Der EU AI Act ist seit August 2024 offiziell in Kraft. Doch für die meisten Unternehmen zählt ein anderes Datum: Ab dem 2. August 2026 gelten die zentralen Anforderungen des Gesetzes vollständig – also in weniger als zwei Monaten. Wer bis dahin keine Prozesse etabliert hat, riskiert empfindliche Bußgelder und Compliance-Lücken. IT-Teams, die KI-Systeme entwickeln, beschaffen, betreiben oder in bestehende Abläufe integrieren, stehen jetzt unter Handlungsdruck.
Dieser Beitrag gibt einen strukturierten Überblick darüber, was der EU AI Act konkret bedeutet, welche Pflichten sich für IT-Abteilungen ergeben und welche ersten Schritte sinnvoll sind.
Was der EU AI Act regelt – und für wen
Der EU AI Act ist das erste umfassende gesetzliche Regelwerk zur Regulierung künstlicher Intelligenz weltweit. Er gilt für alle Organisationen, die KI-Systeme in der EU entwickeln, auf dem EU-Markt in Verkehr bringen, betreiben oder nutzen – unabhängig davon, ob der Sitz des Unternehmens innerhalb oder außerhalb der EU liegt. Für IT-Teams bedeutet das: Wer KI-Produkte oder -Funktionen an europäische Nutzer liefert oder interne KI-Systeme in europäischen Betrieben betreibt, fällt in den Anwendungsbereich.
Das Gesetz unterscheidet grundlegend zwischen verschiedenen Risikostufen von KI-Systemen. Diese Einstufung bestimmt, welche Pflichten konkret gelten.
Die vier Risikoklassen im Überblick
Inakzeptables Risiko – verbotene KI
Systeme, die grundlegende Rechte verletzen, sind seit dem 2. Februar 2025 vollständig verboten. Dazu gehören Social-Scoring-Systeme durch staatliche Stellen, Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen), manipulative KI ohne erkennbare Absicht und Systeme, die Schwächen von Personen ausnutzen. Für die meisten IT-Unternehmensanwendungen ist diese Kategorie nicht direkt relevant, aber es lohnt sich, die eigene KI-Produktpalette dagegen zu prüfen.
Hochrisiko-KI – strenge Anforderungen
Dies ist die für IT-Teams relevanteste Kategorie. Als hochriskant gelten KI-Systeme in folgenden Bereichen: kritische Infrastruktur, Bildung und Berufsbildung, Beschäftigung und Personalmanagement, grundlegende Privatdienstleistungen (Kredit, Versicherung), Strafverfolgung, Migration und Grenzkontrolle, Justiz und Demokratie sowie Produkte, die unter bestimmte Produktsicherheitsgesetze fallen.
Für Hochrisiko-KI gelten ab August 2026 verbindliche Anforderungen: Risikomanagement-System, Daten-Governance, technische Dokumentation, Transparenz und Nutzerinformation, menschliche Aufsicht, Genauigkeit und Robustheit sowie Protokollierungspflichten. Anbieter müssen eine Konformitätsbewertung durchführen und das System in der EU-Datenbank registrieren.
Begrenztes Risiko – Transparenzpflichten
Systeme wie Chatbots, KI-generierte Texte oder Deepfakes unterliegen Transparenzpflichten. Nutzer müssen wissen, dass sie mit einem KI-System interagieren. Für viele interne IT-Tools, die auf Sprachmodellen basieren, ist das die relevante Stufe: Wer einen internen Assistenten auf Basis von GPT-4 oder Claude entwickelt, muss sicherstellen, dass die KI-Natur für Nutzer erkennbar ist.
Minimales Risiko – keine Pflichten
Der Großteil heutiger KI-Systeme – Spam-Filter, Empfehlungsalgorithmen ohne sicherheitskritische Relevanz, einfache Automatisierungen – fällt in diese Kategorie. Hier gelten keine zwingenden Pflichten, jedoch freiwillige Verhaltenskodizes.
General-Purpose AI: Die GPAI-Regeln für große Sprachmodelle
Seit dem 2. August 2025 gelten besondere Regeln für sogenannte General-Purpose AI Models (GPAI) – Sprachmodelle und andere KI-Systeme, die vielseitig einsetzbar sind. Anbieter solcher Modelle müssen technische Dokumentation bereitstellen, Urheberrechtsrichtlinien kommunizieren und Transparenzpflichten erfüllen.
Für IT-Teams, die GPAI-Modelle verwenden statt sie selbst zu entwickeln, sind die Pflichten geringer. Dennoch müssen Anwender intern prüfen, ob durch ihren spezifischen Einsatz ein systemisches Risiko entsteht – etwa wenn ein Modell in hochkritischen Entscheidungsprozessen eingesetzt wird.
Was IT-Teams konkret jetzt tun sollten
1. KI-Inventar erstellen
Der erste Schritt ist eine vollständige Bestandsaufnahme aller KI-Systeme im Unternehmen: selbst entwickelte Modelle, zugekaufte KI-Produkte, Sprachmodell-APIs, automatisierte Entscheidungssysteme, KI-gestützte Recruiting-Tools, Scoring-Systeme. Ohne dieses Inventar ist keine Risikoklassifizierung möglich.
2. Risikoklassifizierung durchführen
Für jedes inventarisierte System muss geprüft werden, in welche Risikoklasse es fällt. Diese Klassifizierung sollte rechtliche, technische und fachliche Expertise einbeziehen und dokumentiert werden.
3. Dokumentationsprozesse etablieren
Hochrisiko-KI erfordert lückenlose technische Dokumentation: Trainingsdaten, Systemarchitektur, Performance-Kennzahlen, bekannte Limitierungen, Testverfahren. Wer heute noch keine Dokumentationspflicht intern lebt, muss Prozesse für Code-Reviews, Modellkarten und Daten-Governance aufbauen.
4. Menschliche Aufsicht sicherstellen
Für Hochrisiko-Systeme ist nachweisbare menschliche Aufsicht Pflicht. Das bedeutet nicht, dass ein Mensch jede Entscheidung manuell genehmigen muss – aber es müssen Mechanismen existieren, die menschliche Überprüfung und Eingriff technisch ermöglichen und dokumentieren. Automatisierte Prozesse ohne jede menschliche Kontrollmöglichkeit sind nicht konform.
5. Monitoring und Logging aktivieren
KI-Systeme müssen über den gesamten Lebenszyklus überwacht werden. Post-Deployment-Monitoring, Logging von Entscheidungen und Feedback-Schleifen sind nicht nur Best Practice, sondern bei Hochrisiko-KI gesetzliche Anforderung. Das umfasst auch die Pflicht, Vorfälle zu melden und zu protokollieren – Fehlfunktionen, unerwartete Ergebnisse, Sicherheitsvorfälle.
Bußgelder und Durchsetzung
Die Strafen sind erheblich: Verstöße gegen verbotene KI-Praktiken können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden. Für Hochrisiko-KI-Verstöße drohen bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Falsche oder irreführende Angaben gegenüber Behörden können mit bis zu 7,5 Millionen Euro bestraft werden.
Aufgrund der Breite des Gesetzes ist eine sofortige, lückenlose Durchsetzung ab August 2026 unwahrscheinlich – aber die Rechtspflichten gelten unabhängig davon. Unternehmen, die frühzeitig handeln, sind deutlich besser positioniert.
Der Zusammenhang mit anderen Regulierungen
Der EU AI Act ergänzt bestehende Regeln. Besonders wichtig sind die Überschneidungen mit der DSGVO: KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide Regelwerke erfüllen. Das betrifft etwa automatisierte Entscheidungen nach Art. 22 DSGVO, Datenschutz-Folgenabschätzungen und Löschfristen. Wer bereits eine solide DSGVO-Governance aufgebaut hat, hat einen Vorsprung – aber der AI Act geht in vielen Bereichen weiter.
Fazit
Der EU AI Act ist kein abstraktes Regulierungsprojekt mehr – er ist Realität. IT-Teams, die KI-Systeme entwickeln, beschaffen oder betreiben, haben bis August 2026 Zeit, Basisanforderungen zu erfüllen. Die Kernaufgaben sind klar: KI-Inventar, Risikoklassifizierung, Dokumentation, menschliche Aufsicht und Monitoring. Wer jetzt anfängt, kann strukturiert vorgehen. Wer wartet, gerät unter Zeitdruck.
Die Anforderungen an Monitoring und Logging von KI-Systemen – Nachvollziehbarkeit von Entscheidungen, Erkennung von Anomalien, Protokollierung von Fehlern – lassen sich technisch gut mit bestehenden Observability-Werkzeugen und Monitoring-Plattformen umsetzen. Der EU AI Act macht Uptime und Zuverlässigkeit für KI-Systeme nicht nur zu einer technischen, sondern auch zu einer rechtlichen Anforderung.
Bildquelle: Pexels / Pixabay
Quellen
- Europäisches Parlament: EU AI Act – Volltext und Zeitplan, europarl.europa.eu
- Europäische Kommission: AI Act Implementation, digital-strategy.ec.europa.eu
- Future of Life Institute: EU AI Act Zusammenfassung, futureoflife.org
- BSI: KI und IT-Sicherheit im Kontext des EU AI Act, bsi.bund.de
