Zum Hauptinhalt springen
AI Compliance PartnersDie KI-Compliance-Beauftragten
Leistung · Regulatorik

EU AI Act & regulatorische Anforderungen an KI

EU AI Act, AI-Literacy-Pflicht, Transparenz- und Hochrisiko-Pflichten, NIS2 und DSGVO: Wir bringen Ihre KI-Nutzung strukturiert in Einklang mit den geltenden Regeln – nachweisbar und prüfungssicher.

Welche Regeln gelten für den KI-Einsatz?

Mit dem EU AI Act (Verordnung (EU) 2024/1689) gibt es seit August 2024 erstmals einen umfassenden Rechtsrahmen für Künstliche Intelligenz. Er wird schrittweise angewendet und durch weitere Vorgaben flankiert – die NIS2-Richtlinie zur Cybersicherheit und die ohnehin geltende DSGVO. Für Unternehmen heißt das: KI-Nutzung muss inventarisiert, risikobasiert bewertet, dokumentiert und nachweisbar gesteuert werden.

Wer früh strukturiert vorgeht, vermeidet Haftungs- und Reputationsrisiken und macht Compliance zum Tempo-Vorteil statt zur Bremse. Wir übersetzen die regulatorischen Anforderungen in konkrete, priorisierte Maßnahmen für Ihr Unternehmen.

Der EU AI Act im Detail

Eine Verordnung, viele Bausteine: Verbote, AI-Literacy, Risikoklassen, GPAI-, Hochrisiko- und Transparenzpflichten greifen zeitlich gestaffelt – alle Teil desselben Gesetzes.

  • Verbotene KI-Praktikenseit Feb. 2025

    Bestimmte Anwendungen sind grundsätzlich untersagt – etwa Social Scoring, manipulative oder ausnutzende KI, das ungezielte Auslesen von Gesichtsbildern sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen. Unternehmen müssen prüfen, ob eingesetzte oder geplante Tools unter diese Verbote fallen, und sie andernfalls einstellen. Verstöße sind mit den höchsten Bußgeldern des EU AI Act bewehrt.

    Rechtsgrundlage: Art. 5 EU AI Act (VO (EU) 2024/1689); Sanktionen: Art. 99

  • KI-Kompetenz (AI Literacy)seit Feb. 2025

    Unternehmen müssen sicherstellen, dass alle Personen, die mit KI arbeiten, über ausreichende Kenntnisse für einen sicheren und verantwortungsvollen Einsatz verfügen – nachweisbar über rollenbasierte Schulungen und Dokumentation. Die Pflicht gilt unabhängig von der Risikoklasse und betrifft Management wie Fachbereiche. Schulungsinhalte und Teilnahme sollten festgehalten werden, um die Einhaltung belegen zu können.

    Rechtsgrundlage: Art. 4 EU AI Act

  • RisikoklassifizierungGrundpflicht

    Jedes KI-System ist einer Risikoklasse zuzuordnen – unannehmbares, hohes, begrenztes oder minimales Risiko. Aus dieser Einordnung leiten sich alle weiteren Pflichten ab, von der Dokumentation bis zur Konformitätsbewertung. Eine belastbare Klassifizierung setzt ein vollständiges KI-Inventar voraus – also zuerst Transparenz darüber, welche Systeme überhaupt im Einsatz sind.

    Rechtsgrundlage: Art. 5, 6 u. 50 i. V. m. Anhang III EU AI Act

  • Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI)ab Aug. 2025

    Anbieter universeller KI-Modelle (z. B. große Sprachmodelle) müssen technische Dokumentation, eine Urheberrechts-Richtlinie und eine Zusammenfassung der Trainingsdaten bereitstellen; für besonders leistungsfähige Modelle mit systemischem Risiko gelten zusätzliche Pflichten wie Modellbewertungen und Vorfallmeldungen. Auch Unternehmen, die solche Modelle nur einsetzen, sollten die Zusicherungen der Anbieter prüfen und vertraglich absichern.

    Rechtsgrundlage: Art. 53–55 EU AI Act

  • Pflichten für Hochrisiko-KI-Systemeab Aug. 2026 / 2027

    Für Hochrisiko-Anwendungen (z. B. in Personalauswahl, Kreditwesen oder kritischer Infrastruktur) gelten umfangreiche Pflichten: Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Robustheit und Cybersicherheit sowie eine Konformitätsbewertung mit Registrierung in der EU-Datenbank. Diese Anforderungen betreffen den gesamten Lebenszyklus und sollten früh vorbereitet werden, da sie organisatorische Prozesse und durchgängige Nachweise verlangen. Auch wer Hochrisiko-Systeme nur betreibt, trägt Pflichten – etwa zur menschlichen Aufsicht und bestimmungsgemäßen Nutzung.

    Rechtsgrundlage: Art. 6, 8–17, 26 u. 43 i. V. m. Anhang III EU AI Act; Betreiberpflichten: Art. 26

  • Transparenzpflichtenab Aug. 2026

    KI-generierte Inhalte, Deepfakes und Chatbots müssen klar gekennzeichnet bzw. offengelegt werden, damit Nutzer erkennen, dass sie mit oder über KI interagieren. In der Praxis braucht es dafür ein Kennzeichnungskonzept, technische Markierungen synthetischer Inhalte und klare Nutzerhinweise. Die Pflicht trifft auch viele Unternehmen außerhalb des Hochrisiko-Bereichs, etwa beim Einsatz von Chatbots im Kundenservice.

    Rechtsgrundlage: Art. 50 EU AI Act

  • Marktaufsicht, Vorfallmeldung & Registrierungab Aug. 2025

    In Deutschland überwacht die Bundesnetzagentur die Einhaltung, weitere Behörden sind sektoral eingebunden. Schwerwiegende Vorfälle sind meldepflichtig, bestimmte Hochrisiko-Systeme in einer EU-Datenbank zu registrieren. Unternehmen sollten Melde- und Eskalationswege definieren und die nötigen Nachweise jederzeit vorhalten.

    Rechtsgrundlage: Art. 49, 70 u. 73 EU AI Act

Weitere relevante Vorgaben

Neben dem EU AI Act greifen beim KI-Einsatz weitere Regelwerke ineinander.

NIS2-Richtlinie

  • Cybersicherheit & Meldepflichtenab 2025

    Betroffene Unternehmen müssen Cybersicherheitsmaßnahmen umsetzen und Sicherheitsvorfälle innerhalb kurzer Fristen melden – relevant, sobald KI in kritische oder vernetzte Prozesse eingebunden ist. Die Richtlinie weitet den Kreis betroffener Branchen deutlich aus und nimmt ausdrücklich auch die Geschäftsleitung in die Verantwortung. Aufsicht in Deutschland: das BSI.

    Rechtsgrundlage: Richtlinie (EU) 2022/2555 (Art. 21 u. 23); nationale Umsetzung: NIS2-Umsetzungsgesetz

DSGVO

  • Datenschutzkonformer KI-Einsatzseit Mai 2018

    Personenbezogene Daten dürfen nur mit Rechtsgrundlage, Zweckbindung und gewahrten Betroffenenrechten für KI genutzt werden. Das betrifft Trainingsdaten ebenso wie Eingaben in KI-Tools im Arbeitsalltag – etwa wenn Mitarbeitende sensible Daten in externe Dienste eingeben. Aufsicht: die Landesdatenschutzbehörden.

    Rechtsgrundlage: Art. 5, 6 u. 22 DSGVO (VO (EU) 2016/679)

  • Datenschutz-Folgenabschätzung (DSFA)seit Mai 2018

    Bei risikoreichen KI-Anwendungen ist vorab eine Datenschutz-Folgenabschätzung durchzuführen und zu dokumentieren. Sie bewertet Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für die Betroffenen und legt passende Schutzmaßnahmen fest. Sinnvoll ist es, die DSFA mit der Risikobewertung nach dem EU AI Act zu verzahnen.

    Rechtsgrundlage: Art. 35 DSGVO

Was das für Ihr Unternehmen bedeutet

Regulatorik wird erst dann handhabbar, wenn sie in konkrete Schritte übersetzt ist: Welche KI-Tools sind im Einsatz? Welche fallen in welche Risikoklasse? Wo fehlen Richtlinien, Schulungen, Freigaben oder Nachweise? Genau hier setzen wir an – von der ersten Standortbestimmung bis zur laufenden Begleitung.

Häufige Fragen

Gilt der EU AI Act bereits?

Ja. Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und wird schrittweise angewendet: Verbotene Praktiken und die AI-Literacy-Pflicht gelten seit Februar 2025, Pflichten für GPAI-Modelle ab August 2025, Transparenz- und Hochrisiko-Pflichten ab August 2026 bzw. 2027.

Sind die Transparenzpflichten ein eigenes Gesetz?

Nein. Die Transparenzpflichten (Art. 50) sind Bestandteil des EU AI Act – ebenso wie die AI-Literacy-Pflicht, die Risikoklassifizierung und die Hochrisiko-Anforderungen. Sie alle gehören zu derselben Verordnung und greifen zeitlich gestaffelt.

Wer kontrolliert die Einhaltung in Deutschland?

Die Bundesnetzagentur fungiert als nationale Marktaufsicht für den EU AI Act. Für Cybersicherheit (NIS2) ist das BSI zuständig, für den Datenschutz die jeweiligen Landesdatenschutzbehörden.

Drohen bei Verstößen Bußgelder?

Ja. Der EU AI Act sieht erhebliche Sanktionen vor – bei verbotenen KI-Praktiken bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes, bei anderen Pflichtverstößen entsprechend gestaffelt. Eine frühzeitige, dokumentierte Vorbereitung senkt dieses Risiko deutlich.

Jetzt starten

Bereiten Sie Ihre KI-Nutzung vor, bevor aus Innovation ein Compliance-Risiko wird.

Ob erster Überblick, KI-Richtlinie, Mitarbeiterschulung, Governance-Konzept oder laufende Begleitung: Wir helfen Ihnen, KI kontrolliert, sicher und effizient einzusetzen.