Der EU AI Act gilt bereits – aber nicht jede Pflicht trifft jedes Unternehmen sofort. Für Firmen, die KI-Systeme entwickeln, anbieten oder im Arbeitsalltag einsetzen, wird die neue EU-Verordnung dennoch zunehmend relevant. Entscheidend ist, welche Rolle ein Unternehmen einnimmt, wofür KI genutzt wird und wie riskant das jeweilige System eingestuft wird.
Der EU AI Act, offiziell die Verordnung (EU) 2024/1689, ist das zentrale Regelwerk der Europäischen Union für künstliche Intelligenz. Er folgt einem risikobasierten Ansatz: Je stärker ein KI-System Sicherheit, Grundrechte oder sensible Entscheidungen berühren kann, desto strenger fallen die Anforderungen aus.
Was Unternehmen jetzt schon beachten müssen
Bereits seit dem 2. Februar 2025 gelten erste zentrale Vorgaben. Dazu zählen unter anderem Verbote bestimmter KI-Praktiken sowie Anforderungen an KI-Kompetenz.
Diese KI-Kompetenzpflicht bedeutet: Anbieter und Betreiber sollen sicherstellen, dass Beschäftigte und andere beteiligte Personen über ein angemessenes Verständnis für den Umgang mit KI-Systemen verfügen.
Für Unternehmen empfiehlt sich deshalb eine nüchterne Bestandsaufnahme. Wer KI-Tools einsetzt, sollte klären, welche Systeme genutzt werden, wer dafür verantwortlich ist und ob Beschäftigte ausreichend über Chancen, Grenzen und Risiken informiert sind. Das gilt besonders dort, wo KI Ergebnisse vorbereitet, die für Menschen spürbare Folgen haben können.
Nicht jede KI-Nutzung ist Hochrisiko
Eine wichtige Klarstellung: Der AI Act behandelt nicht jedes KI-System gleich. Die EU unterscheidet unter anderem zwischen verbotenen Praktiken, Hochrisiko-KI, Transparenzpflichten und Systemen mit geringem Risiko.
Damit wäre es irreführend zu behaupten, alle Unternehmen müssten sofort sämtliche AI-Act-Pflichten erfüllen. Entscheidend ist, ob ein Unternehmen KI selbst entwickelt, ein System anbietet, importiert, vertreibt oder als Betreiber nutzt. Ebenso wichtig ist die Frage, ob ein System in einem besonders sensiblen Bereich eingesetzt wird.
Besondere Regeln für allgemeine KI-Modelle
Seit dem 2. August 2025 gelten spezifische Pflichten für Anbieter allgemeiner KI-Modelle. Diese Regeln betreffen vor allem Unternehmen, die solche Modelle bereitstellen. Firmen, die KI-Anwendungen lediglich nutzen, müssen dagegen vor allem prüfen, welche Pflichten aus dem konkreten Einsatz, aus Verträgen mit Anbietern und aus der eigenen Rolle im Sinne des AI Act entstehen.
Transparenzpflichten und Hochrisiko-Regeln folgen gestaffelt
Weitere Vorgaben werden schrittweise wirksam. Transparenzpflichten, etwa bei bestimmten KI-generierten oder KI-veränderten Inhalten, sollen ab dem 2. August 2026 relevant werden. Auch bei Hochrisiko-KI-Systemen greifen die Anforderungen gestaffelt.
Nach Angaben des Rates der Europäischen Union wurden Anwendungsdaten für bestimmte Hochrisiko-Regeln zuletzt verschoben: Für eigenständige Hochrisiko-KI-Systeme wird der 2. Dezember 2027 genannt, für in Produkte eingebettete Hochrisiko-KI-Systeme der 2. August 2028.
Was Betreiber von Hochrisiko-KI vorbereiten sollten
Für Betreiber von Hochrisiko-KI-Systemen nennt Artikel 26 des AI Act unter anderem technische und organisatorische Maßnahmen, Nutzung nach Anleitung und menschliche Aufsicht durch qualifizierte Personen.
Für Unternehmen heißt das nicht, dass jedes eingesetzte KI-Tool automatisch unter diese strengen Regeln fällt. Es bedeutet aber: Wer KI in sensiblen Bereichen nutzt, sollte früh prüfen, ob das System als Hochrisiko-KI eingestuft werden könnte. Dazu gehören je nach konkretem Einsatz etwa Anwendungen in Personalprozessen, Bildung, Kreditprüfung, kritischer Infrastruktur oder bestimmten sicherheitsrelevanten Kontexten.
Erste Orientierung für Unternehmen
- KI-Inventar erstellen: Welche KI-Systeme und KI-Tools werden im Unternehmen genutzt?
- Rolle klären: Ist das Unternehmen Anbieter, Betreiber, Händler, Importeur oder Nutzer eines allgemeinen KI-Modells?
- Risikoklasse prüfen: Handelt es sich um minimale, begrenzte oder potenziell hohe Risiken?
- KI-Kompetenz sichern: Beschäftigte sollten den sicheren und verantwortungsvollen Umgang mit KI verstehen.
- Dokumentation aufbauen: Entscheidungen, Zuständigkeiten und Einsatzbereiche sollten nachvollziehbar sein.
- Transparenz vorbereiten: Bei bestimmten KI-generierten oder KI-veränderten Inhalten können Kennzeichnungspflichten relevant werden.
- Verträge prüfen: Beim Einsatz externer KI-Dienste sollten Verantwortlichkeiten und Pflichten klar geregelt sein.
Diese Punkte ersetzen keine Rechtsberatung, können Unternehmen aber als erste Orientierung dienen. Wie die Aufsicht in Deutschland im Detail organisiert und praktisch durchgesetzt wird, bleibt für Firmen ein wichtiger Beobachtungspunkt.
Fazit: Vorbereitung statt Panik
Der EU AI Act ist kein pauschales Sofortverbot für KI im Unternehmen. Er zwingt Firmen aber dazu, KI-Einsatz strukturierter zu erfassen, Risiken zu bewerten und Verantwortlichkeiten festzulegen. Wer heute bereits weiß, welche KI-Systeme im Unternehmen genutzt werden und welche Rolle das eigene Unternehmen dabei einnimmt, ist für die kommenden Fristen deutlich besser vorbereitet.
Für Unternehmen ist deshalb jetzt vor allem eines entscheidend: nicht abwarten, bis alle Detailpflichten greifen, sondern frühzeitig Transparenz über den eigenen KI-Einsatz schaffen.





















