Geschäftsführer CFO / Controller Vertriebsleiter Operations IT / Digital
Sales & Pipeline Finance, Buchhaltung & Cashflow Kunden & Churn Operations, Einkauf & Supply HR & People Projekte & Delivery Backoffice, IT & Compliance
Technologie So arbeiten wir Preise Kontakt Kostenloser Maturity Check →
Glossar

EU-KI-Verordnung (EU AI Act)

Die weltweit erste umfassende KI-Regulierung: Definition, Risikostufen, Rollen und aktualisierte Timeline bis 2028.

Die EU-KI-Verordnung, international als EU AI Act bekannt, ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Sie wurde am 13. März 2024 vom Europäischen Parlament verabschiedet, am 21. Mai 2024 vom Rat der EU bestätigt und trat am 1. August 2024 in Kraft. Die Verordnung folgt einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung für Sicherheit, Gesundheit oder Grundrechte, desto strenger die Anforderungen. Für den Mittelstand ist entscheidend: Die meisten eingesetzten KI-Tools fallen in die Kategorien minimales oder begrenztes Risiko und unterliegen nur wenigen Pflichten.

Was ist die EU-KI-Verordnung im Überblick?

Offiziell lautet der Titel Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz. Die Verordnung gilt als Verordnung mit EWR-Relevanz direkt in allen EU-Mitgliedstaaten – ohne Umsetzung durch nationales Recht. Deutschland arbeitet dennoch an einem Durchführungsgesetz (KI-MIG), das die Zuständigkeiten der Behörden klärt.

Das Gesetz verfolgt zwei Ziele: Es soll einerseits den sicheren und verantwortungsvollen Einsatz von KI fördern und andererseits Innovationen schützen. Der risikobasierte Ansatz bedeutet: Nicht jede KI-Anwendung wird gleich stark reguliert. Ein Spam-Filter unterliegt anderen Regeln als ein KI-System zur automatisierten Bewerberauswahl.

Der Geltungsbereich ist extraterritorial: Auch Anbieter außerhalb der EU müssen den AI Act einhalten, wenn ihre KI-Systeme im EU-Markt genutzt werden oder deren Output in der EU verwendet wird.

Ist mein Software-Tool ein KI-System nach dem EU AI Act?

Diese Frage stellen sich viele Geschäftsführer, wenn sie von der KI-Verordnung hören. Die offizielle Definition in Artikel 3 Absatz 1 lautet:

Ein KI-System ist ein maschinenbasiertes System, das mit variierendem Grad an Autonomie arbeiten und nach der Bereitstellung Anpassungsfähigkeit zeigen kann und das für explizite oder implizite Ziele aus den empfangenen Eingaben ableitet, wie Outputs wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert werden können, die physische oder virtuelle Umgebungen beeinflussen können.

Entscheidend ist die Inferenz – also die Fähigkeit, aus Inputs selbstständig Outputs abzuleiten. Wer nur feste Regeln programmiert, ohne dass das System aus Daten lernt oder Muster erkennt, baut kein KI-System im Sinne des AI Act.

Entscheidungshilfe: Ist mein Tool ein KI-System?

Kriterium Ja Nein
Arbeitet das System mit variierender Autonomie? → Weiter zu Kriterium 2 Kein KI-System
Kann es sich nach der Einführung anpassen? → Weiter zu Kriterium 3 Wahrscheinlich kein KI-System
Leitet es aus Inputs Outputs ab (Vorhersagen, Empfehlungen, Entscheidungen)? → Weiter zu Kriterium 4 Kein KI-System
Können diese Outputs Umgebungen beeinflussen? Es ist ein KI-System Kein KI-System

Was ist explizit kein KI-System? Laut den Leitlinien der Europäischen Kommission vom Februar 2025 zählen dazu: traditionelle regelbasierte Software ohne Inferenz, einfache statistische Berechnungen, Standard-Suchalgorithmen, automatisierte Excel-Formeln ohne Mustererkennung und klassische Workflow-Automatisierungen mit festen if-then-Regeln.

Die 4 Risikostufen: Welche gilt für mein Unternehmen?

Der AI Act klassifiziert KI-Systeme in vier Risikostufen. Für den Mittelstand ist die Einordnung entscheidend, denn davon hängt der Compliance-Aufwand ab.

Risikostufe Mittelstand-Beispiel Pflichten
Unannehmbares Risiko (Art. 5) Social Scoring von Kunden, manipulative Subliminal-Bots, biometrische Echtzeitüberwachung Verboten seit 2. Februar 2025
Hohes Risiko (Art. 6 + Anhang III) Automatisiertes Bewerbungs-Screening, Kreditscoring, Leistungsbewertung, Notfalldienst-Priorisierung Konformitätsbewertung, Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Registrierung in EU-Datenbank
Begrenztes Risiko (Art. 50) KI-Chatbot auf der Website, KI-generierte Marketing-Bilder, E-Mail-Vorschläge, KI-Telefonie Transparenzhinweis, Kennzeichnung KI-generierter Inhalte
Minimales Risiko Spam-Filter, Churn-Prognose, interne Forecasting-Tools, Dokumenten-Klassifizierung, Anomalieerkennung Keine spezifischen Pflichten, freiwilliger Verhaltenskodex empfohlen

Die gute Nachricht für den Mittelstand: Die meisten KI-Tools in KMU-Betrieben – von der E-Mail-Automatisierung bis zur Umsatzprognose – fallen unter minimales oder begrenztes Risiko. Hochrisiko-Systeme sind auf spezifische Branchen und Anwendungsfälle beschränkt.

Wer ist betroffen? Der Rollen-Selbsttest

Der AI Act unterscheidet vier Rollen entlang der Wertschöpfungskette. Die meisten Mittelständler sind Deployer (Betreiber), haben aber deutlich geringere Pflichten als Provider (Anbieter).

Ihr Unternehmen... Dann sind Sie... Kernpflichten
...entwickelt KI-Software und bringt sie unter eigenem Namen auf den Markt Provider (Anbieter) Technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Risikomanagement-System
...nutzt KI-Software im eigenen Betrieb Deployer (Betreiber) KI-Kompetenz nach Artikel 4, Risikobewertung, menschliche Aufsicht, Protokollierung
...importiert KI-Software aus Nicht-EU-Ländern in die EU Importeur Prüfung der Konformität, Kooperation mit Marktüberwachungsbehörden
...vertreibt KI-Software im eigenen Namen, ohne sie zu entwickeln Distributoren (Händler) Sorgfaltspflicht, Prüfung von CE-Kennzeichnung und Dokumentation, Meldung bei Nicht-Konformität

Wichtig: Wer ein gekauftes KI-System wesentlich verändert – zum Beispiel durch Retraining auf eigenen Daten oder Änderung der Zweckbestimmung – kann aus der Rolle des Deployers in die des Providers wechseln. Das bedeutet deutlich höhere Pflichten.

Wann gilt was? Zeitplan mit Digital-Omnibus-Update

Der AI Act wird schrittweise angewendet. Durch den Digital Omnibus (Novellierung vom November 2025) wurden wichtige Fristen für Hochrisiko-Systeme verschoben. Viele deutsche Quellen zeigen noch den alten Stand – hier die aktualisierte Übersicht.

Datum Was gilt Status
1. August 2024 Verordnung tritt in Kraft ✅ In Kraft
2. Februar 2025 Verbotene Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4) ✅ Gilt bereits
2. August 2025 GPAI-Provider-Pflichten + Governance-Strukturen ✅ Gilt bereits
2. Dezember 2026 Maschinenlesbare Kennzeichnung KI-generierter Inhalte + Verbot Deepfake-Pornographie (neu im Digital Omnibus) 🆕 Neu
2. Dezember 2027 Hochrisiko-KI nach Anhang III (verschoben durch Digital Omnibus; vorher 2. August 2026) 🆕 Verschoben
2. August 2028 Hochrisiko-KI in Produkten nach Anhang I (verschoben durch Digital Omnibus; vorher 2. August 2027) 🆕 Verschoben

Der Digital Omnibus hat zudem KMU-Erleichterungen auf kleine Mid-Cap-Unternehmen erweitert und die Zuständigkeiten der EU-KI-Behörde gestärkt. Die politische Einigung wurde am 7. Mai 2026 erzielt, die formelle Annahme durch Parlament und Rat steht noch aus.

EU AI Act im Kontext anderer Regelungen

Der AI Act steht nicht isoliert. Für Unternehmen, die KI einsetzen, sind mindestens vier weitere Regelwerke relevant. Wer sie zusammen betrachtet, vermeidet Doppelarbeit.

Regelung Bezug zum AI Act Was das für KMU bedeutet
DSGVO Überschneidung bei personenbezogenen Daten, DSFA bei Hochrisiko-KI, Transparenzpflichten Wer DSGVO-konform ist, hat 60 bis 70 Prozent der AI-Act-Anforderungen für minimale und begrenzte Risiken bereits erfüllt
NIS2 Cybersicherheit für kritische Infrastrukturen Hochrisiko-KI in kritischer Infrastruktur unterliegt beiden Regelwerken gleichzeitig
Cyber Resilience Act (CRA) Produktsicherheit für Software mit Sicherheitsfunktionen KI-Sicherheitskomponenten in Produkten müssen CRA- und AI-Act-Anforderungen erfüllen
ISO 42001 Freiwillige internationale Norm für KI-Managementsysteme Hilfreich für Hochrisiko-Systeme als strukturiertes Framework, aber keine gesetzliche Pflicht

Bußgelder und Sanktionen

Der AI Act sieht ein gestaffeltes Bußgeldregime vor. Für Mittelständler ist wichtig: Bei der Berechnung gilt der niedrigere Wert – entweder der Festbetrag oder der Prozentsatz des weltweiten Umsatzes.

Verstoß Max. Bußgeld KMU-Sonderregel
Verbotene Praktiken (Art. 5) 35 Mio. EUR oder 7 % globaler Umsatz Niedrigerer Wert gilt
Hochrisiko-Pflichten (Art. 6 ff.) 15 Mio. EUR oder 3 % globaler Umsatz Niedrigerer Wert gilt
Falsche Angaben an Behörden 7,5 Mio. EUR oder 1,5 % globaler Umsatz Niedrigerer Wert gilt

Für die meisten Mittelständler sind diese Summen theoretischer Natur, da die überwiegende Mehrheit der KMU keine verbotenen Praktiken einsetzt und die meisten KI-Systeme unter minimales oder begrenztes Risiko fallen. Dennoch sollten Unternehmen die Pflichten ernst nehmen, da regulatorische Prüfungen zunehmen.

KMU-Privilegierungen nach Artikel 62

Der AI Act behandelt kleine und mittlere Unternehmen nicht wie Großkonzerne. Artikel 62 sieht gezielte Erleichterungen vor, die bei der Konformitätsbewertung beantragt werden müssen:

  • Gebührenerleichterungen: Reduzierte Kosten für Prüfung und Zertifizierung von Hochrisiko-Systemen – typischerweise 20 bis 40 Prozent Ersparnis
  • Vereinfachte technische Unterlagen: KMU müssen nicht den vollen Umfang der Dokumentation liefern
  • Prioritärer Zugang zu KI-Reallaboren: Kontrollierte Testumgebungen unter behördlicher Aufsicht
  • Sensibilisierungsmaßnahmen: Mitgliedstaaten müssen KMU bei der Umsetzung unterstützen

Durch den Digital Omnibus wurden diese Privilegierungen zudem auf kleine Mid-Cap-Unternehmen (SMCs) erweitert.

Deutsche Umsetzung: Wer kontrolliert in Deutschland?

Deutschland hat die Frist zur Benennung einer nationalen KI-Aufsichtsbehörde (2. August 2025) verpasst. Derzeit läuft die parlamentarische Beratung des Durchführungsgesetzes:

  • Bundesnetzagentur (BNetzA) soll zentrale Marktüberwachungsbehörde und notifizierende Stelle werden
  • KoKIVO (Koordinierungs- und Kompetenzzentrum für die KI-Verordnung) bei der BNetzA soll eine einheitliche Rechtsauslegung gewährleisten
  • KI-MIG (Gesetz zur Marktüberwachung und Innovationsförderung von KI) wurde im Februar 2026 von der Bundesregierung beschlossen, erste Lesung im Bundestag am 20. März 2026
  • KI-Reallabor bei der BNetzA für kontrollierte Tests von KI-Systemen
  • KI-Service Desk der BNetzA als praxisnahe Anlaufstelle für Unternehmen mit interaktivem Compliance-Kompass

Verwandte Begriffe

Vertiefende Ratgeber

Dieser Glossar-Artikel definiert den EU AI Act. Wer einen konkreten Umsetzungsplan sucht:

Häufig gestellte Fragen

Was ist der EU AI Act in einfachen Worten?
Der EU AI Act (offiziell: Verordnung über künstliche Intelligenz, Regulation 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen. Er folgt einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung, desto strenger die Regeln. Die Verordnung gilt in der gesamten EU und auch für Anbieter außerhalb der EU, deren KI-Systeme im EU-Markt genutzt werden.
Was ist der Unterschied zwischen EU-KI-Verordnung und EU AI Act?
Es handelt sich um denselben Rechtsakt. EU-KI-Verordnung ist die deutsche Bezeichnung, EU AI Act der internationale Name. Offiziell lautet der Titel Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz.
Was ist ein KI-System nach dem EU AI Act?
Nach Artikel 3 Absatz 1 ist ein KI-System ein maschinenbasiertes System, das mit variierendem Grad an Autonomie arbeiten und nach der Bereitstellung Anpassungsfähigkeit zeigen kann und das aus den empfangenen Eingaben ableitet, wie Outputs wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen generiert werden können, die physische oder virtuelle Umgebungen beeinflussen können. Entscheidend ist die Fähigkeit zur Inferenz – also das Ableiten von Outputs aus Inputs. Traditionelle regelbasierte Software ohne Inferenz gilt nicht als KI-System.
Was ist der Unterschied zwischen Provider und Deployer?
Provider (Anbieter) entwickeln KI-Systeme oder lassen sie entwickeln und bringen sie unter eigenem Namen auf den Markt. Deployer (Betreiber) nutzen KI-Systeme im eigenen Betrieb. Die meisten Mittelständler sind Deployer. Provider haben umfangreichere Pflichten wie technische Dokumentation und Konformitätsbewertung. Deployer müssen vor allem KI-Kompetenz sicherstellen (Artikel 4), Risikobewertungen durchführen und menschliche Aufsicht gewährleisten.
Was ist ein Hochrisiko-System im EU AI Act?
Ein Hochrisiko-System ist ein KI-System, dessen Einsatz ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte von Personen darstellt. Das gilt für KI als Sicherheitskomponente in bereits regulierten Produkten (Anhang I, z. B. Medizinprodukte, Maschinen) oder für KI in bestimmten sensiblen Bereichen (Anhang III: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung, Migration, Justiz). Hochrisiko-Systeme unterliegen strengen Pflichten wie Risikomanagement, Daten-Governance, technischer Dokumentation, menschlicher Aufsicht und Registrierung in einer EU-Datenbank.
Was ist der Digital Omnibus und was ändert er?
Der Digital Omnibus (offiziell: Digital-Omnibus-Verordnung zur KI) ist ein Novellierungspaket der EU-Kommission vom November 2025, das die Umsetzung des AI Acts vereinfachen und Fristen verschieben soll. Die wichtigsten Änderungen: Hochrisiko-KI nach Anhang III gilt erst ab 2. Dezember 2027 (statt 2. August 2026). Hochrisiko-KI in Produkten nach Anhang I gilt erst ab 2. August 2028 (statt 2. August 2027). Maschinenlesbare Kennzeichnung gilt ab 2. Dezember 2026. Zusätzlich werden KI-Systeme verboten, die nicht konsensuale intime Bilder erstellen. KMU-Erleichterungen werden auf kleine Mid-Cap-Unternehmen erweitert.
Was ist der Unterschied zwischen EU AI Act und DSGVO?
Die DSGVO regelt den Schutz personenbezogener Daten. Der EU AI Act regelt die Sicherheit und Grundrechtskonformität von KI-Systemen. Beide Regelwerke überschneiden sich, wenn KI personenbezogene Daten verarbeitet. Die DSGVO verlangt dann Rechtsgrundlagen, Transparenz und Datenschutz-Folgenabschätzungen. Der AI Act ergänzt das um risikospezifische Pflichten für KI-Systeme. Wer DSGVO-konform ist, hat bereits 60 bis 70 Prozent der AI-Act-Anforderungen für minimale und begrenzte Risiken erfüllt. Der AI Act ersetzt die DSGVO nicht, er kommt oben drauf.
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der AI Act gilt für jede Organisation, die KI-Systeme entwickelt oder einsetzt – unabhängig von der Unternehmensgröße. Allerdings sieht Artikel 62 gezielte KMU-Privilegierungen vor: Gebührenerleichterungen bei Konformitätsbewertungen (20 bis 40 Prozent), vereinfachte technische Unterlagen, prioritärer Zugang zu KI-Reallaboren und Sensibilisierungsmaßnahmen durch die Mitgliedstaaten. Zudem gelten für KMU bei Bußgeldern die niedrigeren Schwellenwerte. Für die meisten Mittelständler, die nur minimale oder begrenzte Risiken haben, ist der Aufwand überschaubar.
Kostenloser Maturity Check

Erleben Sie die Intelligenz-Schicht von NaveSight in Aktion.

30 Minuten - wir zeigen Ihnen, wie NaveSight mit Ihren spezifischen Systemen zusammenarbeitet.

Kostenlosen Maturity Check starten

Unsere Garantie: ein konkreter Aktionsplan - ob mit NaveSight oder ohne.

Wir führen 10 Maturity Checks pro Monat durch. Priorisierte Bearbeitung: 48 Stunden.