Reihe futuristischer humanoider Roboter vor einer EU-Flagge, Symbol für Regulierung und Entwicklung von Künstlicher Intelligenz in Europa.

EU-AI-Act – Was gilt ab August 2025?

Ab 2. August 2025 treten weitere Regelungen der europäischen KI-Verordnung in Kraft. Europas KI-Gesetz – das erste seiner Art weltweit – soll einerseits Bürger und Grundrechte vor negativen KI-Auswirkungen schützen, andererseits Innovation und vertrauenswürdige KI fördern. Für Unternehmen – besonders für Unternehmer:innen und Führungskräfte – stellt sich nun die Frage: Was ändert sich ab August 2025 und worauf muss ich praktisch achten?

Hintergrund: Das KI-Gesetz der EU in Kürze

Der EU AI Act („EU-KI-Verordnung“) ist ein umfangreiches Regelwerk, das Künstliche Intelligenz in der EU einheitlich reguliert. Ziel ist es, KI sicher und nachvollziehbar zu machen, ohne Innovation abzuwürgen. So sollen menschenzentrierte und vertrauenswürdige KI-Anwendungen gefördert und zugleich Gesundheit, Sicherheit und Grundrechte geschützt werden. Im Kern verfolgt der AI Act einen risikobasierten Ansatz: Je nach Risiko, das eine KI-Anwendung birgt, gelten unterschiedliche Pflichten – von kaum reguliert bis streng verboten.

Wichtig: Der AI Act ist bereits beschlossen und am 1. August 2024 formell in Kraft getreten. Allerdings gelten viele Bestimmungen erst nach Übergangsfristen. Insbesondere für Unternehmen relevant ist der Stichtag 2. August 2025, wenn erste Auflagen wirksam werden. Nachfolgend der Überblick zum Zeitplan.

Fahrplan: Wann treten welche Regeln in Kraft?

Die Umsetzung des AI Act erfolgt stufenweise über mehrere Jahre:

  • 1. August 2024: Die Verordnung trat formell in Kraft (Start der Übergangsfristen).
  • Nach 6 Monaten (ab 2. Februar 2025): Verbotene KI-Praktiken (z.B. zur absichtlichen Täuschung) müssen vom Markt genommen werden.
  • Nach 12 Monaten (ab 2. August 2025): Governance-Regeln treten in Kraft und Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (sog. Foundation Models) werden wirksam.
  • Nach 24 Monaten (ab 2. August 2026): Großteil der Regelungen wird wirksam, v.a. für Hochrisiko-KI-Systeme gemäß Anhang III (inkl. Transparenzpflichten für begrenzt riskante KI).
  • Nach 36 Monaten (ab 2. August 2027): Letzte Bestimmungen greifen, z.B. für bestimmte sektorielle Hochrisiko-Anwendungen.

Für Unternehmen heißt das konkret: Ab August 2025 gilt die erste Runde neuer Pflichten – höchste Zeit, sich jetzt vorzubereiten. Im Folgenden beleuchten wir die wichtigsten praktischen Auswirkungen.

Was bedeutet das für Unternehmen praktisch?

Verbotene KI-Praktiken: Was ist tabu?

Seit Februar 2025 sind bestimmte KI-Anwendungen mit „inakzeptablem Risiko“ EU-weit verboten. Unternehmen dürfen solche Systeme weder entwickeln noch einsetzen. Dazu zählen zum Beispiel:

  • Manipulative KI-Systeme, die Menschen verhaltensmäßig beeinflussen und ihren freien Willen untergraben (insbesondere ausnutzend gegenüber vulnerablen Gruppen).
  • Social-Scoring-Systeme nach chinesischem Vorbild, die Menschen auf Grundlage ihres Verhaltens oder persönlicher Merkmale bewerten.
  • Das massenhafte heimliche Sammeln biometrischer Daten (z.B. Gesichter aus Internet/CCTV) zur Identifizierung​.
  • Emotionserkennung in sensiblen Bereichen wie Arbeitsplatz oder Schule.

Für die Praxis bedeutet das: Finger weg von solchen Anwendungen! Falls Ihr Unternehmen in solche Richtungen experimentiert hat, müssen diese Projekte spätestens jetzt eingestellt werden. Verstöße können harte Konsequenzen nach sich ziehen (siehe „Aufsicht & Strafen“ unten).

Transparenz: Offenlegen, wenn KI im Spiel ist

Ein zentrales Prinzip des AI Act ist Transparenz. Nutzer haben ein Recht zu wissen, wenn sie es mit einer KI zu tun haben. Konkret müssen Unternehmen:

  • Kommunizieren, wo KI zum Einsatz kommt. Wenn ein System mit Menschen interagiert (z.B. Chatbot auf Ihrer Website), muss deutlich gemacht werden, dass es sich um eine KI handelt. Kunden, Bewerber oder Mitarbeiter dürfen nicht unwissentlich einer KI gegenüberstehen.
  • KI-generierte oder -manipulierte Inhalte kennzeichnen. Erstellen Sie z.B. Produktbilder mit einer KI oder generieren Werbetexte automatisch, sollten diese als AI-generiert markiert werden. So wird verhindert, dass KI-Fakes für echt gehalten werden. (Ausnahmen gibt es für klar künstlerische oder satirische Inhalte.)

Diese Transparenzpflichten werden spätestens ab August 2026 verbindlich. Doch es lohnt sich, frühzeitig damit anzufangen: Transparenz schafft Vertrauen bei Kunden und Geschäftspartnern. Praktisch sollte jedes Unternehmen intern erfassen, welche Prozesse KI-gestützt sind, und entsprechende Hinweise für Nutzer vorbereiten. Beispiele aus der Praxis sind etwa Disclaimer unter KI-erstellten Bildern oder ein kurzer Satz im Chatbot-Dialog („👋 Ich bin ein KI-gestützter Assistent…“).

Hochrisiko-KI: Strenge Auflagen mit Übergangsfrist

Die strengsten Vorgaben des AI Act gelten für sogenannte hochrisiko KI-Systeme. Darunter fallen KI-Anwendungen, die in sicherheitskritischen oder grundrechtsrelevanten Bereichen eingesetzt werden. Beispiele (aus Anhang III der Verordnung) sind KI in den Bereichen:

  • Biometrie: z.B. Gesichtserkennungssysteme zur Zugangskontrolle.
  • Kritische Infrastruktur: Verkehrssteuerung, Energieversorgung etc.
  • Bildung und Beschäftigung: Software zur Bewerberauswahl oder Mitarbeiterüberwachung.
  • Wichtige Dienste: KI zur Kreditwürdigkeitsprüfung, Versicherungs-Tarifierung oder für behördliche Entscheidungen (z.B. Sozialleistungen).
  • Strafverfolgung & Grenzkontrolle: KI zur Polizeiarbeit, Migrationskontrolle.
  • Justiz & Demokratie: Systeme, die Urteile vorschlagen oder Wahlen beeinflussen könnten.

Für solche Hochrisiko-KI-Systeme schreibt der AI Act ab 2026 umfangreiche Compliance-Maßnahmen vor. Anbieter (Hersteller/Vertreiber) solcher Systeme müssen u.a. ein Risikomanagementsystem, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht sowie Qualitäts- und Cybersecurity-Maßnahmen implementieren. Außerdem ist eine Konformitätsbewertung nötig, ähnlich einer Zertifizierung, bevor das System auf den Markt kommt. Erst nach erfolgreicher Prüfung (und Ausstellung einer Konformitätserklärung) darf ein Hochrisiko-KI-System produktiv verwendet werden.

Für Nutzer solcher Hochrisiko-Systeme (also Unternehmen, die ein KI-Tool von einem Anbieter einsetzen) gibt es ebenfalls Pflichten: Man muss die Betriebsanleitung strikt befolgen, den Einsatz angemessen überwachen und bei Problemen oder steigenden Risiken reagieren – etwa das System abschalten oder dem Hersteller/Behörde melden. Mit anderen Worten: einfach blind drauflos verwenden ist nicht – bei kritischer KI braucht es menschliches Auge drauf.

Die meisten dieser Hochrisiko-Vorgaben greifen erst ab August 2026, doch Unternehmen sollten jetzt vorplanen. Praktische Tipps: Machen Sie eine KI-Inventur in Ihrer Organisation: Welche KI-Systeme nutzen wir schon oder bald? Klassifizieren Sie diese nach Risiko (niedrig/überschaubar/hoch). Für identifizierte Hochrisiko-Anwendungen sollte man bis 2026 entweder vom Anbieter die Konformität bescheinigt bekommen oder – falls man selbst Entwickler ist – rechtzeitig die nötigen Prozesse aufsetzen. Gehen Sie ggf. frühzeitig auf juristischen Rat zu, um die Einordnung korrekt vorzunehmen. So vermeiden Sie böse Überraschungen, wenn die Frist abläuft.

Generative KI & Foundation Models: Neue Vorgaben ab 2025

Der rasante Aufstieg von generativer KI (à la ChatGPT, DALL-E etc.) hat im AI Act zu speziellen Regeln für KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) geführt. Ab August 2025 müssen Anbieter solcher Foundation Models bestimmte Auflagen erfüllen. Was bedeutet das?

  • Transparenz und Dokumentation: Anbieter von generativen KI-Modellen müssen vor Markteinführung technische Dokumentationen und umfangreiche Informationspakete bereitstellen. U.a. sollen sie zusammenfassen, mit welchen Daten das Modell trainiert wurde (inkl. ob und wie Urheberrechte beachtet wurden). Dies soll sicherstellen, dass nachgelagerte Entwickler und Nutzer verstehen, was hinter dem Modell steckt, und ihre eigenen Pflichten einhalten können.
  • Grundrechte und Risiken adressieren: Für große Modelle mit potenziell systemischen Auswirkungen gelten zusätzliche Anforderungen – etwa Risikobewertungen, Cybersicherheits-Tests und Meldepflichten bei schwerwiegenden Zwischenfällen. Kurz gesagt: die ganz großen KI-Systeme bekommen eine Art TÜV-Prüfungspflicht, bevor sie in EU-Produkten eingesetzt werden dürfen.

Für gewöhnliche Unternehmen, die solche KI-Modelle lediglich nutzen, heißt das: Die Tools (z.B. KI-Plattformen oder APIs), die Sie von Drittanbietern beziehen, sollten ab 2025 transparenter werden. Sie können vom Anbieter z.B. Infos über das Training des Modells einfordern. Wenn Sie selbst ein Produkt entwickeln, das ein externes Basis-KI-Modell integriert, muss der Anbieter Ihnen ausreichende Infos liefern, damit Sie wiederum Ihren AI-Act-Pflichten nachkommen können. Die EU richtet hierfür ein European AI Office ein – eine zentrale KI-Aufsichtsbehörde, die speziell GPAI/Foundation Models beaufsichtigt. Für Unternehmer bedeutet das: generative KI bleibt weiterhin nutzbar, aber Wildwest-Zeiten enden. Rechnen Sie mit mehr Transparenzanforderungen entlang der Lieferkette von KI-Modellen.

Aufsicht und Bußgelder: Compliance ist Pflicht

Wie bei der DSGVO gilt auch beim AI Act: Es wird Kontrollinstanzen und Sanktionen geben. Bis spätestens August 2025 muss jedes EU-Land eine zuständige Aufsichtsbehörde bestimmen. In Deutschland ist Stand Ende 2024 noch offen, welche Behörde das Rennen macht – im Gespräch sind z.B. Bundesnetzagentur oder das Bundesamt für Sicherheit in der IT. Diese Stellen überwachen die Einhaltung der KI-Verordnung und können bei Verstößen eingreifen.

Die Strafen bei Verstößen sind empfindlich. Je nach Schweregrad drohen Bußgelder bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes des Unternehmens – was höher ist. Zudem können non-konforme KI-Systeme zwangsweise vom Markt genommen werden. Für Unternehmen bedeutet das ein erhebliches finanzielles und reputatives Risiko, sollte man die Vorschriften ignorieren.

Die gute Nachricht: Der AI Act soll kein Innovationskiller sein. Im Gegenteil, man will Rechtssicherheit schaffen, damit gerade auch Start-ups und KMU mit KI arbeiten können. Geplant sind auch regulatorische Sandboxes – geschützte Testräume, in denen Unternehmen KI-Lösungen unter Aufsicht erproben dürfen. 

Fazit für Führungskräfte: Nehmen Sie die KI-Regulierung ernst, bauen Sie frühzeitig Know-how auf und integrieren Sie AI-Compliance in Ihre Prozesse. Wer proaktiv handelt, kann KI verantwortungsvoll nutzen und so Wettbewerbsvorteile sichern – ohne Angst vor der Regulierung.

Checkliste: 5 wichtigste Pflichten für KMU ab August 2025

  1. Keine verbotenen KI-Praktiken einsetzen. Stellen Sie sicher, dass Ihr Unternehmen keine untersagten KI-Anwendungen nutzt (z.B. kein Social Scoring, keine manipulative Beeinflussung von Kunden oder Mitarbeiter*innen).
  2. KI-Einsatz transparent machen. Offenlegen, wo in Ihrem Betrieb KI zum Einsatz kommt – insbesondere bei kunden- oder mitarbeitergerichteten Systemen. Außerdem KI-generierte Inhalte kennzeichnen, um Täuschungen zu vermeiden.
  3. Mitarbeiter schulen und sensibilisieren. Sorgen Sie für ein ausreichendes KI-Verständnis im Team. Mitarbeiter sollten wissen, wie die KI-Tools funktionieren, wo ihre Grenzen liegen und wie sie korrekt anzuwenden sind.
  4. Hochrisiko-KI kontrolliert nutzen. Falls Sie ein hochriskantes KI-System einsetzen (z.B. in der Personalwahl oder Kreditprüfung), nutzen Sie es nur gemäß Anleitungüberwachen Sie die Ergebnisse regelmäßig und seien Sie bereit, bei Problemen einzugreifen oder das System abzuschalten. Dokumentieren Sie den Einsatz und informieren Sie den Anbieter bei Auffälligkeiten.
  5. Konformität sicherstellen (bei Eigenentwicklung). Entwickeln Sie selbst KI-Systeme oder passen Sie KI Ihrer Lieferanten wesentlich an? Dann übernehmen Sie die Rolle des Anbieters und müssen ab 2025/26 Konformitätsanforderungen erfüllen – von Risikomanagement über Tests bis zur Registrierung. Planen Sie frühzeitig Zertifizierungs- und Dokumentationsprozesse ein.

Weiterführende Infos: Nutzen Sie verfügbare Ressourcen, um sich tiefer einzuarbeiten. Zum Beispiel bietet KI.NRW ein ausführliches Infopapier und Tools wie den EU AI Act Compliance Checker können helfen, Ihre Anwendungen einer Risikoklasse zuzuordnen. Bleiben Sie auch nach August 2025 am Ball – die Regulierung entwickelt sich weiter, und eine regelmäßige Überprüfung Ihrer KI-Strategie auf Compliance wird zum neuen Bestandteil guter Unternehmensführung.

Dieser Beitrag wurde mit Unterstützung von OpenAIs ChatGPT 4.5 DeepResearch erstellt.