EU AI Act 2026: Was müssen Unternehmen beachten?
EU AI Act 2026: Was müssen Unternehmen beachten?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Mit vier Risikoklassen, strengen Transparenzpflichten und Bußgeldern von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes betrifft er praktisch jedes Unternehmen, das KI einsetzt oder anbietet. CERTISCAN KI-Funktionen sind als „begrenztes Risiko" eingestuft und erfüllen alle Transparenzanforderungen.
Zeitplan: Wann gilt was?
Der AI Act tritt gestaffelt in Kraft – nicht alle Pflichten gelten sofort. Unternehmen sollten den Zeitplan genau kennen, um rechtzeitig vorbereitet zu sein:
| Datum | Inkrafttreten | Betroffene |
|---|---|---|
| 01.08.2024 | Verordnung in Kraft getreten | Alle |
| 02.02.2025 | Verbotene KI-Praktiken (Kapitel II) | Alle Anbieter und Nutzer |
| 02.08.2025 | GPAI-Modelle (Kapitel V), Governance, Sanktionen | Anbieter von Foundation Models |
| 02.08.2026 | Hochrisiko-KI (Anhang III), Transparenzpflichten | Anbieter und Nutzer von Hochrisiko-KI |
| 02.08.2027 | Hochrisiko-KI (Anhang I, Konformitätsbewertung durch Dritte) | Vollständige Anwendung |
Die vier Risikoklassen
Das Herzstück des AI Act ist die risikobasierte Klassifizierung von KI-Systemen. Jedes KI-System wird einer von vier Kategorien zugeordnet, die unterschiedliche regulatorische Anforderungen auslösen:
1. Unannehmbares Risiko (Verboten)
Folgende KI-Anwendungen sind in der EU seit dem 2. Februar 2025 verboten:
- Social Scoring: Bewertung natürlicher Personen auf Basis ihres Sozialverhaltens durch Behörden (à la China)
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgungsbehörden (mit eng definierten Ausnahmen für schwere Straftaten)
- Unterschwellige Manipulation: KI-Techniken, die das Verhalten von Personen unbewusst beeinflussen und zu physischem oder psychischem Schaden führen können
- Ausnutzung von Schwächen: KI-Systeme, die Alter, Behinderung oder soziale/wirtschaftliche Situation gezielt ausnutzen
- Emotionserkennung: Am Arbeitsplatz und in Bildungseinrichtungen (mit eng begrenzten medizinischen und sicherheitsrelevanten Ausnahmen)
- Biometrische Kategorisierung: Rückschlüsse auf Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, Sexualleben oder sexuelle Orientierung aus biometrischen Daten
- Prädiktive Polizeiarbeit: Risikoeinschätzung einer natürlichen Person hinsichtlich des Begehens einer Straftat allein auf Basis von Profiling oder Persönlichkeitsmerkmalen
2. Hohes Risiko (Strenge Regulierung)
Hochrisiko-KI-Systeme unterliegen umfangreichen Pflichten und müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchlaufen. Die Einstufung als Hochrisiko-KI erfolgt entweder über den Produktsicherheitsweg (Anhang I: Maschinen, Medizinprodukte, Aufzüge etc.) oder über den Anwendungsfallweg (Anhang III).
| Anwendungsbereich | Beispiele | Pflichten |
|---|---|---|
| Biometrische Identifizierung | Gesichtserkennung (nicht Echtzeit), Fingerabdruckvergleich | Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank |
| Kritische Infrastruktur | KI-Steuerung in Energie, Verkehr, Wasser | Risikomanagementsystem, Datengovernance, Monitoring |
| Bildung und Berufsausbildung | KI-gestützte Prüfungsbewertung, Zugang zu Bildung | Transparenz, menschliche Aufsicht, Bias-Tests |
| Beschäftigung und Personalwesen | KI-Bewerberauswahl, automatisierte Leistungsbewertung, KI-Kündigungsentscheidung | Besonders streng: Dokumentation, Bias-Tests, Grundrechte-Folgenabschätzung |
| Zugang zu öffentlichen Diensten | Sozialleistungsentscheidungen, Kreditwürdigkeitsprüfung | Erklärbarkeit, menschliche Überprüfung |
| Strafverfolgung | Lügendetektoren, Beweisbewertung, Risikoprofile | Höchste Anforderungen, menschliche Kontrolle |
| Migration | Risikoeinschätzung, Visaentscheidung, Grenzüberwachung | Grundrechte-Folgenabschätzung |
| Justiz und Demokratie | Rechtsrecherche-KI, Wahlbeeinflussung-Erkennung | Höchste Transparenzanforderungen |
3. Begrenztes Risiko (Transparenzpflichten)
KI-Systeme mit begrenztem Risiko unterliegen Transparenzpflichten – Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Dazu gehören:
- Chatbots: Müssen als KI gekennzeichnet sein („Sie kommunizieren mit einem KI-System")
- Deepfakes: Müssen als künstlich generiert gekennzeichnet werden (Audio, Video, Bild)
- KI-generierte Texte: Müssen als maschinell erstellt erkennbar sein (wenn zu öffentlich relevanten Themen veröffentlicht)
- Emotionserkennungssysteme: Müssen den Einsatz gegenüber betroffenen Personen offenlegen
4. Minimales Risiko (Keine Regulierung)
Die große Mehrheit der KI-Systeme – Spamfilter, KI in Videospielen, Empfehlungsalgorithmen für Musik und Filme, Autokorrektur, Wettervorhersage-Modelle – fällt in die Kategorie minimales Risiko und unterliegt keinen spezifischen Pflichten aus dem AI Act. Es gelten freiwillige Verhaltenskodizes.
Pflichten für Unternehmen im Detail
Anbieter von Hochrisiko-KI
Wer ein Hochrisiko-KI-System entwickelt und in Verkehr bringt, muss umfangreiche Pflichten erfüllen:
- Risikomanagementsystem einrichten, dokumentieren und kontinuierlich aktualisieren
- Datengovernance sicherstellen (Qualität, Repräsentativität, Bias-Freiheit der Trainingsdaten)
- Technische Dokumentation erstellen und pflegen (vor dem Inverkehrbringen)
- Protokollierung (Logging) implementieren – automatische Aufzeichnung aller relevanten Systemaktivitäten
- Transparenzinformationen bereitstellen (verständliche Bedienungsanleitung für Nutzer)
- Menschliche Aufsicht ermöglichen (Human-in-the-Loop oder Human-on-the-Loop oder Human-in-Command)
- Genauigkeit, Robustheit und Cybersicherheit gewährleisten und dokumentieren
- Konformitätsbewertung durchführen (Selbstbewertung oder durch notifizierte Stelle)
- CE-Kennzeichnung anbringen und EU-Konformitätserklärung ausstellen
- EU-Datenbank registrieren (öffentlich zugänglich – Transparenz für Bürger)
Nutzer (Deployer) von Hochrisiko-KI
Auch Unternehmen, die Hochrisiko-KI nur einsetzen (nicht entwickeln), haben Pflichten:
- Einsatz gemäß Gebrauchsanweisung des Anbieters
- Menschliche Aufsicht durch kompetentes und ausreichend geschultes Personal
- Eingabedaten müssen relevant und ausreichend repräsentativ sein
- Überwachung des Betriebs und Meldung von Fehlfunktionen an den Anbieter
- Grundrechte-Folgenabschätzung bei bestimmten Einsatzgebieten (Arbeitnehmer, öffentliche Dienste, Kreditvergabe)
Bußgelder: Die Sanktionsstufen
| Verstoß | Max. Bußgeld | % des Umsatzes |
|---|---|---|
| Verbotene KI-Praktiken | 35 Mio. EUR | 7 % des weltweiten Jahresumsatzes |
| Hochrisiko-Anforderungen | 15 Mio. EUR | 3 % |
| Falsche Angaben an Behörden | 7,5 Mio. EUR | 1,5 % |
| KMU/Startup-Reduktion | Proportional reduziert | Geringerer Betrag gilt |
CERTISCAN KI: Transparenz und Compliance
CERTISCAN setzt KI verantwortungsvoll und AI-Act-konform ein:
| KI-Funktion | Risikoklasse | Transparenz-Maßnahme |
|---|---|---|
| Anomalie-Erkennung (Zeiterfassung) | Begrenztes Risiko | Kennzeichnung als „KI-Analyse" im Dashboard |
| Risikobewertung (HinSchG) | Begrenztes Risiko | aiRiskScore-Feld, Haftungs-Disclaimer |
| ESG-Datenanalyse | Minimales Risiko | Kennzeichnung optional (umgesetzt) |
| Compliance-Score (ArbZG) | Minimales Risiko | Regelbasiert, kein ML – kein AI-Act-Scope |
5 Schritte zur AI-Act-Compliance
- KI-Inventar erstellen: Welche KI-Systeme setzen Sie ein? Auch ChatGPT, GitHub Copilot, Grammarly, Recruiting-KI und Marketing-Automation zählen.
- Risikoklassifizierung: In welche Kategorie fällt jedes System? Nutzen Sie die offizielle Checkliste der EU-Kommission.
- Gap-Analyse: Welche Pflichten bestehen und welche sind bereits erfüllt? Besonders kritisch: HR-KI und Kundenbewertungssysteme.
- Dokumentation aufbauen: Technische Dokumentation, Transparenzinformationen, Schulungsnachweise
- Governance implementieren: KI-Verantwortlichen benennen, Prozesse definieren, regelmäßige Überprüfung festlegen
Häufig gestellte Fragen
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er wurde am 13. Juni 2024 verabschiedet und tritt gestaffelt in Kraft: Verbotene Praktiken seit Februar 2025, Hochrisiko-Anforderungen ab August 2026, vollständige Anwendung ab August 2027.
Welche KI-Systeme sind verboten?
Verboten sind: Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit Ausnahmen), unterschwellige Manipulation, Ausnutzung von Schwächen bestimmter Gruppen, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie prädiktive Polizeiarbeit auf Basis von Profiling.
Welche Bußgelder drohen bei Verstößen gegen den AI Act?
Die Bußgelder sind gestaffelt: Bis 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken. Bis 15 Mio. EUR oder 3 % für Verstöße gegen Hochrisiko-Anforderungen. Bis 7,5 Mio. EUR oder 1,5 % für falsche Angaben gegenüber Behörden. KMU erhalten reduzierte Bußgelder.
In welche Risikoklasse fällt CERTISCAN KI?
Die KI-Funktionen von CERTISCAN (z.B. Anomalie-Erkennung in der Zeiterfassung, Risikobewertung im Hinweisgeberschutz) fallen in die Kategorie „begrenztes Risiko" (Limited Risk). Es gelten Transparenzpflichten: Nutzer müssen wissen, dass sie mit einem KI-System interagieren. CERTISCAN kennzeichnet alle KI-generierten Inhalte entsprechend.
Müssen alle Unternehmen den AI Act beachten?
Ja, der AI Act gilt für alle Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen – unabhängig davon, ob sie in der EU ansässig sind. Auch die bloße Nutzung von KI-Tools (z.B. ChatGPT für Kundenservice) kann Pflichten auslösen, insbesondere Transparenz- und Dokumentationspflichten.
Ist Ihr Unternehmen konform?
Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.