EU AI Act & KI-Governance
EU-KI-Verordnung (EU 2024/1689) ab 02.08.2026 für Anhang III voll anwendbar (Digital-Omnibus-Vorschlag 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, noch nicht beschlossen): Risikoklassifizierung, Anhang III, GPAI, AI Literacy seit 02.02.2025, Transparenz-Pflichten Art. 50.
Wer fällt unter den EU AI Act?
Die Verordnung (EU) 2024/1689 unterscheidet vier Rollen mit unterschiedlichen Pflichten — die Einordnung Ihres Unternehmens entscheidet über den gesamten Maßnahmenkatalog.
Provider (Anbieter, Art. 3 Abs. 3): Wer ein KI-System entwickelt, unter eigenem Namen in Verkehr bringt oder als Eigenmarke vertreibt — unabhängig davon, ob gegen Entgelt oder unentgeltlich. Klassisch sind das Hersteller von Modellen, KI-SaaS-Plattformen und Unternehmen, die ein zugekauftes Modell unter eigener Marke weiterverkaufen. Provider tragen die Hauptlast der Pflichten (Risikomanagement, Tech-Dokumentation, Konformitätsbewertung).
Deployer (Betreiber, Art. 3 Abs. 4): Wer ein KI-System unter eigener Verantwortung im beruflichen Kontext einsetzt. Diese Rolle trifft schätzungsweise rund 90 Prozent aller Unternehmen — auch SaaS-Nutzer von ChatGPT Enterprise, Microsoft 365 Copilot, Gemini for Workspace oder Claude for Work sind Deployer und unterliegen unter anderem der KI-Kompetenzpflicht aus Art. 4 EU-KI-VO.
Importer und Distributor (Art. 3 Abs. 6 und 7): Wer ein KI-System aus einem Drittland in den EU-Markt einführt beziehungsweise weitervertreibt, ohne Provider zu sein. Die Pflichten reichen von der Identitäts- und Konformitätsprüfung des Anbieters bis zur Bereithaltung der CE-Kennzeichnung und EU-Konformitätserklärung.
Risiko-Klassifizierung — 4 Stufen
Der EU AI Act folgt einem risikobasierten Ansatz: Je höher das Schadenspotenzial, desto strenger die Pflichten. Die Einordnung erfolgt entlang von vier Stufen.
1. Verbotene Praktiken (Art. 5 EU-KI-VO, anwendbar seit 02.02.2025): Social Scoring durch öffentliche Stellen, manipulatives Subliminal-Targeting, ungezielte Gesichtsbild-Datenbanken aus Internet-Scraping, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie biometrische Echtzeit-Identifikation im öffentlichen Raum (mit eng definierten Ausnahmen).
2. Hochrisiko-KI (Anhang III, anwendbar ab 02.08.2026): Systeme in den Bereichen Personalwesen (Recruiting, Performance), Bildung (Prüfungen, Zulassung), Kreditwürdigkeit und Versicherung, Strafverfolgung, Migrations- und Asylverfahren, kritische Infrastruktur sowie Justiz. Pflichten: Risikomanagement-System (Art. 9), Daten-Governance (Art. 10), Tech-Dokumentation (Art. 11, Anhang IV), Logging, menschliche Aufsicht und Konformitätsbewertung.
3. Limitiertes Risiko (Art. 50, Transparenzpflichten): Chatbots müssen ihre KI-Natur offenlegen, Deepfakes sind als künstlich erzeugt zu kennzeichnen, KI-generierte Texte zu Themen öffentlichen Interesses ebenso.
4. Minimales Risiko: Spam-Filter, Empfehlungssysteme im Konsumbereich — keine zwingenden Pflichten, freiwillige Verhaltenskodizes (Art. 95) werden empfohlen.
Pflichten und Fristen
Die Verordnung tritt gestaffelt in Kraft — drei Stichtage strukturieren den Compliance-Aufbau.
Seit 02.02.2025 — Art. 4 KI-Kompetenzpflicht: Provider und Deployer müssen ein ausreichendes KI-Kompetenzniveau ihres Personals und aller in ihrem Auftrag mit KI-Systemen befassten Personen sicherstellen. Die Pflicht trifft ALLE Mitarbeiter mit KI-Bezug — von der Sachbearbeitung mit Copilot bis zum Data-Science-Team. Inhalt und Umfang sind an Vorwissen, Anwendungskontext und betroffene Personenkreise anzupassen.
Ab 02.08.2025 — Art. 53 ff. GPAI-Provider-Pflichten: Anbieter von General-Purpose-AI-Modellen erstellen Tech-Dokumentation nach Anhang XI, Downstream-Informationen nach Anhang XII und eine Urheberrechts-Compliance-Policy (DSM-RL Art. 4 Abs. 3). Bei systemischem Risiko (Trainings-Compute über 10^25 FLOP) zusätzlich Model-Evaluation, Incident-Reporting und Cybersecurity-Schutz.
Ab 02.08.2026 — Art. 26 Deployer-Pflichten und Anhang III Hochrisiko-Vollanwendung: Zweckkonforme Nutzung, menschliche Aufsicht, Logging, Information betroffener Personen und in Teilen Grundrechte-Folgenabschätzung (FRIA, Art. 27). Der Digital-Omnibus-Vorschlag vom 19.11.2025 sieht eine Verschiebung von Anhang III auf 02.12.2027 vor — der Trilog läuft, bestätigt ist die Verschiebung nicht.
Bußgelder (Art. 99): bis 35 Mio. EUR oder 7 Prozent des weltweiten Konzernumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist) bei verbotenen Praktiken. Für Hochrisiko-Verstöße bis 15 Mio. EUR oder 3 Prozent, für unrichtige Angaben bis 7,5 Mio. EUR oder 1 Prozent.
Die wichtigsten EU AI Act-Themen im Detail
Schritt-für-Schritt-Anleitungen mit Vorlagen, Verordnungs-Bezug und Audit-Checklisten.
EU AI Act Compliance: 12-Monats-Roadmap
3 Phasen bis 02.08.2026 (DO-Vorschlag 19.11.2025 — Trilog)
Hochrisiko-KI Anhang III
Klassifizierungs-Workbook + Filter-Mechanismus
KI-Inventar in 8 Schritten
Excel + 12 KMU-Beispiele + Update-Zyklus
AI Literacy Curriculum (Art. 4)
8-Module-Kurs · Pflicht seit 02.02.2025
Transparenz Art. 50
Chatbots, Deepfakes, Watermarking
GPAI-Anbieter-Pflichten ab 08/2026
Art. 53-55 + Code of Practice
Digital Omnibus (Vorschlag 11/2025)
Status [VOLATIL]: Trilog läuft, nicht beschlossen
Listicles & Top-Listen
Kompakte Übersichten — perfekt für Vorstandsmeetings, Newsletter oder als A4-Druckvorlage.
Praxis-Cluster & Glossar
Spezial-Themen für Branchen, Use-Cases und Pflicht-Begriffe.
Neue Vorlagen für EU AI Act & GPAI
Compliance-Dokumentation für die wichtigsten Pflichten unter EU AI Act 2024/1689 und GPAI Art. 53-55.
Audit-fertig in 2-4 Stunden
Statt monatelanger Recherche: einsatzbare Vorlagen, personalisiert mit Ihrem Firmennamen, einmalige Investition statt Beraterhonorar.
EU AI Act-Kit ansehen →Quellen
- Verordnung (EU) 2024/1689 (KI-VO) — EUR-Lex DE-Volltext (Stand: 13.06.2024)
- AI Act Service Desk (Artikel-Volltexte mit Bußgeld-Tier 35M/15M/7,5M)
- EU AI Office (Kommission)
- EU AI Office — GPAI Code of Practice (Stand: 10.07.2025)
- EU-Kommission — Digital-Omnibus-Vorschlag (Pressemitteilung) (Stand: 19.11.2025; Trilog läuft)