die Aufsicht über GPAI-Modelle zuständig ist und Leitlinien, Codes of Practice sowie technische Spezifikationen erarbeitet.

Auf nationaler Ebene benennt jeder Mitgliedstaat eine oder mehrere Marktüberwachungsbehörden. In Deutschland ist die zuständige Behörde noch nicht abschließend bestimmt; gehandelt werden die Bundesnetzagentur sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Daneben gibt es einen Europäischen Ausschuss für Künstliche Intelligenz, der nationale Behörden koordiniert und Konsistenz bei der Aufsicht sichert.

Für Unternehmen bedeutet dies: Die Bußgeldentscheidungen werden durch nationale Behörden getroffen, während die Aufsicht über die größten GPAI-Anbieter zentralisiert bei der EU-Kommission liegt.

Zeitliche Anwendung und Übergangsfristen

Die Verordnung ist am 1. August 2024 in Kraft getreten, wird aber gestaffelt anwendbar:

2. Februar 2025: Verbote nach Artikel 5 gelten. KI-Systeme mit inakzeptablem Risiko müssen sofort eingestellt oder angepasst werden.
2. August 2025: Regeln für GPAI-Modelle (Titel VIII) und Governance-Bestimmungen gelten.
2. August 2026: Vollständige Anwendung aller übrigen Bestimmungen, einschließlich der Hochrisiko-Anforderungen nach Artikel 6 Absatz 1 (produktbezogene Hochrisiko-KI) und der Transparenzpflichten nach Artikel 50.
2. August 2027: Hochrisiko-KI-Systeme nach Anhang III, die bereits vor dem 2. August 2026 auf dem Markt waren, benötigen bis zu diesem Datum keine vollständige Neuzertifizierung, sofern sie nicht wesentlich verändert werden.

Wichtig: Die Übergangsfristen gelten nicht für die Verbote des Artikels 5. Diese müssen seit Februar 2025 vollständig eingehalten werden.

Bußgeldrahmen und Sanktionen

Der Sanktionsrahmen des AI Act ist gestaffelt und unterscheidet zwischen der Schwere des Verstoßes:

Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (höherer Betrag gilt): bei Verstößen gegen die Verbote des Artikels 5, also bei verbotenen KI-Praktiken.
Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes: bei Verstößen gegen sonstige Pflichten der Verordnung, etwa Konformitätspflichten für Hochrisiko-KI oder GPAI-Anforderungen.
Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes: bei Übermittlung unrichtiger oder irreführender Informationen an Behörden.

Für KMU und Start-ups gilt jeweils der niedrigere der beiden Schwellenwerte. Nationale Behörden sind bei der Durchsetzung an den Grundsatz der Verhältnismäßigkeit gebunden; dies bedeutet jedoch keine Freistellung kleiner Unternehmen, sondern lediglich eine geringere Bußgeldbelastung bei gleichwertigen Pflichtverstößen.

„Die entscheidende Frage ist nicht ob, sondern wann ein Unternehmen zum Hochrisiko-Betreiber wird. Mit zunehmender KI-Durchdringung in HR, Kreditwesen und Kundenservice wird diese Schwelle für immer mehr Mittelständler überschritten.“ (Sinngemäß nach einschlägigen EU-Kommentierungen zur KI-Verordnung)

Schnittstellen zu anderen Rechtsakten

Der EU AI Act fügt sich in ein dichtes Regulierungsgeflecht ein. Die Überschneidungen sind nicht immer trennscharf geregelt, was in der Praxis Koordinationsbedarf erzeugt.

Datenschutz-Grundverordnung (DSGVO)

Die DSGVO bleibt vollständig anwendbar. Der AI Act verweist mehrfach auf DSGVO-Pflichten (Art. 35 DSGVO: Datenschutz-Folgenabschätzung) und setzt sie als Mindeststandard voraus. Unternehmen müssen sicherstellen, dass KI-Systeme nicht nur AI-Act-konform, sondern auch DSGVO-konform sind. Besonders relevant: Profiling nach Artikel 22 DSGVO, das automatisierte Entscheidungen mit Rechtswirkung betrifft, kann mit Hochrisiko-Anforderungen des AI Act parallel anfallen. Ein integriertes Compliance-Vorgehen ist effizienter als parallele, voneinander isolierte Prüfungen.

NIS2-Richtlinie und Cybersicherheit

Artikel 15 AI Act verlangt von Hochrisiko-KI-Anbietern Cybersicherheitsmaßnahmen, die kompatibel mit dem Stand der Technik sein müssen. Für Betreiber kritischer Infrastruktur, die bereits unter NIS2 fallen, entsteht eine Pflichtenverdoppelung: Sie müssen sowohl NIS2-konforme Sicherheitsmaßnahmen umsetzen als auch die Cybersicherheitsanforderungen des AI Act erfüllen. In der Praxis sollten beide Anforderungskataloge im Information Security Management System (ISMS) konsolidiert werden.

Neue Produkthaftungsrichtlinie und Maschinenverordnung

Die neue EU-Produkthaftungsrichtlinie (ProdHaftRL 2022/0302) erleichtert Schadensersatzklagen gegen KI-Anbieter, indem sie die Beweislast zugunsten der Geschädigten verschiebt. Wer Hochrisiko-KI entwickelt oder betreibt, sollte dies bei der Risikoabschätzung und Versicherungsgestaltung berücksichtigen. Die Maschinenverordnung (EU) 2023/1230 gilt ab Juni 2027 und schließt KI-Sicherheitskomponenten ein; Unternehmen im Maschinenbau müssen beide Regelwerke koordiniert umsetzen.

Schritt-für-Schritt: EU AI Act im Unternehmen umsetzen

Ein strukturiertes Vorgehen in sechs Phasen hat sich in der frühen Umsetzungspraxis bewährt:

KI-Inventar erstellen: Alle KI-Systeme im Einsatz und in der Entwicklung erfassen. Dabei auch KI-Funktionen in Standard-Software (HR-Software, ERP, CRM) und eingekaufte KI-Dienste (API-Nutzung) berücksichtigen.
Risikoklassifizierung durchführen: Jedes KI-System anhand der Verbotstabelle und der Hochrisiko-Kriterien (Artikel 6 und Anhang III) einordnen. Bei Unklarheit konservativ einordnen und ggf. rechtliche Beratung einholen.
Rollen bestimmen: Für jedes System klären, ob das Unternehmen als Anbieter, Betreiber, Importeur oder Händler agiert. Dies bestimmt das anwendbare Pflichtenprogramm.
Lückenanalyse (Gap Analysis): Die identifizierten Pflichten mit dem aktuellen Stand der Dokumentation, Governance-Strukturen und technischen Maßnahmen abgleichen.
Maßnahmenprogramm ableiten: Priorisierte Roadmap erstellen, orientiert an den Übergangsfristen. Verbotene Systeme sofort abschalten oder umkonfigurieren; für Hochrisiko-Systeme die Konformitätsbewertung vorbereiten.
Governance verankern: Verantwortlichkeiten intern zuweisen (AI Officer, AI Committee), Schulungen für relevante Mitarbeitende durchführen und ein internes Monitoring für KI-Änderungen einrichten.

Typische Stolperfallen in der Praxis

Aus der bisherigen Implementierungspraxis in früh betroffenen Branchen (Finanzsektor, Gesundheitswesen, HR-Technologie) lassen sich mehrere typische Fehler ableiten:

Unterschätzung der Betreiberrolle: Viele Unternehmen gehen davon aus, dass Compliance-Pflichten allein beim KI-Anbieter liegen. Tatsächlich treffen Betreiber von Hochrisiko-KI eigenständige Pflichten, die unabhängig von Vertragsklauseln mit dem Anbieter bestehen.
Fehlende Klassifizierung von Standard-Software: KI-Funktionen in weit verbreiteter HR- oder ERP-Software werden oft nicht als eigenständige KI-Systeme wahrgenommen, obwohl sie unter Anhang III fallen können (z.B. automatisierte Bewerbungsfilterung).
Unzureichende Vertragsgestaltung mit KI-Anbietern: Die Verordnung setzt voraus, dass Anbieter Betreibern bestimmte Informationen (Betreiberhandbuch, technische Dokumentation) bereitstellen. Fehlen entsprechende Klauseln im Beschaffungsvertrag, besteht faktisch keine Möglichkeit, die eigenen Betreiberpflichten zu erfüllen.
Keine Logging-Infrastruktur: Die Pflicht zur Protokollierung von KI-Entscheidungen setzt technische Voraussetzungen voraus, die in vielen Betrieben nicht vorhanden sind. Ein nachträglicher Aufbau ist aufwendig.
Silodenken in der Compliance: DSGVO-Team, IT-Sicherheit und Legal arbeiten separat. AI-Act-Compliance erfordert aber ein integriertes Vorgehen, das alle drei Funktionen verbindet.
Zu späte Einbindung in Beschaffungsprozesse: Wenn KI-Anforderungen erst nach dem Einkauf geprüft werden, sind Nachverhandlungen mit Anbietern schwierig und kostspielig.

KMU-Erleichterungen und Regulatory Sandboxes

Der EU AI Act sieht ausdrücklich Erleichterungen für kleine und mittlere Unternehmen sowie Start-ups vor, auch wenn diese die grundlegenden Pflichten nicht aufheben. Die wesentlichen Entlastungsmaßnahmen im Überblick:

Vereinfachte Gebührenstrukturen bei Drittprüfungen: Konformitätsbewertungen durch benannte Stellen (Notified Bodies) sollen für KMU zu günstigeren Konditionen angeboten werden. Konkrete Tarife werden auf nationaler Ebene geregelt; Unternehmen sollten bereits jetzt Angebote einholen und in die Budgetplanung einbeziehen.

Regulatory Sandboxes (Artikel 57-63): Mitgliedstaaten sind verpflichtet, nationale KI-Sandboxes einzurichten, in denen Anbieter (mit Priorität für KMU und Start-ups) KI-Systeme unter Aufsicht entwickeln und testen können, ohne sofortige vollständige Compliance-Pflichten zu tragen. In Deutschland befindet sich die Sandbox-Infrastruktur im Aufbau. Unternehmen, die innovative KI-Produkte entwickeln, sollten die Teilnahme an Early-Access-Programmen der zuständigen Behörden beobachten.

Priorisierter Zugang zu Informationsressourcen: Nationale Behörden sind gehalten, KMU bevorzugt zu beraten und Leitfäden in verständlicher Sprache bereitzustellen. Das EU AI Office veröffentlicht fortlaufend technische Spezifikationen und Codes of Practice, die insbesondere für Unternehmen ohne eigene Rechtsabteilung als Orientierungsrahmen dienen.

Proportionalitätsgrundsatz bei Bußgeldern: Wie oben dargestellt, gilt für KMU stets der niedrigere der beiden Bußgeld-Schwellenwerte. Nationale Behörden haben zusätzlich Ermessen bei der Höhe der Sanktion und sollen dabei die wirtschaftliche Leistungsfähigkeit berücksichtigen. Dies bedeutet keine Straffreiheit, aber eine faktisch geringere Maximalbelastung im Verhältnis zum Umsatz.

Vertragsgestaltung und Einkauf: KI-Compliance in der Lieferkette

Ein häufig unterschätzter Aspekt der AI-Act-Compliance betrifft die Vertragsbeziehungen mit KI-Anbietern. Als Betreiber eines Hochrisiko-KI-Systems ist ein Unternehmen darauf angewiesen, dass der Anbieter bestimmte Informationen und Dokumentationen zur Verfügung stellt. Fehlen diese vertraglich, kann ein Betreiber seine eigenen Pflichten faktisch nicht erfüllen.

Beschaffungsverträge für KI-Systeme sollten daher folgende Klauseln aufnehmen:

Zusicherung der AI-Act-Konformität des Systems durch den Anbieter und Pflicht zur Aktualisierung bei regulatorischen Änderungen,
Bereitstellung des vollständigen Betreiberhandbuchs nach Artikel 13 AI Act sowie der technischen Dokumentation nach Artikel 11,
Pflicht des Anbieters zur unverzüglichen Mitteilung wesentlicher Änderungen am System, die eine Neuklassifizierung oder Nachzertifizierung auslösen könnten,
Zugänglichkeit der Logging-Funktionen für den Betreiber (Protokollierungsrechte),
Mitwirkungs- und Auskunftspflichten des Anbieters im Falle behördlicher Prüfungen,
Regelungen zur Haftungsverteilung bei Schäden, die aus Mängeln des Systems entstehen.

Besondere Vorsicht ist bei Cloud-basierten KI-Diensten geboten, die häufig nur standardisierte Nutzungsbedingungen anbieten. Wenn ein solcher Dienst für eine Hochrisiko-Anwendung genutzt wird, entsteht eine Compliance-Lücke, die vertraglich nicht ohne Weiteres zu schließen ist. In diesen Fällen sollte entweder eine alternative Lösung evaluiert oder die Nutzung auf Anwendungsfälle außerhalb des Hochrisiko-Bereichs beschränkt werden.

FAQ: EU AI Act und Unternehmenspflichten

Ab wann müssen Unternehmen die Hochrisiko-Pflichten des EU AI Act einhalten? Für neu in Verkehr gebrachte Hochrisiko-KI-Systeme gelten die Anforderungen ab dem 2. August 2026 vollständig. Systeme, die bereits vor diesem Datum im Einsatz waren und nicht wesentlich verändert wurden, haben bis zum 2. August 2027 Zeit für die Anpassung. Ist ein KI-Chatbot im Kundenservice ein Hochrisiko-KI-System? In der Regel nein, sofern der Chatbot keine Entscheidungen trifft, die Rechtswirkung für den Nutzer haben. Chatbots unterliegen jedoch Transparenzpflichten nach Artikel 50 AI Act: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren. Welche Pflichten gelten für Unternehmen, die ChatGPT oder ähnliche Dienste über eine API nutzen? Unternehmen, die GPAI-Modelle über APIs in eigene Produkte integrieren, können je nach Verwendungszweck als Anbieter eines eigenständigen KI-Systems eingestuft werden. Für Hochrisiko-Anwendungen entstehen Anbieterpflichten, auch wenn das Basismodell von einem Dritten stammt. Muss ein kleines Unternehmen einen AI Officer benennen? Die Verordnung schreibt keinen AI Officer explizit vor, verlangt aber klare interne Zuständigkeiten. In der Praxis empfiehlt sich eine Bündelung bei bestehenden Compliance-Funktionen. Welche Sanktion droht bei Verstößen gegen Artikel 5? Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes (höherer Betrag gilt). Für KMU gilt der niedrigere Wert. Wie verhält sich der EU AI Act zur DSGVO? Beide Regelwerke gelten nebeneinander. Der AI Act setzt DSGVO-Pflichten voraus und ersetzt sie nicht. Ein koordiniertes Vorgehen bei Datenschutz-Folgenabschätzung und Konformitätsprüfung spart Ressourcen.

Redaktioneller Hinweis: Dieser Beitrag dient der allgemeinen Information über den EU AI Act und seine Auswirkungen auf Unternehmen. Er stellt keine Rechtsberatung dar und ersetzt nicht die individuelle juristische Einschätzung im konkreten Einzelfall. Für verbindliche Einschätzungen zur Risikoklassifizierung Ihrer KI-Systeme und den daraus folgenden Pflichten empfehlen wir, einen auf IT- und Technologierecht spezialisierten Rechtsanwalt hinzuzuziehen.