Alle Beiträge
KI4 min Lesezeit· 08. Juni 2026

EU AI Act — Was Unternehmen jetzt wissen müssen

Der EU AI Act ist in Kraft. Was bedeutet das konkret für Unternehmen, die KI einsetzen — und was passiert, wenn man nichts tut?

Menasse Gebregzi
EU AI Act — Was Unternehmen jetzt wissen müssen

Die Europäische Union hat mit dem AI Act die weltweit erste umfassende KI-Regulierung verabschiedet. Seit August 2024 ist sie in Kraft — und die ersten verbindlichen Fristen laufen bereits. Für Unternehmen, die KI einsetzen, entwickeln oder vertreiben, ist es jetzt keine Frage mehr des Ob, sondern des Wie.

Dieser Artikel erklärt, was hinter dem AI Act steckt, welche Fristen gelten, was für kleine und mittelständische Unternehmen konkret relevant ist — und was Sie jetzt tun sollten.

Die wichtigsten Fristen auf einen Blick

Der AI Act tritt schrittweise in Kraft. Viele Unternehmen warten noch ab — ein Fehler, denn die Übergangszeiträume sind kürzer als sie erscheinen.

  • Februar 2025: Verbote für KI mit inakzeptablem Risiko gelten bereits (Social Scoring, biometrische Echtzeit-Überwachung, manipulative Systeme)
  • August 2025: Regelungen für GPAI-Modelle (General Purpose AI wie GPT-4, Claude) treten in Kraft
  • August 2026: Vorschriften für Hochrisiko-KI-Systeme werden vollständig verbindlich
  • August 2027: Letzte Übergangsfristen für bestehende KI-Systeme laufen aus

Wer jetzt noch wartet, riskiert, in zwei Jahren unter Zeitdruck nachrüsten zu müssen — bei strengerer Behördenaufsicht und höheren Bußgeldern.

Das Risikomodell: Vier Klassen, vier Reaktionen

Der AI Act klassifiziert KI-Systeme nach ihrem Risikopotenzial. Das bestimmt, welche Pflichten Sie als Anwender oder Anbieter haben.

  • Inakzeptables Risiko — VERBOTEN: Social Scoring durch staatliche Stellen, biometrische Echtzeitüberwachung im öffentlichen Raum, manipulative KI-Systeme, die psychische Schwächen ausnutzen
  • Hohes Risiko — STRENGE AUFLAGEN: KI in Bewerbungsverfahren und HR, Kreditentscheidungen und Bonitätsprüfung, medizinische Diagnose-Tools, KI in kritischer Infrastruktur, Strafverfolgung und Justiz
  • Begrenztes Risiko — TRANSPARENZPFLICHT: Chatbots und virtuelle Assistenten müssen erkennbar als KI auftreten, Deepfake-Inhalte müssen als solche gekennzeichnet werden
  • Minimales Risiko — KEINE AUFLAGEN: KI-Texterstellung, Empfehlungsalgorithmen, Spam-Filter, einfache Produktionsoptimierung

Was bedeutet das konkret für KMU?

Die gute Nachricht für die meisten kleinen und mittelständischen Unternehmen: Sie bewegen sich in der Regel im Bereich minimales oder begrenztes Risiko. Das bedeutet wenig bürokratischen Aufwand — aber nicht null Pflichten.

Konkret betrifft das folgende typische KMU-Anwendungsfälle:

  • KI-Chatbot auf der Website (wie eyebot): begrenztes Risiko — muss sich als KI zu erkennen geben, was in professionellen Systemen standardmäßig der Fall ist
  • KI-Texterstellung für Marketing und Blog: minimales Risiko — keine besonderen Anforderungen
  • KI-gestützte Buchhaltung oder Rechnungsprüfung: minimales Risiko in der Regel, aber DSGVO-Konformität beachten
  • Automatisierte Bewerbervorauswahl per KI: hohes Risiko — hier sind Transparenz, menschliche Kontrolle und Dokumentation Pflicht
  • KI-Kreditentscheidungen: hohes Risiko — strenge Auflagen, professionelle Compliance-Beratung notwendig

KI-Chatbots und der AI Act: Was gilt wirklich?

Viele Unternehmer fragen uns: Darf ich einen KI-Chatbot betreiben? Die Antwort ist klar: Ja — mit einer zentralen Voraussetzung. Nutzer müssen wissen, dass sie mit einer KI interagieren. Das ist Pflicht, keine Option.

Ein korrekt eingerichteter Chatbot wie eyebot erfüllt diese Anforderung von Haus aus: Er stellt sich als KI-Assistent vor, gibt keine falschen Identitäten an und verweist bei sensiblen Anfragen an menschliche Ansprechpartner. Das ist nicht nur gesetzeskonform — es ist auch das, was Kunden erwarten.

Der AI Act ist kein Hemmnis für Innovation — er ist die Spielregel, nach der Innovation in Europa stattfindet.
Menasse Gebregzi, eyedia

AI Act und DSGVO: Zwei Regelwerke, eine Strategie

Ein häufiger Fehler: Unternehmen behandeln AI Act und DSGVO als getrennte Projekte. Das ist ineffizient — und teuer. Beide Regelwerke verfolgen ähnliche Ziele: Transparenz, Kontrolle, Schutz vor unkontrollierter automatisierter Entscheidungsfindung.

Wer seine KI-Systeme bereits DSGVO-konform betreibt, hat die wichtigste Grundlage für AI-Act-Compliance bereits gelegt. Die entscheidenden Überschneidungen:

  • Dokumentationspflichten: Welche KI-Systeme nutzen Sie, wofür, mit welchen Daten?
  • Recht auf Erklärung: Bei automatisierten Entscheidungen müssen Nutzer Auskunft erhalten
  • Datensparsamkeit: KI-Systeme dürfen nur die Daten verarbeiten, die sie wirklich brauchen
  • Auftragsverarbeitung: KI-Anbieter (z.B. OpenAI, Anthropic) müssen als Auftragsverarbeiter eingebunden sein

Ihre Checkliste: Was Sie jetzt tun sollten

Statt zu warten, bis Bußgelder drohen: Hier sind die konkreten Schritte, die jedes Unternehmen mit KI-Einsatz jetzt angehen sollte.

  • KI-Inventar erstellen: Welche KI-Systeme nutzen Sie — intern und extern? Liste anlegen.
  • Risikoklasse bestimmen: Für jedes System prüfen, in welche Kategorie es fällt
  • Transparenz sicherstellen: Chatbots, KI-generierte Inhalte und automatisierte Prozesse klar kennzeichnen
  • Datenschutz-Grundlage prüfen: Auftragsverarbeitungsverträge mit KI-Anbietern abschließen
  • Hochrisiko-Anwendungen identifizieren: HR, Kreditvergabe, medizinische Bereiche — hier Compliance-Beratung einholen
  • Mitarbeiter sensibilisieren: Wer mit KI-Tools arbeitet, sollte die Grundregeln kennen

Die gute Nachricht: Wer KI bereits verantwortungsvoll einsetzt und DSGVO-konform arbeitet, muss in den meisten Fällen wenig ändern. Der AI Act formalisiert viele Best Practices, die ohnehin sinnvoll sind. Es geht nicht darum, KI zu verbieten — sondern darum, sie so einzusetzen, dass Menschen ihr vertrauen können.

Sie möchten KI in Ihrem Unternehmen einsetzen und sicher aufgestellt sein? Wir zeigen Ihnen, was für Ihr Unternehmen konkret gilt — und was nicht.