EU AI Act 2025: Was deutsche Unternehmen jetzt wissen müssen

Posted on by Martin



Seit dem 2. Februar 2025 gelten die ersten Verbote des EU AI Act. Seit August 2025 müssen Anbieter von General-Purpose-KI wie GPT-4 oder Gemini Transparenzpflichten erfüllen. Und ab August 2026 greifen die Regeln für Hochrisiko-KI-Systeme. Für Unternehmen in Deutschland heißt das: Die Zeit zum Abwarten ist vorbei.

Was regelt der EU AI Act konkret?

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er teilt KI-Systeme in Risikoklassen ein – von minimalem Risiko (kaum Auflagen) bis zu inakzeptablem Risiko (Verbot). Die meisten Unternehmen bewegen sich im Bereich „begrenztes Risiko“ oder „hohes Risiko“ und müssen entsprechende Dokumentations- und Transparenzpflichten erfüllen.

Besonders relevant für den Mittelstand: Auch der Einsatz von KI-Tools wie Microsoft Copilot, ChatGPT oder Bild-Generatoren fällt unter die Regulierung. Wer diese Tools im Geschäftsalltag nutzt, muss wissen, welche Pflichten das mit sich bringt.

Die vier Risikoklassen – und was sie für Ihr Unternehmen bedeuten

Minimales Risiko – kaum Auflagen

Dazu zählen KI-Anwendungen wie Spam-Filter, KI-gestützte Suchfunktionen oder Produktempfehlungen im E-Commerce. Für diese Systeme empfiehlt der AI Act freiwillige Verhaltenskodizes, schreibt aber keine konkreten Maßnahmen vor. Die meisten einfachen Automatisierungslösungen fallen in diese Kategorie.

Begrenztes Risiko – Transparenzpflichten

Chatbots und KI-generierte Inhalte (Texte, Bilder, Videos) müssen als solche gekennzeichnet werden. Wenn Ihr Unternehmen einen KI-Chatbot auf der Website einsetzt oder KI-generierte Marketingmaterialien veröffentlicht, müssen Sie das kenntlich machen. Wer das nicht tut, riskiert ab 2026 Bußgelder.

Hohes Risiko – umfassende Dokumentationspflichten

Diese Kategorie ist für viele Unternehmen die relevanteste und gleichzeitig die unklarste. Als Hochrisiko-KI gelten Systeme, die in kritischen Bereichen eingesetzt werden: Personalentscheidungen (KI-gestütztes Recruiting), Kreditvergabe, medizinische Diagnose, oder Bewertung von Schülerleistungen. Wer Hochrisiko-KI einsetzt, muss:

  • Ein vollständiges Risikomanagementsystem aufbauen
  • Transparente Dokumentation und Protokollierung sicherstellen
  • Menschliche Aufsicht über automatisierte Entscheidungen gewährleisten
  • Das KI-System vor dem Inverkehrbringen einer Konformitätsbewertung unterziehen

Inakzeptables Risiko – Verbote ab Februar 2025

Bereits seit Februar 2025 verboten: Social Scoring durch staatliche Stellen, manipulative KI-Systeme, die das Unterbewusstsein ansprechen, biometrische Echtzeitüberwachung im öffentlichen Raum (mit engen Ausnahmen). Diese Verbote betreffen die meisten privaten Unternehmen nicht direkt, sind aber für den Umgang mit KI-Anbietern relevant.

Zeitplan: Wann müssen Unternehmen was umgesetzt haben?

  • Februar 2025 (bereits aktiv): Verbote für KI mit inakzeptablem Risiko
  • August 2025 (bereits aktiv): Transparenzpflichten für Anbieter von General-Purpose-KI (GPAI) wie GPT-4, Gemini, Claude
  • August 2026: Vollständige Anforderungen für Hochrisiko-KI-Systeme
  • August 2027: Nachzügler-Frist für bestimmte Hochrisiko-Systeme, die bereits auf dem Markt waren

Einen umfassenden Überblick über die konkreten Anforderungen und Umsetzungsfristen bietet die Copilotenschule in ihrem Compliance-Leitfaden zum EU AI Act – inklusive Checklisten für die praktische Umsetzung.

Was gilt für KMU und den Mittelstand konkret?

Viele mittelständische Unternehmen fragen sich, ob der EU AI Act wirklich sie betrifft – oder ob das „nur für die Großen“ gilt. Die klare Antwort: Der AI Act unterscheidet nicht nach Unternehmensgröße, sondern nach Risikoklasse der eingesetzten KI. Ein Unternehmen mit 50 Mitarbeitenden, das ein KI-Tool für die Personalauswahl einsetzt, fällt in dieselbe Hochrisiko-Kategorie wie ein DAX-Konzern. Es gibt jedoch vereinfachte Anforderungen für KMU, was technische Dokumentation und Registrierungspflichten betrifft – aber grundsätzlich von den Pflichten befreit sind sie nicht.

Datenschutz und KI: Kein Entweder-Oder

Eine der häufigsten Sorgen: Wie verhält sich der Einsatz von KI-Assistenten zur DSGVO? Gerade bei Microsoft Copilot, der tief in die Microsoft-365-Umgebung integriert ist, stellen sich Fragen zu Datenverarbeitung, Berechtigungskonzepten und Datenweitergabe.

Die gute Nachricht: Microsoft hat sein Copilot-Angebot auf EU-Compliance ausgelegt. Die weniger gute Nachricht: Die Verantwortung für die korrekte Konfiguration liegt beim Unternehmen. Wer seine Berechtigungen in SharePoint und OneDrive nicht sauber aufgesetzt hat, gibt Copilot möglicherweise Zugriff auf Daten, die nicht für alle Augen bestimmt sind.

Einen praxisorientierten Überblick über die Datenschutz-Aspekte beim Copilot-Einsatz bietet die Copilotenschule in ihrem Datenschutz-Leitfaden für Microsoft Copilot.

Praktische Checkliste: EU AI Act – erste Schritte für Ihr Unternehmen

Noch keine EU AI Act Compliance gestartet? Diese fünf Schritte helfen beim Einstieg:

  1. KI-Inventar erstellen: Alle eingesetzten KI-Systeme erfassen – intern entwickelte wie zugekaufte (ChatGPT Enterprise, Microsoft Copilot, Salesforce Einstein, etc.)
  2. Risikoklasse bestimmen: Für jedes System prüfen, in welche Risikoklasse es fällt. Im Zweifel juristischen Rat einholen.
  3. Verantwortlichkeiten klären: Wer ist im Unternehmen für KI-Compliance zuständig? IT, Legal, oder ein neu zu schaffender AI Officer?
  4. Mitarbeitende schulen: Alle, die mit KI-Tools arbeiten, müssen die Grundprinzipien des verantwortungsvollen KI-Einsatzes kennen. Das ist nicht optional – es ist eine gesetzliche Pflicht (Art. 4 AI Act: Literacy-Anforderung).
  5. Prozesse dokumentieren: Für Hochrisiko-KI: lückenlose Dokumentation aller Entscheidungen, Datengrundlagen und Auswirkungen aufbauen.

Handeln statt abwarten

Unternehmen, die den EU AI Act als lästige Bürokratie abtun, verpassen eine Chance. Denn wer frühzeitig Compliance-Strukturen aufbaut, schafft Vertrauen – bei Kunden, Partnern und Mitarbeitenden. Und wer seine Teams jetzt in den verantwortungsvollen Umgang mit KI schult, vermeidet teure Nachbesserungen.

Die Bußgelder bei Verstößen sind empfindlich: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für die schwerwiegendsten Verstöße. Für Mittelständler mit 50 Millionen Euro Umsatz wären das bis zu 3,5 Millionen Euro.

Für Unternehmen, die Microsoft Copilot einsetzen, bietet die Copilotenschule eine spezialisierte EU AI Act Pflichtschulung an – mit Fokus auf die Compliance-Anforderungen im Microsoft-365-Ökosystem. Allgemeine KI-Schulungen für Ihr Team, die die gesetzlich geforderte KI-Kompetenz nach Art. 4 AI Act vermitteln, finden Sie unter KI-Training Köln.

Das könnte Sie auch interessieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Köln, Deutschland
martin@yellow-boat.com
+49 221 950 187 74

Diese Seite verwendet Cookies. Details finden Sie in der Datenschutzerklärung / By continuing to use the site, you agree to the use of cookies. Details

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close