EU AI Act – Was deutsche Unternehmen jetzt beachten müssen

Der EU AI Act ist das erste umfassende KI-Gesetz der Welt. Ziel ist es, die Entwicklung und Nutzung künstlicher Intelligenz innerhalb der Europäischen Union zu regulieren. Der Fokus liegt auf Transparenz, Sicherheit und Risikominimierung. Wer KI-Systeme anbietet, nutzt oder importiert, muss sich auf neue Pflichten und bei Nichtachtung auf hohe Bußgelder einstellen. Hier erfahren Sie, welche Anforderungen der EU AI Act mit sich bringt und wie Axiom Unternehmen mit rechtlicher Expertise bei der Umsetzung und Einhaltung unterstützen kann.

Was ist der EU AI Act?

Der EU AI Act, die Verordnung über künstliche Intelligenz, ist das erste umfassende Regelwerk zur Regulierung künstlicher Intelligenz weltweit. Das Gesetz ist am 1. August 2024 in Kraft getreten und basiert auf einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung, desto strenger die Vorgaben.

Die neue KI-Verordnung der EU verbietet bestimmte Hochrisiko-Praktiken, reguliert Grundmodelle (Foundation Models) und fordert hohe Standards bei Governance, Transparenz und Sicherheit. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des Umsatzes. Ähnlich wie die DSGVO könnte der EU AI Act weltweit neue Maßstäbe für KI-Governance setzen.

Relevanz für deutsche Unternehmen

Der EU AI Act betrifft nicht nur große Tech-Konzerne, sondern deutsche Unternehmen jeder Größe. Ob Start-up, Mittelständler oder internationaler Konzern – sobald KI-Systeme genutzt oder entwickelt werden, greifen die Vorschriften des KI-Gesetzes der EU. Damit wird der neue Rechtsrahmen zur echten Business-Priorität für Unternehmen im digitalen Wandel.

Wer ist vom Gesetz betroffen?

Die KI-Verordnung der EU adressiert gezielt verschiedene Akteure der KI-Wertschöpfungskette. Dazu zählen Anbieter, Anwender und Importeure, aber auch Händler, Produkthersteller und autorisierte Vertreter. Besonders relevant für Unternehmen sind die präzisen Definitionen der ersten drei Gruppen:

• Anbieter entwickeln oder lassen KI-Systeme inklusive General-Purpose AI (GPAI) entwickeln und bringen diese unter eigenem Namen auf den Markt.
• Anwender sind Personen oder Unternehmen, die KI-Anwendungen nutzen, zum Beispiel Chatbots im Kundenservice.
• Importeure hingegen bringen KI-Systeme aus Drittstaaten in die EU. Das Gesetz greift also auch bei Akteuren, die außerhalb der EU ansässig sind, wenn ihre KI-Systeme in der EU verwendet werden. Dieses Marktortprinzip ähnelt dem der DSGVO und sichert die Einhaltung europäischer Standards.

Für die Umsetzung der Regelungen des EU AI Act gelten gestaffelte Übergangsfristen von sechs bis 36 Monaten. In dieser Zeit setzt die EU-Kommission verstärkt auf freiwillige Verpflichtungen seitens der Wirtschaft, um eine schrittweise Umsetzung zu fördern.

Branchenbezug: KI im Finanzwesen, HR, LegalTech & mehr

Der AI Act EU wirkt sich branchenübergreifend aus – von Banken über Personalabteilungen bis hin zu Rechtsabteilungen. Dabei steigt in allen Bereichen das regulatorische Risiko, in denen KI-Entscheidungen mit weitreichenden Folgen getroffen werden. Dementsprechend müssen Unternehmen ihre KI-Anwendungen frühzeitig prüfen, um die Anforderungen des EU KI-Gesetzes rechtssicher umzusetzen.

KI ist hier längst Standard – und nun stark reguliert. Typische Einsatzfelder sind:

• Risikoanalyse und Kreditvergabe durch datenbasierte Entscheidungssysteme
• Betrugserkennung via KI-gestützter Musteranalyse
• Automatisiertes Portfolio-Management durch Robo-Advisors
• RegTech-Lösungen zur Einhaltung gesetzlicher Vorgaben (z. B. DORA, Geldwäscheprävention)

Auch in HR-Abteilungen kommen KI-Systeme vermehrt zum Einsatz. Der EU AI Act zeigt in seiner Zusammenfassung: Auch Tools für Personalverantwortliche gelten künftig als Hochrisiko-Systeme, darunter

• Recruiting-Tools zur Analyse von Lebensläufen und Matching-Prozessen
• Analytics-Lösungen zur Fluktuationsprognose
• Adaptive Lernplattformen für Mitarbeiterschulungen
• Automatisierte Workflows in Personalverwaltung und Vertragswesen

Der 4. General Counsel Research Report von Axiom hat es jüngst bewiesen: Im Rechtsbereich transformiert KI die tägliche Arbeit. Der EU AI Act nach aktuellem Stand verdeutlicht aber auch: Je mehr Verantwortung ein System trägt, desto strenger sind die Auflagen. Das gilt künftig auch für:

• Vertragsanalyse auf Risiken und fehlende Klauseln
• Dokumentenrecherche per Natural Language Processing
• E-Discovery in komplexen Verfahren
• Compliance-Tools zur Umsetzung von DSGVO, NIS2 oder DORA

Auch andere Branchen müssen sich auf die Anforderungen des KI-Gesetzes der EU einstellen:

• Gesundheitswesen: Diagnoseunterstützung, personalisierte Therapien
• Logistik: Routenoptimierung, Nachfrageprognosen
• Marketing & Vertrieb: Chatbots, Segmentierung, Personalisierung
• Produktion: Predictive Maintenance, Qualitätsprüfung, Automatisierung

Fazit: Der EU AI Act betrifft Unternehmen nicht abstrakt, sondern ganz konkret entlang ihrer Prozesse. KI bringt Effizienzgewinne – aber nur, wenn sie rechtskonform eingesetzt wird. Axiom unterstützt Sie mit kompetenter Beratung für Technologierecht und Compliance bei der erfolgreichen Umsetzung.

Überblick über den EU AI Act

Der EU AI Act zielt darauf ab, Risiken zu minimieren und gleichzeitig Innovationen zu ermöglichen. Viele KI-Anwendungen gelten dabei als risikoarm. Gleichzeitig schafft das KI-Gesetz der EU einen Rahmen für den Umgang mit kritischen Technologien, die sich auf Entscheidungen bezüglich von Rechten, Sicherheit oder Leben auswirken können.

Geltungsbereich und nationale Aufsichtsstrukturen

Der EU AI Act gilt in allen Mitgliedstaaten der Europäischen Union. Auch Anbieter und Nutzer aus Drittländern sind betroffen, sobald ihre KI-Systeme in der Union Anwendung finden. Zentral ist das sogenannte Marktortprinzip, das bereits aus der DSGVO bekannt ist. Anbieter mit Sitz außerhalb der EU sind verpflichtet, eine Vertreterin oder einen Vertreter innerhalb der EU zu benennen, um die Einhaltung der Vorschriften sicherzustellen. Ausgenommen von der Verordnung für künstliche Intelligenz sind KI-Systeme zur rein privaten Nutzung sowie solche, die ausschließlich der wissenschaftlichen Forschung dienen.

Jedes EU-Land muss innerhalb von zwölf Monaten nach Inkrafttreten eine nationale KI-Aufsicht benennen, die für Überwachung und Beratung zuständig ist, also bis August 2025. In Deutschland bieten derzeit die Bundesinitiative Mission KI und das KI-Zentrum am DFKI in Kaiserslautern fachliche Begleitung und konkrete Hilfe.

Ziele und Systematik (risikobasierter Ansatz)

Das EU KI-Gesetz basiert auf einem abgestuften Risikokonzept. Je höher das Risiko für Sicherheit und Grundrechte, desto strenger die Vorschriften. Es gibt vier Risikostufen:

• Inakzeptables Risiko (verbotene Anwendungen)
• Hohes Risiko (strenge Prüf- und Dokumentationspflichten)
• Transparenzrisiko (Kennzeichnungspflichten, z. B. bei Chatbots)
• Minimales Risiko (keine besonderen Pflichten)

Besonders reguliert werden sogenannte GPAI-Modelle (General Purpose AI), weil sie mit ihrem allgemeinen Verwendungszweck potenziell weitreichende systemische Risiken bergen. Anbieter solcher Modelle sind verpflichtet, Risiken zu bewerten, für Transparenz zu sorgen und urheberrechtliche Vorgaben einzuhalten.

Klassifizierung: Verbotene, Hochrisiko- und andere Systeme

Der AI Act EU verbietet bestimmte KI-Anwendungen vollständig – etwa Social Scoring, manipulative Systeme oder Echtzeit-Gesichtserkennung im öffentlichen Raum. Hochrisiko-KI hingegen darf eingesetzt werden, wenn sie strengen Anforderungen genügt:

• Risikomanagement- und Governance-Systeme
• Hochwertige Trainingsdaten
• Protokollierung zur Rückverfolgbarkeit
• Technische Dokumentation
• Menschliche Aufsicht
• Sicherheit, Robustheit und Genauigkeit

Systeme mit geringem Risiko – z. B. Spamfilter – unterliegen nur wenigen Regeln. Wichtig: Viele Details zur Umsetzung des AI Act nach seinem aktuellen Stand sind noch offen. Die EU-Kommission wird hierzu Leitlinien veröffentlichen.

Verpflichtungen für Anbieter und Betreiber

Anbieter müssen nach dem Inverkehrbringen ihre Systeme überwachen, Vorfälle melden und Updates bereitstellen. Betreiber sind verpflichtet, für menschliche Aufsicht zu sorgen. Behörden übernehmen die Marktüberwachung. Damit greift der EU AI Act tief in die operativen Prozesse vieler Unternehmen ein – und fordert neue Standards an Verantwortung, Transparenz und Qualität.

Compliance-Herausforderungen

Die Einführung des EU AI Act bringt für Unternehmen in Deutschland weitreichende Compliance-Anforderungen mit sich. Besonders bei der technischen und rechtlichen Umsetzung ergeben sich komplexe Schnittstellen zu bestehenden Regulierungen. Die Verordnung zeigt deutlich: Unternehmen müssen sich frühzeitig strategisch mit KI-Compliance befassen, um Haftungsrisiken zu vermeiden und regulatorische Sicherheit zu gewährleisten.

Technische und rechtliche Schnittstellen

Die Anforderungen des AI Act EU greifen tief in bestehende Regelwerke wie die DSGVO ein. Datenschutz, Datensparsamkeit und Zweckbindung gelten weiterhin – insbesondere bei personenbezogenen Daten. Gleichzeitig verlangt das EU KI-Gesetz hohe Standards bei IT- und Cybersicherheit, insbesondere für Hochrisiko-Systeme. Diese Anforderungen übersteigen klassische IT-Sicherheitskonzepte und betreffen auch Fragen der Produkthaftung und der Verantwortung für autonome Systeme.

Zu beachten sind insbesondere:

• Interoperabilität mit Datenschutzgesetzen (z. B. DSGVO)
• Anforderungen an IT-Sicherheit und technische Robustheit
• Anforderungen an Nachvollziehbarkeit und Dokumentation
• Mögliche Auswirkungen auf Haftungs- und Produktsicherheitsrecht

Der EU AI Act ist kein isoliertes Regelwerk, sondern Teil eines umfassenden rechtlichen Ökosystems, das ethische Standards und unternehmerische Verantwortung in den Mittelpunkt stellt.

Haltung statt nur Technik

Die größte Herausforderung bei der Umsetzung des KI-Gesetzes der EU liegt nicht in den Technologien, sondern im strategischen Mindset. Wer KI einsetzt, beeinflusst Arbeitsprozesse, Entscheidungen und ganze Wertschöpfungsketten – und muss sich dieser Verantwortung bewusst sein. Der AI Act zwingt Unternehmen dazu, ihre KI-Projekte nicht nur technisch, sondern auch ethisch und rechtlich zu durchdenken.

Das bietet zugleich Chancen:

• Vertrauen durch transparente Systeme aufbauen
• Ethik als Wettbewerbsfaktor etablieren
• Rechtssicherheit als Innovationstreiber nutzen

Die Anforderungen des EU KI-Gesetz markieren eine Zeitenwende im Umgang mit KI in Europa. Axiom unterstützt Ihr Unternehmen gerne dabei, dafür nachhaltige und rechtskonforme Strategien zu entwickeln.

Dokumentations-, Prüf- und Meldepflichten

Der EU AI Act verpflichtet Unternehmen, insbesondere Anbieter von Hochrisiko-KI, zu umfassender Dokumentation und Kontrolle. Die Verordnung enthält technische, organisatorische und sicherheitsbezogene Anforderungen und bei Nichteinhaltung drohen hohe Bußgelder. Auch für deutsche Unternehmen ist es deshalb essenziell, die Pflichten frühzeitig umzusetzen, um die Vorgaben des KI-Gesetzes der EU zu erfüllen.

Pflichten für Anbieter und Betreiber

Anbieter müssen unter anderem Risikomanagement-Prozesse etablieren, Datenqualität sichern, technische Dokumentation erstellen und menschliche Aufsicht gewährleisten. Betreiber haben ähnliche Pflichten, müssen jedoch zusätzlich:

• Mitarbeitende schulen
• Sichere Anwendung gewährleisten
• Zweckgebundene Nutzung sicherstellen
• Protokolle für mindestens sechs Monate aufbewahren
• Konformitätserklärung und EU-Registrierung prüfen

KI-Kompetenz als Pflicht seit 2025

Seit Februar 2025 sind Anbieter und Betreiber verpflichtet, Mitarbeitende im Umgang mit KI zu schulen – unabhängig vom Risikoniveau. Ziel ist es, ein grundlegendes Verständnis für Chancen und Risiken zu schaffen. Zu beachten sind:

• Technisches Wissen und Erfahrung
• Schulungsbedarf je nach Einsatzbereich
• Dokumentation der Trainings zur Absicherung

Umsetzung in der Praxis

Folgende Maßnahmen helfen dabei, die Anforderungen der KI-Verordnung der EU effizient umzusetzen und rechtlich auf der sicheren Seite zu sein.

• KI-Inventar erstellen

• Zuständigkeiten klären
• Kenntnisstand erfassen
• Gezielte Schulungen planen
• Regelmäßige Fortbildungen anbieten

Bußgelder und Haftungsrisiken

Der EU AI Act sieht empfindliche Strafen bei Verstößen vor. Die Höhe richtet sich nach der Schwere des Verstoßes und dem Unternehmensumsatz. Bei Verstößen gegen verbotene KI-Praktiken oder unzureichende Datenprozesse drohen Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Auch bei Versäumnissen rund um Risikomanagement, Konformitätsprüfungen oder GPAI-Regeln sind bis zu 15 Millionen Euro bzw. 3 Prozent Umsatz möglich. Falsche Angaben gegenüber Behörden können mit bis zu 7,5 Millionen Euro geahndet werden. Für KMU gelten reduzierte Schwellen, doch das Risiko bleibt hoch – auch für die Reputation.

Wie Axiom Projektjurist*innen unterstützen können

Axiom unterstützt Unternehmen auch kurzfristig und mit flexiblen Laufzeiten bei der Umsetzung des EU AI Acts. Mit unseren Projektjurist*innen bieten wir eine optimale Lösung, wenn Ihre Inhouse-Rechtsabteilung vorübergehend zusätzliche personelle Ressourcen benötigt:

• Sofort einsatzbereit
• Flexible Laufzeiten
• Projektjurist*innen mit umfassendem Branchenwissen und unternehmerischem Denken
• Aktiver Support
• 90% unserer Kunden bewerten die Arbeit von Axiom als gleichwertig oder besser als die Services von Anwaltskanzleien

Unsere spezialisierten Projektjurist*innen helfen bei der Identifikation risikoreicher KI-Systeme, der Erstellung notwendiger Dokumentationen und der Einhaltung von Meldepflichten. Axiom sorgt für rechtssichere KI-Verordnungs-Compliance, minimiert Haftungsrisiken und begleitet Unternehmen bei allen Schritten – von der Risikoanalyse bis zur Schulung der Mitarbeitenden.

Fazit

Der EU AI Act stellt deutsche Unternehmen vor neue Herausforderungen: strenge Dokumentationspflichten, umfassende Compliance-Anforderungen und hohe Bußgelder bei Verstößen. Rechtzeitige Vorbereitung ist entscheidend, um Risiken zu minimieren und Wettbewerbsvorteile zu sichern. Mit professioneller Unterstützung wie durch Axiom gelingt die Umsetzung effizient, sicher und gesetzeskonform – damit KI-Systeme verantwortungsvoll und rechtssicher eingesetzt werden.

FAQs

1. Für welche Unternehmen gilt der EU AI Act?

Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU anbieten, nutzen oder importieren – unabhängig davon, ob sie innerhalb oder außerhalb der EU ansässig sind. Dabei sind sowohl private als auch öffentliche Akteure betroffen. Entscheidend ist, dass die KI in der EU zum Einsatz kommt.

2. Was sind Hochrisiko-KI-Systeme?

Hochrisiko-KI-Systeme sind Anwendungen, die erhebliche Auswirkungen auf Sicherheit, Gesundheit oder Grundrechte haben können. Das gilt beispielsweise für KI in kritischer Infrastruktur, im Bildungsbereich oder bei der Personalentscheidung. Diese Systeme unterliegen besonders strengen Regeln und Kontrollen.

3. Welche Bußgelder drohen bei Verstößen?

Verstöße gegen den EU AI Act können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden. Für weniger schwere Verstöße gelten niedrigere Strafen von bis zu 15 Millionen Euro. Die Höhe der Sanktionen richtet sich nach Art und Schwere des Verstoßes.

4. Wie kann ich mein KI-System korrekt klassifizieren?

Die Klassifizierung hängt vom Risiko und Einsatzbereich des KI-Systems ab. Um eine korrekte Einstufung vorzunehmen, sollten Unternehmen den Anwendungsfall und potenzielle Risiken analysieren. Die Jurist*innen von Axiom unterstützen Sie bei der genauen Einstufung Ihres KI-Systems.

5. Welche Unterstützung bietet Axiom bei der Umsetzung?

Axiom unterstützt Unternehmen mit juristischer Beratung und Compliance-Services, damit diese die Anforderungen des EU AI Acts erfüllen können. Das umfasst Risikoanalysen, Dokumentation, Schulungen und Begleitung bei der Umsetzung. Mit der Unterstützung von Axiom gewährleisten Sie die Einhaltung der KI-Verordnung in Ihrem Unternehmen effizient und rechtssicher.