Das Wichtigste in 30 Sekunden

  • Der AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz
  • Die verbotenen Praktiken gelten seit Februar 2025 (Social Scoring, Manipulation...)
  • Die GPAI-Pflichten (Modelle wie ChatGPT, Claude) gelten seit August 2025
  • Hochrisiko-Systeme werden ab August 2026 reguliert
  • Sanktionen bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes

Die Europäische Union hat im April 2024 die Verordnung über Künstliche Intelligenz verabschiedet, allgemein als AI Act oder KI-Verordnung bezeichnet. Diese historische Gesetzgebung etabliert den weltweit ersten umfassenden Rechtsrahmen für die Entwicklung und Nutzung von KI. Für Unternehmen ist das Verstehen und Antizipieren dieser Pflichten keine Option mehr — es ist eine strategische Notwendigkeit.

Zeitplan der Anwendung: Wo stehen wir?

Der AI Act verfolgt einen stufenweisen Ansatz. Nicht alle Pflichten treten gleichzeitig in Kraft, was Unternehmen Zeit zur Vorbereitung gibt.

1. August 2024
Inkrafttreten der Verordnung
2. Februar 2025
Verbotene Praktiken + KI-Kompetenzpflicht
2. August 2025
GPAI-Pflichten (Allzweckmodelle) + Governance
Dezember 2025
Whistleblower-Meldetool der Kommission gestartet
2. August 2026
Hochrisiko-KI-Systeme (Anhang III)
2. August 2027
Hochrisiko-KI in regulierten Produkten + Compliance bestehender GPAI

Die vier Risikostufen

Der AI Act klassifiziert KI-Systeme in vier Kategorien nach ihrem Risikoniveau. Dieser verhältnismäßige Ansatz zielt darauf ab, Innovation nicht zu bremsen und gleichzeitig Grundrechte zu schützen.

1. Unannehmbares Risiko: Verbotene Praktiken

Seit dem 2. Februar 2025 sind diese KI-Nutzungen in Europa ausdrücklich verboten:

Verbotene PraktikBeschreibung
Social ScoringBewertung von Personen basierend auf ihrem Sozialverhalten oder persönlichen Merkmalen
Unterschwellige ManipulationTechniken, die psychologische Schwachstellen ausnutzen, um Verhalten zu beeinflussen
EmotionserkennungErkennung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen
Biometrisches ScrapingUngezieltes Sammeln von Gesichtsbildern im Internet zur Erstellung von Datenbanken
Predictive PolicingKriminalitätsvorhersage ausschließlich basierend auf Profiling
Biometrische Echtzeit-IdentifizierungAn öffentlichen Orten (außer streng regulierte Ausnahmen für Strafverfolgung)

2. Hohes Risiko: Dokumentation und Compliance

Hochrisiko-KI-Systeme sind in Anhang III der Verordnung aufgelistet. Sie betreffen Bereiche, in denen KI erhebliche Auswirkungen auf die Rechte von Personen haben kann:

  • Biometrie: Identifizierung, Kategorisierung, Emotionserkennung
  • Kritische Infrastruktur: Verkehrsmanagement, Energie, Wasser
  • Bildung: Zugang zu Einrichtungen, Bewertung, Betrugskennung
  • Beschäftigung: Rekrutierung, Beförderung, Mitarbeiterüberwachung
  • Wesentliche Dienste: Kreditscoring, Versicherung, Sozialleistungen
  • Strafverfolgung: Lügenerkennung, Profiling
  • Migration: Grenzkontrolle, Asylanträge

3. Begrenztes Risiko: Transparenzpflicht

Bestimmte KI-Systeme stellen ein begrenztes Risiko dar, erfordern aber eine Transparenzpflicht:

  • Chatbots: Der Nutzer muss wissen, dass er mit einer KI interagiert, nicht mit einem Menschen
  • Deepfakes: Synthetische Inhalte, die reale Personen imitieren, müssen klar gekennzeichnet werden
  • Kategorisierungssysteme: Information über die Funktionsweise
  • Inhaltsgenerierung: Hinweis, dass der Inhalt von KI generiert wurde

4. Minimales Risiko: Keine spezifischen Pflichten

Die große Mehrheit der KI-Systeme (Spam-Filter, Videospiele, grundlegende Produktivitätsassistenten...) stellt ein minimales Risiko dar und unterliegt keinen besonderen Pflichten.

Die GPAI-Pflichten: ChatGPT, Claude, Gemini betroffen

Allzweck-KI-Modelle (GPAI - General Purpose AI) unterliegen einem spezifischen Regime. Seit dem 2. August 2025 müssen Anbieter dieser Modelle Transparenz- und Dokumentationspflichten einhalten.

Wer ist betroffen?

AnbieterBetroffene Modelle
OpenAIGPT-5, GPT-4o, DALL-E
AnthropicClaude Opus 4.5, Sonnet, Haiku
GoogleGemini 3.0, PaLM
MetaLlama 3.3
MistralMistral Large, Mixtral

Sanktionen: Abschreckende Beträge

Art des VerstoßesMaximale Geldbuße
Verbotene Praktiken (Artikel 5)35 Mio. EUR oder 7 % des weltweiten Umsatzes
Nichtkonformität Hochrisiko-Systeme15 Mio. EUR oder 3 % des weltweiten Umsatzes
Falsche Informationen an Behörden7,5 Mio. EUR oder 1 % des weltweiten Umsatzes

Für KMU sind reduzierte Beträge vorgesehen: Der niedrigere Betrag zwischen Pauschalgeldbuße und Umsatzprozentsatz gilt.

Wie wird man compliant?

Schritt 1: Ihre KI-Systeme kartieren

Unverzichtbarer erster Schritt: Alle Tools mit KI-Funktionalität in Ihrer Organisation erfassen:

  • Business-Software mit KI-Funktionen
  • Plugins und Erweiterungen (ChatGPT in Ihren Tools)
  • Cloud-Dienste und Drittanbieter-APIs
  • Chatbots auf Ihren Websites
  • Marketing-Automatisierungstools
  • HR-Lösungen (Lebenslauf-Screening, Bewertung...)

Schritt 2: Risiken klassifizieren

Für jedes identifizierte System seine Risikokategorie nach dem AI Act bestimmen. Systeme, die Beschäftigung, Kredit oder Sicherheit betreffen, sind in der Regel hochriskant.

Schritt 3: Dokumentieren

Für betroffene Systeme ein Dossier erstellen mit:

  • Beschreibung und Ziele des Systems
  • Verwendete Daten und ihre Herkunft
  • Leistungsmetriken
  • Identifizierte Grenzen und Verzerrungen
  • Maßnahmen zur menschlichen Kontrolle

Schritt 4: Informieren und schulen

  • Rechtliche Hinweise Ihrer Chatbots aktualisieren
  • Mitarbeiter über den KI-Einsatz in HR-Prozessen informieren
  • Teams zu verantwortungsvollem KI-Einsatz schulen
  • Einen KI-Compliance-Beauftragten benennen

Auswirkungen auf KI-Sichtbarkeit und digitales Marketing

Der AI Act hat direkte Implikationen für AEO- und GEO-Strategien:

  • Marketing-Chatbots: Pflicht zur Besucher-Information
  • KI-generierte Inhalte: Mögliche Kennzeichnungspflicht
  • Compliance als Vertrauenssignal: Suchmaschinen und KI könnten verantwortungsvolle Akteure bevorzugen
  • Algorithmische Transparenz: Dokumentation von Empfehlungssystemen

Compliance als Wettbewerbsvorteil

  • Regulatorische Einschränkungen in Seriosität umwandeln
  • Sich als verantwortungsvoller KI-Akteur positionieren
  • Compliance-Kriterien in Ausschreibungen antizipieren
  • Suchmaschinen könnten konforme Websites bevorzugen

FAQ: Häufig gestellte Fragen zum AI Act

Mein Unternehmen nutzt ChatGPT. Bin ich vom AI Act betroffen?
Als Deployer (Nutzer) eines KI-Systems haben Sie begrenzte Pflichten. Sie müssen hauptsächlich sicherstellen, dass die Nutzung den Bedingungen des Anbieters entspricht und betroffene Personen informieren, wenn die KI ihre Rechte beeinflusst (z.B. HR-Entscheidungen). OpenAI als Anbieter trägt den Großteil der GPAI-Pflichten.
Profitieren Startups von Ausnahmen?
Der AI Act sieht regulatorische Sandboxen vor, die Startups und KMU ermöglichen, ihre Innovationen in einem vereinfachten Rahmen zu testen. Zudem sind die Sanktionsbeträge für kleine Strukturen niedriger gedeckelt.
Muss mein Kundenservice-Chatbot angepasst werden?
Ja. Seit Februar 2025 müssen alle Chatbots die Nutzer klar informieren, dass sie mit einer KI interagieren. Ein Hinweis zu Beginn des Gesprächs (\"Ich bin ein KI-gestützter virtueller Assistent\") genügt in der Regel.
Gilt der AI Act für Unternehmen außerhalb der EU?
Ja. Wie die DSGVO hat der AI Act eine extraterritoriale Reichweite. Er gilt für nicht-europäische Unternehmen, sobald deren KI-Systeme in der EU genutzt werden oder die Ergebnisse Personen in der EU betreffen.

Prüfen Sie Ihre Sichtbarkeit auf KI-Systemen

Entdecken Sie, wie Ihre Marke auf ChatGPT, Claude, Gemini und Perplexity erscheint

Kostenloses Audit starten