Die EU hat mit dem AI Act einen weltweit beachteten Regulierungsrahmen für Künstliche Intelligenz geschaffen. Seit dem 1. August 2024 ist die Verordnung in Kraft – die Umsetzung erfolgt jedoch stufenweise. Erste Regelungen gelten bereits, die nächste Stufe wird am 2. August 2025 wirksam. Dieser Beitrag gibt einen Überblick über den aktuellen Umsetzungsstand und ordnet die Relevanz für Unternehmen ein.
Überblick: Zeitplan und Struktur des AI Act
| Datum |
Maßnahme/Regelung |
| 1. August 2024 |
Formelles Inkrafttreten der Verordnung |
| 2. Februar 2025 |
- Verbot bestimmter KI-Praktiken
- Förderung von AI Literacy
|
| 2. August 2025 |
- Pflichten für General Purpose AI-Modelle (GPAI-Modelle),
- Einrichtung von Governance-Strukturen, Meldeverfahren und nationalen Überwachungsbehörden
|
| 2. August 2026 |
- Vollanwendung der Vorgaben für Hochrisiko-KI-Systeme,
- Anwendbarkeit aller anderen Regeln des AI Act, sofern nicht anders angegeben
|
| 2. August 2027 |
- Pflichten in Bezug auf risikoreiche KI-Systeme, die Produkte oder Sicherheitskomponenten von Produkten sind, die unter die Rechtsvorschriften in Anhang I fallen
- Pflichten für GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht werden
|
| 2. August 2030 |
Pflichten für Hochrisiko-KI-Systeme, die von bestimmten Behörden verwendet werden und vor Beginn der Anwendung am 2. August 2025 in Verkehr gebracht wurden |
| 31. Dezember 2030 |
Pflichten in Bezug auf KI-Systeme in europäischen Informationssystemen in den Bereichen Freiheit, Recht und Sicherheit, die vor dem 2. August 2027 in Verkehr gebracht oder verwendet werden |
Was gilt bereits heute?
Verbot unvertretbarer Praktiken
Seit Februar 2025 sind KI-Systeme mit „unvertretbarem Risiko“ EU-weit untersagt (Art. 5 AI Act). Darunter fallen etwa:
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen (mit Ausnahmen),
- Social Scoring zur Bewertung des Sozialverhaltens,
- manipulative Systeme, die gezielt kognitive oder emotionale Schwächen ausnutzen,
- Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung).
AI Literacy
Organisationen, die KI-Systeme einsetzen oder betreiben, müssen sicherstellen, dass ihre Mitarbeitenden über ausreichende Kenntnisse im Umgang mit KI verfügen. Die praktische Ausgestaltung – etwa durch Schulungen oder interne Leitlinien – obliegt dem Unternehmen. Zertifizierungen sind nach derzeitigem Stand nicht erforderlich.
Was ändert sich ab dem 2. August 2025?
General Purpose AI (GPAI)
Ab August 2025 gelten erstmals regulatorische Vorgaben für Anbieter von „General Purpose AI-Modelle“ – darunter fallen große Sprachmodelle. Diese Anbieter müssen u.a.:
- eine Risiko- und Konformitätsbewertung durchführen,
- Informationen über Trainingsdaten offenlegen,
- technische Dokumentation und Transparenzberichte vorlegen.
Für bereits bestehende Modelle gilt eine Übergangsfrist bis August 2027.
Governance und Aufsicht
Gleichzeitig nehmen das neue European AI Office sowie nationale Aufsichtsbehörden ihre Tätigkeit auf. Anbieter hochriskanter KI-Systeme müssen sich künftig einem Konformitätsverfahren unter Einbindung sog. „benannter Stellen“ (notified bodies) unterziehen.
Sanktionsmechanismus
Erstmals wird auch der Bußgeldrahmen des AI Act wirksam: Bei Verstößen drohen Geldbußen von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Die volle Sanktionsbefugnis der zentralen EU-Behörden greift de facto aber erst ab August 2026.
Für wen ist der AI Act relevant?
Der Anwendungsbereich ist breit gefasst: Betroffen sind sowohl Anbieter als auch Betreiber von KI-Systemen – unabhängig davon, ob das Unternehmen seinen Sitz in der EU hat. Entscheidend ist, ob die Systeme im EU-Binnenmarkt bereitgestellt oder eingesetzt werden. Diesen Ansatz kennen wir bereits von der Datenschutz-Grundverordnung.
Tech-Unternehmen und AI-Anbieter (insbesondere Anbieter generativer KI) sollten die Vorgaben des AI Act frühzeitig in ihrer Produktentwicklung berücksichtigen und konsequent umsetzen – von der Einstufung ihrer Produkte bis zur Registrierung, Transparenz und Prüfung.
Ebenso unterliegen auch Anwenderorganisationen wie z.B. Banken, Versicherungen, Gesundheitsdienstleister oder öffentliche Stellen umfangreichen Pflichten. Auf besondere Pflichten und Verbote ist insbesondere dann zu achten, wenn die KI in hochregulierten Bereichen wie Personal, Kreditvergabe oder Justiz eingesetzt werden soll.
Sonderregeln für KMU
Für kleine und mittlere Unternehmen sieht der AI Act gewisse Erleichterungen vor, wie etwa reduzierte Gebühren und Beratungsangebote.
Aktuelle Debatte um den AI Act – AI Act Pause kommt wohl nicht
Im Juni 2025 forderten mehrere Tech-Verbände, Startups und Investoren öffentlich eine vorübergehende Aussetzung des AI Act. Kritisiert wurde vor allem, dass zentrale Begriffsdefinitionen und technische Durchführungsbestimmungen (etwa für GPAI) erst kurz vor Anwendbarkeitsstart veröffentlicht wurden bzw. noch werden.
Die EU-Kommission wies die Forderung nach einem Moratorium zwar zurück, veröffentlichte jedoch zwei Wochen vor dem 2. August 2025 einen umfassenden Leitfaden zur Anwendung der GPAI-Vorgaben (wir berichteten). Die Aufsichtsbehörden sollen zudem im ersten Jahr der Umsetzung „mit Augenmaß“ vorgehen – eine faktische, wenn auch nicht formelle Übergangszeit.
Fazit
Für Unternehmen, die KI-Systeme entwickeln oder einsetzen, stellt der AI Act einen neuen europäischen Rechtsrahmen dar, der bereits heute Wirkung entfaltet – und ab August 2025 deutlich an Schärfe gewinnt. Die Pflichten reichen von Verboten bestimmter Anwendungen über Transparenzauflagen bis hin zu umfassenden Konformitätsverfahren für Hochrisiko- und GPAI-Systeme.
Vor allem Tech-Unternehmen sollten den AI Act nicht nur rechtlich, sondern auch strategisch adressieren. Denn neben dem regulatorischen Risiko eröffnet die Compliance mit dem AI Act auch eine Chance: Vertrauen, Marktakzeptanz und Zukunftsfähigkeit im europäischen KI-Ökosystem.
Mehr Informationen rund um den AI Act finden Sie hier.
