Der EU AI Act ist bereits teilweise in Kraft getreten, und weitere Regeln folgen schrittweise bis August 2026. Für Unternehmen im deutschsprachigen Raum ist das Handeln angesagt. Dieser Beitrag zeigt, welche Fristen zählen, in welche Risikoklassen KI-Systeme fallen, und wie Sie konkret vorgehen.
Der Zeitplan des EU AI Act
Der EU AI Act wird nicht auf einmal wirksam, sondern in Etappen. Das ist ein wichtiger Punkt für die Planung in Ihrem Unternehmen.
Bereits seit Februar 2025 sind Systeme mit unannehmbaren Risiken verboten. Das sind vor allem Technologien für Social Scoring, gezielte Manipulation von Verhalten oder biometrische Echtzeit-Identifikation ohne Anlass. Wenn Sie solche Systeme einsetzen, müssen Sie diese unverzüglich stillegen.
Im August 2025 treten dann die Regeln für General Purpose AI (GPAI) in Kraft. Das betrifft große Sprachmodelle wie ChatGPT, Claude oder andere Foundation Models. Anbieter solcher Systeme müssen ab August 2025 Risiken dokumentieren und Nutzer informieren. Das bedeutet auch für Nutzer von GPAI-Tools eine erhöhte Transparenzpflicht.
Im August 2026 folgt schließlich die vollständige Regelung der hochriskanten KI-Systeme. Das sind Anwendungen in kritischen Bereichen wie Rekrutierung, Kreditvergabe, Zugang zu öffentlichen Diensten oder Echtzeit-Gesichtserkennung. Bis dahin muss ein rechtssicherer Betrieb aufgebaut sein.
Das Risikoklassifizierungssystem
Der EU AI Act ordnet KI-Systeme nach vier Risikostufen. Diese Klassifizierung ist entscheidend dafür, welche Anforderungen auf Sie zukommen.
Unakzeptable Risiken: Diese Systeme dürfen Sie nicht betreiben. Dazu gehören Manipulation von menschlichem Verhalten, Social Scoring durch Behörden und biometrische Echtzeit-Überwachung ohne konkreten Anlass. Falls Sie solche Technologien derzeit nutzen, müssen Sie diese abschalten.
Hochrisiko-Systeme: Diese bedürfen umfassender Dokumentation, Risikoanalyse und Monitoring. Typischerweise fallen hierunter KI-Modelle für Einstellungsentscheidungen, Bonitätsprüfungen oder Zugang zu kritischen Infrastrukturen. Für hochrisiko-KI müssen Sie Systeme zur Überwachung einbauen, Trainings-Daten dokumentieren und eine technische Datei führen.
Begrenzte Risiken: Das sind Chatbots und ähnliche interaktive KI-Tools. Hier braucht es transparente Offenlegung gegenüber Nutzern. Sie müssen deutlich machen, dass mit KI interagiert wird.
Minimale Risiken: Alle anderen KI-Systeme fallen hier hin. Für diese gelten nur minimale Anforderungen, oft beschränkt auf Trainingsdaten-Dokumentation.
Was Sie jetzt konkret tun müssen
Die nächsten Monate sind entscheidend. Mit einfachen Schritten bauen Sie eine solide Grundlage auf.
Inventarisieren Sie alle KI-Systeme in Ihrem Unternehmen. Das klingt aufwändig, ist aber notwendig. Listen Sie auf: Welche internen Tools nutzen KI? Welche externen Tools haben Sie lizenziert? Welche KI-Modelle haben Sie selbst trainiert? Ein einfaches Spreadsheet reicht zum Start: Systemname, Funktion, Anbieter, Startdatum.
Klassifizieren Sie dann jedes System nach dem Vier-Klassen-Schema. Fragen Sie für jedes System: Könnte dieses System in einer kritischen Entscheidung Einfluss haben (Hochrisiko)? Oder ist es ein Chatbot zur Kundenunterstützung (Begrenzte Risiken)? Diese Einordnung bestimmt Ihre nächsten Schritte.
Weisen Sie Verantwortliche zu. KI-Governance braucht Besitz. Wer ist Ansprechperson für Datenschutz, technische Dokumentation und Monitoring? In mittelständischen Unternehmen reicht oft eine Person pro Kategorie. Der Punkt ist, dass klare Verantwortung existiert.
Richten Sie für hochrisiko-Systeme ein Logging und Monitoring ein. Sie müssen dokumentieren, wie das System eingesetzt wird, welche Entscheidungen es trifft und welche Fehler auftreten. Das ist nicht optional, sondern eine regulatorische Anforderung.
Bereiten Sie eine technische Dokumentation vor. Für hochrisiko-KI verlangt der Act eine technische Datei mit Trainingsdaten, Performance-Metriken, bekannten Fehlern und Mitigation-Strategien. Das kann intern beginnen und wird dann formalisiert.
Dokumentationspflichten konkret
Hochrisiko-Systeme erfordern umfassende Dokumentation. Das ist nicht Bürokratie um ihrer selbst willen, sondern verankert in der praktischen Sicherheit solcher Systeme.
Die technische Dokumentation muss folgende Punkte enthalten: Trainingsdaten (welche Daten wurden verwendet, wie groß ist der Datensatz, wurde die Qualität geprüft), Leistungsmetriken (Genauigkeit, Bias, False-Positives, falsch-Negative), bekannte Einschränkungen (bei welchen Eingaben wird das System unsicher), Testberichte (unabhängige Verifikation der Leistung) und ein Implementierungsprotokoll (wie wurde das System in die Produktion genommen).
Für die Nutzer von hochrisiko-Systemen braucht es eine Gebrauchsanweisung. Das klingt technisch, ist aber für die regulatorische Konformität notwendig. Diese Anweisung erklärt, welche Funktionen das System hat, welche Grenzen es hat und wie Menschen Fehlentscheidungen überprüfen.
Monitoring und Auditierung müssen fortlaufend stattfinden. Sie müssen dokumentieren, wie häufig ein System zu Fehlentscheidungen führt, welche Inputs problematische Outputs auslösen und wie Nutzende das System überwachen. Automationstools können hier helfen, um die anfallende manuelle Arbeit zu reduzieren.
Ein praktisches Logging-Beispiel
Für hochrisiko-Systeme ist ein strukturiertes Logging nicht verhandelbar. Hier ein einfaches Beispiel in Python, das zeigt, wie Sie systematisch dokumentieren:
import json
import datetime
from pathlib import Path
class AISystemLogger:
def __init__(self, system_name, log_file="ai_system_log.json"):
self.system_name = system_name
self.log_file = log_file
def log_decision(self, input_data, prediction, confidence, user_id, override=False):
"""Protokolliert eine KI-Entscheidung mit Kontext."""
entry = {
"timestamp": datetime.datetime.utcnow().isoformat(),
"system": self.system_name,
"input_hash": hash(json.dumps(input_data, sort_keys=True)),
"prediction": prediction,
"confidence": confidence,
"user_id": user_id,
"manual_override": override
}
# Anhängen in Log-Datei
with open(self.log_file, "a") as f:
f.write(json.dumps(entry) + "\n")
def generate_audit_report(self, start_date, end_date):
"""Erstellt einen Audit-Bericht für einen Zeitraum."""
with open(self.log_file, "r") as f:
entries = [json.loads(line) for line in f]
filtered = [
e for e in entries
if start_date <= e["timestamp"] <= end_date
]
overrides = sum(1 for e in filtered if e["manual_override"])
avg_confidence = sum(e["confidence"] for e in filtered) / len(filtered)
return {
"period": f"{start_date} to {end_date}",
"total_decisions": len(filtered),
"manual_overrides": overrides,
"average_confidence": avg_confidence
}
logger = AISystemLogger("recruitment_ai")
logger.log_decision(
input_data={"education": "engineering", "experience_years": 5},
prediction="qualified",
confidence=0.87,
user_id="recruiter_1",
override=False
)Dieses Muster dokumentiert systematisch, welche Entscheidungen getroffen werden und mit welcher Sicherheit. Auditer und Behörden können dann nachvollziehen, ob das System korrekt arbeitet.
Häufige Fehler vermeiden
In der Praxis sehen wir immer wieder ähnliche Fehler bei der EU-AI-Act-Umsetzung.
Viele Unternehmen unterschätzen, was hochrisiko ist. Ein Recruiting-Tool für automatische CV-Screening ist sofort hochrisiko. Ein Chatbot auf der Website nicht. Diese Unterscheidung ist nicht trivial, kann aber mit einer klaren Anleitung getroffen werden.
Ein zweiter häufiger Fehler ist unvollständige Dokumentation. Gerade Start-ups neigen dazu, die technische Dokumentation aufzuschieben. Das ist riskant, denn die Dokumentation ist Teil der behördlichen Anforderungen. Sie müssen sie haben, bevor ein hochrisiko-System live geht.
Ein dritter Punkt: Unternehmen ignorieren häufig, dass auch externe Tools Dokumentation brauchen. Wenn Sie ein SaaS-Recruiting-Tool nutzen, das KI-basiert ist, müssen Sie vom Anbieter verlangen, dass er die technische Dokumentation zur Verfügung stellt. Das ist ein wichtiger Teil Ihrer Compliance-Strategie.
Auch die fortlaufende Überwachung wird oft vergessen. Viele Unternehmen dokumentieren die KI korrekt, überwachen sie aber nicht laufend. Das ist zu spät erkannt ein großes Problem.
Ihre nächsten Schritte
Der EU AI Act ist keine abstrakte Regulierung. Sie ist konkret und wirksam. Für Unternehmen, die jetzt handeln, wird die Umsetzung managebar. Hier ein klarer Fahrplan.
In den nächsten zwei Wochen: Erstellen Sie eine Inventarliste aller KI-Systeme im Unternehmen. Das ist die Basis für alles Weitere.
Im nächsten Monat: Klassifizieren Sie diese Systeme nach Risikoklasse. Markieren Sie hochrisiko-Systeme separat.
In den nächsten drei Monaten: Für hochrisiko-Systeme beginnen Sie mit Logging und Auditierung. Wählen Sie einen Pilot aus, zum Beispiel ein Recruiting-Tool, und implementieren Sie systematisches Monitoring.
Bis August 2026: Dokumentation für alle hochrisiko-Systeme fertigstellen. Dies ist nicht optional, sondern eine regulatorische Anforderung.
Weiterführende Beiträge zu KI-Governance im Unternehmen finden Sie in unseren Artikeln zu KI-Governance für Agentic AI und KI-Strategie für den Mittelstand. Dort zeigen wir, wie Sie autonome KI-Agenten sicher in der Praxis einsetzen und KI strategisch in Ihrer Organisation ankern.
Häufige Fragen
Was ist der Unterschied zwischen Hochrisiko und begrenztem Risiko?
Hochrisiko-Systeme treffen Entscheidungen in kritischen Bereichen wie Bewerbungen, Kredite oder Zugang zu Diensten. Sie können das Leben oder die Chancen von Menschen direkt beeinflussen. Begrenzte Risiken sind typischerweise interaktive Systeme wie Chatbots, die keine kritischen Einzelentscheidungen treffen. Bei hochriskanten Systemen brauchen Sie technische Dokumentation und Monitoring. Bei begrenzten Risiken genügt Transparenz über die KI-Nutzung.
Muss ich externe KI-Tools dokumentieren?
Ja. Wenn Sie ein externes Tool mit KI nutzen, das hochrisiko-relevant ist, müssen Sie vom Anbieter die technische Dokumentation verlangen. Das ist Ihre Verantwortung als Nutzer. Achten Sie beim Einkauf darauf, dass der Anbieter diese Dokumentation bereitstellt. Viele SaaS-Anbieter haben das mittlerweile in ihre Verträge aufgenommen.
Wie oft muss ich audieren?
Das hängt von der Häufigkeit der Nutzung ab. Wenn ein hochrisiko-System täglich hunderte von Entscheidungen trifft, sollten Sie monatliche Audits durchführen. Bei selteneren Nutzungen reichen quartalsweise Überprüfungen. Die Regel ist: Sie müssen nachweisen können, dass das System zuverlässig arbeitet.
Kann ich den EU AI Act nicht einfach ignorieren, wenn meine Kunden nicht in der EU sind?
Nein. Der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen oder anbieten. Auch wenn Ihre Kunden nicht in der EU sind, können Ihre Mitarbeiter oder Ihre Datenverarbeitung von der Regulierung betroffen sein. Zudem ist es wahrscheinlich nur eine Frage der Zeit, dass andere Regionen ähnliche Regeln erlassen. Proaktive Compliance schafft langfristig wettbewerbliche Vorteile.
Welche Kosten entstehen für die Compliance?
Das hängt stark vom Umfang ab. Für kleine Unternehmen mit einem oder zwei hochrisiko-Systemen reichen oft interne Ressourcen und ein externes Audit für 5.000 bis 10.000 Euro. Größere Unternehmen mit komplexeren Systemen investieren 50.000 bis 200.000 Euro für eine vollständige Compliance-Infrastruktur. Die Vermeidung von Bußgeldern und Haftung ist hingegen unbezahlbar.
Haben Sie Fragen zur EU AI Act Umsetzung in Ihrem Unternehmen? Wir helfen bei Compliance-Strategie, Dokumentation und technischer Implementierung. Kontaktieren Sie unser KI-Consulting-Team.
