Welche KI-Systeme fallen unter den AI Act?

Januar 2026

Viele Unternehmen stellen sich derzeit dieselbe Frage: Betrifft uns der AI Act überhaupt? Die Antwort ist selten eindeutig. Die Anwendbarkeit der KI-Verordnung hängt von zahlreichen Details ab: von der technischen Funktionsweise des Systems, vom Verwendungszweck, von der Rolle Ihres Unternehmens in der Wertschöpfungskette und davon, wo und wie die KI eingesetzt wird. Hier erfahren Sie, welche Kriterien entscheidend sind und wann Sie genauer hinschauen sollten.

Was ist überhaupt ein KI-System? Die offizielle Definition

Nach Artikel 3 Nummer 1 der KI-Verordnung ist ein KI-System ein maschinengestütztes System, das für explizite oder implizite Ziele entwickelt wurde, um aus den Eingaben, die es erhält, abzuleiten, wie Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert werden können, die physische oder virtuelle Umgebungen beeinflussen können, und das in unterschiedlichem Maße an Autonomie arbeitet und Anpassungsfähigkeit nach der Bereitstellung aufweisen kann.

Diese Definition ist bewusst breit gefasst und technologieneutral. Die Definition umfasst ein breites Spektrum von Techniken, darunter maschinelles Lernen, wissens- und logikbasierte Ansätze sowie statistische Methoden. 

Die Kernmerkmale eines KI-Systems:

  • Maschinengestützt (nicht rein menschlich)

  • Generiert Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen

  • Arbeitet mit einem gewissen Grad an Autonomie

  • Kann Anpassungsfähigkeit nach der Bereitstellung aufweisen

Die breite Definition macht es im Einzelfall aber manchmal schwer, trennscharfe Unterscheidungen zu treffen. Die Europäische Komission hat eine 42-Seitige Guidance zum Begriff veröffentlicht. Unser Praktischer Tipp: Wenn es sich wie KI anfühlt, behandeln Sie es so. Wenn Sie im Einzelfall Abgrenzungsschwierigkeiten haben, holen Sie sich rechtliche Unterstützung.

Der Anwendungsbereich: Wer ist betroffen?

Territorial: Das Marktortprinzip

Die KI-Verordnung gilt für Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind, für Betreiber von KI-Systemen mit Sitz in der Union sowie für Anbieter und Betreiber von KI-Systemen mit Sitz in einem Drittland, wenn die von dem System erzeugten Ergebnisse in der Union verwendet werden.

Das bedeutet: Selbst wenn Ihr Unternehmen außerhalb der EU sitzt, aber KI-Systeme entwickelt oder nutzt, deren Output in der EU Wirkung entfaltet, unterliegen Sie der KI-Verordnung. Ähnlich wie bei der DSGVO gilt das Marktortprinzip.

Persönlich: Anbieter, Betreiber und weitere Akteure

Der AI Act erfasst verschiedene Akteure entlang der gesamten Wertschöpfungskette:

  • Anbieter (Provider) sind natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickeln oder entwickeln lassen und es unter eigenem Namen oder eigener Marke in Verkehr bringen oder in Betrieb nehmen (Beispiel: Ein Softwareunternehmen, das eine KI-gestützte Bewerberauswahlsoftware entwickelt und verkauft).

  • Betreiber (Deployer) sind natürliche oder juristische Personen, Behörden, Einrichtungen oder sonstige Stellen, die ein KI-System unter ihrer Aufsicht verwenden, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht-beruflichen Tätigkeit verwendet (Beispiel: Ein Personaldienstleister, der eine KI-Software zur Vorauswahl von Bewerbungen nutzt).

  • Einführer (Importer) sind natürliche oder juristische Personen mit Sitz in der Union, die ein KI-System, das den Namen oder die Marke einer in einem Drittland niedergelassenen natürlichen oder juristischen Person trägt, in Verkehr bringen (Beispiel: Ein europäischer Vertriebspartner, der KI aus den USA importiert und in der EU vertreibt).

  • Händler (Distributor) sind natürliche oder juristische Personen in der Lieferkette, die ein KI-System auf dem Unionsmarkt bereitstellen, ohne dessen Namen oder Marke zu ändern (Beispiel: Ein IT-Großhändler, der KI-Software verschiedener Hersteller weiterverkauft).

  • Bevollmächtigter (Authorised Representative) ist eine in der Union niedergelassene natürliche oder juristische Person, die von einem Anbieter eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck schriftlich mandatiert wurde, in seinem Namen die Verpflichtungen und Verfahren gemäß dieser Verordnung wahrzunehmen und zu erfüllen (Beispiel: Eine europäische Rechtskanzlei, die für einen US-amerikanischen KI-Anbieter als Kontaktstelle gegenüber den EU-Behörden fungiert).

Produkthersteller, die ein KI-System unter eigenem Namen oder eigener Marke in ein Produkt einbauen und dieses Produkt unter eigenem Namen oder eigener Marke in Verkehr bringen, können als Anbieter dieses KI-Systems gelten (Beispiel: Ein Automobilhersteller, der ein zugekauftes Assistenzsystem in seine Fahrzeuge integriert und unter eigenem Namen verkauft).

Was fällt nicht unter den AI Act? Wichtige Ausnahmen

Militärische und nationale Sicherheit

Diese Verordnung gilt nicht für Bereiche, die nicht in den Anwendungsbereich des Unionsrechts fallen, und berührt in keinem Fall die Zuständigkeiten der Mitgliedstaaten in Bezug auf die nationale Sicherheit, unabhängig von der Art der Stelle, die von einem Mitgliedstaat mit Aufgaben im Zusammenhang mit diesen Zuständigkeiten betraut wurde.

KI-Systeme, die ausschließlich für militärische, verteidigungsbezogene oder nationale Sicherheitszwecke entwickelt oder verwendet werden, sind vom Anwendungsbereich der Verordnung ausgenommen, unabhängig davon, welche Art von Stelle diese Tätigkeiten ausübt.

Rein wissenschaftliche Forschung und Entwicklung

Die Verordnung gilt nicht für KI-Systeme oder KI-Modelle, die speziell für die wissenschaftliche Forschung und Entwicklung entwickelt oder verwendet werden. Sobald ein System aber aus dem Forschungsumfeld in den kommerziellen Einsatz übergeht, greift die Verordnung.

Rein private, nicht-berufliche Nutzung

Die Verordnung gilt nicht für natürliche Personen, die KI-Systeme im Rahmen einer rein persönlichen, nicht-beruflichen Tätigkeit verwenden. Wenn Sie privat ChatGPT nutzen, unterliegen Sie nicht dem AI Act. Anders sieht es aus, sobald Sie KI beruflich oder geschäftlich einsetzen, oder nicht als reiner Betreiber, sondern z.B. als Anbieter auftreten.

Open-Source-Komponenten ohne kommerzielle Nutzung

Kostenlos und quelloffen bereitgestellte KI-Modelle und KI-Komponenten sind von bestimmten Pflichten ausgenommen, es sei denn, sie fallen unter Hochrisiko-Kategorien oder weisen systemische Risiken auf.

Inhaltliche Anwendung: Verschiedene Regelungsebenen

Der AI Act reguliert KI-Systeme nach einem abgestuften System. Je nach Art und Einsatzbereich des Systems greifen unterschiedliche Anforderungen:

Verbotene KI-Praktiken (Artikel 5): Absolutes Verbot

Bestimmte KI-Systeme sind grundsätzlich verboten, weil sie ein unannehmbares Risiko für Grundrechte darstellen. Dazu gehören Systeme zur sozialen Bewertung durch den Staat (Social Scoring), Systeme zur kognitiven Verhaltensmanipulation, biometrische Echtzeit-Fernidentifizierungssysteme zu Strafverfolgungszwecken in öffentlich zugänglichen Räumen (mit wenigen Ausnahmen), Systeme zur Erstellung von Gesichtserkennungsdatenbanken durch ungezielte Auslese sowie Systeme zur Erkennung von Emotionen am Arbeitsplatz und in Bildungseinrichtungen.

Diese Systeme dürfen weder entwickelt noch in Verkehr gebracht oder genutzt werden.

Hochrisiko-KI-Systeme (Artikel 6): Strenge Anforderungen

KI-Systeme gelten als hochriskant, wenn sie entweder als Sicherheitsbauteil in regulierten Produkten (Anhang I) verwendet werden oder in bestimmten sensiblen Bereichen (Anhang III) eingesetzt werden. Zu Anhang III gehören Bereiche wie biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung, Kreditwürdigkeitsprüfung, Strafverfolgung und Rechtspflege.

Für Hochrisiko-KI-Systeme gelten umfassende Pflichten: Risikomanagement, Datenqualität und Datenverwaltung, technische Dokumentation, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit sowie Konformitätsbewertungen.

KI-Modelle mit allgemeinem Verwendungszweck (GPAI): Sonderregelungen

KI-Modelle mit allgemeinem Verwendungszweck wie ChatGPT oder andere große Sprachmodelle werden in Kapitel V gesondert geregelt, da sie für verschiedene Anwendungszwecke eingesetzt werden können und nicht in das klassische risikobasierte Schema passen.

Anbieter von GPAI-Modellen müssen technische Dokumentationen erstellen, Transparenzpflichten erfüllen und bei systemischen Risiken zusätzliche Anforderungen einhalten.

Transparenzpflichten für bestimmte KI-Systeme: Offenlegung erforderlich

Für einige KI-Systeme gelten Transparenzanforderungen. KI-Systeme, die für die direkte Interaktion mit Personen bestimmt sind (z. B. Chatbots), müssen offen legen, dass der Nutzer mit einem KI-System interagiert, es sei denn, dies ist aus dem Kontext offensichtlich.

Erzeuger und Betreiber von Deepfakes müssen deutlich erkennbar machen, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Dies gilt für synthetisch erzeugte Bilder, Audio- und Videoinhalte, die einer Person ähneln oder mit ihr verwechselt werden können.

Emotionserkennungssysteme und biometrische Kategorisierungssysteme müssen die betroffenen Personen darüber informieren, dass sie einem solchen System ausgesetzt sind.

Nicht gesondert geregelte Systeme: Nur allgemeine Pflichten

Viele KI-Systeme fallen nicht in eine der oben genannten Kategorien. Für KI-Systeme, die nicht verboten sind, nicht als Hochrisiko gelten und keine spezifischen Transparenzpflichten auslösen, gelten nur allgemeine Pflichten wie die Pflicht, KI-Kompetenz sicherzustellen.

Fazit: Details und Kontext entscheiden

Die Frage, ob Ihr KI-System unter den AI Act fällt, lässt sich nicht pauschal beantworten. In vielen Fällen kommt es auf technische Details, den konkreten Verwendungszusammenhang und die Rolle Ihres Unternehmens an. Ein Chatbot kann je nach Einsatzbereich unterschiedlich reguliert sein, ein Empfehlungssystem kann ein unterschiedliches Risiko darstellen, und selbst scheinbar einfache Software kann bei genauerer Betrachtung KI-Elemente enthalten.

Besonders kritisch wird es in Grenzfällen: Ist Ihr wissensbasiertes Expertensystem autonom genug, um als KI zu gelten? Nutzen Sie ein GPAI-Modell nur als Betreiber oder werden Sie durch Anpassungen zum Anbieter? Welche Ausnahmen greifen tatsächlich?

Erfolgreiche Unternehmen verlassen sich hier nicht auf Vermutungen. Sie führen eine systematische Analyse ihrer Systeme durch und holen im Zweifelsfall frühzeitig rechtliche Beratung ein. Die Kosten einer präventiven Prüfung sind minimal im Vergleich zu möglichen Sanktionen bei Fehleinschätzungen.

MAINLY unterstützt mittelständische Unternehmen und Startups dabei, ihre KI-Systeme rechtssicher zu klassifizieren, die Anwendbarkeit des AI Act präzise zu bestimmen und eine fundierte Compliance-Strategie zu entwickeln, bevor Unsicherheiten zu Haftungsfallen werden. 

Sie benötigen Hilfe bei einem der Punkte?

Kontaktieren Sie uns für ein kostenloses Erstgespräch.

Termin buchen

Termin buchen

Termin buchen

Zurück zur Übersicht

Zurück zur Übersicht

Zurück zur Übersicht