Conveso LogoMeine Akademie

Lektion 1 von 4

Was der EU AI Act regelt — und wen er betrifft

Kein Verbotsgesetz, sondern ein Rahmenwerk

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Die europäische Grundlogik ist nicht, KI zu verbieten. Sie ist, KI in einem risikobasierten Rahmen zu regeln — so dass Innovation möglich bleibt, aber Grundrechte, Gesundheit und Sicherheit geschützt werden.

In dieser Lektion lernen Sie, was der EU AI Act überhaupt ist, wer von ihm betroffen ist und in welchem Zeitraum die Pflichten greifen.

Der Zeitplan in Kürze

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die Pflichten greifen gestuft:

  • Februar 2025: Verbot bestimmter KI-Praktiken und die Pflicht zur KI-Literacy nach Artikel 4.
  • August 2025: Pflichten für Anbieter von Allzweck-KI-Modellen (sogenannte General Purpose AI Models, z. B. große Sprachmodelle).
  • August 2026: Die Mehrzahl der Pflichten für Hochrisiko-KI-Systeme.
  • August 2027: Pflichten für KI-Systeme, die in Produkten unter sektorspezifischem EU-Recht (z. B. Medizinprodukte) eingebettet sind.

Für Unternehmen, die KI heute bereits einsetzen oder einführen wollen, sind die Pflichten seit Februar 2025 (insbesondere Art. 4) der primäre Handlungshebel.

Wer betroffen ist

Der Act kennt vier zentrale Rollen. Ein Unternehmen kann gleichzeitig mehrere dieser Rollen innehaben.

Anbieter (Provider). Entwickelt ein KI-System oder lässt es unter eigenem Namen in Verkehr bringen. Beispiel: Ein Softwarehersteller, der ein KI-gestütztes Vertragsanalyse-Tool vermarktet.

Betreiber (Deployer). Setzt ein KI-System im eigenen beruflichen oder hoheitlichen Kontext ein. Beispiel: Ein Mittelständler, der ChatGPT Enterprise oder ein RAG-System im Kundenservice verwendet.

Importeur. Bringt ein KI-System eines außereuropäischen Anbieters auf den EU-Markt.

Händler. Vertreibt ein KI-System, ohne selbst Anbieter oder Importeur zu sein.

Für die meisten mittelständischen Unternehmen ist die Betreiber-Rolle die relevante. Sie hat weniger Pflichten als die Anbieter-Rolle — nimmt das Thema aber keineswegs aus.

Was als "KI-System" gilt

Der Act definiert ein KI-System sehr weit: ein maschinenbasiertes System, das mit unterschiedlichem Grad an Autonomie arbeitet und aus empfangenen Eingaben Outputs generiert, die physische oder virtuelle Umgebungen beeinflussen.

Das umfasst unter anderem:

  • Sprachmodelle wie Claude, GPT, Gemini
  • Bilderkennungssysteme
  • Entscheidungsunterstützung durch Machine Learning
  • Chatbots und Assistenzsysteme
  • Automatisierte Bewerberauswahl oder Kreditentscheidungen

Nicht darunter fallen klassische regelbasierte Systeme ohne Lernkomponente, einfache Statistik-Tools und rein deterministische Automatisierung.

Der risikobasierte Ansatz — vier Stufen

Das zentrale Gestaltungsprinzip des EU AI Act ist die Einteilung in Risikoklassen:

  1. Verbotene KI-Praktiken (Art. 5). Anwendungen, die in der EU grundsätzlich untersagt sind — etwa Social Scoring durch Behörden, bestimmte biometrische Fernidentifizierung, manipulative Systeme, die vulnerable Gruppen ausnutzen.

  2. Hochrisiko-KI-Systeme (Art. 6 ff.). Systeme in sensiblen Bereichen wie Personalauswahl, Bildungsbewertung, Kreditvergabe, Strafverfolgung oder kritische Infrastruktur. Hier greifen umfangreiche Pflichten.

  3. KI mit begrenztem Risiko. Chatbots, Bildgeneratoren, Deepfakes — hier gilt insbesondere Transparenzpflicht: Nutzer müssen erkennen können, dass sie mit einer KI interagieren.

  4. KI mit minimalem Risiko. Standard-Produktivitätswerkzeuge wie Spam-Filter oder KI-gestützte Suche. Hier gelten keine besonderen Pflichten — außer den allgemeinen wie Art. 4.

In Lektion 2 schauen wir uns diese Klassen genauer an und klären, wie Sie die eigenen Anwendungen einordnen.

Was für den Mittelstand am relevantesten ist

Für die meisten mittelständischen Unternehmen ergibt sich aus dem EU AI Act ein vergleichsweise kompaktes Pflichtenprofil:

  • Artikel 4 (KI-Literacy): Alle Unternehmen, die KI einsetzen, müssen sicherstellen, dass ihre Mitarbeitenden ausreichende KI-Kompetenz haben. Das gilt unabhängig von der Risikoklasse und greift seit Februar 2025.
  • Transparenzpflichten bei begrenztem Risiko: Wer Kunden mit einem Chatbot kommuniziert, muss offenlegen, dass der Ansprechpartner eine KI ist.
  • Einordnung eigener Anwendungen: Auch wenn Sie selbst keine Hochrisiko-Anwendung entwickeln, sollten Sie Ihre KI-Anwendungen systematisch erfassen und ihre Risikoklasse bestimmen — allein schon, um Transparenz gegenüber Kunden und Partnern herzustellen.

Wer bewusst Hochrisiko-Systeme einsetzt (etwa im Bereich Personalentscheidungen oder Kreditprüfung), hat deutlich mehr Pflichten — dazu gehören Konformitätsbewertung, technische Dokumentation, Risiko-Management und menschliche Aufsicht. Für die Mehrzahl des Mittelstands ist das aber kein alltägliches Szenario.

Sanktionen

Der Act sieht empfindliche Bußgelder vor: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen die strengsten Verbote; bei Verstößen gegen Betreiberpflichten bis zu 15 Millionen Euro oder 3 Prozent. Die tatsächliche Durchsetzung wird stark vom Einzelfall und der nationalen Aufsichtsbehörde abhängen — in Deutschland koordiniert die Bundesnetzagentur als nationale Koordinierungsstelle.

Was Sie aus dieser Lektion mitnehmen

Der EU AI Act ist kein Verbot von KI, sondern ein gestufter Rahmen. Betroffen sind praktisch alle Unternehmen, die KI in der EU einsetzen. Der wichtigste Hebel für den Mittelstand ist Artikel 4 (KI-Literacy), der seit Februar 2025 gilt. Im nächsten Kapitel schauen wir uns die vier Risikoklassen im Detail an.

Wissenscheck

Welches Ziel verfolgt der EU AI Act vorrangig?

Wer ist vom EU AI Act betroffen?