EU AI Act Pflichten für Unternehmen

Der EU AI Act trifft längst nicht nur Tech-Konzerne. Sobald ein Unternehmen KI nutzt, gilt es nach unserem Verständnis der Verordnung als Betreiber und hat Pflichten. Die wichtigste gilt schon heute, die meisten anderen greifen ab dem 2. August 2026. Dieser Artikel zeigt in Klartext, was auf ein normales mittelständisches Unternehmen zukommt.

Betrifft uns der AI Act überhaupt?

Die kurze Antwort lautet nach unserer Einschätzung fast immer ja. Der AI Act unterscheidet vor allem zwischen Anbietern, die KI entwickeln und unter eigenem Namen anbieten, und Betreibern, die KI in eigener Verantwortung nutzen. Ein normaler Mittelständler ist in aller Regel Betreiber. Das gilt auch dann, wenn die KI nur in eingekaufter Software steckt, etwa in Microsoft Copilot, SAP oder einem CRM, oder wenn Mitarbeitende ChatGPT für Texte verwenden.

Wer ein eingekauftes KI-System wesentlich verändert oder unter eigenem Namen weitervertreibt, kann allerdings selbst zum Anbieter werden und unterliegt dann deutlich strengeren Pflichten. Diese Einordnung sollte jedes Unternehmen einmal sauber für sich klären.

Die Pflichten im Überblick

KI-Kompetenz aufbauen (Art. 4)

Das ist die zentrale Pflicht für so gut wie jedes Unternehmen. Anbieter und Betreiber müssen dafür sorgen, dass alle Personen, die mit KI arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen. Ausführlich behandeln wir das im Artikel zur KI-Schulungspflicht nach Art. 4.

Transparenz herstellen (Art. 50)

Nutzer müssen erkennen können, dass sie mit einer KI sprechen. Wer einen Chatbot im Kundenservice einsetzt, muss das kenntlich machen. KI-generierte oder veränderte Bilder, Videos und Tonaufnahmen sind als künstlich erzeugt offenzulegen. Diese Transparenzpflichten gelten ab dem 2. August 2026.

Menschliche Aufsicht sicherstellen

Setzt ein Unternehmen eine Hochrisiko-KI ein, etwa eine Software zur automatisierten Bewerberauswahl, darf die KI nicht allein entscheiden. Ein Mensch muss die Vorschläge prüfen, bei Fehlern eingreifen und blindes Vertrauen in die Maschine vermeiden können.

Überwachen, dokumentieren und melden

Betreiber von Hochrisiko-KI müssen den Betrieb anhand der Gebrauchsanweisung überwachen, die automatisch erzeugten Protokolle in der Regel mindestens sechs Monate aufbewahren und den Anbieter oder die Behörde informieren, wenn das System Zweifel an seiner Konformität aufwirft oder Schaden anrichtet.

Mit der DSGVO zusammendenken

Der AI Act ersetzt nicht den Datenschutz. Sobald KI personenbezogene Daten verarbeitet, gelten AI Act und DSGVO parallel. In der Praxis lassen sich beide nicht sauber trennen, deshalb sollten Datenschutz, IT und Fachbereich bei KI-Vorhaben zusammenarbeiten.

Welche Pflicht ab wann gilt

Die Schulungspflicht aus Art. 4 ist bereits seit dem 2. Februar 2025 in Kraft. Die Transparenzpflichten und die meisten übrigen Regeln greifen ab dem 2. August 2026. Für Hochrisiko-Systeme nach Anhang III hat die EU die Pflichten inzwischen verschoben. Rat und Parlament haben sich im Mai 2026 auf den sogenannten Digital Omnibus geeinigt, das Parlament hat am 16. Juni 2026 zugestimmt, die förmliche Verkündung wird für Juli 2026 erwartet. Damit verschieben sich die Hochrisiko-Pflichten voraussichtlich auf den 2. Dezember 2027.

Was bei Verstößen droht

Der AI Act sieht gestaffelte Bußgelder vor. Für verbotene Praktiken sind bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes möglich. Für Verstöße gegen die übrigen Pflichten liegt der Rahmen bei bis zu 15 Mio. Euro oder 3 Prozent des Jahresumsatzes. Für die Schulungspflicht aus Art. 4 gibt es kein eigenes Bußgeld, hier zählt vor allem die zivilrechtliche Haftung.

So gehen Sie es an

Sinnvoll ist ein strukturiertes Vorgehen in wenigen Schritten. Zuerst ein Verzeichnis aller genutzten KI-Anwendungen erstellen. Dann je System die Rolle und die Risikoklasse bestimmen. Anschließend Mitarbeitende schulen, eine interne KI-Richtlinie aufsetzen und alles nachvollziehbar dokumentieren. Eine kompakte Vorlage dafür finden Sie in unserer KI-Compliance Checkliste.

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?
Nach unserer Einschätzung ja. Maßgeblich ist nicht die Unternehmensgröße, sondern ob KI im Unternehmen genutzt wird. Auch kleine Betriebe sind in der Regel Betreiber im Sinne der Verordnung.
Wir nutzen nur eingekaufte Software mit KI-Funktionen. Reicht das schon?
Aus unserer Sicht ja. KI-Features in Standardsoftware wie Copilot oder SAP zählen mit. Die Verantwortung als Betreiber hängt nicht davon ab, ob Sie die KI selbst entwickelt haben.
Welche Pflicht müssen wir zuerst erfüllen?
Die Schulungspflicht aus Art. 4, da sie bereits seit Februar 2025 gilt. Danach folgen Transparenz und, je nach eingesetzten Systemen, die Pflichten für Hochrisiko-KI.
Ab wann gelten die Pflichten für Hochrisiko-KI?
Nach der im Juni 2026 beschlossenen Verschiebung voraussichtlich ab dem 2. Dezember 2027. Bis zur förmlichen Verkündung sollte man sich am bisherigen Termin orientieren.
Brauchen wir dafür einen KI-Beauftragten?
Pflicht ist das nicht. Sinnvoll kann eine zentrale Stelle trotzdem sein.

Sie wollen wissen, welche Pflichten konkret für Ihr Unternehmen gelten. Als externer KI-Beauftragter ordnen wir Ihre KI-Systeme ein und bringen die Umsetzung in eine prüfungsfeste Form.

Externer KI-Beauftragter ansehen

Binarsolve erbringt keine Rechtsberatung im Sinne des RDG. Unsere Einordnungen sind eine betriebliche Arbeitsgrundlage und ersetzen keine juristische Einzelfallprüfung.