Kasimir
← Blog

KI-Recht & Compliance

EU AI Act: Der Leitfaden für Unternehmen

Der EU AI Act ist da und tritt schrittweise in Kraft. Risikoklassen, Fristen, Bußgelder, die Rollen Anbieter und Betreiber und das Zusammenspiel mit der DSGVO — verständlich erklärt.

Felix Stürmer· 12. März 2026· 3 Min. Lesezeit
EU AI Act: Der Leitfaden für Unternehmen

Mit dem EU AI Act gibt es erstmals ein umfassendes Regelwerk für Künstliche Intelligenz. Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft und gilt gestaffelt. Sie betrifft nicht nur KI-Hersteller, sondern jedes Unternehmen, das KI einsetzt.

Der Zeitplan: Was gilt ab wann

Die Pflichten greifen in Stufen (Art. 113):

  • seit 2. Februar 2025: die Verbote (Art. 5) und die KI-Kompetenz-Pflicht (Art. 4);

  • seit 2. August 2025: die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), die Governance und das Bußgeldregime;

  • ab 2. August 2026: die restliche Verordnung, insbesondere die Transparenzpflichten (Art. 50);

  • die Hochrisiko-Pflichten folgen zeitlich versetzt.

ℹ️

Hinweis: Eine politische Einigung (der „Digital Omnibus“, Mai 2026) sieht vor, einige Hochrisiko-Fristen zu verschieben. Bis zur Veröffentlichung im EU-Amtsblatt bleibt aber der ursprüngliche Zeitplan maßgeblich — insbesondere für die Transparenzpflichten zum 2. August 2026.

Die vier Risikoklassen des AI Act
Minimalz. B. SpamfilterBegrenztTransparenzpflichtHochstrenge AuflagenInakzeptabelverboten
Je höher das Risiko, desto strenger die Pflichten.

Die vier Risikoklassen

Kern des Gesetzes ist die Einstufung nach Risiko:

  • Inakzeptables Risiko (verboten, Art. 5): u. a. Social Scoring, manipulative Systeme, Emotionserkennung am Arbeitsplatz, biometrische Fernidentifikation im öffentlichen Raum.

  • Hohes Risiko (Annex III): u. a. Personalauswahl/HR, Kreditwürdigkeit, kritische Infrastruktur, Bildung — mit strengen Auflagen.

  • Begrenztes Risiko (Art. 50): Chatbots, Deepfakes, synthetische Inhalte — Kennzeichnungs- und Offenlegungspflicht.

  • Minimales Risiko: Spamfilter, einfache Empfehlungssysteme — keine Auflagen.

Die EU-Kommission betont, dass die „vast majority of AI systems currently used in the EU“ in die minimale Kategorie fällt — Panik ist also nicht angebracht.

Die Bußgelder

Anders als oft verkürzt dargestellt, gelten die 35 Mio. € / 7 % nur für die schwerste Kategorie:

  • bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — nur bei Verstoß gegen die Verbote (Art. 5);

  • bis 15 Mio. € oder 3 % — bei Verstößen von Anbietern und Betreibern;

  • bis 7,5 Mio. € oder 1 % — bei Falschangaben gegenüber Behörden.

Für KMU und Start-ups gilt jeweils der niedrigere der beiden Werte.

35 Mio. €
maximales Bußgeld — nur bei verbotenen Praktiken (Art. 5)

Anbieter oder Betreiber? Der wichtigste Unterschied für den Mittelstand

Die Pflichten hängen an der Rolle. Wer ein zugekauftes KI-System nur nutzt, ist meist Betreiber — mit deutlich leichteren Pflichten als der Anbieter. Achtung: Wer ein System wesentlich verändert oder unter eigenem Namen anbietet, kann zum Anbieter „hochgestuft“ werden.

Die unterschätzte Pflicht: KI-Kompetenz (Art. 4)

Bereits seit Februar 2025 müssen alle Unternehmen, die KI einsetzen, für ausreichende KI-Kompetenz ihrer Beschäftigten sorgen — unabhängig von der Risikoklasse. Das ist der einfachste und dringendste Hebel: Schulung und klare Nutzungsregeln.

AI Act und DSGVO greifen ineinander

Beide Regelwerke gelten parallel. Wer KI mit personenbezogenen Daten einsetzt, braucht zusätzlich eine DSGVO-Rechtsgrundlage und ggf. eine Datenschutz-Folgenabschätzung. Wie Sie die datenschutzrechtliche Seite abdecken, zeigt unser Leitfaden zu DSGVO-konformer KI sowie die Auswahlkriterien für DSGVO-konforme KI.

Fazit

Der AI Act klingt nach viel Bürokratie, ist für die meisten Unternehmen aber gut beherrschbar — vorausgesetzt, man verschafft sich früh einen Überblick, klärt die eigene Rolle und setzt auf Anbieter, die Transparenz und Datenschutz von sich aus mitbringen.

Quellen

DSGVO-konforme KI aus einem echten deutschen Rechenzentrum

Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.