Digitalisierung & KI

EU AI Act: Bin ich betroffen — und was muss ich jetzt tun?

7 Min. Lesezeit
Kurze Antwort

Der AI Act klassifiziert KI in 4 Risikoklassen. Die meisten Unternehmen die KI einsetzen fallen unter "Begrenztes Risiko" mit Transparenzpflichten. Hochrisiko-KI (HR, Kredit, Gesundheit) unterliegt strengen Anforderungen.

Der EU AI Act gilt nicht nur für KI-Hersteller. Jedes Unternehmen das KI-Systeme einsetzt, betreibt oder in eigene Produkte integriert, ist als Betreiber im Sinne des Gesetzes erfasst.

Was ist der EU AI Act — und warum geht er mein Unternehmen an?

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und wird stufenweise angewendet. Er ist das erste umfassende KI-Gesetz weltweit und gilt EU-weit unmittelbar — ohne dass nationale Umsetzung nötig ist. Wer glaubt, das Gesetz betreffe nur die grossen Tech-Konzerne, irrt: Jedes Unternehmen das KI-Systeme einsetzt, in eigene Produkte integriert oder intern betreibt, fällt als Betreiber unter das Gesetz.

Konkret bedeutet das: Wer ChatGPT, Copilot, Claude oder andere KI-Tools im Unternehmen nutzt, ist Betreiber im Sinne des AI Act. Wer ein Produkt mit KI-Funktion verkauft oder vermietet, ist zusätzlich Anbieter. Und wer KI in Einstellungsprozessen, Kreditentscheidungen oder im Gesundheitsbereich einsetzt, unterliegt den besonders strengen Hochrisiko-Regeln.

Die Nichteinhaltung ist kostspielig: Bussgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Für KMU gelten keine generellen Ausnahmen, lediglich verhältnismässige Anforderungen. Die Frage ist also nicht ob der AI Act gilt, sondern welche Risikoklasse Ihr KI-Einsatz hat und was das konkret bedeutet.

Die 4 Risikoklassen im Überblick

Das Herzstück des AI Act ist ein risikobasiertes Stufenmodell. Je höher das potenzielle Schadenspotenzial einer KI, desto strenger die Anforderungen. Die vier Klassen sind nicht gleichwertig — die Abstufungen sind erheblich und bestimmen, was ein Unternehmen konkret tun muss.

Klasse 1 — Unannehmbares Risiko: Diese KI-Systeme sind vollständig verboten. Dazu gehören Social-Scoring-Systeme (Bewertung von Menschen nach sozialem Verhalten), biometrische Massenüberwachung im öffentlichen Raum, manipulative KI die Schwächen von Personen ausnutzt, und KI zur Vorhersage von Straftaten auf Basis von Persönlichkeitsmerkmalen. Für die meisten mittelständischen Unternehmen kein relevantes Thema — aber wichtig zu wissen.

Klasse 2 — Hochrisiko-KI: Streng reguliert. Betrifft KI in kritischer Infrastruktur, im Bildungswesen (Prüfungsauswertung), in der Personalentscheidung (Einstellungen, Beförderungen, Kündigungen), in der Kreditwürdigkeitsprüfung, in medizinischen Diagnose-Tools und in der Strafverfolgung. Diese Systeme müssen registriert, laufend überwacht und dokumentiert werden. Menschliche Kontrolle ist Pflicht.

Klasse 3 — Begrenztes Risiko: Hier fallen die meisten Standard-KI-Tools rein, die Unternehmen heute nutzen — Chatbots, generative KI wie ChatGPT, KI-generierte Texte und Bilder. Die Hauptpflicht ist Transparenz: Nutzer müssen wissen, dass sie mit einer KI interagieren oder KI-generierte Inhalte sehen. Klasse 4 — Minimales Risiko: Spamfilter, Empfehlungssysteme in Webshops, einfache Automatisierung. Hier gibt es keine gesetzlichen Sonderpflichten.

Welche KI-Einsätze fallen unter Hochrisiko?

  • Personalentscheidungen: KI bei Stellenausschreibung, Lebenslaufscreening, Einstellungsinterviews oder Bewerberbewertung
  • Kreditwürdigkeit: Automatisierte Bonitätsprüfung oder Kreditentscheidung per KI
  • Medizinische KI: Diagnosesysteme, KI-gestützte Behandlungsempfehlungen
  • Kritische Infrastruktur: KI in Energieversorgung, Wasserversorgung, Verkehrssteuerung
  • Bildung: KI-gestützte Prüfungsbewertung oder Lernplatzzuteilung
  • Biometrische Identifikation: Gesichtserkennung, Fingerabdruck-Systeme in nicht-privaten Umgebungen
  • Strafverfolgung: Risikobewertung oder Tathergangs-Rekonstruktion per KI
  • Migrationsverfahren: KI bei Visums- oder Asylentscheidungen

Was Ihr Unternehmen konkret tun muss

Der AI Act definiert vier Kernpflichten für Betreiber, also für alle die KI-Systeme einsetzen. Diese gelten unabhängig davon ob das Unternehmen die KI selbst entwickelt hat oder fertige Produkte wie ChatGPT nutzt. Die Pflichten sind abgestuft nach Risikoklasse — aber selbst bei Klasse 3 (Begrenztes Risiko) gibt es Handlungsbedarf.

Risikobewertung: Unternehmen müssen aktiv einschätzen, welche Risikoklasse ihre KI-Anwendungen haben. Das ist keine einmalige Aufgabe — bei jeder neuen KI-Implementierung ist eine Einschätzung erforderlich. Bei Hochrisiko-KI ist eine formale Konformitätsbewertung Pflicht. Dokumentation: Alle KI-Systeme im Einsatz müssen dokumentiert sein — welche Systeme werden genutzt, für welchen Zweck, wer trägt die Verantwortung. Bei Hochrisiko-KI muss die technische Dokumentation umfassend und aktuell gehalten werden.

Transparenz: Bei Chatbots und KI-generierten Inhalten muss kenntlich gemacht werden, dass es sich um KI handelt. Das gilt gegenüber Kunden und Nutzern. Human Oversight: Bei Hochrisiko-KI muss ein Mensch die Entscheidungen der KI überwachen und eingreifen können. Vollautomatische Entscheidungen ohne menschliche Kontrolle sind in diesen Bereichen nicht zulässig. Dazu kommt: Die Geschäftsleitung haftet persönlich für die Einhaltung des AI Act — Delegation an die IT-Abteilung reicht nicht.

Was jetzt zu tun ist — Schritt für Schritt

  1. KI-Inventar erstellen

    Erfassen Sie alle KI-Systeme die in Ihrem Unternehmen eingesetzt werden — intern und gegenüber Kunden. Dazu gehören auch eingekaufte Softwareprodukte mit KI-Funktionen, Plugins und API-Integrationen. Viele Unternehmen unterschätzen, wie viele KI-Komponenten bereits im Einsatz sind.

  2. Risikoklasse bestimmen

    Ordnen Sie jeden KI-Einsatz einer der vier Risikoklassen zu. Entscheidend ist der konkrete Verwendungszweck — nicht die Technologie. Ein Chatbot im Kundensupport ist Klasse 3, derselbe Chatbot zur Vorauswahl von Bewerbern wäre Klasse 2.

  3. Dokumentation aufbauen

    Halten Sie fest: welche Systeme eingesetzt werden, für welchen Zweck, wer verantwortlich ist, wie die Datenbasis aussieht. Diese Dokumentation ist kein einmaliges Projekt, sondern ein laufender Prozess der bei jeder Änderung aktualisiert werden muss.

  4. Transparenzpflichten umsetzen

    Prüfen Sie alle Kundenkontaktpunkte: Gibt es Chatbots? KI-generierte Antworten? KI-erstellte Bilder oder Texte? Überall dort muss klar kommuniziert werden, dass KI im Einsatz ist. Das kann über Hinweistexte, Logos oder Disclaimers geschehen.

  5. Schulungen planen

    Art. 4 des AI Act verlangt nachweisbare KI-Kompetenz bei Mitarbeitern die KI einsetzen. Planen Sie strukturierte Schulungen und dokumentieren Sie die Teilnahme. Ohne Nachweis gibt es bei Kontrollen kein Argument.

  6. Verantwortung festlegen

    Bestimmen Sie eine Person oder Funktion im Unternehmen die für AI-Compliance verantwortlich ist. Geschäftsführer haften persönlich — sie können die Verantwortung delegieren, aber nicht die Haftung. Eine klare Zuständigkeit ist der erste Schritt zur tatsächlichen Umsetzung.

Achtung: ChatGPT im Unternehmen ist nicht automatisch compliant

Wer ChatGPT, Copilot oder andere KI-Tools im Unternehmen einsetzt, ist Betreiber im Sinne des AI Act — und trägt die Verantwortung für den regelkonformen Einsatz. Die Nutzung eines kommerziellen Business-Plans (z.B. ChatGPT Team oder Enterprise) erledigt nicht automatisch die Compliance-Pflichten. Praxisbeispiel: Ein Mittelständler nutzt ChatGPT zur Vorauswahl von Bewerbungen. Das ist Hochrisiko-KI im Sinne des AI Act — mit Registrierungspflicht, Dokumentationsanforderungen und Menschenaufsichtspflicht. Wer das ignoriert, riskiert Bussgelder und im Schadensfall persönliche Haftung der Geschäftsleitung.

Tipp für KMU: Pragmatisch starten, nicht perfekt

Beginnen Sie mit einem einfachen KI-Inventar in einer Excel-Tabelle: Welche Tools werden wo eingesetzt, für welchen Zweck. Das reicht als erster Schritt für die meisten KMU. Wer ChatGPT nur für Textentwürfe nutzt, hat eine überschaubare Compliance-Aufgabe. Wer KI in Personalentscheidungen einsetzt, sollte jetzt externe Beratung hinzuziehen — die Anforderungen sind komplex und die Haftung real.
Zusammenfassung
  • Der EU AI Act gilt für alle Unternehmen die KI einsetzen, nicht nur für Hersteller — auch ChatGPT-Nutzer sind Betreiber.
  • 4 Risikoklassen bestimmen die Anforderungen: KI in HR, Kredit und Gesundheit ist Hochrisiko mit strengen Pflichten.
  • Kernpflichten: KI-Inventar, Risikobewertung, Transparenz gegenüber Nutzern, Dokumentation und Human Oversight.

Nicht sicher welche Risikoklasse Ihr KI-Einsatz hat? INREMA prueft Ihre Situation und zeigt Ihnen konkret was zu tun ist.

AI-Act-Check anfragen

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der AI Act kennt keine generelle KMU-Ausnahme. Für kleine Unternehmen gelten verhältnismässige Anforderungen, aber die Grundpflichten (Risikobewertung, Transparenz, Dokumentation) treffen alle. Nur die Detailtiefe der Dokumentation darf bei KMU schlanker ausfallen.
Bin ich betroffen wenn ich nur ChatGPT nutze?
Ja. Wer ChatGPT oder ähnliche Tools im Unternehmen einsetzt, ist Betreiber im Sinne des AI Act. Die meisten Anwendungsfälle fallen unter Klasse 3 (Begrenztes Risiko) mit Transparenzpflichten. Wer KI für Personalentscheidungen nutzt, ist in Klasse 2 (Hochrisiko).
Was passiert wenn ich nichts tue?
Bussgelder bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes sind möglich. Dazu kommt persönliche Haftung der Geschäftsleitung bei Verstössen. Kontrollen laufen über nationale Marktüberwachungsbehörden, in Deutschland voraussichtlich über die Bundesnetzagentur.
Wann müssen die Anforderungen umgesetzt sein?
Der AI Act gilt stufenweise: Verbote (Klasse 1) seit Februar 2025, Hochrisiko-KI ab August 2026, allgemeine Pflichten ab August 2026. Praktisch bedeutet das: Wer jetzt anfängt, hat noch Zeit — wer wartet, wird unter Druck geraten.

War dieser Artikel hilfreich?

Verwandte Artikel
Digitalisierung & KI
AI Act Schulungspflicht: Was Ihr Unternehmen jetzt umsetzen muss
5 Min. Lesezeit
Websites & Software
BFSG ab 2025: Sind Sie betroffen - und was muessen Sie jetzt tun?
7 Min. Lesezeit
Datenschutz & Compliance
DSGVO und AI Act: Wie beide Regelwerke beim KI-Einsatz zusammenwirken
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen