Ab Februar 2025 sind bestimmte KI-Anwendungen in der EU schlicht verboten. Nicht ab 2026, nicht “irgendwann” — sondern jetzt. Wer eine Bewerbersoftware nutzt, die Kandidaten automatisch bewertet, ohne dass ein Mensch die Entscheidung überprüft, operiert in einer rechtlichen Grauzone, die schnell teuer werden kann.
Das ist die unbequeme Wahrheit hinter dem EU AI Act: Er trifft nicht nur die Konzerne, die KI entwickeln. Er trifft dich als Betreiber — auch wenn du “nur” ein Drittanbieter-Tool nutzt.
Was ist der EU AI Act?
Der EU AI Act ist eine EU-Verordnung, die KI-Systeme nach ihrem Risikograd klassifiziert und entsprechende Anforderungen an Hersteller und Betreiber stellt. Das Gesetz gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen, unabhängig davon, ob sie selbst entwickeln oder Drittanbieter-Tools nutzen.
Die Verordnung ist seit August 2024 formal in Kraft, wird aber schrittweise angewendet:
- August 2024: Inkrafttreten
- Februar 2025: Verbotene KI-Praktiken gelten
- August 2026: Anforderungen für Hochrisiko-KI gelten vollständig
Die vier Risikoklassen
Der EU AI Act teilt KI-Systeme in vier Kategorien ein:
1. Unannehmbares Risiko (verboten)
KI-Systeme, die manipulative Techniken nutzen, Personen nach sozialen Merkmalen bewerten (Social Scoring) oder Gesichtserkennung in öffentlichen Räumen einsetzen. Diese sind ab Februar 2025 verboten.
2. Hohes Risiko
KI-Systeme in kritischen Bereichen wie Personalentscheidungen, Kreditvergabe, Strafverfolgung oder medizinischen Diagnosen. Hier gelten strenge Anforderungen: Risikobewertung, Dokumentation, menschliche Aufsicht und hohe Transparenz.
3. Begrenztes Risiko
Chatbots und andere KI-Systeme mit Nutzerkontakt müssen als KI erkennbar sein. Transparenz ist Pflicht.
4. Minimales Risiko
Einfache KI-Systeme wie E-Mail-Filter oder einfache Empfehlungssysteme fallen in diese Kategorie. Hier gibt es keine spezifischen Anforderungen.
Was bedeutet das konkret für dein Unternehmen?
Wenn du KI im HR-Bereich einsetzt (Bewerbungsfilterung, Performance-Management), fällst du wahrscheinlich in die Hochrisiko-Kategorie. Mehr dazu findest du im Usecase Bewerbersichtung mit KI. Gleiches gilt für KI-gestützte Kreditentscheidungen oder medizinische Anwendungen.
Auch wenn du “nur” Tools von Drittanbietern nutzt (wie ChatGPT, Claude oder branchenspezifische KI-Software), bist du als Betreiber mitverantwortlich. Konkret bedeutet das:
- Inventar erstellen: Welche KI-Systeme setzt du ein?
- Risikoklasse bestimmen: Welche Kategorie trifft zu?
- Dokumentation aufbauen: Wie funktioniert das System? Welche Daten werden genutzt?
- Menschliche Aufsicht sicherstellen: Gibt es einen Prozess zur Überprüfung von KI-Entscheidungen?
- Mitarbeiter schulen: Wissen deine Teams, wie sie KI verantwortungsvoll nutzen?
Wer haftet, wenn etwas schiefläuft?
Eine zentrale Frage, die viele Unternehmen beschäftigt: Was passiert, wenn eine KI-Entscheidung falsch ist und Schaden verursacht? Dazu haben wir einen separaten Artikel geschrieben: Wer haftet, wenn KI Fehler macht?
Praktische Schritte für sofort
Du musst nicht warten, bis die Fristen laufen. Diese Maßnahmen kannst du jetzt angehen:
Bestandsaufnahme: Liste alle KI-Systeme auf, die dein Unternehmen nutzt oder plant zu nutzen. Kategorisiere sie nach Verwendungszweck und Risikoklasse.
Datenschutz-Check: Prüfe, ob deine KI-Anwendungen mit der DSGVO konform sind. Werden personenbezogene Daten verarbeitet? Gibt es eine Auftragsverarbeitungsvereinbarung mit dem Anbieter? Für vertragsrechtliche Aspekte bietet der Usecase Vertragsanalyse mit KI praktische Orientierung.
Governance-Struktur: Wer ist in deinem Unternehmen für KI-Compliance verantwortlich? Dieser Verantwortliche sollte früh benannt werden.
Mitarbeitertraining: Mehr dazu findest du in unserem Artikel zu KI-Schulungen für Teams.
Strafen bei Verstößen
Die Sanktionen im EU AI Act sind empfindlich:
- Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für Verstöße gegen verbotene KI-Praktiken
- Bis zu 15 Millionen Euro oder 3% des Umsatzes für andere Verstöße
Das zeigt: KI-Compliance ist kein “nice to have”, sondern geschäftskritisch.
Fazit
Der EU AI Act bringt mehr Verantwortung für Unternehmen. Wer sich jetzt vorbereitet, hat einen Vorteil. Die Maßnahmen sind überschaubar: Bestandsaufnahme, Risikoklassen prüfen, interne KI-Governance aufbauen.
Bleib über die Entwicklungen informiert: Abonniere unseren Newsletter für aktuelle Updates zu KI-Recht und Compliance.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Bei konkreten rechtlichen Fragen wende dich an einen spezialisierten Anwalt.