EU AI Act: Wichtige Punkte für Unternehmen
Wichtige Links
- https://eur-lex.europa.eu/eli/reg/2024/1689/oj/de
- https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai
- https://digital-strategy.ec.europa.eu/en/news/eu-agrees-simplify-ai-rules-boost-innovation-and-ban-nudification-apps-protect-citizens
- https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
- https://digital-strategy.ec.europa.eu/en/consultations/consultation-draft-guidelines-transparency-obligations-under-ai-act
- https://digital-strategy.ec.europa.eu/en/library/draft-guidelines-implementation-transparency-obligations-certain-ai-systems-under-article-50-ai-act
- https://ai-act-service-desk.ec.europa.eu/de
- https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/start_ki.html
- https://www.din.de/de/din-und-seine-partner/presse/mitteilungen/der-ai-act-in-der-praxis-1230224
- https://www.boerse-express.com/news/articles/eu-ai-act-omnibus-paket-verschiebt-fristen-und-verschaerft-transparenzregeln-903753
- https://digital-strategy.ec.europa.eu/en/faqs/digital-package
- https://digital-strategy.ec.europa.eu/en/news/supporting-implementation-ai-act-clear-guidelines
- https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-62
- https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-63
- https://ai-act-service-desk.ec.europa.eu/en/faq
- https://www.consilium.europa.eu/en/policies/support-to-small-and-medium-sized-enterprises/
Relevanz für Unternehmen in Deutschland
Der EU AI Act (Verordnung (EU) 2024/1689 über Künstliche Intelligenz) ist eine unmittelbar geltende EU-Verordnung. Er bedarf grundsätzlich keiner Umsetzung in nationales Recht, mit Ausnahme flankierender nationaler Regelungen, insbesondere zur Marktüberwachung, Sanktionierung, Zuständigkeitsverteilung der Behörden und praktischen Durchführung.
Die Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme abhängig von ihrem Gefährdungspotenzial unterschiedlichen Pflichten unterwirft.
Der EU AI Act entfaltet extraterritoriale Wirkung: Er gilt auch für Anbieter und Betreiber außerhalb der EU, sofern KI-Systeme in der Union in Verkehr gebracht, in Betrieb genommen oder deren Ergebnisse in der EU genutzt werden.
Aktualisierung vom 12. Mai 2026: Am 7. Mai 2026 haben Rat und Europäisches Parlament eine vorläufige politische Einigung zum sogenannten AI-Omnibus / Digital Omnibus on AI erzielt. Die Änderungen sind nach aktuellem Stand noch nicht endgültig formal verabschiedet, sind aber für die Compliance-Planung relevant.
Wesentliche Planungsänderungen:
- Standalone-Hochrisiko-KI-Systeme in Bereichen wie Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle sollen erst ab 2. Dezember 2027 den Hochrisiko-Regeln unterliegen.
- Hochrisiko-KI-Systeme, die in regulierte Produkte integriert sind (z. B. Aufzüge, Spielzeug oder andere sektorregulierte Produkte), sollen ab 2. August 2028 erfasst werden.
- Transparenzpflichten nach Art. 50 bleiben ein kurzfristiges Thema: Die Kommission konsultiert seit 8. Mai 2026 Entwürfe für Leitlinien; Rückmeldungen sind bis 3. Juni 2026 möglich. Die Transparenzpflichten selbst sollen weiterhin ab 2. August 2026 gelten.
- Für maschinenlesbare Kennzeichnung / Transparenzlösungen bei künstlich erzeugten Inhalten sieht die politische Einigung eine verkürzte Übergangsfrist vor; der neue Umsetzungsstichtag wird mit 2. Dezember 2026 angegeben.
- Zusätzlich soll ein Verbot von KI-Systemen aufgenommen werden, die nicht-einvernehmliche sexuell explizite oder intime Inhalte bzw. Material zum sexuellen Kindesmissbrauch erzeugen oder manipulieren („Nudification“-Apps / CSAM).
Bereits relevant sind insbesondere:
- seit 2. Februar 2025: allgemeine Bestimmungen, KI-Kompetenzpflicht nach Art. 4 und Verbote bestimmter KI-Praktiken,
- seit 2. August 2025: Pflichten für Anbieter von General-Purpose-AI-Modellen (GPAI) und bestimmte Governance-Regeln,
- ab 2. August 2026: breite Anwendung des AI Act, insbesondere Transparenzpflichten nach Art. 50 und weitere operative Pflichten, soweit sie nicht durch Übergangs- oder Omnibus-Regelungen verschoben werden.
Praxisfolge: Unternehmen sollten die Verschiebung der Hochrisiko-Fristen nicht als Projektstopp verstehen. Für KI-Inventar, Rollenklärung, KI-Kompetenz, Transparenzpflichten, Beschaffung, Datenschutz, IT-Sicherheit und interne Nutzungsrichtlinien besteht weiterhin kurzfristiger Handlungsbedarf.
KI im Unternehmen
Schritt 0: Anwendungsbereich
Der EU AI Act findet Anwendung auf:
- Anbieter (Provider): Entwickelt ein KI-System oder lässt es entwickeln und bringt es unter eigenem Namen oder eigener Marke in Verkehr oder nimmt es in Betrieb,
- Betreiber (Deployer): Setzt ein KI-System im eigenen Verantwortungsbereich ein,
- Importeur: Bringt ein KI-System aus einem Drittstaat in der EU in Verkehr,
- Händler (Distributor): Stellt ein KI-System innerhalb der EU bereit, ohne Anbieter oder Importeur zu sein,
- sowie bestimmte Konstellationen, in denen Ergebnisse von KI-Systemen in der EU verwendet werden,
- sofern ein sachlicher, räumlicher und zeitlicher Bezug zur Europäischen Union besteht.
Nicht erfasst sind u. a.:
- KI-Systeme ausschließlich für militärische, verteidigungspolitische oder nationale Sicherheitszwecke,
- rein private, nicht berufliche Nutzung natürlicher Personen,
- bestimmte Forschungs-, Entwicklungs- und Open-Source-Szenarien (unter engen Voraussetzungen).
Schritt 1: KI-Bestand vollständig erfassen (KI-Inventar)
Was ist zu tun?
Erstellen Sie ein zentrales KI-Inventar (z. B. Excel oder internes Tool).
Für jedes KI-System erfassen Sie:
- Name des Tools / Systems
- Anbieter (intern entwickelt oder externer Dienstleister)
- Einsatzbereich (z. B. HR, Marketing, IT, Kundenservice)
- Zweck der Nutzung
- Nutzerkreis (interne Mitarbeitende, Kunden, Partner)
- Verarbeitete Datenarten (keine / personenbezogene / sensible)
- Verantwortliche Stelle im Unternehmen
HINWEIS: Auch scheinbar harmlose Tools wie ChatGPT, Copilot oder Bildgeneratoren gehören ins Inventar.
Schritt 2: Einordnung nach Risikoklassen (EU AI Act)
Der EU AI Act unterscheidet im Kern risikobasierte Kategorien und Sonderregeln für General-Purpose AI (GPAI):
2.1 Verbotene KI
KI-Systeme, die eine unvertretbare Gefahr für Grundrechte darstellen, sind verboten. Dazu zählen insbesondere:
- Social Scoring durch staatliche Stellen oder private Akteure, sofern es zu ungerechtfertigter Benachteiligung führt,
- bestimmte manipulative oder täuschende KI-Praktiken, die Verhalten wesentlich beeinflussen und erheblichen Schaden verursachen können,
- Ausnutzung besonderer Schutzbedürftigkeit, etwa wegen Alter, Behinderung oder sozialer/wirtschaftlicher Lage,
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, vorbehaltlich enger Ausnahmen etwa aus Sicherheits- oder medizinischen Gründen,
- bestimmte biometrische Kategorisierung, insbesondere anhand sensibler Merkmale,
- untargeted Scraping von Gesichtsbildern zur Erstellung oder Erweiterung von Gesichtserkennungsdatenbanken,
- bestimmte Formen biometrischer Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgungsbehörden, vorbehaltlich enger gesetzlicher Ausnahmen.
HINWEIS: Diese Systeme dürfen grundsätzlich NICHT eingesetzt werden. Bei Grenzfällen ist vor Einsatz eine rechtliche Prüfung erforderlich.
Neu nach politischer Einigung vom 7. Mai 2026: Zusätzlich sollen KI-Systeme verboten werden, die nicht-einvernehmliche sexuell explizite oder intime Inhalte oder Material zum sexuellen Kindesmissbrauch erzeugen oder manipulieren können. Das betrifft insbesondere sogenannte „Nudification“-Apps. Diese Änderung ist Teil der vorläufigen politischen Einigung und muss noch formal angenommen werden.
2.2 Hochrisiko-KI
Hochrisiko-KI liegt vor, wenn ein KI-System als Sicherheitsbauteil eines regulierten Produkts fungiert (z. B. Medizinprodukte), oder in einem der im Anhang des AI Act genannten sensiblen Bereiche eingesetzt wird.
Beispiele für Hochrisiko-KI:
- Autonomes Fahren / Fahrerassistenzsysteme
- Medizinische Diagnosesysteme
- KI in Aufzügen, Maschinen, Robotern
- Einstellungs- und Bewerbungsfilter
- Kreditscoring durch Banken
- Bewertung von Prüfungen oder Eignungstests
- KI in Bildung, die Zugang oder Noten beeinflusst
- Asyl- und Grenzmanagement
- Strafverfolgung (z. B. Analyse von Beweismaterial)
HINWEIS: Hochrisiko-KI ist nicht verboten, unterliegt jedoch strengen gesetzlichen Anforderungen (Dokumentation, Human Oversight, Schulung, Qualitätssicherung, Konformität).
Anbieter von Hochrisiko-KI-Systemen müssen u. a.:
- ein Risikomanagementsystem etablieren,
- geeignete, repräsentative und möglichst bias-reduzierte Trainings-, Validierungs- und Testdaten sicherstellen,
- eine technische Dokumentation vorhalten,
- Protokollierungs- und Logging-Funktionen implementieren,
- Human Oversight gewährleisten,
- Anforderungen an Genauigkeit, Robustheit und Cybersicherheit erfüllen,
- eine Konformitätsbewertung durchführen.
Betreiber von Hochrisiko-KI-Systemen müssen u. a.:
- das System entsprechend der Gebrauchsanweisung einsetzen,
- menschliche Aufsicht sicherstellen,
- Eingabedaten angemessen kontrollieren,
- relevante Logs aufbewahren,
- erhebliche Risiken oder Vorfälle melden,
- Mitarbeitende ausreichend schulen.
Aktualisierte Fristen nach der vorläufigen Omnibus-Einigung:
- Standalone-Hochrisiko-KI-Systeme: geplante Anwendung der Hochrisiko-Regeln ab 2. Dezember 2027.
- In Produkte integrierte Hochrisiko-KI-Systeme: geplante Anwendung ab 2. August 2028.
- Für Industrie- und Produktrecht soll die Überschneidung mit sektoralen EU-Vorschriften reduziert werden, insbesondere durch Klarstellungen zum Zusammenspiel mit Produkt- und Maschinenrecht.
2.3 KI mit Transparenzpflichten
Diese Systeme unterliegen Transparenzpflichten, insbesondere wenn Nutzer mit einem KI-System interagieren oder KI Inhalte generiert, die als real wahrgenommen werden können.
Beispiele:
- Chatbots (z. B. Kundenservice-Bots)
- KI-generierte oder manipulierte Bilder, Audio- oder Videoinhalte, die täuschend echt wirken können (Deepfakes)
- Virtuelle Assistenten
- Empfehlungssysteme in Online-Shops, soweit sie besondere Transparenzpflichten auslösen
HINWEIS: Bestimmte KI-Systeme müssen:
- klar als KI erkennbar sein,
- Nutzer über die KI-Nutzung informieren,
- KI-generierte oder manipulierte Inhalte kenntlich machen,
- Betroffenen angemessene Informationen zur Funktionsweise bereitstellen.
Wichtig für 2026: Die Transparenzpflichten nach Art. 50 bleiben kurzfristig relevant. Die Kommission hat am 8. Mai 2026 Entwurfsleitlinien veröffentlicht; die Konsultation läuft bis 3. Juni 2026. Die Regeln sollen ab 2. August 2026 gelten. Für technische Transparenzlösungen bei künstlich erzeugten Inhalten nennt die politische Einigung den 2. Dezember 2026 als neuen Stichtag.
2.4 General-Purpose AI (GPAI) / allgemeine KI-Modelle
Für General-Purpose-AI-Modelle, insbesondere große Sprachmodelle und andere Basismodelle, gelten eigene Pflichten für Anbieter solcher Modelle. Dazu zählen insbesondere:
- technische Dokumentation,
- Informationen für nachgelagerte Anbieter, die das Modell in eigene KI-Systeme integrieren,
- Einhaltung urheberrechtlicher Vorgaben,
- Zusammenfassung der für das Training verwendeten Inhalte nach den Vorgaben des AI Act,
- bei GPAI-Modellen mit systemischem Risiko zusätzliche Anforderungen an Risikobewertung, Risikominderung, Vorfallmanagement, Cybersicherheit und Modellbewertung.
HINWEIS: Unternehmen, die GPAI-Modelle nur als Nutzer oder über fertige Tools einsetzen, sind nicht automatisch Anbieter eines GPAI-Modells. Sie sollten aber prüfen, ob sie durch eigenes Feintuning, Integration, Weitergabe oder Bereitstellung eine Anbieterrolle übernehmen.
2.5 Minimal- oder Kein Risiko
Für diese Systeme bestehen grundsätzlich keine spezifischen zusätzlichen AI-Act-Pflichten. Freiwillige Verhaltenskodizes werden empfohlen. Andere Rechtsbereiche bleiben trotzdem relevant, insbesondere DSGVO, Urheberrecht, Arbeitsrecht, Geheimnisschutz, Vertragsrecht und IT-Sicherheit.
Beispiele:
- Videospiel-KI
- Spamfilter
- Text-Autovervollständigung
- KI zur Fotoverbesserung
- Empfehlungsalgorithmen für Musik/Filme (Spotify, Netflix)
Schritt 3: Verantwortlichkeiten klar festlegen
3.1 KI-Beauftragte:r / verantwortliche Stelle
- Gesetzlich nicht verpflichtend, aber klarer Best Practice
- Alternativ: IT-Leitung, Compliance oder benannte Fachrolle
- Schriftlich festhalten:
- Name / Rolle
- Aufgaben (Governance, Risikoabschätzung, Schulung, Dokumentation)
- Befugnisse (z. B. Stop von KI-Nutzung bei Risiken)
3.2 Abgrenzung zum Datenschutzbeauftragten
- Datenschutzbeauftragte:r bleibt unabhängig
- KI-Beauftragte:r steuert KI-Governance
Schritt 4: Interne KI-Governance etablieren
4.1 Ziel der KI-Governance
Interne KI-Governance soll sicherstellen, dass:
- KI rechtssicher (AI Act, DSGVO, Arbeitsrecht, Urheberrecht, IT-Sicherheit) eingesetzt wird
- Risiken früh erkannt und gesteuert werden
- Entscheidungen nachvollziehbar bleiben
- das Management haftungs- und reputationssicher handelt
- HINWEIS: Behörden prüfen Organisation & Prozesse, nicht nur Modelle.
4.2 Mindest-Governance (für fast alle Unternehmen erforderlich)
4.2.1 Klare Verantwortlichkeiten
Empfohlenes Modell:
| Rolle | Aufgabe |
|---|---|
| Management / Vorstand | Gesamtverantwortung |
| KI-Verantwortliche:r | Koordination, Ansprechpartner für Behörden |
| Fachbereiche | Zweck, fachliche Kontrolle |
| IT / Security | Technik, Zugriff, Sicherheit |
| Datenschutz (DSB) | DSGVO, DSFA |
| Legal / Compliance | AI Act, Verträge, Haftung, Richtlinien |
| Einkauf / Vendor Management | Anbieterprüfung, Verträge, Nachweise |
| Betriebsrat (falls relevant) | Mitbestimmung |
4.2.2 KI-Inventar (zwingend empfohlen)
Ein zentrales Verzeichnis aller KI-Systeme, inkl.:
- Name / Tool / Anbieter
- Zweck & Einsatzbereich
- Nutzergruppe (intern/extern)
- Datenarten (personenbezogen? sensibel?)
- Risikokategorie (minimal / begrenzt / hoch / verboten / GPAI-Bezug)
- AI-Act-Rolle des Unternehmens (Anbieter, Betreiber, Importeur, Händler)
- Verantwortliche Stelle
- Zeitpunkt der letzten Prüfung
4.2.3 Interne KI-Richtlinie für Mitarbeitende
Sollte u. a. regeln:
- Welche KI-Tools sind erlaubt?
- Welche Daten dürfen nicht eingegeben werden?
- Kennzeichnungspflichten bei KI-Inhalten
- Umgang mit Fehlern / Halluzinationen
- Eskalationswege bei Problemen
- Einsatzregeln für externe KI-Tools und vertrauliche Informationen
4.3 Erweiterte Governance (ab Hochrisiko-KI dringend nötig)
4.3.1 Risiko- & Impact-Assessment
Für relevante KI-Systeme dokumentieren:
- Zweck & Entscheidungswirkung
- Betroffene Personengruppen
- Risiken (Bias, Diskriminierung, Fehler, Sicherheitsrisiken)
- Technische & organisatorische Maßnahmen
- Restrisiken & Freigabeentscheidung
- -> Oft kombinierbar mit DSGVO-DSFA.
4.3.2 Human Oversight (menschliche Kontrolle)
Pflicht bei Hochrisiko-KI:
- Mensch kann KI-Entscheidung überprüfen
- Mensch kann Entscheidung übersteuern
- Klare Eskalations- & Stop-Regeln
- Schulung der verantwortlichen Personen
4.3.3 Dokumentation & Nachvollziehbarkeit
Nicht "Quellcode erklären", sondern:
- Welche Datenarten werden genutzt?
- Wie wird trainiert / angepasst?
- Wie wird Qualität überwacht?
- Wie werden Fehler gemeldet?
- Welche Anbieterinformationen und Konformitätsnachweise liegen vor?
4.4 Schulung & Awareness (oft unterschätzt)
Der AI Act verlangt seit 2. Februar 2025 ausreichende KI-Kompetenz. Empfohlen:
- Basisschulung für alle Mitarbeitenden
- Vertiefung für HR, IT, Legal, Compliance, Einkauf, Management
- Rollenspezifische Schulungen für Personen, die Hochrisiko-KI betreiben oder überwachen
- Dokumentation der Schulungsteilnahme
4.5 Governance in Beschaffung & Einkauf
KI-Governance muss vor Vertragsabschluss greifen. Checkpunkte:
- AI-Act-Rolle des Anbieters und des eigenen Unternehmens
- Konformität & Dokumentation
- Transparenz über GPAI- oder Modellkomponenten
- Änderungsmanagement (Modellupdates!)
- Haftung & Support
- Audit- & Auskunftsrechte
Schritt 5: Interne Richtlinien für Mitarbeitende
Inhalte einer KI-Nutzungsrichtlinie:
- Welche KI-Tools sind erlaubt?
- Welche Daten dürfen nicht eingegeben werden?
- Pflicht zur Prüfung von KI-Ergebnissen
- Kennzeichnung von KI-generierten Inhalten
- Meldewege bei Problemen oder Unsicherheiten
HINWEIS: Auch bei ausschließlicher Nutzung von ChatGPT notwendig!
Schritt 6: KI-Kompetenz systematisch aufbauen
Rechtlicher Hintergrund:
Der EU AI Act fordert seit 2. Februar 2025 ausreichende KI-Kompetenz, abhängig von Rolle, Kontext, eingesetztem KI-System und Risiko.
Was bedeutet das praktisch?
Es besteht keine allgemeine Pflicht zu bestimmten Zertifikaten oder Prüfungen. Die Kompetenz muss aber angemessen, nachvollziehbar und dokumentiert sein.
Maßnahmen:
- Basisschulung für alle Mitarbeitenden, die KI-Systeme nutzen
- Vertiefung für KI-nahe Rollen (HR, IT, Legal, Compliance, Einkauf, Management)
- Spezielle Schulung für Personen mit Human-Oversight-Aufgaben
- Regelmäßige Auffrischung bei neuen Tools, neuen Risiken oder geänderten rechtlichen Anforderungen
- Dokumentation von Schulungsinhalten, Zielgruppen, Datum und Teilnahme
HINWEIS: Schulungsnachweise aufbewahren. Bei Prüfungen durch Behörden ist nicht nur der Inhalt, sondern auch die organisatorische Umsetzung relevant.
Schritt 7: Datenschutz & IT-Sicherheit integrieren
Zentrale Fragen:
- Werden personenbezogene Daten verarbeitet?
- Werden Daten in Drittstaaten übertragen?
- Liegen AV-Verträge vor?
Maßnahmen:
- Datenschutz-Folgenabschätzung (DSFA) bei Hochrisiko-KI
- Technische und organisatorische Maßnahmen (TOMs)
- Zugriffsbeschränkungen und Logging
HINWEIS: AI Act ersetzt die DSGVO nicht, beide gelten parallel.
Schritt 8: Human Oversight umsetzen
Warum?
Der AI Act verlangt, dass der Mensch die letzte Kontrolle behält, insbesondere bei Hochrisiko-KI.
Praktische Umsetzung:
- KI trifft keine endgültigen Entscheidungen ohne menschliche Prüfung
- Klare Kriterien, wann eingegriffen werden muss
- Schulung der verantwortlichen Personen
Schritt 9: Externe Nutzer & Kunden berücksichtigen
Wenn externe Personen Ihre KI nutzen:
- Transparente Information über KI-Einsatz
- Hinweise zu Grenzen und Risiken
- Bei Hochrisiko-KI: Schulungen oder Anleitungen
HINWEIS: Verantwortung vertraglich klar regeln.
Schritt 10: Verträge & Einkauf absichern
Vor Einsatz externer KI-Systeme prüfen:
- Rollenverteilung nach AI Act
- Haftung und Support
- Update- und Änderungsmanagement
- Audit- und Auskunftsrechte
Schritt 11: Dokumentation & Auditfähigkeit
Bereithalten:
- KI-Inventar
- Risikoanalysen
- Richtlinien & Schulungsnachweise
- Benennung der Verantwortlichen
Schritt 12: Kontinuierliche Verbesserung
- Regelmäßige Reviews
- Neue KI sofort integrieren
- Prozesse anpassen
- Lessons Learned dokumentieren
Entlastung für den Mittelstand: Was ändert sich praktisch?
Der AI Act enthält bereits in der geltenden Fassung mehrere Unterstützungs- und Entlastungsinstrumente für KMU / Mittelstand einschließlich Start-ups. Das Digital-Omnibus-Paket soll diese Entlastung punktuell erweitern und besser handhabbar machen. Wichtig ist die Unterscheidung:
- Bereits im AI Act angelegt: Unterstützung für KMU, u. a. Zugang zu KI-Reallaboren, Schulungen, Kommunikationskanäle, Standardisierungsteilnahme, reduzierte Gebühren und vereinfachte Unterlagen.
- Durch Omnibus vorgeschlagen / politisch vorläufig geeint: Vereinfachungen sollen stärker auf KMU und teilweise auch auf Small Mid-Caps (SMCs) ausgeweitet werden; außerdem sollen Fristen und Pflichten stärker an verfügbare Standards, Vorlagen und Leitlinien gekoppelt werden.
- Keine Vollbefreiung: Entlastung bedeutet nicht, dass Risiken, Transparenz, Datenschutz, Arbeitsschutz oder Hochrisiko-Pflichten ignoriert werden dürfen. Besonders bei Hochrisiko-KI bleiben Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht und Vorfallsmanagement zentrale Anforderungen.
Konkrete Entlastungen für KMU / Mittelstand
| Entlastungsbereich | Was bedeutet das? | Beispiel für ein mittelständisches Unternehmen |
|---|---|---|
| Priorisierter Zugang zu KI-Reallaboren / Regulatory Sandboxes | KMU und Start-ups sollen bevorzugt Zugang zu behördlich begleiteten Testumgebungen erhalten. | Ein Maschinenbau-Zulieferer testet eine KI-basierte Qualitätsprüfung mit der Aufsicht, bevor das System breit ausgerollt oder verkauft wird. |
| Kostenentlastung bei Konformitätsbewertungen | Gebühren sollen für KMU verhältnismäßig bzw. reduziert sein. | Ein Softwarehaus mit 45 Mitarbeitenden, das eine Hochrisiko-Recruiting-Lösung anbietet, muss zwar eine Konformitätsbewertung einplanen, soll aber nicht wie ein Großkonzern belastet werden. |
| Vereinfachte technische Dokumentation | Die Kommission soll standardisierte Vorlagen bereitstellen; nach Omnibus sollen vereinfachte Modalitäten auch breiter nutzbar werden. | Ein HR-Tech-Start-up nutzt eine EU-Vorlage für technische Dokumentation statt ein vollständig eigenes Dokumentationssystem aufzubauen. |
| Vereinfachtes Qualitätsmanagement | Nach geltendem AI Act können Kleinstunternehmen bestimmte Elemente des Qualitätsmanagementsystems vereinfacht erfüllen; nach Omnibus sollen Leitlinien auch KMU/SMCs stärker unterstützen. | Ein kleines KI-Unternehmen dokumentiert Verantwortlichkeiten, Tests, Datenmanagement und Monitoring in schlanken, nachvollziehbaren Prozessen statt mit einem konzernweiten QMS. |
| Leitlinien und Vorlagen der Kommission / des AI Office | 2026 sollen u. a. Leitlinien zu Hochrisiko-Klassifizierung, Art.-50-Transparenz, Pflichten von Anbietern/Betreibern, FRIA-Vorlagen und vereinfachtem QMS entstehen. | Ein Mittelständler kann bei der Prüfung „Ist unser System Hochrisiko?“ auf EU-Leitlinien statt nur auf externe Rechtsgutachten zurückgreifen. |
| Service Desk / Single Information Platform | Unternehmen sollen zentrale Informationen und Hilfestellungen erhalten. | Die Compliance- oder IT-Leitung prüft über den AI Act Service Desk, ob ein Chatbot nur Transparenzpflichten auslöst oder zusätzlich Hochrisiko-Aspekte berührt. |
| Mehr Zeit für Hochrisiko-Compliance | Nach der vorläufigen Omnibus-Einigung sollen Standalone-Hochrisiko-Systeme bis 2. Dezember 2027 und eingebettete Hochrisiko-Systeme bis 2. August 2028 Zeit haben. | Ein Anbieter von KI-gestützter Bewerbervorauswahl kann Dokumentation, Risikomanagement, Datenqualität und Human Oversight über einen realistischen Projektplan aufbauen. |
| Weniger Overlap mit sektoralen Produktregeln | Für industrielle KI und regulierte Produkte soll besser geklärt werden, wann sektorale Vorschriften ähnliche Anforderungen bereits abdecken. | Ein Hersteller von Maschinen mit KI-Sicherheitskomponente kann AI-Act-Anforderungen stärker mit bestehenden CE-, Maschinen- und Produktsicherheitsprozessen verzahnen. |
| Proportionalität bei Sanktionen | Bei Bußgeldern sollen u. a. Größe, Marktstellung und wirtschaftliche Leistungsfähigkeit berücksichtigt werden. | Ein KMU wird nicht automatisch wie ein großer Plattformanbieter behandelt; trotzdem können Verstöße teuer und reputationsschädlich sein. |
Praxisbeispiele: Was sollte der Mittelstand jetzt tun?
| Situation | Entlastung nutzen | Trotzdem erforderlich |
|---|---|---|
| Mittelständler nutzt ChatGPT, Copilot oder ein anderes KI-Tool intern für Texte, Code oder Recherche. | Kein Hochrisiko-Projekt, meist schlanke Governance ausreichend. | KI-Richtlinie, Datenregeln, KI-Kompetenz, Freigabeprozess für Tools, Prüfung von Ergebnissen und Datenschutz beachten. |
| Kundenservice-Chatbot auf der Website. | Transparenzpflichten sind handhabbar: klarer Hinweis „Sie interagieren mit einem KI-System“, Eskalation zu Menschen. | Art.-50-Prüfung, Datenschutzinformationen, Logging-/Qualitätskontrolle, klare Grenzen des Bots. |
| KI zur Bewerbervorauswahl oder Mitarbeiterbewertung. | Verschobene Hochrisiko-Frist gibt mehr Vorbereitungszeit; Vorlagen/Leitlinien können genutzt werden. | Möglicher Hochrisiko-Fall: Risikomanagement, Bias-Prüfung, Datenqualität, Human Oversight, Arbeitnehmerinformation und DSGVO-/Arbeitsrechtsprüfung. |
| KI-gestützte Qualitätskontrolle in Produktion. | Je nach Einsatz ggf. keine Hochrisiko-KI; Reallabor und Normen können helfen. | Prüfen, ob Sicherheitsfunktion oder reguliertes Produkt betroffen ist; technische Dokumentation, Tests, Verantwortlichkeiten und Lieferantenpflichten dokumentieren. |
| Start-up entwickelt eine KI-Lösung für Bildung, HR, Kreditwürdigkeit oder Gesundheit. | Sandboxes, reduzierte Gebühren, Vorlagen und Service Desk früh einplanen. | Hochrisiko-Klassifizierung sauber prüfen; Compliance-by-Design von Beginn an einbauen, nicht erst vor Markteintritt. |
| Mittelständischer Anbieter integriert ein GPAI-Modell eines großen Anbieters in die eigene Software. | Pflichten können entlang der Wertschöpfungskette verteilt werden; Informationen des GPAI-Anbieters nutzen. | Vertraglich klären, wer Anbieter/Betreiber ist, welche Dokumentation geliefert wird, wie Updates, Monitoring und Vorfälle gehandhabt werden. |
Merksatz für KMU
Für den Mittelstand ist die wichtigste Entlastung nicht „weniger Verantwortung“, sondern mehr Planbarkeit, mehr Vorlagen, geringere Kosten und mehr Zeit. Praktisch heißt das: früh KI-Inventar und Risikoklassifizierung aufsetzen, aber Hochrisiko-Compliance mit den neuen Fristen, Leitlinien und möglichen Reallaboren realistisch staffeln.
Zeitplan: wichtige Stichtage für Unternehmen
- 1. August 2024: Inkrafttreten der Verordnung (EU) 2024/1689.
- 2. Februar 2025: Anwendung der allgemeinen Bestimmungen, KI-Kompetenzpflichten nach Art. 4 und Verbote bestimmter KI-Praktiken.
- 2. August 2025: Anwendung u. a. der GPAI-Regeln, bestimmter Governance-Vorschriften und Behördenregelungen.
- 7. Mai 2026: Vorläufige politische Einigung von Rat und Parlament zum AI-Omnibus / Digital Omnibus on AI; noch nicht endgültig formal verabschiedet.
- 8. Mai 2026 bis 3. Juni 2026: Konsultation der Kommission zu Entwurfsleitlinien für Transparenzpflichten nach Art. 50 AI Act.
- 2. August 2026: Breite Anwendung des AI Act; insbesondere Transparenzpflichten nach Art. 50 bleiben relevant.
- 2. Dezember 2026: Nach der politischen Einigung neuer Stichtag für die Umsetzung von Transparenzlösungen / maschinenlesbarer Kennzeichnung künstlich erzeugter Inhalte; außerdem geplante Anwendung neuer Verbote gegen KI-Systeme zur Erzeugung nicht-einvernehmlicher intimer/sexuell expliziter Inhalte und CSAM.
- 2. August 2027: Nach politischer Einigung verschobener Stichtag für die Einrichtung nationaler KI-Reallabore / Regulatory Sandboxes.
- 2. Dezember 2027: Geplante Anwendung der Hochrisiko-Regeln für Standalone-Hochrisiko-KI-Systeme, u. a. in Biometrie, kritischer Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle.
- 2. August 2028: Geplante Anwendung der Hochrisiko-Regeln für KI-Systeme, die in regulierte Produkte integriert sind, z. B. Aufzüge, Spielzeug oder bestimmte sektorregulierte Produkte.
Beispiele zu den neuen / bestätigten Fristen
| Frist | Beispiel im Unternehmen | Praktische Konsequenz |
|---|---|---|
| 2. August 2026 – Transparenzpflichten nach Art. 50 | Ein Kundenservice-Chatbot beantwortet Fragen auf der Website oder im Kundenportal. | Nutzer:innen müssen klar erkennen können, dass sie mit einem KI-System interagieren, sofern dies nicht aus dem Kontext offensichtlich ist. |
| 2. August 2026 – Transparenzpflichten nach Art. 50 | Marketing erstellt KI-generierte Produktbilder, Videos oder Audio für eine öffentliche Kampagne. | Soweit Art. 50 greift, müssen KI-generierte oder manipulierte Inhalte erkennbar gekennzeichnet bzw. technische Markierungs-/Erkennungslösungen berücksichtigt werden. |
| 2. August 2026 – Transparenzpflichten nach Art. 50 | Ein Unternehmen nutzt ein System zur Emotionserkennung oder biometrischen Kategorisierung, z. B. in einem Sicherheits-, Schulungs- oder Testkontext. | Betroffene Personen müssen informiert werden; zusätzlich sind DSGVO, Arbeitsrecht und ggf. Verbote bzw. Hochrisiko-Regeln zu prüfen. |
| 2. Dezember 2026 – Transparenzlösungen / maschinenlesbare Kennzeichnung nach Omnibus-Einigung | Ein Anbieter eines Bild-, Video- oder Textgenerators stellt das System in der EU bereit. | Der Anbieter sollte technische Verfahren für maschinenlesbare Kennzeichnung bzw. Erkennbarkeit künstlich erzeugter Inhalte spätestens bis zu diesem Stichtag eingeplant haben, sofern der finale Omnibus-Text dies bestätigt. |
| 2. Dezember 2026 – neue Verbote nach Omnibus-Einigung | Ein Tool erzeugt ohne Einwilligung intime oder sexuell explizite Darstellungen realer Personen, etwa sogenannte „Nudification“-Funktionen. | Solche Systeme sollen nach der politischen Einigung verboten werden; Unternehmen sollten entsprechende Funktionen, Anbieter und Use Cases sofort ausschließen. |
| 2. August 2027 – nationale KI-Reallabore / Regulatory Sandboxes | Ein Start-up möchte ein innovatives KI-System unter behördlicher Begleitung testen, etwa im Gesundheits-, Mobilitäts- oder Verwaltungsumfeld. | Ab diesem Zeitpunkt sollen Mitgliedstaaten entsprechende Reallabore eingerichtet haben; Unternehmen können Pilotprojekte darauf ausrichten. |
| 2. Dezember 2027 – Standalone-Hochrisiko-KI | Eine eigenständige Recruiting-Software bewertet Bewerbungen, rankt Kandidat:innen oder trifft Vorauswahlentscheidungen. | Anbieter und Betreiber müssen Hochrisiko-Pflichten einplanen, insbesondere Risikomanagement, Datenqualität, technische Dokumentation, Logging, Human Oversight, Genauigkeit/Robustheit und Konformitätsbewertung. |
| 2. Dezember 2027 – Standalone-Hochrisiko-KI | Eine eigenständige KI bewertet Prüfungsleistungen, entscheidet über Bildungszugang oder unterstützt wesentliche Leistungsbeurteilungen. | Schulen, Hochschulen, Bildungsanbieter und Softwareanbieter müssen den Einsatz als möglichen Hochrisiko-Use-Case behandeln und frühzeitig Nachweise, Aufsicht und Beschwerdewege vorbereiten. |
| 2. Dezember 2027 – Standalone-Hochrisiko-KI | Ein System bewertet Kreditwürdigkeit, Zugang zu wesentlichen privaten Diensten oder Sozial-/Leistungsansprüche. | Der Einsatz sollte als möglicher Hochrisiko-Fall geprüft werden; besonders wichtig sind Nachvollziehbarkeit, Nichtdiskriminierung, Datenqualität, menschliche Kontrolle und Dokumentation. |
| 2. August 2028 – Hochrisiko-KI in regulierten Produkten | Eine KI-Komponente steuert eine Sicherheitsfunktion in einer Maschine, einem Medizinprodukt, einem Aufzug, Spielzeug oder einem anderen sektorregulierten Produkt. | Die Hochrisiko-Pflichten greifen nach der Omnibus-Einigung später als bei Standalone-Systemen; Produktentwicklung, CE-/Konformitätsverfahren, technische Dokumentation und Lieferantenpflichten sollten trotzdem früh eingeplant werden. |
Merksatz: Transparenz- und Kennzeichnungsthemen betreffen viele Unternehmen bereits 2026. Standalone-Hochrisiko-Software hat nach der politischen Einigung voraussichtlich bis 2. Dezember 2027 Zeit, während in regulierte Produkte integrierte Hochrisiko-KI voraussichtlich bis 2. August 2028 betroffen ist. Die Omnibus-Angaben bleiben bis zur formalen Annahme und Veröffentlichung des finalen Rechtstextes unter Vorbehalt.
Praxisfolge: Unternehmen sollten bis 2026 mindestens KI-Inventar, Rollenklärung, KI-Kompetenz, Beschaffungsprozess, Richtlinie, Transparenzprozesse und Eskalationswege etabliert haben. Hochrisiko-Projekte können aufgrund der verschobenen Fristen neu priorisiert werden, sollten aber nicht pausiert werden, weil Standards, Dokumentation, Datenqualität, Lieferantenverträge und technische Nachweise lange Vorlaufzeiten haben.
Quellen
Primärquellen / Gesetzestexte
- Europäische Union: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-Verordnung / AI Act), Amtsblatt der Europäischen Union, 12. Juli 2024. https://eur-lex.europa.eu/eli/reg/2024/1689/oj/de
- Europäische Union: Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung / DSGVO). https://eur-lex.europa.eu/eli/reg/2016/679/oj/de
Aktuelle Omnibus- / AI-Act-News und Validierung, Stand 12. Mai 2026
- Rat der Europäischen Union: Artificial Intelligence: Council and Parliament agree to simplify and streamline rules, Pressemitteilung vom 7. Mai 2026; bestätigt die vorläufige politische Einigung, neue Hochrisiko-Fristen, neue Verbote, Transparenz-/Kennzeichnungsfrist und nächsten Verfahrensschritt. https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
- Europäische Kommission: EU agrees to simplify AI rules to boost innovation and ban ‘nudification’ apps to protect citizens, Pressemitteilung vom 7. Mai 2026; bestätigt die politischen Eckpunkte des AI-Omnibus. https://digital-strategy.ec.europa.eu/en/news/eu-agrees-simplify-ai-rules-boost-innovation-and-ban-nudification-apps-protect-citizens
- Europäische Kommission: AI Act – Shaping Europe’s digital future, laufend aktualisierte Übersichtsseite; enthält inzwischen die AI-Omnibus-Einordnung und die geänderten Planungsfristen für Hochrisiko-KI. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Europäische Kommission: Consultation on the draft guidelines on transparency obligations under the AI Act, Konsultation vom 8. Mai bis 3. Juni 2026; bestätigt Relevanz der Art.-50-Transparenzpflichten ab 2. August 2026. https://digital-strategy.ec.europa.eu/en/consultations/consultation-draft-guidelines-transparency-obligations-under-ai-act
- Europäische Kommission: Draft of the guidelines on the implementation of the transparency obligations for certain AI systems under Article 50 of the AI Act, Veröffentlichung vom 8. Mai 2026. https://digital-strategy.ec.europa.eu/en/library/draft-guidelines-implementation-transparency-obligations-certain-ai-systems-under-article-50-ai-act
- Europäische Kommission: Simplification – Omnibus VII: digital, Überblick zur Vereinfachung von Daten-, Cybersicherheits- und KI-Regeln; Kommissionsvorschlag vom 19. November 2025, laufendes Gesetzgebungsverfahren. https://commission.europa.eu/law/law-making-process/better-regulation/simplification-implementation-enforcement/simplification_en
- Börse Express: EU AI Act: Omnibus-Paket verschiebt Fristen und verschärft Transparenzregeln, 12. Mai 2026; als Sekundärquelle genutzt und anhand offizieller Quellen validiert. https://www.boerse-express.com/news/articles/eu-ai-act-omnibus-paket-verschiebt-fristen-und-verschaerft-transparenzregeln-903753
- Reuters: EU countries, lawmakers clinch provisional deal on watered-down AI rules, 7. Mai 2026; journalistische Einordnung der politischen Einigung. https://www.reuters.com/world/eu-countries-lawmakers-strike-provisional-deal-watered-down-ai-rules-2026-05-07/
Offizielle EU-Informationen und Umsetzungshilfen
- Europäische Kommission / AI Office: AI Act Service Desk / Single Information Platform; zentrale Informations- und Anlaufstelle für Fragen zum AI Act. https://ai-act-service-desk.ec.europa.eu/de
- Europäische Kommission: AI Act – Questions and Answers / Umsetzungshinweise; Erläuterungen zur Anwendung der KI-Verordnung und zu Pflichten für Anbieter und Betreiber. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Europäisches Parlament, Think Tank / EPRS: AI Act implementation timeline; kompakte Übersicht zu Inkrafttreten und gestaffelter Anwendung der Pflichten. https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)772906772906)
Mittelstand, KMU-Entlastung und Umsetzungshilfen
- Europäische Kommission: Digital Package – Questions and Answers, 20. November 2025; erläutert Vereinfachungsziel des Digital Omnibus, u. a. geringere Kosten, weniger Überschneidungen und Zeit-/Kosteneinsparungen für KMU und Small Mid-Caps. https://digital-strategy.ec.europa.eu/en/faqs/digital-package
- Europäische Kommission: Digital Omnibus Regulation Proposal, 19. November 2025; beschreibt das Ziel unmittelbarer Entlastung für Unternehmen, öffentliche Verwaltungen und Bürger sowie geringerer Compliance-Kosten. https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- Europäische Kommission / AI Office: Supporting the implementation of the AI Act with clear guidelines, 4. Dezember 2025; kündigt Leitlinien und Vorlagen u. a. zu Hochrisiko-Klassifizierung, Art.-50-Transparenz, FRIA, Pflichten von Anbietern/Betreibern und vereinfachtem Qualitätsmanagement für SMEs/SMCs an. https://digital-strategy.ec.europa.eu/en/news/supporting-implementation-ai-act-clear-guidelines
- Europäische Kommission / AI Act Service Desk: Article 62 – Measures for providers and deployers, in particular SMEs, including start-ups; Unterstützungsmaßnahmen für KMU, u. a. priorisierter Zugang zu Reallaboren, Schulungen, Kommunikationskanäle, Standardisierung und reduzierte Gebühren. https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-62
- Europäische Kommission / AI Act Service Desk: Article 63 – Derogations for specific operators; vereinfachte Erfüllung bestimmter Qualitätsmanagement-Anforderungen für Kleinstunternehmen nach geltendem AI Act. https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-63
- Europäische Kommission / AI Act Service Desk: Frequently Asked Questions, insbesondere Fragen zu vereinfachten Compliance-Pfaden für KMU, Omnibus-Vereinfachungen, Fristen und Supportinstrumenten. https://ai-act-service-desk.ec.europa.eu/en/faq
- Rat der Europäischen Union: Support to small and medium-sized enterprises (SMEs); Überblick über EU-Ziel zur Reduzierung von Kosten und Berichtspflichten für KMU um mindestens 35 % bis 2030. https://www.consilium.europa.eu/en/policies/support-to-small-and-medium-sized-enterprises/
Deutschland: Aufsicht, Behörden, Service Desk
- Bundesnetzagentur: KI-Verordnung / AI Act; Informationen zur deutschen Umsetzung, Marktüberwachung und KI-Service-Desk. https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/start_ki.html
- Bundesnetzagentur: Marktüberwachung nach der KI-Verordnung. https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/14_Marktueberwachung/start.html
- Bundesministerium für Digitales und Staatsmodernisierung: Kabinett beschließt schlanke KI-Aufsicht in Deutschland; Stand zur vorgesehenen Rolle der Bundesnetzagentur als zentrales Koordinierungs- und Kompetenzzentrum, Marktüberwachungsbehörde und notifizierende Behörde. https://bmds.bund.de/aktuelles/pressemitteilungen/detail/kabinett-beschliesst-schlanke-ki-aufsicht-in-deutschland
Datenschutz und KI
- Europäischer Datenschutzausschuss (EDPB): Artificial intelligence – Dokumente, Stellungnahmen und Leitlinien. https://www.edpb.europa.eu/our-work-tools/our-documents/topic/artificial-intelligence_de
- Europäischer Datenschutzausschuss (EDPB): Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, 18. Dezember 2024. https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en
Normung, Praxis und ergänzende Orientierung
- DIN: Der AI Act in der Praxis; Informationen zur praktischen Umsetzung und zur Rolle von Normen und Standards. https://www.din.de/de/din-und-seine-partner/presse/mitteilungen/der-ai-act-in-der-praxis-1230224
- ArtificialIntelligenceAct.eu: Implementation Timeline; nicht-offizielle, aber übersichtliche Zeitachsen- und Orientierungshilfe zur KI-Verordnung. https://artificialintelligenceact.eu/implementation-timeline/
Besonders relevante Normen im AI Act für diese Übersicht
- Art. 2 – Anwendungsbereich
- Art. 3 – Begriffsbestimmungen, u. a. Anbieter und Betreiber
- Art. 4 – KI-Kompetenz
- Art. 5 – Verbotene KI-Praktiken
- Art. 6 und Anhang III – Hochrisiko-KI-Systeme
- Art. 13 und 14 – Transparenz und menschliche Aufsicht bei Hochrisiko-KI
- Art. 26 – Pflichten der Betreiber von Hochrisiko-KI-Systemen
- Art. 50 – Transparenzpflichten für bestimmte KI-Systeme
- Art. 53 ff. – Pflichten für Anbieter von GPAI-Modellen
- Art. 62 – Maßnahmen zugunsten von Anbietern und Betreibern, insbesondere KMU einschließlich Start-ups
- Art. 63 – Ausnahmen / Vereinfachungen für bestimmte Betreiber, insbesondere vereinfachtes Qualitätsmanagement für Kleinstunternehmen
- Art. 70 – Benennung zuständiger nationaler Behörden
- Art. 99 – Sanktionen
- Art. 113 – Inkrafttreten und zeitlich gestaffelte Anwendung
Abrufdatum der Onlinequellen: 12. Mai 2026.
Stand: 12. Mai 2026 © Kevin Fitkau
Hinweis: Diese Übersicht dient der internen Orientierung und ersetzt keine Rechtsberatung. Die Anwendung des AI Act hängt vom konkreten KI-System, der Rolle des Unternehmens und dem Einsatzkontext ab. Die Angaben zum AI-Omnibus beruhen auf der vorläufigen politischen Einigung vom 7. Mai 2026; bis zur formalen Annahme und Veröffentlichung des finalen Rechtstextes können Details noch rechtlich präzisiert werden.