Was ist der AI-Act, einfach erklärt?
Januar 2026
Der EU AI-Act (auf Deutsch: KI-Verordnung, beide Begriffe werden hier synonym verwendet) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Der AI-Act ist seit August 2024 in Kraft und gilt unmittelbar in allen EU-Mitgliedstaaten. Das Gesetz betrifft jeden, der KI entwickelt, verkauft oder nutzt: vom Konzern bis zum Startup.
Warum braucht es überhaupt ein KI-Gesetz?
Künstliche Intelligenz durchdringt längst Ihren Geschäftsalltag. Sie hilft bei Entscheidungen über Bewerbungen, formuliert E-Mails, filtert Inhalte in sozialen Netzwerken und hilft Ärzten bei Diagnosen. Das bringt enorme Chancen, birgt aber auch Herausforderungen: Welche Daten nutzt die KI? Kann sie diskriminieren? Wer haftet, wenn etwas schiefgeht?
Eine zentrale Schwierigkeit ist, dass viele KI-Systeme Entscheidungen treffen, die für die betroffenen Menschen schwer nachvollziehbar sind. Oft bleibt unklar, wie ein Algorithmus zu einem bestimmten Ergebnis kommt, etwa warum jemand einen Kredit erhält und ein anderer nicht.
Ohne klare Regeln besteht die Gefahr, dass Grundrechte verletzt werden. Die KI-Verordnung schafft hier einen verbindlichen Rahmen für Transparenz und Schutz.
Wie funktioniert der AI-Act? Ein differenzierter Ansatz
Die Verordnung folgt einem risikobasierten Ansatz: Je höher das mögliche Auswirkungspotenzial eines KI-Systems, desto strenger die Anforderungen.
Allerdings ist dieser Ansatz nur teilweise durchgängig, da KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) in einem eigenen Kapitel V der KI-Verordnung geregelt werden und nicht nach dem klassischen Risikoschema eingeordnet werden.
Verbotene KI (Unannehmbares Potenzial)
Bestimmte Systeme sind grundsätzlich verboten, etwa KI zur sozialen Bewertung durch den Staat ("Social Scoring") oder manipulative Systeme. Diese Verbote gelten bereits seit 2025.
Hochrisiko-KI
Hochrisiko-KI-Systeme sind erlaubt, aber stark reguliert. Sie müssen strenge Anforderungen erfüllen, etwa Transparenz, Sicherheit und menschliche Kontrolle. Beispiele sind KI in medizinischen Geräten, oder die Bewerberauswahl durch automatisierte Systeme.
Transparenz
Mit zunehmender Verbreitung und Weiterentwicklung der Technologie wird es immer schwieriger, KI-generierte Inhalte von "echten" zu unterscheiden. Hier verpflichtet der AI-Act zu einem transparenten Hinweis, dass KI im Spiel ist. Beispiele für Systeme, die eine solche Pflicht trifft, sind Chatbots oder KI-generierte "Deepfakes".
Nicht speziell geregelte Systeme
Viele KI-Systeme unterliegen keiner speziellen Regulierung. Dazu können zum Beispiel Videospiel-KI oder Rechtschreibkorrekturen gehören. Es müssen dann nach dem AI-Act nur allgemeine Regeln wie die Pflicht, KI-Kompetenz sicherzustellen, eingehalten werden.
Achtung: Neben dem AI-Act gilt für KI eine Reihe weiterer gesetzlicher Pflichten, z.B. zu Datenschutz, Urheberrecht, Haftung etc. Vergessen Sie diese Gesetz nicht.
Sonderstellung GPAI-Modelle
KI-Modelle mit allgemeinem Verwendungszweck wie ChatGPT oder andere große Sprachmodelle zeichnen sich dadurch aus, dass sie für verschiedene Anwendungszwecke eingesetzt werden können. Sie werden in Kapitel V der KI-Verordnung gesondert geregelt, da der ursprüngliche risikobasierte Ansatz auf diese neue Art von KI richtig passt.
Wen betrifft der AI-Act konkret?
Der AI-Act richtet sich an eine breite Gruppe: Anbieter, die KI entwickeln oder verkaufen, Betreiber, die KI nutzen, und sogar Unternehmen ohne EU-Sitz, wenn deren KI-Systeme Auswirkungen auf Personen in der EU haben. Das Marktortprinzip greift hier ähnlich wie bei der DSGVO.
Auch Unternehmen, die keine eigene KI entwickeln, sondern lediglich KI-Tools einkaufen oder nutzen, fallen unter den AI-Act. Entscheidend ist nicht, ob KI entwickelt wird, sondern wie und wofür sie eingesetzt wird.
Was müssen Unternehmen jetzt konkret tun?
Erfolgreiche Unternehmen beginnen bereits heute mit der Vorbereitung. Zunächst müssen Unternehmen ihre KI-Anwendungen genau analysieren und klassifizieren. Diese Bestandsaufnahme ist die Grundlage für alle weiteren rechtlichen Schritte.
Als zweiter Schritt sollte die Rolle des eigenen Unternehmens und das Risiko-Niveau der jeweiligen Anwendungen bestimmt werden. Hieraus leiten sich die konkreten Pflichten ab.
Wenn ein System zum Beispiel als hochriskant eingestuft wird, müssen Unternehmen umfassende technische Unterlagen und Bewertungen erstellen. Dazu gehört eine genaue Beschreibung, wie das System funktioniert, mit welchen Daten es trainiert wurde und welche Schutzmaßnahmen eingebaut sind.
Ein weiterer zentraler Punkt ist die sogenannte menschliche Aufsicht. Unternehmen müssen sicherstellen, dass Menschen jederzeit in der Lage sind, die Entscheidungen der KI zu kontrollieren oder im Zweifelsfall abzubrechen.
Die konkreten Pflichten und Ausgestaltungsmöglichkeiten sind komplex. Wir erläutern diese in unseren weiteren Artikeln zum Thema, empfehlen Ihnen aber als betroffenes Unternehmen auch dringend, Ihre konkreten Pflichten von Rechtsexperten checken zu lassen. Wir unterstützen Sie dabei gerne.
Was passiert bei Nichteinhaltung?
Bei Verstößen gegen die verbotene KI-Praktiken drohen Geldbußen von bis zu 35 Millionen Euro oder bis zu 7 Prozent des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr.
Bei Nichteinhaltung der Pflichten von Anbietern, Betreibern, Einführern und Händlern oder bei Verstößen gegen Transparenzpflichten können Geldbußen von bis zu 15 Millionen Euro oder bis zu 3 Prozent des gesamten weltweiten Jahresumsatzes verhängt werden.
Die Bereitstellung falscher, unvollständiger oder irreführender Informationen an notifizierte Stellen oder zuständige Behörden kann mit Geldbußen von bis zu 7,5 Millionen Euro oder bis zu 1 Prozent des Jahresumsatzes geahndet werden.
Darüber hinaus ist die Haftungsfrage zu beachten: Der AI-Act schafft zwar keine eigenen zivilrechtlichen Haftungstatbestände, aber Gerichte werden die neuen Pflichten in Haftungsfällen berücksichtigen müssen, um Art und Maß der anzuwendenden Sorgfalt zu konkretisieren.
Compliance als strategischer Vorteil
Bewährte Lösungen setzen nicht auf kurzfristige Notmaßnahmen, sondern auf strukturierte KI-Governance: KI-Inventar erstellen (welche KI-Systeme nutzen wir, für welchen Zweck?), Lieferanten prüfen (welche Informationen stellt der Anbieter bereit?), KI-Kompetenz aufbauen (Mitarbeitende müssen Chancen und Anforderungen erkennen) und Transparenz sicherstellen (Nutzer müssen erkennen können, wenn sie mit KI interagieren).
Gleichzeitig eröffnet der AI-Act auch Chancen: Unternehmen, die frühzeitig rechtskonforme, vertrauenswürdige KI entwickeln, können sich auf dem Markt besser positionieren und das wachsende Bedürfnis nach sicherer, nachvollziehbarer Technologie bedienen. Rechtssicherheit schafft Vertrauen bei Kunden, Investoren und Partnern.
Strategische Beratung zum AI-Act ist längst kein "Nice to have" mehr, sondern entscheidend für die Wettbewerbsfähigkeit Ihres Unternehmens. MAINLY unterstützt mittelständische Unternehmen und Startups dabei, KI-Compliance strategisch aufzubauen und gleichzeitig Haftungsrisiken zu minimieren – mit praxisnaher Beratung zu AI-Act, DSGVO und digitalem Wirtschaftsrecht. So bieten wir Ihnen die nötige Rechtssicherheit in einem dynamischen Marktumfeld.
