Volljurist und Compliance-Experte
27 May 2026
10 Minuten
.svg)
Vollanwendung ab 2. August 2026. Art. 4 (KI-Kompetenz) und Art. 5 (verbotene Praktiken) sind seit Februar 2025 anwendbar, GPAI-Pflichten seit August 2025. Wer KI-Kompetenz nicht dokumentiert hat, ist bereits in der Pflichtverletzung.
Vier Risikoklassen, vier Pflichten-Niveaus. Minimal (keine Pflichten), begrenzt (Transparenz nach Art. 50), hoch (voller Katalog nach Art. 8 bis 15), inakzeptabel (verboten). Die Einordnung entscheidet über den gesamten weiteren Aufwand.
Vier Akteure. Anbieter, Betreiber, Importeur, Händler. Anbieter trifft der volle Pflichtenkatalog nach Art. 16 ff., Betreiber haben reduzierte Pflichten nach Art. 26. Rolle vor Pflichten-Mapping klären.
Zwei Wege zur Umsetzung. ISMS-orientierte Unternehmen erweitern um ISO/IEC 42001. Wer schnell auditfähig werden will oder kein ISMS betreibt, nutzt eine dedizierte EU-AI-Act-Plattform wie das secjur AI-Act-Modul. Manueller Aufwand pro Hochrisiko-System rund 80 Stunden, plattformgestützt rund 35.
Der EU AI Act, offiziell Verordnung (EU) 2024/1689, ist die erste umfassende KI-Regulierung weltweit. Er gilt seit dem 1. August 2024, einzelne Pflichten sind bereits anwendbar. Stand Mai 2026: Art. 4 (KI-Kompetenz) und Art. 5 (verbotene Praktiken) sind seit Februar 2025 in Kraft, die GPAI-Pflichten nach Art. 51 ff. seit August 2025. Die Vollanwendung beginnt am 2. August 2026. Unternehmen, die KI entwickeln, einkaufen oder einsetzen, müssen bis dahin ihre Pflichten kennen und dokumentieren. Dieser Pillar gibt den vollständigen Überblick und verlinkt auf die einzelnen Sub-Themen.
Der EU AI Act, offiziell Verordnung (EU) 2024/1689, ist die erste umfassende Regulierung für Künstliche Intelligenz weltweit. Er gilt seit dem 1. August 2024. Einzelne Pflichten sind bereits in Kraft: Art. 4 (KI-Kompetenz für Anbieter und Betreiber) und Art. 5 (verbotene Praktiken) seit Februar 2025, die Pflichten für General-Purpose-AI-Modelle seit August 2025. Die Vollanwendung beginnt am 2. August 2026.
Die Verordnung verfolgt einen risikobasierten Ansatz. KI-Systeme werden in vier Klassen eingeteilt: minimal, begrenzt, hoch, inakzeptabel. Je nach Klasse gelten unterschiedliche Pflichten. Inakzeptable Praktiken sind verboten. Hochrisiko-Systeme unterliegen einem vollständigen Pflichtenkatalog von Risikomanagement bis Konformitätsbewertung. Begrenzte Systeme wie Chatbots haben Transparenzpflichten nach Art. 50. Minimale Systeme wie Spamfilter sind unreguliert.
Adressaten sind vier Akteure entlang der Wertschöpfungskette: Anbieter, Betreiber, Importeure und Händler. Die meisten Pflichten treffen Anbieter, Betreiber haben reduzierte Pflichten nach Art. 26. Bußgelder reichen bis 35 Mio Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für jeden Bereich gibt es spezifische Sub-Pillars in unserem Cluster, die wir in den folgenden Abschnitten kontextuell verlinken.
Seit dem 2. Februar 2025 sind Art. 4 (KI-Kompetenz-Pflicht für Anbieter und Betreiber) und Art. 5 (Verbot bestimmter KI-Praktiken) anwendbar. Seit dem 2. August 2025 gelten die Pflichten für General-Purpose-AI-Modelle nach Art. 51 ff. sowie die Bestimmungen zu Aufsichtsbehörden und Bußgeldern. Ab dem 2. August 2026 gilt die Verordnung vollständig, einschließlich der Hochrisiko-KI-Pflichten für Systeme nach Anhang III. Anbieter von Hochrisiko-KI in Anhang-I-Produkten haben Zeit bis zum 2. August 2027.
Die KI-Kompetenz-Pflicht aus Art. 4 ist die in der Praxis am häufigsten unterschätzte Anforderung. Sie gilt seit Februar 2025 für alle Personen, die KI-Systeme im Auftrag eines Anbieters oder Betreibers bedienen. Das schließt Mitarbeitende in Marketing, HR oder Vertrieb ein, wenn sie Tools wie ChatGPT, Copilot oder dedizierte KI-Anwendungen nutzen. Schulungspflicht und Nachweis liegen beim Unternehmen.
Für General-Purpose-AI-Modelle (GPAI) wie GPT-4, Claude oder Llama greift seit August 2025 ein eigener Pflichtenkatalog. Anbieter müssen technische Dokumentation, Trainingsdaten-Übersichten und Urheberrechts-Konformität nachweisen. Modelle mit systemischem Risiko unterliegen zusätzlichen Verpflichtungen zu Modell-Evaluierung, Cybersicherheit und Incident-Reporting. Details zu Schwellenwerten und Verhaltenskodizes vertiefen wir in GPAI-Pflichten unter EU AI Act.
| Stichtag | Pflicht-Bereich | Status Mai 2026 | Verweis |
|---|---|---|---|
| 01.08.2024 | Inkrafttreten Verordnung | in Kraft | Art. 113 |
| 02.02.2025 | KI-Kompetenz, verbotene Praktiken | in Kraft | Art. 4, Art. 5 |
| 02.08.2025 | GPAI-Pflichten, Aufsicht, Bußgelder | in Kraft | Art. 51 ff., Art. 99 |
| 02.08.2026 | Vollanwendung, Hochrisiko-KI Anhang III | kommt | Art. 6 Abs. 2 |
| 02.08.2027 | Hochrisiko-KI in Anhang-I-Produkten | kommt | Art. 6 Abs. 1 |
"Die meisten Unternehmen unterschätzen, dass die KI-Kompetenz-Pflicht aus Art. 4 seit Februar 2025 für alle Mitarbeitenden gilt, die KI bedienen. Nicht erst für Anbieter, nicht erst 2026. Wer bisher keine Schulungs-Spur dokumentiert hat, ist heute schon in der Pflichtverletzung."
Niklas Hanitsch, Gründer und Geschäftsführer bei SECJUR
Der EU AI Act unterteilt KI-Systeme in vier Risikoklassen. Erstens minimales Risiko, etwa Spam-Filter oder KI-gestützte Videospielsteuerung, hier gibt es keine spezifischen Pflichten. Zweitens begrenztes Risiko, etwa Chatbots oder Deepfake-Generatoren, die unter Transparenz-Pflichten nach Art. 50 fallen. Drittens hohes Risiko, etwa KI-Systeme in HR, Medizintechnik oder kritischer Infrastruktur. Sie unterliegen dem vollen Pflichtenkatalog nach Art. 8 bis 15. Viertens inakzeptables Risiko, also die nach Art. 5 verbotenen Praktiken. Die Pyramidenform veranschaulicht, dass die meisten KI-Systeme im Markt minimales oder begrenztes Risiko tragen, der regulatorische Aufwand aber an der Spitze konzentriert ist.
Die Einordnung in eine Risikoklasse entscheidet über alles, was danach kommt. Wer eine KI für Bewerber-Screening entwickelt, fällt in Anhang III Nr. 4 und damit in Hochrisiko. Wer einen Chatbot für Kundenservice baut, fällt unter Art. 50 Transparenzpflicht. Eine detaillierte Übersicht aller vier Klassen mit Beispiel-Systemen und Klassifikations-Heuristik liefert unser Beitrag zu den Risikoklassen des EU AI Act. Die technischen Anforderungen an Hochrisiko-KI nach Art. 8 bis 15, von Datenqualität bis Logging, sind in Hochrisiko-KI nach EU AI Act im Detail erklärt. Die Datenqualitäts-Anforderungen nach Art. 10 EU AI Act inklusive Data-Governance-Pflichten vertiefen wir in Datenqualität nach EU AI Act (Art. 10). Open-Source-KI hat Sonderregeln nach Erwägungsgrund 102 und Art. 2, die wir in Open Source unter EU AI Act beleuchten.
Für Hochrisiko-Systeme ist die Konformitätsbewertung nach Art. 43 der zentrale Schritt vor Markteintritt. Anhang VI und Anhang VII regeln, ob eine interne Kontrolle reicht oder eine Benannte Stelle einbezogen werden muss. Wir erklären das in EU AI Act Konformitätsbewertung.
| Risikoklasse | Beispiel-System | Pflicht-Kern | Verweis |
|---|---|---|---|
| Inakzeptabel | Social Scoring durch Behörden | Verbot | Art. 5 |
| Hoch | KI-Bewerber-Screening, Medizintechnik-KI | Risikomanagement, Datenqualität, Logging, menschliche Aufsicht, Konformitätsbewertung | Art. 8 bis 15, Anhang III |
| Begrenzt | Kundenservice-Chatbot, Deepfake-Generator | Transparenzpflicht, Kennzeichnung | Art. 50 |
| Minimal | Spam-Filter, Empfehlungs-Engine | keine spezifischen Pflichten | Art. 95 (freiwillig) |
Praxisbeispiel
Ein deutsches HR-Tech-Unternehmen entwickelt eine KI, die eingegangene Bewerbungen vorsortiert und einen Eignungs-Score liefert. Diese Anwendung fällt in Anhang III Nr. 4 (Beschäftigung, Personalverwaltung) und ist damit Hochrisiko. Konsequenz: Risikomanagementsystem nach Art. 9, Datenqualitäts-Anforderungen nach Art. 10, Logging nach Art. 12, menschliche Aufsicht nach Art. 14, technische Dokumentation nach Art. 11. Vor dem Inverkehrbringen ist eine Konformitätsbewertung erforderlich.
Der EU AI Act adressiert vier Akteure entlang der KI-Wertschöpfungskette: Anbieter (Provider, Art. 3 Nr. 3), Betreiber (Deployer, Art. 3 Nr. 4), Einführer (Importer, Art. 3 Nr. 6) und Händler (Distributor, Art. 3 Nr. 7). Anbieter entwickeln oder lassen KI-Systeme entwickeln und stellen sie unter eigenem Namen auf den Markt. Betreiber nutzen KI-Systeme in eigener Verantwortung. Die meisten Pflichten treffen Anbieter (Art. 16 ff.), Betreiber haben reduzierte Pflichten nach Art. 26.
Anbieter von Hochrisiko-KI müssen ein Qualitätsmanagementsystem nach Art. 17 etablieren, ein Risikomanagement-System nach Art. 9 betreiben und eine Konformitätserklärung nach Art. 47 ausstellen. Betreiber müssen die Anweisungen des Anbieters umsetzen, ein Logging-Konzept nach Art. 26 Abs. 6 führen und für menschliche Aufsicht sorgen. Beide Rollen unterliegen der KI-Kompetenz-Pflicht aus Art. 4 für alle Mitarbeitenden, die KI bedienen. Importeure und Händler prüfen die Konformitätserklärung und CE-Kennzeichnung vor Inverkehrbringen.
In der Praxis ist die Rollenzuordnung nicht immer eindeutig. Ein Unternehmen kann gleichzeitig Anbieter und Betreiber sein, etwa wenn es eine intern entwickelte KI auch selbst einsetzt. Auch wer ein bestehendes KI-System wesentlich verändert oder unter eigenem Namen vermarktet, wird zum Anbieter nach Art. 25. Die Klärung der Rolle muss vor der Pflichten-Mapping erfolgen.
Für KMU und Start-ups sieht der EU AI Act Erleichterungen vor. Bußgelder werden verringert (Art. 99 Abs. 6), und nationale Aufsichtsbehörden müssen kostenlose Beratung anbieten. KMU können regulatorische Sandboxes nach Art. 57 nutzen, um Pflichten unter Aufsicht zu erproben. Details zu Voraussetzungen und Verfahren erklären wir in EU AI Act Regulatory Sandbox.
| Akteur | Kern-Pflichten | Pflicht-Artikel |
|---|---|---|
| Anbieter | Risikomanagement, QMS, Konformitätsbewertung, technische Dokumentation, Post-Market-Monitoring | Art. 16 bis 23, Art. 17, Art. 43, Art. 11, Art. 72 |
| Betreiber | Anweisungs-Umsetzung, Logging, menschliche Aufsicht, Information der Belegschaft, ggf. Grundrechte-Folgenabschätzung | Art. 26, Art. 27 (öffentliche Stellen) |
| Importeur | Konformitäts- und CE-Kennzeichnungs-Prüfung, Kennzeichnung mit eigenem Namen | Art. 23 |
| Händler | Sichtprüfung Konformitätserklärung und CE-Kennzeichnung, Lagerbedingungen | Art. 24 |
Art. 5 EU AI Act verbietet seit 2. Februar 2025 acht KI-Praktiken vollständig. Verstöße werden mit Bußgeldern bis 35 Mio Euro oder 7 Prozent des weltweiten Jahresumsatzes nach Art. 99 Abs. 3 sanktioniert. Die Liste ist abschließend, der Anwendungsbereich aber breit ausgelegt.
Praxisbeispiel: drei Fallen am Arbeitsplatz seit Februar 2025
Erstens: eine HR-Software, die in Videointerviews die "emotionale Stabilität" der Kandidatin bewertet. Verboten nach Art. 5 Abs. 1 lit. f. Zweitens: ein Coaching-Tool, das Mitarbeiter-Stress in Echtzeit aus Mimik analysiert und an Vorgesetzte meldet. Verboten. Drittens: ein KI-Profil, das Mitarbeitende nach ethnischer Zuordnung clustert, etwa für interne Statistiken. Verboten nach Art. 5 Abs. 1 lit. g. Die jeweils zulässigen Alternativen sind harte Performance-Metriken, freiwillige strukturierte Befragungen und Diversity-Berichte ohne biometrische Kategorisierung.
Der EU AI Act sieht ein dreistufiges Bußgeld-System nach Art. 99 vor. Stufe eins: bis 35 Mio Euro oder 7 Prozent des weltweiten Jahresumsatzes für Verstöße gegen die verbotenen Praktiken nach Art. 5. Stufe zwei: bis 15 Mio Euro oder 3 Prozent für Verstöße gegen die meisten anderen Pflichten, etwa Art. 16 ff. (Anbieter), Art. 22 (Bevollmächtigte), Art. 23 (Importeure). Stufe drei: bis 7,5 Mio Euro oder 1 Prozent für falsche, irreführende oder unvollständige Informationen an Behörden. Anwendbar sind die Bußgeld-Vorschriften seit dem 2. August 2025.
Bei juristischen Personen gilt jeweils der höhere Betrag aus festem Maximum und Umsatz-Prozentsatz. Bei natürlichen Personen und KMU greifen Erleichterungen: für KMU und Start-ups gilt nach Art. 99 Abs. 6 jeweils der niedrigere Betrag. Die nationalen Aufsichtsbehörden, in Deutschland voraussichtlich BNetzA und BfDI nach Zuständigkeitsbereich, berücksichtigen bei der Bemessung die Art und Schwere des Verstoßes, die Auswirkungen, frühere Verstöße und die Kooperation.
Über die Bußgelder hinaus drohen zivilrechtliche Haftungsrisiken durch geschädigte Personen, Wettbewerber-Abmahnungen und behördliche Maßnahmen wie Rückruf vom Markt nach Art. 79. Die zivilrechtliche Haftung, Beweislastverteilung und Schadensersatzregelungen behandelt unser Beitrag Haftung nach EU AI Act.
| Bußgeld-Tier | Verstoß-Art | Max Euro | Max Prozent Jahresumsatz | Rechtsgrundlage |
|---|---|---|---|---|
| Tier 1 | Verbotene Praktiken | 35 Mio | 7 Prozent | Art. 99 Abs. 3 |
| Tier 2 | Anbieter-, Betreiber-, Importeur-Pflichten | 15 Mio | 3 Prozent | Art. 99 Abs. 4 |
| Tier 3 | Falsche Informationen an Behörden | 7,5 Mio | 1 Prozent | Art. 99 Abs. 5 |
| KMU-Erleichterung | Jeweils niedrigerer Betrag | siehe oben | siehe oben | Art. 99 Abs. 6 |
EU AI Act und KI-Verordnung bezeichnen denselben Rechtsakt: die Verordnung (EU) 2024/1689. EU AI Act ist die englische Kurzform aus dem EU-institutionellen Kontext. KI-Verordnung ist die deutsche Bezeichnung, die in Behörden-Auslegungen (BfDI, Bundesregierung, IHK) und im in Vorbereitung befindlichen deutschen Durchführungsgesetz verwendet wird. Inhaltlich identisch.
Der Sprach-Unterschied beeinflusst die Quellen-Sphäre. Wer englische Original-Texte, EU-Kommissions-Guidelines und internationale Vergleiche sucht, recherchiert unter EU AI Act. Wer deutsche Rechts-Auslegungen, BfDI-Hinweise oder das deutsche Durchführungsgesetz benötigt, sucht unter KI-Verordnung. Beide Quellen verweisen auf identische Artikel. Die Verordnungsnummer 2024/1689 ist in beiden Sphären die eindeutige Referenz.
In der Praxis ist die Unterscheidung relevant für Compliance-Teams in international tätigen Unternehmen. Wer in einer US- oder UK-Konzernstruktur arbeitet, wird die Pflichten in englischen Konzernrichtlinien unter dem Begriff EU AI Act dokumentieren. Wer mit deutschen Aufsichtsbehörden korrespondiert oder das deutsche Durchführungsgesetz für interne Vorgaben verwendet, nutzt KI-Verordnung. Die Wahl der Sphäre ist Sprachfrage, nicht Inhaltsfrage. Wichtig ist die einheitliche Begriffsführung in jedem einzelnen Dokument, weil parallele Verwendung den Lesefluss bricht und im Audit für Rückfragen sorgt. Inhaltliche Abweichungen zwischen beiden Begriffen darf es nicht geben.
Suchen Sie nach deutscher Rechts-Auslegung, BfDI-Hinweisen, BNetzA-Zuständigkeiten oder dem Stand des deutschen AI-Act-Durchführungsgesetzes? Lesen Sie unseren Pillar KI-Verordnung (deutsche Rechtssprache). Dort vertiefen wir die deutsche Auslegungspraxis, Aufsichtsbehörden-Zuständigkeiten und die Schnittstelle zur DSGVO.
Der EU AI Act schreibt vor, was Anbieter und Betreiber tun müssen, aber nicht wie. In der Praxis gibt es zwei pragmatische Wege. Erstens: Integration in ein bestehendes oder neu aufgebautes Managementsystem nach ISO/IEC 42001. ISO 42001 ist das erste internationale AI Management System (AIMS) und mappt die EU-AI-Act-Pflichten auf seine Annex-A-Kontrollen. Zweitens: eine dedizierte EU-AI-Act-Compliance-Plattform, die die Pflichten direkt abbildet, ohne den Umweg über ein generisches Management-System. Die Wahl hängt vom Reifegrad der bestehenden Compliance-Organisation und vom Umfang des KI-Portfolios ab.
Wer schon ein ISMS nach ISO 27001 betreibt, wird die ISO-42001-Erweiterung naheliegend finden. Die Strukturen, Verantwortlichkeiten und Audit-Routinen sind anschlussfähig. Die folgende Tabelle zeigt, wie sich die EU-AI-Act-Anforderungen auf den Annex A der ISO 42001 abbilden lassen.
| EU-AI-Act-Anforderung | EU-AI-Act-Artikel | ISO 42001 Annex A |
|---|---|---|
| Risikomanagement | Art. 9 | A.5 Risk Assessment |
| Datenqualität, Data Governance | Art. 10 | A.7 Data Resources |
| Technische Dokumentation | Art. 11, Anhang IV | A.6 Operational Planning |
| Logging | Art. 12 | A.8 System Lifecycle |
| Transparenz, menschliche Aufsicht | Art. 13, Art. 14 | A.9 Performance Evaluation |
| Quality-Management-System | Art. 17 | A.6 plus ganze ISO 42001 |
Die Vertiefung dieser Mapping-Logik liefert unser Beitrag ISO 42001 und EU AI Act im Verhältnis. Das parallel geforderte Qualitätsmanagement-System nach Art. 17 erklären wir in QMS nach EU AI Act.
Der zweite Weg ist die dedizierte EU-AI-Act-Plattform. Sie ist sinnvoll für Unternehmen, die kein etabliertes ISMS betreiben, die ihre AI-Governance separat von der allgemeinen Informationssicherheit aufstellen wollen, oder die schnell eine auditfähige Spur brauchen, ohne den Aufbau eines vollständigen Managementsystems vorzuschalten. Eine Plattform liefert KI-Inventar, Risiko-Klassifikation, Datenqualitäts-Register, Logging-Routinen und Konformitätsbewertungs-Workflows in einem System mit fertigen Vorlagen.
In beiden Wegen sind dieselben fünf Schritte zu durchlaufen.
KI-Inventar aufbauen
Alle KI-Systeme im Unternehmen erfassen: eigenentwickelt, eingekauft, Open-Source. Open-Source-Modelle separat inventarisieren wegen Sonderregeln, siehe Open Source unter EU AI Act.
Risiko-Klassifizierung pro System
Pro KI-System die Risikoklasse bestimmen (minimal, begrenzt, hoch, inakzeptabel). Inakzeptable Systeme sofort abschalten. Hochrisiko-Systeme triggern den vollen Pflichtenkatalog.
Datenqualitäts-Setup nach Art. 10
Trainings-, Validierungs- und Testdatensätze auf Repräsentativität, Vollständigkeit, Fehlerfreiheit prüfen. Bias-Detection-Routinen aufsetzen.
QMS und Risikomanagement nach Art. 17 und Art. 9
Prozesse, Verantwortlichkeiten, Dokumentationspflichten festlegen. Audit-Tauglichkeit sicherstellen. ISO 42001 oder eine dedizierte AI-Act-Plattform liefern die Struktur.
Konformitätsbewertung vor Markteintritt
Pro Hochrisiko-System Konformitätsbewertung nach Art. 43 durchführen, Konformitätserklärung nach Art. 47 ausstellen, CE-Kennzeichnung anbringen.
Die secjur DCO für EU-AI-Act-Compliance ist ein Beispiel für den zweiten Weg. Sie bildet die EU-AI-Act-Pflichten direkt ab und braucht weder ein vorgelagertes ISMS nach ISO 27001 noch ein AIMS-Audit nach ISO 42001 als Voraussetzung. Mittelständische Anbieter rechnen bei manueller EU-AI-Act-Umsetzung mit etwa 80 Stunden Aufwand pro Hochrisiko-System (KI-Inventarisierung, Risiko-Klassifikation, Datenqualitäts-Setup, technische Dokumentation und Konformitätsbewertung zusammengenommen). Mit einer dedizierten Plattform reduziert sich der Aufwand auf rund 35 Stunden. Eine Marktübersicht über die verfügbaren Lösungen liefert unser EU AI Act Compliance-Software-Vergleich.
Sehen Sie sich an, wie das secjur AI-Act-Modul Risikoklassifikation, Datenqualitäts-Register und Konformitätsbewertung in einem auditfähigen Workflow zusammenbringt. Demo-Termin in 30 Minuten, ohne Vorbereitungsaufwand.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Der EU AI Act ist am 1. August 2024 in Kraft getreten. Vollständige Anwendung beginnt am 2. August 2026. Bereits anwendbar sind seit 2. Februar 2025 Art. 4 (KI-Kompetenz) und Art. 5 (verbotene Praktiken). GPAI-Pflichten gelten seit 2. August 2025. Anbieter von Hochrisiko-KI in Anhang-I-Produkten haben Zeit bis 2. August 2027.
Der EU AI Act adressiert vier Akteure: Anbieter, Betreiber, Importeure und Händler von KI-Systemen. Je nach Risikoklasse des KI-Systems (minimal, begrenzt, hoch, inakzeptabel) gelten unterschiedliche Pflichten. Die meisten Pflichten treffen Anbieter nach Art. 16 ff. Betreiber haben reduzierte Pflichten nach Art. 26.
Art. 5 EU AI Act verbietet seit Februar 2025 acht Praktiken: unterschwellige Manipulation, Ausnutzung schutzbedürftiger Personen, Social Scoring durch Behörden, Predictive Policing per Profiling, ungezielte Gesichtsdaten-Sammlung, Emotionserkennung am Arbeitsplatz und in Bildung, biometrische Kategorisierung nach sensiblen Merkmalen, Echtzeit-biometrische Fernidentifizierung im öffentlichen Raum.
Art. 99 EU AI Act sieht drei Bußgeld-Tiers vor: bis 35 Mio Euro oder 7 Prozent Jahresumsatz für Art.-5-Verstöße (verbotene Praktiken), bis 15 Mio Euro oder 3 Prozent für die meisten anderen Anbieter- und Betreiber-Pflichten, bis 7,5 Mio Euro oder 1 Prozent für falsche Informationen an Behörden. KMU und Start-ups erhalten Erleichterungen nach Art. 99 Abs. 6.
EU AI Act und KI-Verordnung bezeichnen denselben Rechtsakt: die Verordnung (EU) 2024/1689. EU AI Act ist die englische Kurzform aus dem EU-institutionellen Kontext, KI-Verordnung die deutsche Bezeichnung in Behörden-Auslegungen und im deutschen Durchführungsgesetz. Inhaltlich identisch.
Stand Mai 2026 befindet sich das deutsche Durchführungsgesetz in Vorbereitung. Bisher sind die Aufsichtskompetenzen vorläufig auf BNetzA und BfDI nach KI-Anwendungsbereich verteilt. Das Durchführungsgesetz wird die nationale Aufsichtsbehörde, Anzeigepflichten, KMU-Erleichterungen und Bußgeld-Bemessung konkretisieren.
ISO/IEC 42001 ist das erste internationale AI Management System (AIMS) und mappt sich auf die EU-AI-Act-Anforderungen. Das ist einer von zwei pragmatischen Umsetzungswegen. Wer kein ISMS betreibt oder schneller auditfähig werden will, nutzt alternativ eine dedizierte EU-AI-Act-Plattform wie das secjur AI-Act-Modul.
In unserem neuesten Blogartikel geben wir Ihnen wichtige Einblicke in das Hinweisgeberschutzgesetz. Erfahren Sie mehr über die Bedeutung dieses Gesetzes und seine Hintergründe, was es genau umfasst und welche Vorteile es für Unternehmen bietet. Zudem werfen wir einen Blick auf die Pflichten und Verantwortlichkeiten, die mit der Umsetzung einhergehen. Mit praxisnahen Beispielen aus dem Unternehmensalltag und hilfreichen Tipps zur erfolgreichen Umsetzung des Gesetzes bieten wir Ihnen eine erste wertvolle Orientierung zum Hinweisgeberschutzgesetz.
Die unabhängige Bestätigung, dass ein Unternehmen ein funktionierendes Qualitätsmanagementsystem (QMS) hat. Sie wird von akkreditierten Zertifizierungsstellen vergeben und gilt international als Vertrauenssignal.
Der EU AI Act stellt Unternehmen vor die Herausforderung, Hochrisiko-KI nicht nur innovativ, sondern auch sicher, transparent und beherrschbar zu entwickeln. Dieser Leitfaden zeigt praxisnah, wie Sie Datenqualität, Cybersicherheit und menschliche Aufsicht technisch sauber umsetzen und damit aus regulatorischem Druck einen Wettbewerbsvorteil machen. Lernen Sie, wie Sie Ihr KI-System strukturiert klassifizieren, dokumentieren und absichern, um vertrauenswürdige KI compliant und marktfähig zu gestalten.
.svg)
.svg)
.svg){kind=small}