Der EU AI Act 2026: Welche Pflichten Unternehmen jetzt haben
Zusammenfassung: Der EU AI Act ist die weltweit erste umfassende KI-Verordnung und gilt seit dem 1. August 2024 stufenweise EU-weit. Seit dem 2. Februar 2025 sind verbotene KI-Praktiken untersagt. Ab dem 2. August 2026 gelten die Hauptpflichten für Hochrisiko-KI-Systeme. Verstöße können mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
Was regelt der EU AI Act und wen betrifft er?
Der EU AI Act (Verordnung über künstliche Intelligenz) verfolgt einen risikobasierten Ansatz. Die Verordnung reguliert KI-Systeme basierend auf dem Risiko, das sie für die Gesundheit, die Sicherheit oder die Grundrechte von Personen darstellen. Er betrifft nicht nur europäische Unternehmen, sondern alle Akteure weltweit, deren KI-Systeme in der EU in Verkehr gebracht, in Betrieb genommen oder genutzt werden.
Die Verordnung unterscheidet in erster Linie zwischen Anbietern (Developern/Providern), die KI-Systeme entwickeln, und Betreibern (Deployern), die KI-Systeme in ihrem Unternehmen einsetzen. Auch Importeure und Händler von KI-Systemen unterliegen strengen Pflichten.
Welche KI-Anwendungen sind seit Februar 2025 verboten?
Bereits sechs Monate nach Inkrafttreten, also am 2. Februar 2025, trat das Verbot für KI-Systeme mit unannehmbarem Risiko in Kraft. Unternehmen müssen sicherstellen, dass sie keine der folgenden Praktiken anwenden:
- Social Scoring: Bewertung oder Klassifizierung von Personen basierend auf ihrem sozialen Verhalten oder persönlichen Merkmalen.
- Erkennung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen, außer aus medizinischen oder sicherheitstechnischen Gründen.
- Predictive Policing: KI-Systeme, die das Risiko von Personen, eine Straftat zu begehen, ausschließlich auf Grundlage von Profiling bewerten.
- Subliminale Beeinflussung: Techniken außerhalb des menschlichen Bewusstseins, die das Verhalten von Personen wesentlich beeinflussen und zu physischen oder psychischen Schäden führen könnten.
Was sind Hochrisiko-KI-Systeme nach dem EU AI Act?
Die meisten Pflichten und Compliance-Anforderungen fokussieren sich auf Hochrisiko-KI-Systeme. Dies sind Systeme, die in sensiblen Bereichen eingesetzt werden und erhebliche Auswirkungen auf das Leben von Menschen haben können. Zu den typischen Hochrisiko-Anwendungen im Unternehmenskontext gehören:
- Personalwesen (HR): KI-gestützte Systeme für das Recruiting, die Auswertung von Bewerbungen oder zur Überwachung der Leistung von Mitarbeitern.
- Biometrie: Systeme zur biometrischen Identifizierung aus der Ferne in öffentlich zugänglichen Räumen.
- Kritische Infrastrukturen: KI-Systeme im Bereich Management und Betrieb wesentlicher kritischer Infrastrukturen (z.B. Energie, Wasser).
- Kreditwürdigkeitsprüfung: Systeme, die die Kreditwürdigkeit natürlicher Personen bewerten oder ihre Kreditwürdigkeitseinstufung festlegen.
Welche konkreten Pflichten gelten ab August 2026?
Ab dem 2. August 2026 werden die umfassenden Pflichten für Hochrisiko-KI-Systeme (gemäß Anhang III) schlagend. Betreiber (Deployer) solcher Systeme im Unternehmen müssen bis dahin unter anderem folgende Pflichten erfüllen:
- Sicherstellung der menschlichen Aufsicht während der Nutzung des KI-Systems.
- Einhaltung der Gebrauchsanweisungen des Anbieters.
- Überwachung der Funktionsweise und Meldung von Vorfällen oder schwerwiegenden Risiken an den Anbieter und die zuständigen Behörden.
- Erfüllung von Transparenzpflichten, etwa die Unterrichtung von Arbeitnehmern oder Gewerkschaftsvertretern, wenn Hochrisiko-KI am Arbeitsplatz eingeführt wird.
- Durchführung einer Grundrechte-Folgenabschätzung für bestimmte öffentliche Stellen und private Akteure, die öffentliche Dienstleistungen erbringen.
Wie hoch sind die Bußgelder bei Verstößen gegen den EU AI Act?
Der EU AI Act sieht drakonische Strafen vor, die sich am weltweiten Jahresumsatz orientieren und in Teilen sogar die der DSGVO übersteigen:
- Verstöße gegen verbotene Praktiken: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist).
- Verstöße gegen Pflichten für Hochrisiko-KI-Systeme: Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes.
- Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen an benannte Stellen: Bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes.
Hinweis für KMU: Für kleine und mittlere Unternehmen sowie Start-ups gelten teilweise angepasste, niedrigere Bußgeldobergrenzen, die sich zugunsten des geringeren prozentualen oder festen Wertes richten.
Was sollten Unternehmen jetzt konkret tun?
Obwohl die Frist für Hochrisiko-KI-Systeme erst im August 2026 endet, duldet die Vorbereitung keinen Aufschub. Unternehmen sollten folgende Schritte zügig einleiten:
- KI-Inventar erstellen: Erfassen Sie alle im Unternehmen entwickelten, eingekauften oder eingesetzten KI-Systeme (inkl. externer SaaS-Tools).
- Risikoklassifizierung vornehmen: Prüfen Sie, ob Ihre Systeme unter verbotene Praktiken, Hochrisiko-Systeme oder KI mit spezifischen Transparenzrisiken (z.B. Chatbots, Deepfakes) fallen.
- Gap-Analyse durchführen: Vergleichen Sie bestehende Compliance-Strukturen (wie DSGVO-Prozesse) mit den neuen Anforderungen des AI Acts.
- Verträge anpassen: Prüfen Sie Verträge mit KI-Anbietern auf klare Regelungen zu Haftung, Transparenzpflichten und Bereitstellung technischer Dokumentationen.
- Mitarbeiter schulen (AI Literacy): Die Verordnung fordert ab Februar 2025 ein angemessenes Maß an KI-Kompetenz im Unternehmen. Schulen Sie Ihre Belegschaft im sicheren und gesetzeskonformen Umgang mit KI.
Rechtliche Beratung benötigt?
EHR.Legal berät Sie bundesweit — persönlich und praxisnah.