KI-Recht & Compliance
EU AI Act: Der Leitfaden für Unternehmen
Der EU AI Act ist da und tritt schrittweise in Kraft. Risikoklassen, Fristen, Bußgelder, die Rollen Anbieter und Betreiber und das Zusammenspiel mit der DSGVO — verständlich erklärt.

Mit dem EU AI Act gibt es erstmals ein umfassendes Regelwerk für Künstliche Intelligenz. Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft und gilt gestaffelt. Sie betrifft nicht nur KI-Hersteller, sondern jedes Unternehmen, das KI einsetzt.
Der Zeitplan: Was gilt ab wann
Die Pflichten greifen in Stufen (Art. 113):
seit 2. Februar 2025: die Verbote (Art. 5) und die KI-Kompetenz-Pflicht (Art. 4);
seit 2. August 2025: die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die Governance und das Bußgeldregime;
ab 2. August 2026: die restliche Verordnung, insbesondere die Transparenzpflichten (Art. 50);
die Hochrisiko-Pflichten folgen zeitlich versetzt.
Hinweis: Eine politische Einigung (der „Digital Omnibus“, Mai 2026) sieht vor, einige Hochrisiko-Fristen zu verschieben. Bis zur Veröffentlichung im EU-Amtsblatt bleibt aber der ursprüngliche Zeitplan maßgeblich — insbesondere für die Transparenzpflichten zum 2. August 2026.
Die vier Risikoklassen
Kern des Gesetzes ist die Einstufung nach Risiko:
Inakzeptables Risiko (verboten, Art. 5): u. a. Social Scoring, manipulative Systeme, Emotionserkennung am Arbeitsplatz, biometrische Fernidentifikation im öffentlichen Raum.
Hohes Risiko (Annex III): u. a. Personalauswahl/HR, Kreditwürdigkeit, kritische Infrastruktur, Bildung — mit strengen Auflagen.
Begrenztes Risiko (Art. 50): Chatbots, Deepfakes, synthetische Inhalte — Kennzeichnungs- und Offenlegungspflicht.
Minimales Risiko: Spamfilter, einfache Empfehlungssysteme — keine Auflagen.
Die EU-Kommission betont, dass die „vast majority of AI systems currently used in the EU“ in die minimale Kategorie fällt — Panik ist also nicht angebracht.
Die Bußgelder
Anders als oft verkürzt dargestellt, gelten die 35 Mio. € / 7 % nur für die schwerste Kategorie:
bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — nur bei Verstoß gegen die Verbote (Art. 5);
bis 15 Mio. € oder 3 % — bei Verstößen von Anbietern und Betreibern;
bis 7,5 Mio. € oder 1 % — bei Falschangaben gegenüber Behörden.
Für KMU und Start-ups gilt jeweils der niedrigere der beiden Werte.
Anbieter oder Betreiber? Der wichtigste Unterschied für den Mittelstand
Die Pflichten hängen an der Rolle. Wer ein zugekauftes KI-System nur nutzt, ist meist Betreiber — mit deutlich leichteren Pflichten als der Anbieter. Achtung: Wer ein System wesentlich verändert oder unter eigenem Namen anbietet, kann zum Anbieter „hochgestuft“ werden.
Die unterschätzte Pflicht: KI-Kompetenz (Art. 4)
Bereits seit Februar 2025 müssen alle Unternehmen, die KI einsetzen, für ausreichende KI-Kompetenz ihrer Beschäftigten sorgen — unabhängig von der Risikoklasse. Das ist der einfachste und dringendste Hebel: Schulung und klare Nutzungsregeln.
AI Act und DSGVO greifen ineinander
Beide Regelwerke gelten parallel. Wer KI mit personenbezogenen Daten einsetzt, braucht zusätzlich eine DSGVO-Rechtsgrundlage und ggf. eine Datenschutz-Folgenabschätzung. Wie Sie die datenschutzrechtliche Seite abdecken, zeigt unser Leitfaden zu DSGVO-konformer KI sowie die Auswahlkriterien für DSGVO-konforme KI.
Fazit
Der AI Act klingt nach viel Bürokratie, ist für die meisten Unternehmen aber gut beherrschbar — vorausgesetzt, man verschafft sich früh einen Überblick, klärt die eigene Rolle und setzt auf Anbieter, die Transparenz und Datenschutz von sich aus mitbringen.
Quellen
DSGVO-konforme KI aus einem echten deutschen Rechenzentrum
Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.


