EU AI Act: Was Unternehmer 2026 wirklich wissen müssen

Die vier Risikoklassen des EU AI Acts

Das Herzstuck des EU AI Acts ist eine risikobasierte Einteilung. Je größer das potenzielle Schadenspotenzial eines KI-Systems, desto stärker die Regulierung. Klingt logisch. Und im Kern ist es das auch.

Die entscheidende Frage für dich als Unternehmer: In welche Klasse fallen die KI-Tools, die du gerade nutzt - oder nutzen willst? Das bestimmt, was du tun musst.

Wo die meisten Unternehmer wirklich landen

Die ehrliche Antwort: Die meisten KMU-Inhaber und Selbststaendigen, die ich kenne, nutzen KI als Schreibhilfe, für Marketing-Texte, für Recherche, für Zusammenfassungen. Das ist Klasse 3 oder Klasse 4. Wenig bis kaum reguliert. Wer allerdings KI zur Personalauswahl, zur Kreditentscheidung oder in medizinischen Kontexten einsetzt, ist in einem anderen Universum.

Verbotene KI-Systeme - was gilt seit Februar 2025?

Seit dem 2. Februar 2025 ist Artikel 5 des EU AI Acts scharf gestellt. Das sind die absoluten Verbote - keine Grauzone, keine Übergangsfristen, keine Verhältnismäßigkeit. Wer diese Systeme einsetzt, riskiert die harten Bußgelder.

Was konkret verboten ist

Social Scoring: KI-Systeme, die das Verhalten von Menschen über Zeit bewerten und diese Bewertung nutzen, um Nachteile zu vergeben. Klassisches Beispiel ist das chinesische Social-Credit-System. In der EU verboten - egal ob staatlich oder privat.

Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: Kameras oder andere Systeme, die Emotionen von Mitarbeitern oder Schülern erkennen und auswerten. Wer auf die Idee kommt, die Stimmung seiner Belegschaft per KI zu monitoren, hat ein ernstes Problem.

Biometrische Echtzeit-Massenüberwachung: Gesichtserkennung und ähnliche Technologien im öffentlichen Raum in Echtzeit durch Behörden - mit sehr engen Ausnahmen für Strafverfolgung unter richterlicher Kontrolle.

Manipulative KI: Systeme, die psychologische Schwaechen oder Vulnerabilitaet ausnutzen, um das Verhalten von Menschen gegen ihren eigenen Willen zu beeinflussen - ohne dass sie wissen, dass eine KI sie beeinflusst.

Praxis-Check: Als normaler Unternehmer wirst du mit keiner dieser verbotenen Kategorien in Berührung kommen. Die meisten betreffen staatliche Akteure oder hochspezialisierte Systemanbieter. Wer aber auf die Idee kommt, KI zur "Stimmungsanalyse" seiner Mitarbeiter einzuführen, sollte das sofort lassen.

Hochrisiko-KI - wer ist betroffen und was muss er tun?

Das ist der Teil, der für die meisten Unternehmer bis August 2026 relevant wird. Hochrisiko-KI-Systeme sind in Anhang III des EU AI Acts definiert. Die Liste ist konkret und abschliessend - kein Spielraum für Interpretation.

Welche Bereiche als Hochrisiko gelten

• HR und Personalwesen: KI-Systeme zur Bewerbungsauswahl, zum Screening von Lebenslaeufen, zur Leistungsbewertung von Mitarbeitern, zur Kuendigungsentscheidung.
• Kreditvergabe und Finanzdienstleistungen: Kreditwuerdigkeitsprüfung durch KI, automatische Kreditentscheidungen.
• Medizin: Diagnostische KI-Systeme, Systeme zur Triage, KI in medizinischen Geraeten.
• Bildung: Systeme, die Prüfungsergebnisse bewerten, den Zugang zu Bildungseinrichtungen steuern oder Lernende bewerten.
• Strafverfolgung: KI zur Bewertung von Rueckfallrisiken, zur Analyse von Verdaechtigen.
• Grenzkontrolle und Migration: Systeme zur Risikobewertung bei Grenzübertritten.
• Kritische Infrastruktur: KI in Energie, Wasser, Verkehr, Finanzsystemen.
• Rechtspflege: KI-Systeme, die Richter oder Staatsanwaelte bei Entscheidungen unterstützen.

Was Anbieter von Hochrisiko-KI tun müssen

Die Pflichtenliste für Anbieter (also die, die solche Systeme entwickeln und vermarkten) ist umfangreich. Artikel 9 bis 17 und Artikel 43 des EU AI Acts legen fest:

• Risikomanagementsystem (Art. 9) - kontinuierlich, nicht einmalig
• Daten-Governance und Trainingsdaten-Qualität (Art. 10)
• Technische Dokumentation nach Anhang IV (Art. 11)
• Aufzeichnungspflichten / Logging (Art. 12)
• Menschliche Aufsicht - das System muss übersteuerbar sein (Art. 14)
• Qualitätsmanagementsystem (Art. 17)
• Konformitätsbewertung (Art. 43)
• Registrierung in der EU-Datenbank (Art. 71)

Betreiber - also die, die fertige Hochrisiko-KI-Systeme einsetzen, ohne sie selbst zu entwickeln - haben nach Artikel 26 eigene, aber schmalere Pflichten. Dazu gehört in bestimmten Faellen eine Grundrechte-Folgenabschaetzung (Art. 27).

Begrenztes Risiko: Chatbots und die Transparenzpflicht

Klasse 3 ist die Kategorie, die die meisten Unternehmer unmittelbar betrifft. Hier landet alles, was mit Nutzer-KI-Interaktion zu tun hat: Chatbots auf der Webseite, KI-generierte Texte und Bilder, synthetische Sprache.

Was Artikel 50 konkret vorschreibt

Ab dem 2. August 2026 gilt Artikel 50. Die Kernpflicht ist einfach: Wer einen Chatbot betreibt, muss sicherstellen, dass Nutzer wissen, dass sie mit einer KI interagieren - und nicht mit einem Menschen. Das klingt trivial, ist es aber nicht, wenn man den Wortlaut ernst nimmt.

Dazu kommt die Pflicht zur maschinelesbaren Kennzeichnung von KI-generierten Inhalten. Bilder, Videos und Audio, die KI generiert hat, müssen mit einem maschinenlesbaren Wasserzeichen versehen werden - sofern es sich nicht um offensichtliche Satire oder Kunstwerke handelt. Das betrifft grundsaetzlich auch KI-generierte Marketingbilder.

Praktisch heisst das: Wenn du auf deiner Webseite einen KI-Chatbot hast, muss der Nutzer wissen, dass es eine KI ist. Wenn du KI-generierte Bilder in deiner Werbung nutzt, braucht das eine Kennzeichnung.

Wer ist Anbieter, wer ist Betreiber?

Diese Unterscheidung ist das Wichtigste für deinen konkreten Handlungsbedarf. Der EU AI Act unterscheidet klar zwischen zwei Hauptrollen.

Anbieter (Providers) sind diejenigen, die ein KI-System entwickeln und es - unter eigenem Namen oder eigener Marke - auf den Markt bringen. OpenAI ist Anbieter. Anthropic ist Anbieter. Ein Startup, das eine eigene KI-Software für die Kredibewertung entwickelt und verkauft, ist Anbieter. Anbieter tragen die größte Pflichtenlast.

Betreiber (Deployers) nutzen fertige KI-Systeme im Rahmen ihrer eigenen Geschaeftstätigkeit. Du nutzt ChatGPT für dein Marketing? Betreiber. Du hast einen Chatbot von Drittanbietern auf deiner Webseite? Betreiber. Du nutzt ein KI-Tool für Bewerbungsauswahl? Betreiber - und in diesem Fall mit ernsthaften Pflichten.

Warum die Rolle entscheidend ist

Als reiner Betreiber von Minimales-Risiko- oder Begrenztes-Risiko-Tools brauchst du bis August 2026 vor allem eines: einen Transparenzhinweis, wenn Nutzer mit deinem Chatbot interagieren, und ggf. Kennzeichnung von KI-generierten Inhalten. Das ist managebar.

Als Betreiber eines Hochrisiko-Systems wirst du umfangreicher in die Pflicht genommen - aber immer noch weniger als der Anbieter. Artikel 26 listet die Betreiberpflichten auf. Kurz zusammengefasst: Use the system as intended, don't modify it, keep records, cooperate with authorities.

Als Anbieter bist du im ganzen Spektrum an Pflichten drin. Und das ist der Job von spezialisierten IT-Rechtlern - nicht von diesem Artikel hier.

Die wichtigsten Fristen des EU AI Acts 2025-2027

Vier Daten. Die reichen für 95 Prozent aller Unternehmer.

Gilt der EU AI Act auch für kleine Unternehmen und KMU?

Ja - aber mit klaren Unterschieden zu großen Konzernen. Der EU AI Act berücksichtigt die Verhältnismäßigkeit explizit. Drei Punkte, die für KMU entscheidend sind:

Proportionale Bußgelder

Bußgelder können prozentual gedeckelt werden. Für kleine Unternehmen gelten die niedrigeren Grenzwerte, wenn diese kleiner sind als die absoluten Höchstbetraege. Ein Startup mit 500.000 Euro Jahresumsatz zahlt bei 3% Deckel maximal 15.000 Euro - nicht 15 Millionen. Das ist menschlich, nicht existenzgefaehrdend.

Vereinfachte Anforderungen

KMU müssen dieselben Kernpflichten erfüllen wie grosse Unternehmen - aber die Aufsichtsbehörden werden bei der Tiefe der Dokumentation Verhältnismäßigkeit walten lassen. Das steht so nicht im Gesetz, ist aber in den Erwägungsgründen und der politischen Intention klar.

Was du als KMU konkret tun musst

• KI-Inventar erstellen: Liste alle KI-Systeme auf, die du nutzt. Welche Tools, wo eingesetzt, zu welchem Zweck.
• Risikoklasse bestimmen: Faellt eines deiner Tools in die Hochrisiko-Kategorie? Wenn du ChatGPT nur für Marketingtexte nutzt: Klasse 4. Wenn du ein KI-Tool für die Bewerbungsauswahl einsetzt: Hochrisiko.
• Transparenz sicherstellen: Chatbot auf der Webseite? Klar kennzeichnen, dass es KI ist.
• Hochrisiko vermeiden oder compliant sein: Wer Hochrisiko-Systeme einsetzt, muss die Betreiberpflichten nach Art. 26 erfüllen.

EU AI Act vs. DSGVO: Was ist der Unterschied?

Der Vergleich ist hilfreich, weil fast jeder Unternehmer die DSGVO kennt - oder kennen sollte. Hier sind die wesentlichen Unterschiede:

Die DSGVO reguliert den Umgang mit personenbezogenen Daten. Alles dreht sich darum, wie du Daten von Menschen erhebst, speicherst, verarbeitest und weitergibst. Rechtsgrundlage, Zweckbindung, Auskunftsrecht - das ist DSGVO-Terrain.

Der EU AI Act reguliert KI-Systeme als Technologie - unabhängig davon, ob sie personenbezogene Daten verarbeiten. Ein KI-System, das nur öffentliche Daten nutzt, kann trotzdem Hochrisiko sein. Ein KI-System, das keine Daten speichert, kann trotzdem Transparenzpflichten ausloesen.

Beide können gleichzeitig gelten. Ein KI-System zur Personalauswahl, das Bewerberdaten verarbeitet, ist gleichzeitig DSGVO-relevant (personenbezogene Daten) und EU AI Act-relevant (Hochrisiko-KI). Du brauchst beides.

Kurz gesagt: DSGVO = wie du mit Daten umgehst. EU AI Act = welche KI-Systeme du einsetzt und wie du sie kontrollierst. Unterschiedliche Dimension, können sich überlappen.

Deutschland: KI-MIG und die Bundesnetzagentur

Der EU AI Act ist EU-Verordnung und gilt direkt. Aber jeder Mitgliedsstaat muss eine Marktaufsichtsbehörde benennen. Deutschland hat das im Februar 2026 geregelt: Das Bundeskabinett hat am 11. Februar 2026 das KI-Durchführungsgesetz (KI-MIG) beschlossen und in den Bundestag eingebracht.

Die Bundesnetzagentur als Koordinierungsstelle

Die Bundesnetzagentur wird als Koordinierungsstelle für KI-Vorschriften (KoKIVO) eingesetzt. Für Hochrisiko-KI in spezifischen Sektoren (Medizin, Banken, Versicherungen) bleiben die jeweiligen Fachbehörden zuständig. Die Bundesnetzagentur koordiniert übergreifend.

Was das für dich bedeutet: Wenn du mit dem EU AI Act Fragen hast und in Deutschland sitzt, ist die Bundesnetzagentur deine erste Anlaufstelle. Das nationale KI-MIG-Gesetz schafft den Rahmen, wie das konkret umgesetzt wird.

Digital Omnibus: Kommt die Fristverlängerung?

Mal ehrlich: Ja, der Digital Omnibus ist real. Der EU-Legislativprozess läuft, und es gibt Diskussionen über Verschiebungen der Hauptdeadlines auf Dezember 2027 oder August 2028. Aber - und das ist entscheidend - es gibt noch keinen beschlossenen Rechtsakt.

Wer die Strategie faehrt, auf eine Verschiebung zu warten und sich dann mit August 2028 als Ziel zu orientieren, geht ein ernsthaftes Risiko ein. Wenn die Verschiebung nicht kommt oder nur teilweise kommt, steht man mit nichts da. Der Trilog-Prozess kann sich hinziehen, kann scheitern, kann zu anderen Ergebnissen kommen als erwartet.

Meine Empfehlung: Plane mit dem 2. August 2026. Wenn die Fristen tatsächlich verschoben werden - umso besser, du hast Puffer. Wenn nicht, bist du compliant.

Was sind GPAI-Modelle und gilt das für mein Unternehmen?

GPAI steht für General Purpose AI - also KI-Systeme, die nicht für einen spezifischen Anwendungsfall trainiert wurden, sondern für eine breite Palette von Aufgaben geeignet sind. ChatGPT, Claude, Gemini, LLaMA - das sind alles GPAI-Modelle.

Was seit 2. August 2025 gilt

Für Anbieter von GPAI-Modellen sind seit dem 2. August 2025 umfangreiche Pflichten aktiv. Der Code of Practice für GPAI wurde am 10. Juli 2025 final veröffentlicht. Modelle mit einem Trainingsaufwand von mehr als 10^25 FLOP (Gleitkommaoperationen) gelten als Modelle mit "systemischem Risiko" und unterliegen nochmals schärferer Regulierung.

Für dich als Betreiber dieser Modelle - also als Nutzer von Claude, ChatGPT etc. - gilt: Du musst darauf vertrauen können, dass die Anbieter ihrer GPAI-Pflichten nachkommen. Prüfe, ob die Tools, die du nutzt, konform sind. Das tun die großen Anbieter in aller Regel, weil die Strafen auch für sie schmerzhaft sind.

Strafen und Sanktionen: Was droht bei Verstoßen?

Der EU AI Act hat Zaehne. Drei Ebenen:

Verbotene Systeme (Art. 5)

Bis zu 35 Millionen Euro oder - bei Unternehmen - bis zu 7 Prozent des weltweiten Jahresumsatzes. Es gilt der höchste der beiden Werte. Das ist die härteste Stufe.

Hochrisiko und GPAI: Verstoesse gegen Pflichten

Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Für Verstoesse gegen Hochrisiko-Pflichten und gegen GPAI-Anforderungen.

Falsche Angaben gegenüber Behörden

Bis zu 7,5 Millionen Euro oder 1 Prozent des Jahresumsatzes. Wer Aufsichtsbehörden belügt oder behindert, wird gesondert bestraft.

KMU: Die niedrigeren der beiden Grenzen gelten. Ein Unternehmen mit 2 Millionen Euro Umsatz zahlt bei 7 Prozent maximal 140.000 Euro - nicht 35 Millionen. Schmerzhaft, aber nicht existenzgefaehrdend.

Meine Einschaetzung als Unternehmer

Ich nutze KI täglich - wie du vielleicht aus meinem Artikel über meinen KI-Assistenten weisst. Claude schreibt mit mir Artikel, verwaltet meinen Kalender, beantwortet E-Mails. Das sind alles Klasse 3 oder Klasse 4 Anwendungen. Kaum reguliert.

Mein Firmensitz ist in Zypern - EU-Mitglied. Ich habe EU-Kunden. Also bin ich dabei, ob ich will oder nicht. Und das ist auch richtig so.

Was mich als Unternehmer wirklich interessiert

KI verändert gerade, wie Suchmaschinen und KI-Systeme Information finden und gewichten. Der EU AI Act beeinflusst, welche KI-Tools ich langfristig nutzen kann und welche Anbieter Bestand haben werden. Anbieter, die den EU AI Act ignorieren, werden aus dem europaeischen Markt gedraengt - oder sehr teuer bestraft. Das heisst: compliant-Tools werden dominieren. Gut für Nutzer wie mich.

Was mich nervt: Der bürokratische Overhead für echte Hochrisiko-Systeme ist astronomisch. Ein mittelständisches Unternehmen, das eine KI für die Bewerbungsauswahl einsetzen will, steht vor einem Dokumentationsaufwand, der fast schon abschreckend ist. Das ist politisch gewollt - ich verstehe die Intention, finde aber die Ausführung an manchen Stellen unverhältnismäßig.

Was ich Unternehmern rate: Mach kein Theater darum. Prüf, in welche Kategorie deine KI-Nutzung fällt. Wenn du kein Hochrisiko-System einsetzt, ist der Aufwand überschaubar. Wenn doch - hol dir rechtliche Unterstützung.

Der EU AI Act ist kein Grund zur Panik - aber auch kein Grund zum Warten. Wer jetzt sein KI-Inventar macht und seine Risikoklassen kennt, hat bis August 2026 genügend Zeit. Wer das auf die lange Bank schiebt, wird es eng.