Die EU hat mit dem AI Act das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz verabschiedet und es gilt bereits in Teilen. Wer KI einsetzt, muss handeln. Dieser Ratgeber erklärt, was auf Ihr Unternehmen zukommt, welche Fristen gelten und worauf Sie heute schon achten müssen.
Was ist der AI Act – und wann betrifft er mich?
Seit dem 1. August 2024 ist die KI-Verordnung der EU (kurz: KI-VO oder AI Act) in Kraft. Sie gilt europaweit und richtet sich an alle, die KI-Systeme entwickeln, vertreiben oder einsetzen, also auch an Unternehmen, die "nur" ein Tool wie ChatGPT, Google Gemini oder Claude im Arbeitsalltag nutzen.
Das Ziel ist es, Vertrauen in KI zu schaffen, Grundrechte zu schützen und gleichzeitig aber die Innovation nicht auszubremsen.
Die Bundesregierung hat im Februar 2026 den nationalen Gesetzentwurf zur Umsetzung beschlossen und ist bestrebt, die Regeln so schlank und innovationsfreundlich wie möglich zu gestalten.
EU AI Act in KMU - Was bedeutet das für den typischen Büroalltag?
Viele Unternehmen setzen KI bereits ein, ohne es als "KI-Einsatz" zu bezeichnen.
Ein Mitarbeiter lässt sich einen Angebotstext von ChatGPT formulieren, eine Präsentation wird mit KI-Unterstützung erstellt, Besprechungsnotizen werden automatisch zusammengefasst, E-Mails übersetzt.
Personenbezogene Daten
Sobald dabei Informationen über Kunden, Mitarbeiter oder Geschäftspartner eingegeben werden, also Namen, Kontaktdaten, Vertragsinhalte oder interne Zahlen, handelt es sich um die Verarbeitung personenbezogener oder vertraulicher Daten. Das Unternehmen ist dann verantwortlich dafür, dass diese Daten nicht unkontrolliert beim KI-Anbieter landen. Die Lösung ist nicht zwangsläufig, KI zu verbieten, sondern klare interne Regeln zu schaffen. Welche Daten dürfen in welche Tools eingegeben werden? Welche nicht?
Wer als Unternehmen ein KI-Tool einsetzt, gilt im Sinne der Verordnung als Betreiber.
Und Betreiber haben Pflichten, auch wenn sie die KI nur nutzen und nicht selbst entwickeln.
Sie müssen z. B. sicherstellen, dass ihre Mitarbeiter im Umgang mit KI ausreichend geschult sind.
Wer Kundendaten in ChatGPT eingibt, muss prüfen, ob dafür eine Rechtsgrundlage nach DSGVO besteht, ob ein Auftragsverarbeitungsvertrag mit dem Anbieter vorliegt und ob die Kunden darüber informiert wurden. Wer das nicht tut, verstößt nicht nur gegen die KI-VO, sondern möglicherweise gleichzeitig gegen die DSGVO.
Ist Texte von KI schreiben gegen den EU AI ACT?
Die Nutzung von KI ohne personenbezogene oder vertrauliche Daten einzugeben, wird aus KI-VO- und DSGVO-Perspektive (noch) nicht beanstandet.
Sie schreiben z. B. einen Blogartikel, lassen sich Formulierungen vorschlagen, die Struktur überarbeiten oder einen Text zusammenfassen. Wenn dabei Kundennamen, interne Zahlen oder Mitarbeiterdaten keine Rolle spielen, ist das rechtlich okay.
Zwei Dinge sollte man aber trotzdem zumindest auf dem Schirm haben:
1. Es besteht zwar keine konkrete Pflicht zur Kennzeichnung. Aber bei vollständig KI-generierten Texten, die Sie veröffentlichen, kristallisiert sich die Erwartungshaltung (rechtlich und gesellschaftlich) in Richtung Transparenz heraus. Wer es proaktiv kennzeichnet, ist auf der sicheren oder zumindest der "transparenten Seite".
2. Urheberrecht? KI-generierte Texte sind in Deutschland aktuell nicht urheberrechtlich geschützt. Es gibt keinen menschlichen Schöpfer (im rechtlichen Sinne).
Wenn man also einen Text vollständig von der KI schreiben lässt und ihn unverändert veröffentlicht, kann man daran kein Urheberrecht geltend machen.
Sobald der Text wesentlich bearbeitet wird, schon. Man erschafft damit theoretisch ein geschütztes Werk. Damit der Schutz greift, muss eine gewisse „Schöpfungshöhe“ erreicht werden, also nicht nur ein paar Kommas korrigieren oder zwei Adjektive tauschen. Es muss ein deutlicher qualitativer und individueller Unterschied zur ursprünglichen KI-Vorlage erkennbar sein.
| Status | Urheberrechtlicher Schutz |
| Reiner KI-Text | Kein Schutz. Jeder darf ihn kopieren. |
| KI-Text + minimaler Edit | Geringes Risiko. Wahrscheinlich weiterhin kein Schutz. |
| KI-Text als Basis + starke Bearbeitung | Voll geschützt. Sie sind der Urheber des Endprodukts. |
Das Grundprinzip: Je mehr Risiko, desto strenger die Regeln
Der AI Act folgt einem risikobasierten Ansatz. Nicht jede KI-Anwendung wird gleich behandelt. Stattdessen richtet sich der Regulierungsaufwand nach dem potenziellen Schaden, den ein System anrichten könnte.
Die KI Verordnung unterscheidet 4 Kategorien
- Verbotene KI
= Anwendungen, die grundlegende Rechte gefährden, sind schlicht unzulässig. Dazu gehören Systeme zur Verhaltensmanipulation, KI-basiertes „Social Scoring" (also die Bewertung von Personen nach ihrem Sozialverhalten) sowie das massenhafte Anlegen von Gesichtserkennungsdatenbanken durch ungezielte Auswertung von Internetbildern. Diese Verbote gelten seit dem 2. Februar 2025. - Hochrisiko-KI
= Systeme in sensiblen Bereichen wie kritischer Infrastruktur, Personalwesen, Bildung, Strafverfolgung, Asylverfahren oder medizinischen Produkten.
Hier gelten strenge Anforderungen, wie technische Dokumentation, Risikomanagement, Transparenz, menschliche Aufsicht sowie hohe Anforderungen an Datenqualität und Cybersicherheit. - KI mit begrenztem Risiko
= z. B. Chatbots*, Emotionserkennungssysteme und Deepfakes. Hier gelten vor allem Transparenz- und Kennzeichnungspflichten. Wer als User mit einer KI interagiert, muss das wissen.
*Chatbot im Sinne der KI-VO meint ein System, das in Echtzeit mit echten Menschen interagiert und dabei so tut, als wäre es ein Mensch – oder zumindest nicht transparent macht, dass es eine Maschine ist. Das klassische Beispiel: ein Kundenservice-Chat auf einer Website, bei dem du tippst und automatisch Antworten bekommst. - Alle übrigen KI-Systeme
= KI-Systeme, die in keine der obigen Kategorien fallen, z. B. ein KI-gesteuerter Spam-Filter, eine KI-Playlist-Empfehlung auf einer Musik-App, ein KI-Chatbot für Produktempfehlungen im Webshop ohne Profiling. Die sind aber weiterhin an andere Gesetze, wie die DSGVO, gebunden.
Die Fristen im Überblick – was gilt wann?
Die KI-Verordnung tritt nicht auf einen Schlag in Kraft, sondern gestaffelt:
Seit 2. Februar 2025
Verbote für KI mit inakzeptablem Risiko. Zudem sind Unternehmen ab diesem Zeitpunkt verpflichtet, für ausreichende KI-Kompetenz ihrer Mitarbeitenden zu sorgen (sogenannte AI Literacy).
Seit 2. August 2025
Regeln zu Governance und zu KI-Modellen mit allgemeinem Verwendungszweck (GPAI, z. B. große Sprachmodelle wie GPT)
2. August 2026
Alle übrigen Bestimmungen werden wirksam, darunter die Regeln für eigenständige Hochrisiko-KI-Systeme wie biometrische Identifizierung.
2. August 2027
Hochrisiko-KI in regulierten Produkten (z. B. Medizinprodukte, Maschinen, Spielzeug) muss vollständig konform sein.
Bestandsschutz
KI-Systeme, die bereits vor Inkrafttreten der Verordnung im Einsatz sind, müssen nicht sofort angepasst werden. In der Regel gilt es erst bei einer wesentlichen Änderung oder spätestens bis 2030, je nach Systemkategorie.
Was gilt schon heute: DSGVO und KI
Unabhängig vom AI Act müssen Unternehmen beim Einsatz von KI bereits jetzt die Datenschutzgesetze einhalten, insbesondere die DSGVO. Sobald ein KI-System personenbezogene Daten verarbeitet (eingegeben, analysiert oder anderweitig genutzt werden), greifen die bekannten Datenschutzpflichten.
Was bedeutet das konkret?
- Rechtmäßigkeit
= Jede Verarbeitung personenbezogener Daten mit KI muss auf einer klaren Rechtsgrundlage beruhen. - Informationspflichten
= Nutzer und Betroffene müssen über den Einsatz von KI informiert werden, einschließlich der involvierten Logik (Art. 13, 14 DSGVO) - Dokumentation
= Das KI-System muss im Verzeichnis von Verarbeitungstätigkeiten beschrieben sein (Art. 30 DSGVO). - Auftragsverarbeitung
= Wer einen externen KI-Anbieter einsetzt, muss einen Auftragsverarbeitungsvertrag abschließen (Art. 28 DSGVO). Der Anbieter gilt als Auftragsverarbeiter, das einsetzende Unternehmen als Verantwortlicher. - Datenschutz-Folgenabschätzung (DSFA)
= Der Einsatz von KI zur Verarbeitung personenbezogener Daten oder zur Steuerung von Interaktionen mit Betroffenen ist in der Regel DSFA-pflichtig (Art. 35 DSGVO). - Technische und organisatorische Maßnahmen
= Der Stand der Technik muss eingehalten werden, um Datenmissbrauch zu verhindern (Art. 25, 32 DSGVO).
Automatisierte Entscheidungen: Was Unternehmer beachten müssen
Ein besonders relevanter Punkt für KI-Einsatz im Unternehmenskontext ist Art. 22 DSGVO:
Personen dürfen grundsätzlich nicht ausschließlich automatisierten Entscheidungen unterworfen werden, die rechtliche Wirkung entfalten oder sie erheblich beeinträchtigen, etwa bei Kreditvergabe, Personalentscheidungen oder Versicherungen.
Der Europäische Gerichtshof hat hierzu in zwei Urteilen (2023 und Februar 2025) klargestellt, dass wenn ein KI-generierter Wahrscheinlichkeitswert maßgeblich über ein Vertragsverhältnis entscheidet, eine automatisierte Einzelentscheidung im Sinne der DSGVO vorliegt. Betroffene haben dann das Recht auf „aussagekräftige Informationen über die involvierte Logik" und zwar in verständlicher und transparenter Form.
Für Unternehmen heißt das:
Wer KI für Entscheidungsprozesse einsetzt, muss diese Entscheidungen erklärbar machen können.
Praktische Tipps für Unternehmen
Vor der Anschaffung einer KI prüfen
Verlangen Sie vom Anbieter eine transparente Dokumentation, insbesondere Nachweise, dass die DSGVO eingehalten wird und personenbezogene Daten nicht unkontrolliert abfließen.
Mitarbeitende schulen
Seit dem 2. Februar 2025 sind Unternehmen verpflichtet, die KI-Kompetenz ihrer Mitarbeitenden sicherzustellen. Das ist übrigens keine Empfehlung, sondern eine gesetzliche Pflicht.
Datensicherheit technisch absichern
Setzen Sie KI möglichst in einer gesicherten, separaten IT-Umgebung ein. Geben Sie über öffentliche KI-Schnittstellen keine personenbezogenen oder vertraulichen Daten ein, solange kein wirksamer Schutz vor Missbrauch besteht.
Rolle im System kennen
Wer ein bestehendes KI-System unter eigenem Namen vertreibt oder wesentlich verändert, wechselt von der Rolle des Betreibers in die des Anbieters. Und das ist mit deutlich umfangreicheren Pflichten verbunden.
Rechtslage im Blick behalten
Die Umsetzung auf nationaler Ebene ist noch nicht abgeschlossen. Welche Behörden in Deutschland welche Zuständigkeiten übernehmen, wird derzeit geregelt. Die Bundesnetzagentur wird eine zentrale Rolle als Koordinierungs- und Kompetenzzentrum übernehmen.
FAQ zum EU AI Act
Gilt der AI Act auch für kleine Unternehmen?
Ja, die KI-Verordnung gilt unabhängig von der Unternehmensgröße für alle, die KI-Systeme einsetzen oder anbieten.
Allerdings hat der Gesetzgeber explizit KMU-Schutzregelungen verankert (Art. 99 Abs. 6 KI-VO). Bei Bußgeldern gilt für KMU jeweils der niedrigere Betrag aus Festbetrag oder Umsatzprozentsatz. Zudem haben KMU Zugang zu kostenlosen Regulatory Sandboxes, vereinfachten Dokumentationsformularen und reduzierten Konformitätsbewertungsgebühren. Die Kernpflichten, insbesondere bei Hochrisiko-KI, gelten aber auch für kleine Betriebe.
Was passiert bei Verstößen? Wie hoch sind die Bußgelder?
Der AI Act sieht gestaffelte Bußgelder vor, abhängig von der Schwere des Verstoßes:
- Einsatz verbotener KI-Systeme → bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes
- Verstöße gegen Hochrisiko-Pflichten → bis zu 15 Mio. Euro oder 3 % des Jahresumsatzes
- Falsche oder irreführende Angaben → bis zu 7,5 Mio. Euro oder 1,5 % des Jahresumsatzes
Für KMU gilt jeweils der niedrigere der beiden Beträge. Die genaue Höhe liegt im Ermessen der Behörden. Nachgewiesene Compliance-Bemühungen und proaktive Zusammenarbeit wirken bußgeldmindernd. Die Bußgelder sind damit in ähnlicher Größenordnung wie bei der DSGVO. Erste Sanktionen sind ab August 2026 realistisch.
Reicht die DSGVO nicht aus? Brauche ich den AI Act zusätzlich?
Nein, die DSGVO reicht allein nicht aus. Beide Regelwerke existieren nebeneinander und ergänzen sich. Die DSGVO regelt den Datenschutz beim Umgang mit personenbezogenen Daten, und zwar unabhängig davon, ob KI im Spiel ist.
Der AI Act hingegen reguliert KI-Systeme als solche, also ihre Sicherheit, Transparenz, Nachvollziehbarkeit und den Schutz vor Missbrauch.
Wer KI mit personenbezogenen Daten betreibt, muss beide Regelwerke gleichzeitig einhalten. Hinzu kommen weitere Gesetze wie das Urheberrecht oder das AGG, die ebenfalls beim KI-Einsatz relevant sein können.
Wann muss ich konkret handeln? Was sind die wichtigsten Deadlines?
Seit 2. Februar 2025 → Verbotene KI muss abgeschaltet sein. Mitarbeiterschulung zur KI-Kompetenz ist Pflicht.
Seit 2. August 2025 → Transparenzpflichten für generative KI (z. B. KI-Inhalte (ChatGPT, Gemini, Claude etc.) müssen als KI-generiert gekennzeichnet sein.
Ab 2. August 2026 → Vollständige Pflichten für Hochrisiko-KI-Systeme. Ab diesem Zeitpunkt sind Sanktionen für die meisten Unternehmen realistisch.
Ab 2. August 2027 → Hochrisiko-KI in regulierten Produkten (Medizinprodukte, Maschinen etc.) muss vollständig konform sein.
Der wichtigste erste Schritt für die meisten KMU ist eine KI-Inventur.
Welche Systeme sind im Einsatz?
In welche Risikoklasse fallen sie?
Daraus leiten sich alle weiteren Maßnahmen ab.
Der AI Act ist keine Zukunftsmusik, sondern geltendes Recht. Einige Fristen sind bereits verstrichen, andere laufen in den nächsten Monaten ab. Wer KI einsetzt und die Compliance-Fragen auf die lange Bank schiebt, riskiert Bußgelder, aber auch Vertrauensverlust bei Kunden und Geschäftspartnern.
Der erste Schritt ist überschaubar... Inventarisieren Sie, welche KI-Systeme in Ihrem Unternehmen im Einsatz sind, welche Daten sie verarbeiten und in welche Risikokategorie sie fallen. Alles Weitere baut darauf auf.
Quellen:
- Bundesregierung (AI Act, Februar 2026)
- IHK München – Datenschutz & KI
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Dieser Ratgeber dient der allgemeinen Information und ersetzt keine rechtliche Beratung im Einzelfall.