Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Seit dem 01.08.2024 ist die Verordnung in Kraft. Seit dem 02.02.2025 gelten bereits die Verbote bestimmter KI-Praktiken und die Vorgaben zur KI-Kompetenz. Nach geltendem Recht folgt die allgemeine Anwendbarkeit am 02.08.2026. Für bestimmte Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind, läuft die Übergangszeit bis zum 02.08.2027. Viele Unternehmen unterschätzen den Handlungsbedarf. Dieser Beitrag gibt einen praxisorientierten Überblick.
Wen betrifft der AI Act?
Der AI Act betrifft eine Vielzahl von Akteuren, die KI-Systeme entwickeln, bereitstellen, importieren, vertreiben oder anwenden. Zu den betroffenen Gruppen gehören:
- Anbieter von KI-Systemen (Unternehmen, die KI-Systeme auf den Markt bringen),
- autorisierte Vertreter (Personen oder Firmen, die in der EU als Vertreter eines Anbieters auftreten),
- Importeure,
- Händler sowie
- Anwender (Unternehmen oder Einzelpersonen, die KI-Systeme in ihrer Tätigkeit nutzen).
Entscheidend ist: Der AI Act trifft nicht nur Entwickler und Technologieunternehmen. Wer KI-gestützte Software eines Drittanbieters im Unternehmen einsetzt, etwa im Personalwesen, im Kundenservice oder in der Kreditvergabe, ist als Betreiber (Deployer) ebenfalls an Pflichten gebunden. Viele Unternehmen sind gleichzeitig Anbieter und Betreiber, etwa wenn sie eigene KI-Tools entwickeln und intern einsetzen.
Risikobasierter Ansatz: Vier Stufen der Regulierung
Der AI Act verfolgt einen risikobasierten Ansatz. Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen:
- Stufe 1: KI-Systeme mit geringem Risiko
Für diese gelten keine spezifischen Pflichten aus dem AI Act, wohl aber die allgemeine KI-Kompetenzpflicht. - Stufe 2: KI-Systeme mit begrenztem Risiko
Ab Stufe 2 kommen Transparenzpflichten hinzu, etwa wenn Menschen mit KI interagieren oder wenn Deepfakes sowie bestimmte KI-generierte Inhalte klar kenntlich gemacht werden müssen. Dies betrifft in der Praxis jedes Unternehmen, das Chatbots, generative Texttools oder Bildgenerierung einsetzt. - Stufe 3: Hochrisiko-KI-Systeme
Hochrisiko-KI-Systeme sind in Anhang III aufgelistet und umfassen unter anderem KI in der Personalverwaltung (Bewerbungsauswahl, Leistungsbeurteilung), KI für Kreditscoring und Bonitätsbewertung, KI in Bildungseinrichtungen sowie KI in kritischen Infrastrukturen. Auch Medizinprodukte mit KI-Funktionen fallen unter diese Kategorie. Anbieter müssen ein Risikomanagementsystem einrichten, hohe Datenqualität sicherstellen, technische Dokumentation führen und menschliche Aufsicht gewährleisten. - Stufe 4: Verbotene KI-Praktiken
Verboten sind unter anderem schädliche Manipulation, die Ausnutzung von Vulnerabilitäten, Social Scoring, ungezieltes Scraping von Gesichtern aus dem Internet zur Erweiterung von Gesichtsdatenbanken, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie bestimmte Formen biometrischer Kategorisierung.
KI-Kompetenzpflicht: Unterschätzte Sofortpflicht
Die Pflicht zur KI-Kompetenz nach Art. 4 AI Act verlangt von Anbietern und Betreibern, dass ihre Mitarbeitenden und Auftragnehmer, die mit KI-Systemen arbeiten, über ein ausreichendes Maß an KI-Verständnis verfügen. Der Gesetzgeber lässt Unternehmen erheblichen Spielraum bei der Ausgestaltung, weder Inhalte noch Formate der Schulungen sind vorgegeben. Entscheidend ist jedoch, dass entsprechende Maßnahmen tatsächlich umgesetzt und dokumentiert werden.
In der Praxis unterschätzen viele Unternehmen diese Pflicht. Sie gilt seit Februar 2025 und betrifft jeden, der im Unternehmen mit KI-Systemen arbeitet. Praktisch bedeutet das: kein Pflichtzertifikat, keine staatlich verordnete Einheitsschulung, aber sehr wohl dokumentierte Maßnahmen. Selbst Mitarbeitende, die generative KI nur für Werbetexte oder Übersetzungen nutzen, sollten über systemspezifische Risiken wie Halluzinationen informiert werden.
Bußgelder und Sanktionen: Abgestuft, aber empfindlich
Der AI Act legt klare Bußgeldhöhen für Verstöße fest, die je nach Schwere variieren: Schwerwiegende Verstöße gegen grundlegende Verbote können mit Bußgeldern von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bestraft werden. Bei Verstößen gegen die Anforderungen für Hochrisiko-KI-Systeme drohen Bußgelder von bis zu 15 Millionen Euro oder 3% des weltweiten Jahresumsatzes.
Neben den finanziellen Sanktionen sind weitere Konsequenzen zu berücksichtigen: Zusätzlich können zivilrechtliche Schadensersatzansprüche von betroffenen Personen entstehen. Parallel zum AI Act plant die EU die KI-Haftungsrichtlinie (AI Liability Directive). Der kritischste Punkt hierbei ist die Kausalitätsvermutung: Bei komplexen KI-Systemen ist es für Geschädigte nahezu unmöglich, den Beweis zu führen, dass ein Fehler im System den Schaden verursacht hat. Die EU kehrt daher die Beweislast um, sodass Unternehmen beweisen müssen, dass ihre KI nicht fehlerhaft war.
Digital Omnibus: Friständerungen für Hochrisiko-KI
Die Europäische Kommission hat am 19.11.2025 den sogenannten Digital Omnibus on AI vorgelegt. Dieser Änderungsvorschlag zur KI-Verordnung soll die Umsetzung erleichtern und zentrale Fristen für Hochrisiko-KI-Systeme verschieben. Der Vorschlag reagiert auf Erfahrungen der ersten Umsetzungsmonate und auf Rückmeldungen aus Wirtschaft, Verwaltung und Zivilgesellschaft.
Die Europäische Kommission veröffentlichte den Digital Omnibus on AI am 19.11.2025 und schlug vor, die Hochrisiko-Frist vom 02.08.2026 auf den 02.12.2027 zu verschieben. Der zweite politische Trilog zwischen Europäischem Parlament, Rat und Kommission am 28.04.2026 endete ohne Einigung.
AI Continent Action Plan und Apply AI Strategy
Die EU verfolgt mit dem AI Act nicht nur eine regulatorische, sondern auch eine industriepolitische Agenda. Am 09.04.2025 veröffentlichte die Kommission den AI Continent Action Plan. Die Europäische Union will ein globaler Marktführer im Bereich Künstliche Intelligenz werden. Der Plan soll die Stärken der EU, etwa ihr Talentpotenzial und ihre starken traditionellen Industrien, in KI-Beschleuniger verwandeln.
Der Action Plan konzentriert sich auf fünf Schlüsselbereiche:
- Recheninfrastrukturen,
- Zugang zu hochwertigen Daten,
- Entwicklung und Adoption von KI,
- KI-Kompetenzen und Talente sowie
- regulatorische Compliance und Vereinfachung.
Im Oktober 2025 ergänzte die Kommission den Action Plan durch die Apply AI Strategy, die auf die praktische Umsetzung von KI in der gesamten EU abzielt. Sie soll die KI-Adoption insbesondere bei kleinen und mittleren Unternehmen fördern und deren digitale Transformation gezielt unterstützen.
Konkret sieht der Action Plan unter anderem vor:
- Mindestens 19 AI Factories in ganz Europa, die Start-ups, Industrie und Forschung bei der Entwicklung modernster KI-Modelle unterstützen, sowie bis zu 5 AI Gigafactories mit massiver Rechenleistung
- Eine InvestAI-Initiative, die 200 Milliarden Euro an Investitionen in KI in der EU mobilisieren soll
- Einen Vorschlag für einen Cloud and AI Development Act, der private Investitionen in Cloud- und Rechenzentren fördern soll
Für Unternehmen bedeutet dieser doppelte Ansatz aus Regulierung und Förderung: Wer sich frühzeitig mit den Anforderungen auseinandersetzt, schafft nicht nur Rechtssicherheit, sondern positioniert sich auch als vertrauenswürdiger und zukunftsfähiger Partner am Markt.
Wie WINHELLER Sie beim EU AI Act unterstützt
Der AI Act stellt Unternehmen vor eine vielschichtige regulatorische Herausforderung, die rechtliche, technische und organisatorische Fragen eng miteinander verzahnt. WINHELLER verbindet juristische Präzision mit technischem Verständnis und unterstützt Unternehmen bei der Umsetzung der KI-Regulierung:
- KI-Bestandsaufnahme und Risikoklassifizierung: Welche KI-Systeme setzen Sie ein? Fallen sie unter die Hochrisiko-Kategorie, unter Transparenzpflichten oder unter verbotene Praktiken? Wir prüfen Ihre KI-Landschaft systematisch und ordnen sie regulatorisch ein.
- Compliance-Strategie und Governance: Vom KI-Verzeichnis über die Dokumentationspflichten bis zum Risikomanagement: Wir entwickeln eine auf Ihr Unternehmen zugeschnittene KI-Governance-Struktur, die den Anforderungen des AI Act standhält.
- KI-Kompetenzpflicht nach Art. 4 AI Act: Wir beraten Sie bei der Konzeption und rechtlichen Absicherung Ihres KI-Schulungsprogramms und helfen bei der Dokumentation.
- Vertragsgestaltung mit KI-Anbietern: Wenn Sie KI-Systeme von Drittanbietern nutzen, müssen Ihre Verträge die AI-Act-Konformität absichern. Wir prüfen bestehende Verträge und gestalten rechtssichere Vereinbarungen.
- Datenschutz und AI Act: Beide Regelwerke gelten parallel, wenn KI-Systeme personenbezogene Daten verarbeiten. Wir sorgen für eine integrierte Compliance, die DSGVO und AI Act zusammenführt.
- Vertretung gegenüber Aufsichtsbehörden: Im Fall von Prüfungen oder Verfahren stehen wir Ihnen als erfahrene Anwälte im IT-Recht und Datenschutz zur Seite.
Die regulatorische Landschaft rund um Künstliche Intelligenz entwickelt sich dynamisch weiter. Die richtige rechtliche Begleitung von Anfang an hilft, kostspielige Fehler zu vermeiden und KI-Potenziale rechtssicher auszuschöpfen. Melden Sie sich gerne bei uns.
