EU AI Act — Was Sie als Unternehmen wissen sollten

Der EU AI Act (Verordnung EU 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Er wurde im Juni 2024 verabschiedet, im Juli 2024 im EU-Amtsblatt veröffentlicht und ist seit dem 1. August 2024 in Kraft. Als EU-Verordnung gilt er unmittelbar in allen Mitgliedstaaten — also auch in Deutschland, ohne dass ein nationales Umsetzungsgesetz nötig ist.

Das Ziel: KI soll sicher, transparent und grundrechtskonform eingesetzt werden. Dafür teilt der EU AI Act KI-Systeme in Risikostufen ein und knüpft an jede Stufe bestimmte Pflichten — von einfachen Transparenzhinweisen bis hin zu umfassenden Dokumentations- und Prüfpflichten.

Wichtig: Der EU AI Act gilt nicht nur für Unternehmen, die KI entwickeln. Er betrifft auch Unternehmen, die KI im beruflichen Kontext einsetzen — also praktisch jedes KMU, das mit Tools wie Chatbots, Bewerbungssoftware, CRM-Funktionen mit KI-Integration oder automatisierten Analysen arbeitet.

Quellen: EU-Amtsblatt (ABl. L, 2024/1689) · EU-Kommission: AI Act (digital-strategy.ec.europa.eu) · IHK München: AI Act für Unternehmen

Der EU AI Act tritt nicht auf einen Schlag in Kraft, sondern stufenweise. Einige Pflichten gelten bereits jetzt.

• Seit Februar 2025: Das Verbot bestimmter KI-Praktiken (z.B. Social Scoring, Emotionserkennung am Arbeitsplatz) und die KI-Kompetenzpflicht — jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass seine Mitarbeiter ausreichend geschult sind (Art. 4).
• Seit August 2025: Pflichten für Anbieter von allgemeinen KI-Modellen wie ChatGPT oder Claude (GPAI-Pflichten).
• Ab August 2026 (gesetzliche Frist): Pflichten für Hochrisiko-KI-Systeme — Dokumentation, Risikomanagement, menschliche Aufsicht, Registrierung in der EU-Datenbank. Außerdem Transparenzpflichten für Chatbots, Telefonagenten und andere KI-Systeme, die direkt mit Menschen interagieren.
• Mögliche Verschiebung auf Dezember 2027: Die EU-Kommission hat im November 2025 ein Vereinfachungspaket (Omnibus-Paket) vorgeschlagen, das die Hochrisiko-Fristen um 16 Monate verschieben könnte. Der erste Trilog zwischen EU-Parlament, Rat und Kommission fand am 27. März 2026 statt. Eine Verabschiedung wird Mitte 2026 erwartet. Solange das Paket nicht beschlossen ist, gilt die ursprüngliche Frist August 2026.

Quellen: EU-Kommission: Stufenplan AI Act · Lexware: KI-Verordnung der EU · EU Parliament Think Tank: Digital Omnibus on AI

Der EU AI Act teilt KI-Systeme in vier Kategorien ein. Diese Einstufung bestimmt, welche Pflichten für Sie als Unternehmen gelten.

• Verboten (gilt seit Februar 2025): Bestimmte KI-Praktiken sind komplett untersagt — darunter Social Scoring, Emotionserkennung am Arbeitsplatz (außer für medizinische oder Sicherheitszwecke), unterschwellige Manipulation und ungezieltes Gesichtserkennung-Scraping.
• Hochrisiko: KI-Systeme, die in sensiblen Bereichen eingesetzt werden — insbesondere Personalauswahl und HR, Kreditwürdigkeitsbewertung, Zugang zu wesentlichen Dienstleistungen, Bildung, kritische Infrastruktur und Strafverfolgung. Für diese Systeme gilt der umfassendste Pflichtenkatalog.
• Begrenztes Risiko (Transparenzpflichten): Chatbots, Telefonagenten und andere KI-Systeme, die direkt mit Menschen interagieren. Hier gilt vor allem: Der Nutzer muss wissen, dass er mit KI kommuniziert.
• Minimales Risiko: Die große Mehrheit der KI-Systeme — Spam-Filter, Empfehlungssysteme, einfache Automatisierungen. Hier gelten keine spezifischen Pflichten, nur die allgemeine KI-Kompetenzpflicht.

Quellen: artificialintelligenceact.eu: Risikobasierter Ansatz · Bundesnetzagentur: KI-Regulierung · IHK: AI Act Risikostufen

Der EU AI Act unterscheidet zwischen Anbieter und Betreiber. Beide haben Pflichten, aber unterschiedliche.

• Anbieter (Provider) ist, wer ein KI-System entwickelt oder unter eigenem Namen auf den Markt bringt. IP Bartolovic ist als Entwickler von KI-Agenten Anbieter im Sinne des EU AI Act. Anbieter haben die umfassenderen Pflichten: technische Dokumentation, Qualitätsmanagement, Konformitätsbewertung und bei Hochrisiko-Systemen Registrierung in der EU-Datenbank.
• Betreiber (Deployer) ist, wer ein KI-System im beruflichen Kontext einsetzt. Wenn Sie als KMU einen KI-Agenten von uns einsetzen, sind Sie Betreiber. Ihre Pflichten: bestimmungsgemäße Verwendung, menschliche Aufsicht, Dokumentation und Information betroffener Personen.

Wichtig für unsere Kunden: Wir als Anbieter übernehmen den Großteil der regulatorischen Last — technische Dokumentation, Sicherheitsarchitektur, Transparenzmechanismen. Sie als Betreiber müssen das System gemäß unserer Gebrauchsanweisung einsetzen, die menschliche Aufsicht sicherstellen und Ihre Mitarbeiter schulen.

Quellen: Art. 3 EU AI Act: Definitionen · Art. 16: Pflichten der Anbieter · Art. 26: Pflichten der Betreiber

Nicht alle unsere KI-Agenten fallen in dieselbe Risikokategorie. Hier eine Übersicht:

• HR- und Recruiting-Agenten — Hochrisiko: KI-Systeme, die Bewerbungen sichten, Kandidaten bewerten oder Personalentscheidungen unterstützen, sind im EU AI Act ausdrücklich als Hochrisiko eingestuft (Anhang III, Nr. 4). Das bedeutet: voller Pflichtenkatalog — technische Dokumentation, Risikomanagement, menschliche Aufsicht, Nachvollziehbarkeit jeder Entscheidung. Wir bauen diese Systeme so, dass alle Kriterien transparent definiert, jede Bewertung auditierbar und menschliche Freigabe fest im Prozess verankert ist.
• Support-Agenten (Chatbots, Telefonagenten) — Begrenztes Risiko: Diese Systeme fallen unter die Transparenzpflichten nach Art. 50. Das bedeutet: Jeder Nutzer muss klar informiert werden, dass er mit KI kommuniziert. Wir bauen den KI-Hinweis direkt in das System ein — sichtbar im Chat, als Ansage am Telefon, als Fußzeile in E-Mails.
• CRM- und Sales-Agenten — Minimales bis potenziell begrenztes Risiko: Lead-Scoring und Kundensegmentierung fallen in der Regel unter minimales Risiko. Sobald ein Agent jedoch die Kreditwürdigkeit von Personen bewertet oder über den Zugang zu Dienstleistungen entscheidet, kann Hochrisiko greifen. Deshalb definieren wir die Zweckbestimmung klar und schließen kritische Anwendungsfälle in den Nutzungsbedingungen aus.
• Buchhaltungs-Agenten — Minimales Risiko: Belegerkennung, Kontierung, Rechnungsverarbeitung und Zahlungserinnerungen sind nicht als Hochrisiko eingestuft. Hier gilt nur die allgemeine KI-Kompetenzpflicht.

Art. 50 des EU AI Act verlangt, dass Menschen informiert werden, wenn sie mit KI interagieren. Das betrifft drei Szenarien:

• Chatbots und Telefonagenten: Nutzer müssen zu Beginn der Interaktion informiert werden, dass sie mit einem KI-System kommunizieren — nicht erst auf Nachfrage. Bei Chatbots bedeutet das eine sichtbare Kennzeichnung, bei Telefonagenten eine verbale Ansage.
• KI-generierte Inhalte: Texte, die von KI erstellt werden, müssen in einem maschinenlesbaren Format als solche markiert werden. Bei E-Mails empfehlen wir eine Fußzeile wie: "Diese E-Mail wurde mit Unterstützung eines KI-Systems erstellt."
• E-Mail-Agenten: Die genaue Auslegung für automatisierte E-Mail-Korrespondenz ist noch nicht abschließend geklärt. Wir empfehlen aus Vorsicht eine Kennzeichnung — das ist auch ein Vertrauenssignal gegenüber Ihren Kunden.

Quellen: Art. 50 EU AI Act: Transparenzpflichten · A&O Shearman: Pflichten für Limited-Risk-Systeme

Artikel 4 des EU AI Act verpflichtet alle Unternehmen, die KI einsetzen, für ein ausreichendes Maß an KI-Kompetenz bei ihren Mitarbeitern zu sorgen. Das gilt unabhängig davon, ob das KI-System als Hochrisiko eingestuft ist oder nicht — und es gilt bereits seit dem 2. Februar 2025.

Konkret bedeutet das: Jeder Mitarbeiter, der mit KI-Systemen arbeitet, muss verstehen, was das System tut, wo seine Grenzen liegen und welche Risiken bestehen. Der Gesetzgeber schreibt kein festes Curriculum vor, erwartet aber dokumentierte Schulungen.

Wir unterstützen unsere Kunden dabei mit praxisnahen Schulungen auf die konkreten Systeme und Abläufe. Mehr dazu: Workshops

Quellen: Art. 4 EU AI Act: KI-Kompetenz · IHK Schleswig-Holstein: KI-Schulungspflicht · Haufe Akademie: Was der EU AI Act fordert

Der EU AI Act berücksichtigt ausdrücklich die Situation kleiner und mittlerer Unternehmen. Einige wichtige Erleichterungen:

• Reduzierte Bußgelder: Bei KMU gilt jeweils der niedrigere der beiden Werte (Festbetrag oder Umsatzprozentsatz). Ein Unternehmen mit 2 Mio. EUR Jahresumsatz riskiert bei einem Hochrisiko-Verstoß maximal 60.000 EUR (3% des Umsatzes) statt des Festbetrags von 15 Mio. EUR.
• Vereinfachte Dokumentation: Die EU-Kommission stellt für KMU vereinfachte Formulare für die technische Dokumentation bereit.
• Regulatory Sandboxes: Jeder EU-Mitgliedstaat muss bis August 2026 mindestens ein KI-Reallabor einrichten, in dem Unternehmen KI-Systeme unter behördlicher Aufsicht testen können. KMU und Startups erhalten bevorzugten und kostenlosen Zugang. Die Bundesnetzagentur hat im März 2026 ein Pilotprojekt zur Simulation eines KI-Reallabors erfolgreich abgeschlossen.

Quellen: Art. 99 EU AI Act: Sanktionen · Art. 62: Maßnahmen für KMU · artificialintelligenceact.eu: KMU-Leitfaden zum AI Act · Bundesnetzagentur: KI-Reallabore

Der EU AI Act sieht ein dreistufiges Sanktionssystem vor:

• Verbotene KI-Praktiken: Bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes.
• Sonstige Pflichtverletzungen (Hochrisiko, Transparenz): Bis zu 15 Mio. EUR oder 3% des weltweiten Jahresumsatzes.
• Falsche Angaben an Behörden: Bis zu 7,5 Mio. EUR oder 1% des weltweiten Jahresumsatzes.

Für KMU gilt jeweils der niedrigere Betrag. Zuständig für die Durchsetzung in Deutschland ist die Bundesnetzagentur als zentrale Koordinierungsstelle.

Quellen: Art. 99 EU AI Act: Sanktionen · IHK: Sanktionsregime AI Act · Bundesnetzagentur: KI-Aufsicht

• Omnibus-Paket: Die EU-Kommission hat im November 2025 ein Vereinfachungspaket vorgeschlagen, das die Hochrisiko-Fristen um 16 Monate auf Dezember 2027 verschieben könnte. Am 18. März 2026 haben die zuständigen Ausschüsse des EU-Parlaments (IMCO/LIBE) ihr Verhandlungsmandat beschlossen. Der erste Trilog fand am 27. März 2026 statt. Die Verabschiedung wird Mitte 2026 erwartet.
• Deutschland: Am 11. Februar 2026 hat das Bundeskabinett das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) beschlossen. Die Bundesnetzagentur wird als zentrale KI-Aufsichtsbehörde fungieren. Ein KI-Service-Desk speziell für KMU und Startups ist geplant.

Unsere Empfehlung: Nicht auf die Verschiebung warten, sondern jetzt vorbereiten. Die KI-Kompetenzpflicht und die Verbote gelten bereits. Und wer früh anfängt, hat keinen Zeitdruck, wenn die Hochrisiko-Pflichten greifen.

Quellen: EU Parliament Think Tank: Digital Omnibus on AI · Table.Media: AI Omnibus Trilogue · AI Act Akademie: Durchführungsgesetz

Wir bauen KI-Systeme, die die Anforderungen des EU AI Act von Anfang an berücksichtigen. Konkret bedeutet das:

• Transparenz: Jeder unserer Agenten, der direkt mit Menschen interagiert, informiert darüber, dass KI im Einsatz ist — sichtbar, verständlich und zu Beginn der Interaktion.
• Menschliche Aufsicht: Bei allen kritischen Entscheidungen ist menschliche Freigabe fest im Prozess verankert. Kein System trifft autonom Entscheidungen, die Menschen wesentlich betreffen.
• Nachvollziehbarkeit: Alle Aktionen werden protokolliert — was der Agent getan hat, auf welcher Grundlage, wer freigegeben hat. Keine Blackbox.
• Dokumentation: Für Hochrisiko-Systeme erstellen wir die technische Dokumentation nach den Vorgaben des EU AI Act und stellen Ihnen Gebrauchsanweisungen bereit.
• Schulung: Wir schulen Ihr Team auf die konkreten Systeme und helfen Ihnen, die KI-Kompetenzpflicht nach Art. 4 zu erfüllen. Mehr dazu: Workshops

Die regulatorische Verantwortung teilen wir klar auf: Als Anbieter übernehmen wir Entwicklung, Dokumentation und technische Sicherheit. Sie als Betreiber setzen das System bestimmungsgemäß ein und stellen die menschliche Aufsicht sicher.

• EU AI Act Volltext (artificialintelligenceact.eu)
• EU-Kommission: AI Act (digital-strategy.ec.europa.eu)
• AI Act Service Desk (ai-act-service-desk.ec.europa.eu)
• Bundesnetzagentur: KI-Regulierung (bundesnetzagentur.de)