EU AI Act: Diese Pflichten gelten jetzt – und was bis 2027 auf Unternehmen zukommt
Der europäische AI Act schreibt erstmals verbindliche Regeln für den Einsatz von KI vor. Bereits seit Februar 2025 sind Verbote und Schulungspflichten wirksam, bis 2027 folgen strenge Anforderungen an Risikomanagement, Transparenz und menschliche Aufsicht. Unser Leitfaden zeigt kompakt, welche Schritte Unternehmen jetzt einleiten müssen, um Bußgelder zu vermeiden und sich einen Vertrauensvorsprung im Markt zu sichern.

EU AI Act – Pflichten, Fristen und Praxisleitfaden
(Stand: Juni 2025)
Der europäische AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten und leitet eine dreijährige Übergangsphase ein. Spätestens am 1. August 2027 müssen sämtliche KI-Systeme im europäischen Binnenmarkt den neuen Regeln entsprechen. Schon seit 2. Februar 2025 gelten erste Pflichten. Wer jetzt mit strukturierten Vorbereitungen beginnt, minimiert nicht nur das Risiko von Bußgeldern bis zu 30 Mio. € oder 6 % des weltweiten Jahresumsatzes, sondern verschafft sich auch einen Vertrauensvorsprung bei Kundinnen, Investorinnen und Aufsichtsbehörden.
1 Aktueller Status
Seit 2. Februar 2025 sind zwei Vorgaben verbindlich:
-
Verbot inakzeptabler Praktiken
Anwendungen wie soziales Scoring, manipulative Systeme oder unkontrollierte biometrische Massenüberwachung sind EU-weit untersagt und mussten bereits abgeschaltet werden. -
Schulungspflicht („AI Literacy“)
Alle Personen, die ein KI-System entwickeln, betreiben oder wesentlich nutzen, müssen nachweislich geschult sein. Unternehmen brauchen daher strukturierte Trainingsprogramme mit dokumentierten Inhalten, Teilnahmenachweisen und regelmäßigen Updates.
2 Fahrplan 2025 – 2027
Datum | Ereignis | Bedeutung |
---|---|---|
2. Mai 2025 | Veröffentlichung unverbindlicher Codes of Practice der EU-Kommission | Orientierungshilfe für generative & allgemeine KI-Modelle |
1. Aug 2025 | Transparenz- & Sicherheitspflichten für Foundation-Modelle treten in Kraft; nationale Behörden + EU AI Office starten | Entwickler großer Modelle & Betreiber generativer KI betroffen |
1. Aug 2026 | Vollständige Pflichten für Hochrisiko-KI greifen (Risikomanagement, Tech-Dok, Transparenz, Human Oversight) | Anbieter und Betreiber sensibler Anwendungen |
1. Aug 2027 | Ende aller Übergangsfristen | Sämtliche KI-Systeme müssen AI-Act-konform sein |
3 Detailanforderungen für Hochrisiko-KI
3.1 Technische Dokumentation
Vor dem Inverkehrbringen ist ein vollständiger „Aktenordner“ zu erstellen (Zweck, Datenquellen, Trainings- und Validierungsmethoden, Performance, Sicherheitsmaßnahmen). Die Dokumentation bleibt aktuell und wächst mit jeder relevanten Änderung. KMU können ein vereinfachtes Template nutzen – die inhaltliche Tiefe bleibt jedoch gleich.
3.2 Risikomanagement
Ein kontinuierlicher Zyklus aus Identifikation, Bewertung, Minderung, Validierung und Neubewertung begleitet den gesamten Lebenszyklus eines Systems. Besonders zu berücksichtigen sind Risiken für vulnerable Gruppen.
3.3 Transparenz & Kennzeichnung
Nutzer*innen und Betroffene sind verständlich zu informieren, wenn KI ihre Entscheidungen beeinflusst. Realistisch wirkende KI-Inhalte (Texte, Bilder, Videos) müssen eindeutig als künstlich gekennzeichnet werden, z. B. per Hinweistext oder Wasserzeichen. Relevante Systemereignisse sind mindestens sechs Monate zu loggen.
3.4 Menschliche Aufsicht
Systeme benötigen Not-Aus- und Override-Optionen. Unternehmen benennen qualifizierte Verantwortliche, die befugt sind, KI-Entscheidungen zu prüfen und bei Bedarf zu stoppen.
3.5 AI Literacy
- Entwickler*innen/Data-Scientists: Bias-Tests, Dokumentationspflichten, Safety-Best-Practices
- Fachanwender*innen: Ergebnisinterpretation, Eskalationswege
- Management: Governance, Haftung, Kostenrisiken
- IT/Security-Teams: Logging, Monitoring, Incident-Response
Schulungen sind regelmäßig zu aktualisieren.
4 Umsetzungsschritte 2025
- KI-Inventar erstellen und Systeme kategorisieren.
- Verbotene Praktiken ausschließen bzw. Systeme abschalten.
- AI-Compliance-Verantwortliche bestellen.
- Schulungsprogramme starten und dokumentieren.
- Risikomanagement & technische Dokumentation an einem Pilotprojekt erproben.
- Transparenz- und Kennzeichnungsprozesse definieren.
- Human-Oversight-Prozess mit klaren Eskalationswegen festlegen.
- Budget- und Ressourcenplanung bis 2027 aufsetzen.
5 Besonderheiten für KMU
KMU dürfen vereinfachte Qualitäts- und Dokumentationsformate nutzen und greifen häufig auf externe Dienstleister für Schulungen, Dokumentation und Risikoanalysen zurück. Nationale Förderprogramme können die Finanzlast reduzieren. Inhaltlich gelten jedoch dieselben Standards wie für Großunternehmen.
6 Ausblick & Empfehlung
Der AI Act übersetzt ethische Leitlinien in rechtlich bindende Vorgaben. Unternehmen, die 2025 gezielt in Kompetenz, Prozesse und Dokumentation investieren, sichern sich eine reibungslose Zertifizierung ihrer Hochrisiko-Systeme in 2026 und einen vollständig konformen KI-Bestand in 2027. Zugleich stärken sie ihre Marktposition mit nachweislich vertrauenswürdigen KI-Lösungen.
Fazit: Wer den AI Act als Chance begreift, baut eine nachhaltige Governance-Struktur auf, beschleunigt Innovation und macht sein Unternehmen langfristig wettbewerbsfähiger.