ArtikelFachartikel

EU AI Act: Diese Pflichten gelten jetzt – und was bis 2027 auf Unternehmen zukommt

Der europäische AI Act schreibt erstmals verbindliche Regeln für den Einsatz von KI vor. Bereits seit Februar 2025 sind Verbote und Schulungspflichten wirksam, bis 2027 folgen strenge Anforderungen an Risikomanagement, Transparenz und menschliche Aufsicht. Unser Leitfaden zeigt kompakt, welche Schritte Unternehmen jetzt einleiten müssen, um Bußgelder zu vermeiden und sich einen Vertrauensvorsprung im Markt zu sichern.

Dr. Maximilian Focke
13.06.2025
7 Min. Lesezeit
EU AI Act: Diese Pflichten gelten jetzt – und was bis 2027 auf Unternehmen zukommt

EU AI Act – Pflichten, Fristen und Praxisleitfaden

(Stand: Juni 2025)

Der europäische AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten und leitet eine dreijährige Übergangsphase ein. Spätestens am 1. August 2027 müssen sämtliche KI-Systeme im europäischen Binnenmarkt den neuen Regeln entsprechen. Schon seit 2. Februar 2025 gelten erste Pflichten. Wer jetzt mit strukturierten Vorbereitungen beginnt, minimiert nicht nur das Risiko von Bußgeldern bis zu 30 Mio. € oder 6 % des weltweiten Jahresumsatzes, sondern verschafft sich auch einen Vertrauensvorsprung bei Kundinnen, Investorinnen und Aufsichtsbehörden.

1 Aktueller Status

Seit 2. Februar 2025 sind zwei Vorgaben verbindlich:

  1. Verbot inakzeptabler Praktiken
    Anwendungen wie soziales Scoring, manipulative Systeme oder unkontrollierte biometrische Massenüberwachung sind EU-weit untersagt und mussten bereits abgeschaltet werden.

  2. Schulungspflicht („AI Literacy“)
    Alle Personen, die ein KI-System entwickeln, betreiben oder wesentlich nutzen, müssen nachweislich geschult sein. Unternehmen brauchen daher strukturierte Trainings­programme mit dokumentierten Inhalten, Teilnahmenachweisen und regelmäßigen Updates.

2 Fahrplan 2025 – 2027

DatumEreignisBedeutung
2. Mai 2025Veröffentlichung unverbindlicher Codes of Practice der EU-KommissionOrientierungshilfe für generative & allgemeine KI-Modelle
1. Aug 2025Transparenz- & Sicherheits­pflichten für Foundation-Modelle treten in Kraft; nationale Behörden + EU AI Office startenEntwickler großer Modelle & Betreiber generativer KI betroffen
1. Aug 2026Vollständige Pflichten für Hochrisiko-KI greifen (Risikomanagement, Tech-Dok, Transparenz, Human Oversight)Anbieter und Betreiber sensibler Anwendungen
1. Aug 2027Ende aller ÜbergangsfristenSämtliche KI-Systeme müssen AI-Act-konform sein

3 Detailanforderungen für Hochrisiko-KI

3.1 Technische Dokumentation

Vor dem Inverkehrbringen ist ein vollständiger „Aktenordner“ zu erstellen (Zweck, Datenquellen, Trainings- und Validierungs­methoden, Performance, Sicherheitsmaßnahmen). Die Dokumentation bleibt aktuell und wächst mit jeder relevanten Änderung. KMU können ein vereinfachtes Template nutzen – die inhaltliche Tiefe bleibt jedoch gleich.

3.2 Risikomanagement

Ein kontinuierlicher Zyklus aus Identifikation, Bewertung, Minderung, Validierung und Neubewertung begleitet den gesamten Lebenszyklus eines Systems. Besonders zu berücksichtigen sind Risiken für vulnerable Gruppen.

3.3 Transparenz & Kennzeichnung

Nutzer*innen und Betroffene sind verständlich zu informieren, wenn KI ihre Entscheidungen beeinflusst. Realistisch wirkende KI-Inhalte (Texte, Bilder, Videos) müssen eindeutig als künstlich gekennzeichnet werden, z. B. per Hinweistext oder Wasserzeichen. Relevante Systemereignisse sind mindestens sechs Monate zu loggen.

3.4 Menschliche Aufsicht

Systeme benötigen Not-Aus- und Override-Optionen. Unternehmen benennen qualifizierte Verantwortliche, die befugt sind, KI-Entscheidungen zu prüfen und bei Bedarf zu stoppen.

3.5 AI Literacy

  • Entwickler*innen/Data-Scientists: Bias-Tests, Dokumentations­pflichten, Safety-Best-Practices
  • Fachanwender*innen: Ergebnis­interpretation, Eskalationswege
  • Management: Governance, Haftung, Kostenrisiken
  • IT/Security-Teams: Logging, Monitoring, Incident-Response

Schulungen sind regelmäßig zu aktualisieren.

4 Umsetzungsschritte 2025

  1. KI-Inventar erstellen und Systeme kategorisieren.
  2. Verbotene Praktiken ausschließen bzw. Systeme abschalten.
  3. AI-Compliance-Verantwortliche bestellen.
  4. Schulungsprogramme starten und dokumentieren.
  5. Risikomanagement & technische Dokumentation an einem Pilotprojekt erproben.
  6. Transparenz- und Kennzeichnungs­prozesse definieren.
  7. Human-Oversight-Prozess mit klaren Eskalationswegen festlegen.
  8. Budget- und Ressourcenplanung bis 2027 aufsetzen.

5 Besonderheiten für KMU

KMU dürfen vereinfachte Qualitäts- und Dokumentations­formate nutzen und greifen häufig auf externe Dienstleister für Schulungen, Dokumentation und Risikoanalysen zurück. Nationale Förderprogramme können die Finanzlast reduzieren. Inhaltlich gelten jedoch dieselben Standards wie für Großunternehmen.

6 Ausblick & Empfehlung

Der AI Act übersetzt ethische Leitlinien in rechtlich bindende Vorgaben. Unternehmen, die 2025 gezielt in Kompetenz, Prozesse und Dokumentation investieren, sichern sich eine reibungslose Zertifizierung ihrer Hochrisiko-Systeme in 2026 und einen vollständig konformen KI-Bestand in 2027. Zugleich stärken sie ihre Marktposition mit nachweislich vertrauens­würdigen KI-Lösungen.

Fazit: Wer den AI Act als Chance begreift, baut eine nachhaltige Governance-Struktur auf, beschleunigt Innovation und macht sein Unternehmen langfristig wettbewerbsfähiger.