Die Verordnung (EU) 2024/1689 — der AI Act — ist das weltweit erste Gesetz, das künstliche Intelligenz durchgängig reguliert. Wenn Ihr Unternehmen KI einsetzt oder verkauft, betrifft Sie dieser Text, egal wo Sie ansässig sind.
Dieses Whitepaper kommt direkt zur Sache: was der Text sagt, wen er betrifft, was bereits heute gilt, was kommt und wann. Alles belegt, ohne Mutmaßungen — denn in Rechtsfragen ist ein falsches Datum teuer.
Aktualisierung — 10. Juni 2026 (Digital Omnibus)
Am 6.-7. Mai 2026 wurde eine vorläufige politische Einigung erzielt („Digital Omnibus", vom Rat am 13. Mai bestätigt), um die „Hochrisiko"-Pflichten zu verschieben: eigenständiger Anhang III auf den 2. Dezember 2027 (statt 2. August 2026), Anhang-I-„Produkte" auf den 2. August 2028. Wichtig: Dieser Text ist noch nicht im Amtsblatt veröffentlicht (Veröffentlichung vor dem 2. August 2026 erwartet). Solange das nicht geschehen ist, bleiben die ursprünglichen Daten rechtlich in Kraft — setzen Sie Ihre Vorbereitungen nicht im Vertrauen auf eine unbestätigte Verschiebung aus. Die Transparenzpflichten nach Artikel 50 sind von dieser Verschiebung nicht betroffen. Und die DSGVO gilt bereits.
Das Wichtigste in Kürze
- Der AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten; er ist der weltweit erste umfassende Rechtsrahmen zur Regulierung künstlicher Intelligenz.
- Die Verordnung stuft KI-Systeme in vier Risikostufen ein: unannehmbar (verboten), hoch, begrenzt (Transparenz) und minimal (nicht reguliert).
- Verbotene Praktiken gelten seit dem 2. Februar 2025 und die Pflichten für KI-Modelle für allgemeine Zwecke (GPAI) seit dem 2. August 2025.
- Die Hochrisiko-Pflichten gemäß Anhang III werden auf den 2. Dezember 2027 verschoben (vorläufige Digital-Omnibus-Einigung vom 6.-7. Mai 2026, ursprünglich 2. August 2026 — noch nicht im Amtsblatt veröffentlicht, daher unter Vorbehalt); die Transparenzpflichten nach Artikel 50 bleiben für den 2. August 2026 vorgesehen.
- Die Sanktionen erreichen 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken und 15 Mio. € oder 3 % für sonstige Verstöße.
1. Einführung
1.1 Kontext: Warum die Europäische Union KI reguliert
Stellen Sie sich vor. Sie führen ein kleines oder mittleres Unternehmen. Seit einigen Monaten nutzen Ihre Teams einen KI-Assistenten zur Vorauswahl von Lebensläufen, ein Chatbot beantwortet Kundenanfragen, ein Tool bewertet Ihre Vertriebsmitarbeiter. Nichts Spektakuläres — einfach Zeitersparnis. Dann eines Morgens diese Schlagzeile: „AI Act, Bußgelder bis zu 35 Millionen Euro." Sie stellen sich zwei sehr einfache Fragen. Bin ich betroffen? Und was muss ich konkret tun, und bis wann?
Dieses Whitepaper beantwortet beide. Ohne unnötigen Fachjargon, ohne Panikmache. Erster beruhigender Punkt: Sie sind mit dem Einstieg nicht allein. Laut Eurostat setzten 20 % der EU-Unternehmen mit 10 oder mehr Beschäftigten 2025 KI ein, gegenüber 13,5 % im Jahr 2024 (und 7,7 % im Jahr 2021) — die Verbreitung hat sich in einem Jahr nahezu verdoppelt (Quelle: Eurostat, 11. Dezember 2025). KI ist keine Sache mehr der Tech-Giganten: Sie ist zum Alltagswerkzeug geworden, und der Gesetzgeber hat das erkannt.
Daher der AI Act. Statt 27 Länder 27 verschiedene Regelwerke schreiben zu lassen, hat die Europäische Union einen einheitlichen Rahmen festgelegt. Sehen Sie es wie eine Straßenverkehrsordnung für KI: Sie verbietet Ihnen nicht zu fahren, sie legt fest, wo, wie schnell und mit welchen Sicherheitsgurten. Es ist dieselbe Logik wie bei Ihren personenbezogenen Daten unter der DSGVO, Ihren Online-Diensten unter dem Gesetz über digitale Dienste (DSA) oder großen Plattformen unter dem Gesetz über digitale Märkte (DMA): ein einziges Spielfeld für den gesamten Binnenmarkt.
Die Hauptmotive für diese Regulierung sind:
- Schutz der Grundrechte: Verhinderung algorithmischer Diskriminierung und Schutz der Menschenwürde
- Sicherheit von Personen: Gewährleistung, dass in Produkte integrierte KI-Systeme keine Gefahr für Gesundheit und Sicherheit darstellen
- Harmonisierung des Binnenmarktes: Schaffung eines einheitlichen Rahmens für die 27 Mitgliedstaaten zur Vermeidung regulatorischer Fragmentierung
- Europäische Wettbewerbsfähigkeit: Etablierung eines globalen Standards, den die EU exportieren kann („Brüssel-Effekt")
1.2 Ziele der Verordnung
Der AI Act verfolgt mehrere sich ergänzende Ziele, die in den Erwägungsgründen ausdrücklich genannt werden:
Risikobasierter Ansatz
Die Verordnung verfolgt einen verhältnismäßigen Ansatz: Je höher das Risiko eines KI-Systems, desto strenger sind die Anforderungen. Anwendungen mit geringem Risiko bleiben weitgehend unreguliert.
Innovation erhalten
Die Verordnung sieht regulatorische Sandboxes und Forschungsausnahmen vor, um die europäische Innovation nicht zu behindern.
1.3 Geografischer und extraterritorialer Geltungsbereich
Der AI Act hat einen erheblichen extraterritorialen Geltungsbereich. Er gilt für:
- Anbieter, die in der EU oder in einem Drittland niedergelassen sind und KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen
- Betreiber von KI-Systemen mit Sitz in der Union
- Anbieter und Betreiber in Drittländern, wenn die Ergebnisse des KI-Systems in der Union verwendet werden
- Importeure und Händler von KI-Systemen
- Produkthersteller, die ein KI-System mit ihrem Produkt unter eigenem Namen oder eigener Marke in Verkehr bringen
„Jedes Unternehmen, unabhängig von seinem Standort, das KI-Systeme für den europäischen Markt vermarktet oder dessen Ergebnisse in der EU verwendet werden, muss den AI Act einhalten."
2. Zeitplan und Rechtsrahmen
2.1 Entstehung der Verordnung (2021-2024)
Die Entwicklung des AI Acts war ein mehrjähriger Gesetzgebungsprozess:
Die Europäische Kommission veröffentlicht ihren ersten Vorschlag für eine KI-Verordnung, den weltweit ersten Versuch einer horizontalen Regulierung künstlicher Intelligenz.
Trilaterale Verhandlungen zwischen der Kommission, dem Europäischen Parlament und dem Rat. Die Einführung von ChatGPT (November 2022) führt zur Aufnahme spezifischer Bestimmungen für KI-Modelle für allgemeine Zwecke.
Vorläufige politische Einigung zwischen Parlament und Rat über den endgültigen Text.
Veröffentlichung im Amtsblatt der Europäischen Union unter der Bezeichnung Verordnung (EU) 2024/1689.
Inkrafttreten der Verordnung (20 Tage nach Veröffentlichung).
2.2 Gestaffelter Umsetzungszeitplan
Die Verordnung ist nicht auf einen Schlag in Kraft getreten. Sie gilt in Stufen, damit sich alle organisieren können. Zum 10. Juni 2026 sind mehrere Meilensteine bereits überschritten und anwendbar; der nächste große Termin ist der 2. August 2026. Die nachstehende Tabelle berücksichtigt auch die „Hochrisiko"-Verschiebung aus der vorläufigen Digital-Omnibus-Einigung vom 6.-7. Mai 2026 (vorbehaltlich der Veröffentlichung im Amtsblatt — siehe den Kasten zu Beginn dieses Artikels):
| Datum | Zeitrahmen | Anwendbare Bestimmungen |
|---|---|---|
| 2. Februar 2025 | 6 Monate |
Verbotene Praktiken (Artikel 5) KI-Kompetenz (Artikel 4) |
| 2. August 2025 | 12 Monate |
GPAI-Pflichten (Kapitel V) Governance: Benennung nationaler Behörden Verhaltenskodizes für GPAI-Modelle |
| 2. August 2026 | 24 Monate |
Transparenzpflichten nach Artikel 50 Information, dass man mit einer KI interagiert; Kennzeichnung KI-generierter Inhalte Beginn der Durchsetzung und Sanktionen durch die nationalen Behörden Von der Digital-Omnibus-Verschiebung nicht betroffen — nächster Termin |
| 2. Dezember 2027 | Omnibus-Datum |
Eigenständige Hochrisiko-Systeme (Anhang III) Anbieter- und Betreiberpflichten Vorläufige Verschiebung vom 2. August 2026 durch den Digital Omnibus (Einigung vom 6.-7. Mai 2026, noch nicht im Amtsblatt veröffentlicht) |
| 2. August 2028 | Omnibus-Datum |
Hochrisiko-Systeme in regulierten Produkten (Anhang I) Medizinprodukte, Maschinen, Fahrzeuge, Flugzeuge Vollständige GPAI-Konformität (Modelle vor August 2025) Vorläufige Verschiebung vom 2. August 2027 durch den Digital Omnibus |
| 31. Dez. 2030 | 6+ Jahre |
Großflächige IT-Systeme (Anhang X) Bestehende Systeme, die vor diesem Datum in Verkehr gebracht wurden |
Wichtiger Hinweis
Verbotene Praktiken sind bereits seit dem 2. Februar 2025 in Kraft. Organisationen müssen die Nutzung aller verbotenen KI-Systeme (Social Scoring, Emotionserkennung am Arbeitsplatz usw.) eingestellt haben.
Zur „Hochrisiko"-Verschiebung: Solange der Digital Omnibus nicht im Amtsblatt veröffentlicht ist, bleibt das ursprüngliche Datum des 2. August 2026 rechtlich maßgeblich. Bereiten Sie sich auf dieser Grundlage vor und behandeln Sie die Verschiebung als wahrscheinlichen Aufschub, nicht als beschlossene Sache.
3. Risikoklassifizierung
Der AI Act führt einen risikobasierten Pyramidenansatz ein. Vier Stufen werden definiert, jede mit verhältnismäßigen Pflichten:
VERBOTEN
REGULIERT
TRANSPARENZ
NICHT REGULIERT
3.1 Unannehmbares Risiko – Verbotene Praktiken (Artikel 5)
Die Verordnung verbietet acht Kategorien von KI-Systemen, die als Verstoß gegen Grundrechte oder Menschenwürde gelten. Diese Verbote sind seit dem 2. Februar 2025 in Kraft.
1. Subliminale und manipulative Techniken
Systeme, die subliminale, manipulative oder täuschende Techniken einsetzen, um das Verhalten einer Person zu beeinflussen und erheblichen Schaden zu verursachen.
2. Ausnutzung von Schwachstellen
Systeme, die Schwachstellen im Zusammenhang mit Alter, Behinderung oder sozioökonomischer Situation ausnutzen, um das Verhalten zu beeinflussen und Schaden zu verursachen.
3. Social Scoring
Bewertung oder Klassifizierung von Personen auf der Grundlage ihres sozialen Verhaltens, die zu einer ungerechtfertigten oder unverhältnismäßigen nachteiligen Behandlung führt.
4. Kriminalitätsrisikobewertung durch Profiling
Systeme, die das Risiko bewerten, dass eine Person eine Straftat begeht, ausschließlich auf der Grundlage von Profiling oder Persönlichkeitsmerkmalen.
5. Ungezieltes Gesichts-Scraping
Aufbau oder Erweiterung von Gesichtserkennungsdatenbanken durch ungezieltes Scraping von Bildern aus dem Internet oder von Videoüberwachungsaufnahmen.
6. Emotionserkennung am Arbeitsplatz und in der Schule
Systeme zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, außer aus medizinischen oder Sicherheitsgründen.
7. Sensible biometrische Kategorisierung
Systeme, die Personen anhand biometrischer Daten kategorisieren, um Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen oder sexuelle Orientierung abzuleiten.
8. Biometrische Echtzeit-Fernidentifizierung
Biometrische Echtzeit-Fernidentifizierungssysteme an öffentlich zugänglichen Orten durch Strafverfolgungsbehörden, außer bei streng begrenzten Ausnahmen (Suche nach Opfern, Terrordrohungen, schwere Straftaten).
3.2 Hohes Risiko – Regulierte Systeme (Artikel 6-49)
Hochrisiko-KI-Systeme stellen den Kern der Verordnung dar. Sie unterliegen strengen Anforderungen vor dem Inverkehrbringen und während ihres gesamten Lebenszyklus.
Kategorie 1: Sicherheitskomponenten regulierter Produkte (Anhang I)
KI-Systeme, die eine Sicherheitskomponente eines Produkts darstellen, das unter die Harmonisierungsrechtsvorschriften der Union fällt, darunter:
- Maschinen und Industrieausrüstung
- Spielzeug
- Aufzüge
- Druckgeräte
- Medizinprodukte und In-vitro-Diagnostika
- Fahrzeuge (Typgenehmigung)
- Luftfahrzeuge und Flugverkehrsmanagementsysteme
- Schiffsausrüstung
- Eisenbahnausrüstung
Kategorie 2: Sensible Bereiche (Anhang III)
KI-Systeme, die in Bereichen mit hohem Einfluss auf die Grundrechte eingesetzt werden:
| Bereich | Beispiele für Hochrisiko-Systeme |
|---|---|
| Biometrie | Biometrische Fernidentifizierung (nicht in Echtzeit), biometrische Verifizierung |
| Kritische Infrastruktur | Straßenverkehrsmanagement, Wasser-/Gas-/Strom-/Heizungsnetze |
| Bildung und Ausbildung | Zulassungssysteme, Lernbewertung, Prüfungsüberwachung |
| Beschäftigung und Arbeitnehmerverwaltung | Lebenslaufprüfung, Rekrutierung, Leistungsbewertung, Aufgabenzuweisung, Beförderung, Kündigung |
| Wesentliche Dienstleistungen | Kreditwürdigkeitsprüfung, Versicherungsbewertung (außer Kfz), Notfalldienste |
| Strafverfolgung | Beweisbewertung, kriminelles Profiling, Lügendetektoren |
| Migration und Asyl | Bewertung von Asylanträgen, Grenzkontrolle, Dokumentenfälschungserkennung |
| Justiz | Unterstützung bei der Auslegung von Tatsachen und Recht, alternative Streitbeilegung |
| Demokratische Prozesse | Systeme, die Wahlergebnisse oder Wahlverhalten beeinflussen |
3.3 Begrenztes Risiko – Transparenzpflichten (Artikel 50)
Bestimmte KI-Systeme bergen ein Täuschungsrisiko, gelten aber nicht als hochriskant. Sie unterliegen Transparenzpflichten:
- Chatbots und Konversationsagenten: Nutzer müssen darüber informiert werden, dass sie mit einer KI interagieren (es sei denn, dies ist aus den Umständen offensichtlich)
- Emotionserkennungssysteme: Information der betroffenen Personen (außer bei verbotenen Fällen)
- Biometrische Kategorisierungssysteme: Information der Personen (außer bei verbotenen Fällen)
- Deepfakes und generierte Inhalte: Deutliche Kennzeichnung, dass der Inhalt (Bild, Audio, Video, Text) von KI erzeugt oder manipuliert wurde
3.4 Minimales Risiko – Nicht reguliert
Die große Mehrheit der KI-Systeme fällt in diese Kategorie und ist vom AI Act nicht spezifisch reguliert. Beispiele:
- KI-gestützte Videospiele
- Spam-Filter
- Inhaltsempfehlungssysteme
- Übersetzungsassistenten
- Industrielle Optimierungstools
4. KI-Modelle für allgemeine Zwecke (GPAI)
KI-Modelle für allgemeine Zwecke (General-Purpose AI oder GPAI) sind in einem eigenen Kapitel (Kapitel V) geregelt, das während der abschließenden Verhandlungen hinzugefügt wurde, um auf die Entstehung von Systemen wie ChatGPT, Claude, Gemini oder DALL-E zu reagieren.
4.1 Definition
Ein GPAI-Modell wird definiert als:
„Ein KI-Modell, auch wenn es mit einer großen Datenmenge unter Verwendung von Selbstüberwachung im großen Maßstab trainiert wurde, das eine erhebliche Allgemeinheit aufweist und in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent auszuführen, unabhängig davon, wie das Modell in Verkehr gebracht wird, und das in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden kann."
Beispiele: GPT-4, Claude, Gemini, LLaMA, Mistral, DALL-E, Midjourney, Stable Diffusion.
4.2 Pflichten der GPAI-Modellanbieter
Alle GPAI-Modellanbieter müssen ab dem 2. August 2025:
- Technische Dokumentation erstellen und pflegen über das Modell und seinen Trainingsprozess
- Eine Compliance-Richtlinie erstellen und dokumentieren zum EU-Urheberrecht
- Eine detaillierte Zusammenfassung veröffentlichen der für das Training verwendeten Inhalte
- Informationen und Dokumentation bereitstellen an nachgelagerte Anbieter, die das Modell integrieren
- Einen Vertreter benennen in der Union (für Nicht-EU-Anbieter)
4.3 GPAI-Modelle mit systemischem Risiko
Ein GPAI-Modell birgt ein systemisches Risiko, wenn:
Rechenleistungsschwelle: >10²⁵ FLOPS
Das Modell wird als systemisches Risiko eingestuft, wenn die kumulierte Rechenleistung für sein Training 10²⁵ Fließkommaoperationen (FLOPS) übersteigt.
Alternativ kann die Kommission ein Modell aufgrund seiner Fähigkeiten als systemisches Risiko einstufen.
Anbieter von GPAI-Modellen mit systemischem Risiko müssen zusätzlich zu den allgemeinen Pflichten:
- Modellbewertungen durchführen gemäß standardisierten Protokollen und Tools
- Adversarial Testing durchführen zur Identifizierung und Minderung systemischer Risiken
- Schwerwiegende Vorfälle verfolgen, dokumentieren und melden an das AI Office und die nationalen Behörden
- Angemessene Cybersicherheit gewährleisten für das Modell und seine Infrastruktur
- Die Kommission innerhalb von 2 Wochen benachrichtigen, wenn ihr Modell die Schwelle für systemisches Risiko erreicht
5. Pflichten nach Akteuren
Der AI Act unterscheidet mehrere Kategorien von Akteuren in der KI-Wertschöpfungskette, jede mit spezifischen Pflichten.
5.1 Anbieter (Entwickler)
Anbieter sind natürliche oder juristische Personen, die ein KI-System entwickeln oder entwickeln lassen, um es unter eigenem Namen oder eigener Marke in Verkehr zu bringen oder in Betrieb zu nehmen.
Pflichten für Hochrisiko-Systeme:
Risikomanagementsystem (Artikel 9)
Einrichtung, Umsetzung, Dokumentation und Aufrechterhaltung eines Risikomanagementsystems während des gesamten Lebenszyklus des KI-Systems.
Datengovernance (Artikel 10)
Sicherstellung, dass Trainings-, Validierungs- und Testdatensätze relevant, repräsentativ, fehlerfrei und vollständig sind.
Technische Dokumentation (Artikel 11)
Erstellung einer technischen Dokumentation, die die Konformität des Systems vor dem Inverkehrbringen nachweist.
Protokollierung (Artikel 12)
Gestaltung des Systems zur automatischen Aufzeichnung von Ereignissen (Logs) während seines gesamten Betriebs.
Transparenz (Artikel 13)
Gestaltung des Systems, um Betreibern das Verständnis seiner Funktionsweise und die Interpretation seiner Ergebnisse zu ermöglichen.
Menschliche Aufsicht (Artikel 14)
Gestaltung des Systems zur Ermöglichung einer wirksamen menschlichen Aufsicht während seiner Nutzung.
5.2 Betreiber (Nutzer)
Betreiber sind natürliche oder juristische Personen, die ein KI-System in eigener Verantwortung nutzen (außer bei persönlicher, nicht beruflicher Nutzung).
Hauptpflichten:
- Konforme Nutzung: Nutzung des Systems gemäß den vom Anbieter bereitgestellten Anweisungen
- Menschliche Aufsicht: Sicherstellung, dass die menschliche Aufsicht von kompetenten und befugten Personen ausgeübt wird
- Eingabedaten: Sicherstellung, dass die Eingabedaten für den Zweck des Systems relevant sind
- Betriebsüberwachung: Überwachung des Systembetriebs und Aussetzung der Nutzung bei Fehlfunktionen
- Protokollaufbewahrung: Aufbewahrung automatisch generierter Protokolle (mindestens 6 Monate)
- Information der Personen: Information der betroffenen Personen, dass sie einer Entscheidung durch ein Hochrisiko-System unterliegen
- Grundrechte-Folgenabschätzung: Durchführung einer Folgenabschätzung vor der Inbetriebnahme (für bestimmte Betreiber)
5.3 Bereichsübergreifende Pflicht: KI-Kompetenz (Artikel 4)
Seit dem 2. Februar 2025 in Kraft, gilt die KI-Kompetenzpflicht für alle Anbieter und Betreiber:
Artikel 4 - KI-Kompetenz
„Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften ein ausreichendes Maß an KI-Kompetenz ihres Personals und anderer Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, sicherzustellen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und ihre Schulung sowie der Kontext, in dem die KI-Systeme verwendet werden sollen, zu berücksichtigen sind."
6. Governance und Durchsetzung
Der AI Act etabliert eine mehrstufige Governance-Architektur, die europäische und nationale Aufsicht kombiniert.
6.1 Auf europäischer Ebene
Das AI Office
Innerhalb der Europäischen Kommission eingerichtet, ist das AI Office verantwortlich für:
- Überwachung von GPAI-Modellen und Modellen mit systemischem Risiko
- Entwicklung von Leitlinien und Verhaltenskodizes
- Koordination mit nationalen Behörden
- Durchsetzung der Regeln für GPAI-Modellanbieter
Das Europäische KI-Gremium (AI Board)
Zusammengesetzt aus Vertretern der Mitgliedstaaten:
- Berät und unterstützt die Kommission
- Trägt zur einheitlichen Anwendung der Verordnung bei
- Koordiniert die nationalen Behörden
- Gibt Empfehlungen und Stellungnahmen ab
7. Sanktionen und Strafen
Der AI Act sieht ein gestuftes Verwaltungssanktionssystem vor (Artikel 99), anwendbar ab dem 2. August 2025.
7.1 Bußgeldstruktur
| Art des Verstoßes | Höchstbetrag |
|---|---|
| Verbotene Praktiken (Artikel 5) |
35 Mio. € oder 7% des weltweiten Jahresumsatzes (der höhere Betrag) |
| Sonstige Pflichten der Verordnung |
15 Mio. € oder 3% des weltweiten Jahresumsatzes (der höhere Betrag) |
| Unrichtige Angaben gegenüber Behörden |
7,5 Mio. € oder 1% des weltweiten Jahresumsatzes (der höhere Betrag) |
7.2 Weitere Konsequenzen
Neben Bußgeldern können die Behörden:
- Rücknahme vom Markt anordnen oder Rückruf eines nicht konformen Systems
- Inbetriebnahme verbieten eines KI-Systems
- Korrekturmaßnahmen verlangen innerhalb einer festgelegten Frist
- Entscheidungen über Nichtkonformität veröffentlichen (Name and Shame)
8. Sektorale Auswirkungen
Der AI Act hat differenzierte Auswirkungen auf verschiedene Branchen. Dieser Abschnitt analysiert die vier am stärksten betroffenen Sektoren.
8.1 Personalwesen und Rekrutierung
Der HR-Sektor ist vom AI Act besonders betroffen, da die meisten KI-Anwendungen in diesem Bereich als Hochrisiko eingestuft werden.
Hochrisiko-Systeme:
- Lebenslauf-Screening und Scoring-Tools
- Bewerber-Stellen-Matching-Systeme
- Videointerview-Analyse-Tools
- Leistungsbewertungssysteme
- Aufgaben- und Zeitplanzuweisungstools
- Beförderungs- oder Kündigungsentscheidungssysteme
8.2 Gesundheitswesen und Medizinprodukte
Der Gesundheitssektor kombiniert zwei Regulierungsrahmen: den AI Act und die Medizinprodukteverordnung (MDR 2017/745).
8.3 Finanzen und Versicherungen
Der Finanzsektor nutzt KI intensiv für Risikobewertungen und fällt damit in den Hochrisikobereich.
8.4 Bildung
KI in der Bildung wird als Hochrisiko eingestuft, da sie potenzielle Auswirkungen auf die Lebensläufe der Lernenden hat.
9. Internationaler Vergleich
Der AI Act ist Teil eines globalen Wettlaufs um die Regulierung von KI. Die Ansätze variieren erheblich je nach Rechtsordnung.
| Rechtsordnung | Ansatz | Merkmale |
|---|---|---|
| Europäische Union | Horizontale Regulierung |
AI Act: umfassender risikobasierter Rahmen Präskriptiver Ansatz mit detaillierten Pflichten Priorität auf Grundrechten |
| Vereinigte Staaten | Fragmentierter Ansatz |
Keine einheitliche Bundesgesetzgebung Executive Orders (von Regierungen widerrufen/geändert) Flickenteppich aus staatlichen und lokalen Gesetzen Fokus auf Innovation und Wettbewerbsfähigkeit |
| China | Anwendungsbasierte Regulierung |
Sektorale Vorschriften (Empfehlungen, Deepfakes, generative KI) Starke Kontrolle über generierte Inhalte Anforderungen an die nationale Sicherheit |
| Vereinigtes Königreich | Pro-Innovations-Ansatz |
Unverbindlicher Rahmen Regulierung durch bestehende sektorale Behörden Priorität auf Flexibilität und Innovation |
10. Praktische Empfehlungen
Dieser Abschnitt präsentiert eine Compliance-Checkliste für Organisationen, die sich auf den AI Act vorbereiten.
10.1 Sofortmaßnahmen (Bereits anwendbar)
Überprüfen, dass kein verbotenes KI-System (Social Scoring, Emotionserkennung am Arbeitsplatz usw.) verwendet wird.
Schulung des Personals, das KI-Systeme nutzt oder beaufsichtigt.
10.2 Kurzfristige Maßnahmen (Vor der Hochrisiko-Frist am 2. Dezember 2027)
Katalogisierung aller von der Organisation genutzten oder entwickelten KI-Systeme.
Klassifizierung jedes Systems gemäß den AI Act-Kategorien (verboten, Hochrisiko, begrenzt, minimal).
Identifizierung von Lücken zwischen aktuellen Praktiken und AI Act-Anforderungen.
Das vollständige Whitepaper per E-Mail erhalten
PDF-Format (22 Seiten) – der Download-Link kommt direkt in Ihr Postfach
11. Fazit
Die Verordnung (EU) 2024/1689 über künstliche Intelligenz stellt einen bedeutenden regulatorischen Fortschritt auf globaler Ebene dar. Als erster umfassender Rechtsrahmen für KI schafft sie ein Gleichgewicht zwischen dem Schutz der Grundrechte und der Bewahrung von Innovation.
Wichtigste Erkenntnisse
- Risikobasierter Ansatz: Die Pflichten sind proportional zum Risikoniveau des KI-Systems
- Gestaffelte Umsetzung: Von Februar 2025 (verbotene Praktiken) bis Dezember 2030 (großflächige IT-Systeme)
- Extraterritorialer Geltungsbereich: Jede Organisation, die Nutzer in der EU betrifft, ist erfasst
- Erhebliche Sanktionen: Bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes
- Mehrstufige Governance: Koordination zwischen dem Europäischen KI-Büro und den nationalen Behörden
„Der AI Act ist kein Selbstzweck, sondern der Beginn eines Prozesses zur Regulierung künstlicher Intelligenz, der sich mit der Technologie weiterentwickeln wird."
12. Anhänge
Glossar
- KI-System
- Ein maschinenbasiertes System, das für den Betrieb mit unterschiedlichen Autonomiegraden ausgelegt ist, das nach der Einführung Anpassungsfähigkeit aufweisen kann und das für explizite oder implizite Ziele aus den erhaltenen Eingaben ableitet, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt werden.
- Anbieter
- Eine natürliche oder juristische Person, die ein KI-System oder ein GPAI-Modell entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder das KI-System in Betrieb nimmt.
- Betreiber
- Eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung nutzt, außer wenn das KI-System im Rahmen einer persönlichen, nicht beruflichen Tätigkeit genutzt wird.
- GPAI (General-Purpose AI)
- Ein KI-Modell für allgemeine Zwecke, das in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent auszuführen, unabhängig davon, wie es in Verkehr gebracht wird.
- Systemisches Risiko
- Ein Risiko, das spezifisch für die hochwirksamen Fähigkeiten von GPAI-Modellen ist und erhebliche Auswirkungen auf den Unionsmarkt aufgrund ihrer Reichweite oder tatsächlicher oder vernünftigerweise vorhersehbarer negativer Auswirkungen auf die öffentliche Gesundheit, Sicherheit, Grundrechte oder die Gesellschaft hat.
- Regulatorische Sandbox
- Ein kontrollierter Rahmen, der von einer zuständigen Behörde eingerichtet wird und die Entwicklung, das Training und die Validierung innovativer KI-Systeme für einen begrenzten Zeitraum vor dem Inverkehrbringen ermöglicht.
Quellen und Referenzen
Jedes Datum und jede Zahl in diesem Whitepaper stammt aus den nachstehenden Quellen (geprüft am 10. Juni 2026). „Neue Quelle 2025-2026" kennzeichnet aktuelle Veröffentlichungen, die in dieser Aktualisierung ergänzt wurden.
Texte und Rechtsrahmen
- Verordnung (EU) 2024/1689 — offizieller Text (EUR-Lex, DE)
- Europäische Kommission — KI-Rechtsrahmen (neue Quelle 2025-2026, mit dem Digital Omnibus aktualisiert)
- Offizieller Umsetzungszeitplan — AI Act Service Desk (AI Office) (neue Quelle 2025-2026)
- Implementation Timeline (Future of Life Institute) — spiegelt den ursprünglichen Zeitplan wider
- Artikel 99 — Sanktionsregime
GPAI-Modelle und Leitlinien
- GPAI-Verhaltenskodex (Kommission) (neue Quelle 2025-2026)
- Ausarbeitung des GPAI-Verhaltenskodex (Kommission) (neue Quelle 2025-2026)
- Leitlinien für GPAI-Anbieter (Kommission) (neue Quelle 2025-2026)
Statistiken und Analysen
- Eurostat — KI-Einsatz in EU-Unternehmen (11. Dezember 2025) (neue Quelle 2025-2026)
- CNIL (Frankreich) — Fragen und Antworten zum Inkrafttreten des AI Act (neue Quelle 2025-2026)
- Gibson Dunn — Analyse der Digital-Omnibus-Einigung (27. Mai 2026) (neue Quelle 2025-2026, sekundäre Rechtsanalyse)
- EU AI Act Portal — Analysen und Zusammenfassungen
Zusammenfassender Zeitplan
Dokument: Whitepaper – EU AI Act: Der vollständige Referenzleitfaden
Version: 1.0
Veröffentlichungsdatum: 20. Januar 2026
Letzte Aktualisierung: 10. Juni 2026
Autor: JAIKIN
Dieses Dokument dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Bei spezifischen Fragen zur AI Act-Konformität wenden Sie sich bitte an einen qualifizierten Rechtsberater.