Der EU AI Act — offiziell die Verordnung (EU) 2024/1689, in Deutschland als KI-Verordnung bezeichnet — ist am 1. August 2024 in Kraft getreten. Es handelt sich um das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Für deutsche Unternehmen bedeutet das: Wer KI einsetzt, entwickelt oder vertreibt, unterliegt konkreten Pflichten. Die ersten davon gelten bereits.
Dennoch haben viele Unternehmen noch keine Maßnahmen ergriffen. Das ist riskant — denn die Übergangsfristen sind kurz und die Sanktionen erheblich.
À retenir
- Der EU AI Act gilt seit 1. August 2024 — erste Pflichten sind seit Februar und August 2025 wirksam
- Artikel 4 verpflichtet alle Unternehmen, KI-Kompetenz bei ihren Mitarbeitern sicherzustellen
- Das Gesetz folgt einem risikobasierten Ansatz mit vier Stufen: verboten, hochriskant, begrenzt, minimal
- Bußgelder reichen bis 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
Was der EU AI Act regelt
Die KI-Verordnung verfolgt einen risikobasierten Ansatz. Nicht jede KI-Anwendung wird gleich behandelt. Stattdessen ordnet das Gesetz KI-Systeme in vier Risikostufen ein:
Unannehmbares Risiko (verboten)
Bestimmte KI-Praktiken sind seit dem 2. Februar 2025 verboten. Dazu gehören:
- Social Scoring durch öffentliche Stellen
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (mit engen Ausnahmen)
- Manipulative KI-Systeme, die menschliches Verhalten unterbewusst beeinflussen
Hochrisiko-KI-Systeme
Die strengsten Auflagen betreffen Systeme, die in sensiblen Bereichen eingesetzt werden: Personalwesen, Kreditvergabe, Bildung, Strafverfolgung, kritische Infrastruktur und medizinische Geräte. Für diese Systeme gelten ab August 2026 bzw. August 2027 umfangreiche Anforderungen:
- Risikomanagementsystem und Qualitätsmanagement
- Datenverwaltung und technische Dokumentation
- Menschliche Aufsicht und Transparenzpflichten
- Konformitätsbewertung vor Marktzugang
Begrenztes Risiko
KI-Systeme wie Chatbots und Deepfake-Generatoren unterliegen Transparenzpflichten: Nutzer müssen wissen, dass sie mit einer KI interagieren.
Minimales Risiko
Die meisten KI-Anwendungen — Spamfilter, Empfehlungssysteme, einfache Automatisierungen — fallen in diese Kategorie und unterliegen keinen spezifischen Auflagen über Artikel 4 hinaus.
78%
der deutschen Unternehmen nutzen bereits KI-Tools — aber nur 23% haben eine dokumentierte KI-Governance
Source : Bitkom Research, KI-Monitor 2025
Artikel 4: Die Pflicht zur KI-Kompetenz
Artikel 4 ist die erste materielle Pflicht des AI Act, die wirksam geworden ist — seit dem 2. August 2025. Er ist bewusst breit formuliert und betrifft ausnahmslos jedes Unternehmen, das KI einsetzt.
Der Wortlaut: Anbieter und Betreiber von KI-Systemen müssen Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit KI-Systemen umgehen, über ein ausreichendes Maß an KI-Kompetenz verfügen.
Was „ausreichend” bedeutet, hängt von drei Faktoren ab:
- Den technischen Kenntnissen der Person
- Ihrer Erfahrung und bisherigen Ausbildung
- Dem Kontext, in dem das KI-System eingesetzt wird
Artikel 4 definiert kein Standard-Schulungsprogramm. Jedes Unternehmen muss selbst bestimmen, was für seinen Kontext „ausreichend” ist. Im Falle einer Prüfung durch die Aufsichtsbehörde — in Deutschland das BSI oder die zuständige Marktüberwachungsbehörde — wird genau diese Bewertung überprüft.
Konkret bedeutet das: Ein Sachbearbeiter, der ChatGPT für E-Mails nutzt, braucht eine andere Schulung als ein Data Scientist, der ein KI-Modell für die Kreditvergabe trainiert. Aber beide müssen nachweislich geschult sein.
Ein KI-Workshop ist der effizienteste erste Schritt, um die Anforderungen von Artikel 4 zu erfüllen.
Was der EU AI Act für deutsche Unternehmen bedeutet
Aufsicht in Deutschland
Deutschland setzt den AI Act über bestehende Behörden um. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) übernimmt eine zentrale Rolle bei der technischen Bewertung. Für regulierte Branchen gelten zusätzliche Anforderungen der jeweiligen Aufsichtsbehörden:
- BaFin für Finanzdienstleistungen — hat bereits Leitlinien zu KI im Risikomanagement veröffentlicht
- BNetzA (Bundesnetzagentur) für Telekommunikation und digitale Dienste
- Die Datenschutzbeauftragten der Länder für KI-Anwendungen, die personenbezogene Daten verarbeiten
Zusammenspiel mit der DSGVO
Der AI Act ersetzt die DSGVO nicht — er ergänzt sie. Wenn ein KI-System personenbezogene Daten verarbeitet (und das tun die meisten), gelten beide Regelwerke gleichzeitig. Deutsche Unternehmen, die bereits DSGVO-konform arbeiten, haben einen Vorsprung: Die Anforderungen an Datenverwaltung, Transparenz und Dokumentation überschneiden sich teilweise.
Aber es gibt neue Pflichten, die über die DSGVO hinausgehen: Die Konformitätsbewertung für Hochrisiko-Systeme, die KI-Kompetenz-Anforderung nach Artikel 4 und die Pflicht zur menschlichen Aufsicht haben in der DSGVO kein Äquivalent.
€35 Mio.
oder 7 % des weltweiten Jahresumsatzes — die Höchststrafe für Verstöße gegen verbotene KI-Praktiken
Source : EU AI Act, Artikel 99
Die Fristen im Überblick
| Datum | Pflicht |
|---|---|
| 2. Februar 2025 | Verbot von KI-Systemen mit unannehmbarem Risiko |
| 2. August 2025 | Artikel 4: KI-Kompetenz sicherstellen |
| 2. August 2026 | Pflichten für Hochrisiko-Systeme (Anhang III), Transparenzpflichten für GPAI |
| 2. August 2027 | Pflichten für Hochrisiko-Systeme in regulierten Produkten (Anhang I) |
Die erste Frist ist bereits verstrichen. Die zweite ebenfalls. Unternehmen, die noch keine KI-Kompetenzmaßnahmen ergriffen haben, sind bereits im Verzug.
Was Sie jetzt tun müssen
1. KI-Inventar erstellen
Erfassen Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden — einschließlich der Tools, die Mitarbeiter eigenständig nutzen (sogenannte Schatten-KI). Ohne vollständiges Inventar ist keine Risikoklassifizierung möglich.
2. Risikoklassifizierung durchführen
Ordnen Sie jedes System einer der vier Risikostufen zu. Hochrisiko-Systeme erfordern die umfangreichsten Maßnahmen — planen Sie dafür ausreichend Zeit ein.
3. KI-Schulung organisieren
Artikel 4 verlangt nachweisbare KI-Kompetenz. Ein strukturierter KI-Workshop ist der schnellste Weg, diese Anforderung zu erfüllen. Die Schulung muss an Rolle, Vorwissen und Einsatzkontext angepasst sein — ein pauschales E-Learning für alle reicht nicht aus.
4. Governance-Struktur aufbauen
Benennen Sie eine verantwortliche Person oder Stelle für KI-Governance. Erstellen Sie eine KI-Richtlinie, die Nutzung, Beschaffung und Entwicklung von KI-Systemen regelt. Dokumentieren Sie alle Maßnahmen — Dokumentation ist im Ernstfall Ihr wichtigstes Beweismittel.
Beginnen Sie mit Artikel 4 — er gilt bereits und betrifft jedes Unternehmen. Die Hochrisiko-Pflichten haben Sie bis August 2026 bzw. 2027. Aber KI-Kompetenz ist die Grundlage für alles Weitere.
Testen Sie Ihr Wissen zur KI-Verordnung
Was Brain für Sie tut
Brain ist eine Plattform, die Unternehmen bei der Erfüllung der KI-Kompetenzpflicht nach Artikel 4 unterstützt. Praxisnahe Schulungsmodule — angepasst an Branche, Rolle und eingesetzte KI-Tools — vermitteln genau die Kompetenz, die das Gesetz verlangt. Das integrierte Tracking dokumentiert den Schulungsfortschritt und dient als Nachweis gegenüber Aufsichtsbehörden.
Keine theoretischen Vorträge. Praktische Übungen: Halluzinationen erkennen, Daten schützen, KI verantwortungsvoll einsetzen.
Entdecken Sie die Brain-Tarife und starten Sie die KI-Schulung für Ihr Team.