Futuristischer Roboter für künstliche Intelligenz vor Computer mit Dateiinformationen.

Der EU AI Act ist da – Was sich für Unternehmen ändert

/in /von

Die Regulierung von Künstlicher Intelligenz beschäftigt 2025 praktisch jedes Unternehmen. Mit der KI-Verordung (umgangssprachlich auch: „der AI Act“) ist das erste umfassende KI-Gesetz in Kraft getreten – und es betrifft fast alle, die in Europa KI entwickeln, nutzen oder verkaufen.

Seit August 2024 gilt die Verordnung, und bereits jetzt im Februar 2025 greifen die ersten entscheidenden Regelungen. Das Wichtigste vorweg: Bestimmte KI-Anwendungen sind verboten. Dazu gehören staatliche Systeme zur sozialen Bewertung von Bürgern, flächendeckende biometrische Überwachung im öffentlichen Raum und Technologien, die Menschen manipulativ beeinflussen. Für diese verbotenen Praktiken gibt es keine Übergangsfrist – sie müssen sofort vom Markt verschwinden.

Wer dagegen verstößt, dem drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Das sind keine leeren Drohungen, sondern ernst gemeinte Sanktionen.

Hochrisiko-KI: Hier wird es komplex

Der AI Act funktioniert nach einem risikobasierten System. Je gefährlicher eine KI-Anwendung eingeschätzt wird, desto strenger sind die Auflagen. Besonders scharf reguliert werden Hochrisiko-KI-Systeme – und davon gibt es mehr, als viele denken.

Personalabteilungen müssen besonders aufpassen: KI-gestützte Bewerbungsauswahl, Leistungsbewertung oder Personalcontrolling fallen fast immer in die Hochrisiko-Kategorie. Das gleiche gilt für KI in der Kreditvergabe, im Gesundheitswesen, in kritischen Infrastrukturen oder im Bildungsbereich.

Unternehmen, die solche Systeme einsetzen – auch wenn sie sie nur von Dritten kaufen und nicht selbst entwickeln – werden als „Betreiber“ behandelt. Das bedeutet: Sie müssen Risikoanalysen durchführen, ihre Daten und Entwicklungsprozesse dokumentieren, eine kontinuierliche menschliche Überwachung sicherstellen und schwerwiegende Vorfälle melden.

Schulungspflicht für alle

Eine der wichtigsten Neuerungen: Ab Februar 2025 müssen alle Mitarbeiter, die irgendwie mit KI arbeiten, entsprechend geschult werden. Das betrifft sowohl Entwickler als auch normale Anwender und ist eine fortlaufende Aufgabe – einmal schulen reicht nicht.

Auch wenn Verstöße gegen die Schulungspflicht nicht direkt mit Bußgeldern bestraft werden, können sie im Schadensfall teuer werden. Gerichte könnten ein Organisationsverschulden feststellen, wenn Mitarbeiter unzureichend auf den KI-Einsatz vorbereitet waren.

Transparenz wird Pflicht

Auch weniger riskante KI-Anwendungen unterliegen neuen Transparenzregeln. Besonders wichtig: Deepfakes und KI-generierte Inhalte müssen klar als solche gekennzeichnet werden. Das gilt für Bilder, Videos, Audiodateien und auch für Texte, die öffentliches Interesse wecken oder die Meinungsbildung beeinflussen könnten.

Datenschutz bleibt relevant

Der AI Act ergänzt die bestehenden Datenschutzgesetze, ersetzt sie aber nicht. DSGVO und Bundesdatenschutzgesetz gelten weiterhin vollumfänglich. Für KI-Systeme, die personenbezogene Daten verarbeiten oder profilbasierte Entscheidungen treffen, müssen Unternehmen also beide Regelwerke beachten.

Die Aufsichtsbehörden werden künftig nicht nur den Datenschutz, sondern verstärkt auch die KI-spezifischen Vorgaben kontrollieren. Unternehmen sollten sich auf entsprechende Anfragen vorbereiten.

Generative KI im Fokus

Ein besonders aktuelles Thema ist der rechtskonforme Einsatz von generativen KI-Tools wie ChatGPT oder ähnlichen Systemen. Auch diese unterliegen ab August 2025 besonderen Transparenz- und Dokumentationsanforderungen. Unternehmen, die solche Tools nutzen, sollten ihre internen Richtlinien entsprechend überarbeiten.

Ausblick: Das kommt noch

Die aktuelle Regelungsphase ist erst der Anfang. Im Sommer 2026 greifen die vollständigen Vorschriften für Hochrisiko-KI-Systeme. Parallel dazu wird intensiv über spezialisierte KI-Aufsichtsstrukturen und Haftungsfragen diskutiert.

Besonders spannend wird die Frage, wie Gerichte mit KI-bedingten Fehlern oder Diskriminierungen umgehen. Hier entstehen gerade neue Rechtsprechungen, die Unternehmen aufmerksam verfolgen sollten.

Was Unternehmen jetzt tun müssen

Die Botschaft ist klar: Sich jetzt mit den neuen Vorgaben auseinanderzusetzen ist keine lästige Pflicht, sondern eine Investition in die Zukunft. Bei komplexeren Fragen lohnt es sich, frühzeitig rechtliche und technische Expertise hinzuzuziehen.

Der Handlungsbedarf besteht unmittelbar. Unternehmen sollten zunächst alle eingesetzten KI-Systeme auf ihre Risikoeinstufung prüfen und dokumentieren. Parallel dazu gehören Mitarbeiterschulungen und der Aufbau wirksamer Governance-Strukturen zu den dringlichsten Aufgaben.

Besondere Vorsicht ist bei externen KI-Anbietern geboten. Die reformierten Produkthaftungsregeln der EU umfassen jetzt explizit Software und KI-Systeme. Wer KI-Komponenten zukauft, sollte die Verträge entsprechend anpassen und Haftungsrisiken klären.

Das könnte Dich auch interessieren
Noten und Verbotsschild GEMA ./. OpenAI: LG München I bejaht Verletzung des Urheberrechts
Omnibus Digitaler Omnibus: Die EU räumt bei DSGVO & Co. auf