EU AI Act FAQ 2026: Die 25 wichtigsten Fragen — klar beantwortet

Der EU AI Act ist das umfangreichste KI-Gesetz weltweit. Mit fast 200 Artikeln und 13 Annexen ist er für viele KMU schwer zugänglich. Wir haben die 25 häufigsten Fragen aus realen Beratungsgesprächen mit DACH-Unternehmen zusammengestellt — und beantworten sie ohne Juristendeutsch.

Grundlagen

1. Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende KI-Regulierung weltweit. Er klassifiziert KI-Systeme in vier Risikoklassen (verboten, hochrisiko, begrenzt, minimal) und legt Pflichten für Anbieter (Provider) und Nutzer (Deployer) fest. In Kraft seit 1. August 2024, mit gestaffelten Anwendungsfristen bis 2027.

2. Gilt der EU AI Act für mein Unternehmen?

Ja, wenn du KI-Systeme entwickelst, anbietest oder einsetzt — mit EU-Bezug. Der AI Act folgt dem Marktortprinzip: er gilt für alle Systeme, die in der EU in Verkehr gebracht oder eingesetzt werden, unabhängig vom Sitz des Unternehmens. Auch Schweizer und britische Firmen mit EU-Kunden sind betroffen.

3. Was sind die wichtigsten Deadlines?

Vier Kernfristen: 2. Februar 2025 (Verbotene Praktiken Art. 5 + KI-Literacy Art. 4), 2. August 2025 (GPAI-Pflichten Art. 51-56), 2. August 2026 (Hochrisiko-Hauptdeadline), 2. August 2027 (Annex-I-Sicherheitskomponenten). Die EU-Kommission diskutiert eine Verschiebung des Hauptdatums (Digital Omnibus).

4. Was ist eine "Risikoklasse"?

Der AI Act klassifiziert jedes KI-System in eine von vier Klassen: Verboten (Art. 5 — z.B. Social Scoring), Hochrisiko (Annex III — z.B. HR-Tools, Kreditscoring), Begrenzt (z.B. Chatbots, mit Transparenzpflicht), Minimal (z.B. Spam-Filter — keine Pflichten). Die Klasse bestimmt die Pflichten.

5. Wer ist Provider, wer Deployer?

Provider: Wer KI entwickelt oder unter eigenem Namen vermarktet (Art. 3 Nr. 3). Deployer: Wer KI im professionellen Kontext einsetzt (Art. 3 Nr. 4). Provider haben mehr Pflichten (Art. 16). Deployer haben begrenzte aber wichtige Pflichten (Art. 26). Bei wesentlicher Modifikation eines fremden Systems wirst du selbst Provider.

Hochrisiko-KI

6. Wann ist mein System "Hochrisiko"?

Zwei Pfade: (1) Annex III — wenn das System in eine der 8 Listen-Kategorien fällt (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, öffentliche Dienste, Strafverfolgung, Migration, Justiz). (2) Annex I — wenn KI als Sicherheitskomponente in regulierten Produkten dient (z.B. Medizinprodukte, Spielzeug, Maschinen).

7. Was ist Annex III?

Annex III listet 8 Kategorien Hochrisiko-KI: 1. Biometrie, 2. Kritische Infrastruktur, 3. Bildung, 4. Beschäftigung & HR, 5. öffentliche Dienste & Sozialleistungen, 6. Strafverfolgung, 7. Migration & Asyl, 8. Justiz & demokratische Prozesse. Innerhalb dieser Kategorien gibt es Sub-Items mit konkreten Use-Cases.

8. Sind Recruiting-Tools immer Hochrisiko?

Fast immer. Annex III Nr. 4 nennt explizit "Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit". Das umfasst CV-Screening, Bewerber-Ranking, Leistungsbeurteilung, automatische Beförderungs-Vorschläge. Auch wenn die KI nur "unterstützt" — wenn sie Einfluss auf die Entscheidung hat, ist sie Hochrisiko.

9. Welche Pflichten habe ich als Hochrisiko-Provider?

Mindestens: Risikomanagementsystem (Art. 9), Datengovernance (Art. 10), technische Dokumentation Annex IV (Art. 11), Logging (Art. 12), Transparenz für Deployer (Art. 13), menschliche Aufsicht (Art. 14), Genauigkeit/Robustheit (Art. 15), Qualitätsmanagementsystem (Art. 17), Konformitätsbewertung (Art. 43), CE-Kennzeichnung (Art. 48), 10-jährige Dokumentenaufbewahrung (Art. 18).

10. Welche Pflichten habe ich als Hochrisiko-Deployer?

Art. 26: Nutzung gemäss Anbieter-Anleitung, geeignete menschliche Aufsicht sicherstellen, Eingabedaten-Qualität überwachen, Logs aufbewahren, schwerwiegende Vorfälle melden, betroffene Personen informieren, bei wesentlichen Änderungen Provider benachrichtigen, gegebenenfalls FRIA durchführen.

GPAI

11. Was sind GPAI-Modelle?

GPAI = General Purpose AI. Modelle, die für viele verschiedene Zwecke einsetzbar sind — ChatGPT, Claude, Gemini, Mistral, Llama. Definition Art. 3 Nr. 63. Pflichten in Art. 51-56. Spezielle Pflichten für "GPAI mit systemischem Risiko" (über 10^25 FLOPs Trainingsrechenzeit) — derzeit hauptsächlich GPT-4-Klasse-Modelle.

12. Welche Pflichten habe ich, wenn ich ChatGPT/Copilot nutze?

Als Nutzer (Deployer) primär: KI-Literacy nach Art. 4 sicherstellen (alle Mitarbeitenden mit Zugang zur KI), bei Output-Kennzeichnung Art. 50 beachten (KI-generierte Inhalte als solche markieren). Bei Hochrisiko-Einsatz (z.B. HR mit ChatGPT): zusätzlich alle Art. 26 Pflichten.

13. Sind Open-Source-Modelle wie Llama vom AI Act ausgenommen?

Teilweise. Art. 53 Abs. 2 gewährt Erleichterungen für GPAI mit freier Open-Source-Lizenz (Open Weights): nur Copyright-Pflicht und Trainings-Zusammenfassung sind nötig. Ausnahme von der Ausnahme: GPAI mit systemischem Risiko (über 10^25 FLOPs) — diese müssen alle Pflichten erfüllen, auch Open Source.

Bussgelder & Aufsicht

14. Wie hoch sind die Bussgelder?

Drei Stufen (Art. 99): bis 35 Mio. EUR oder 7% Jahresumsatz (verbotene Praktiken Art. 5), bis 15 Mio. EUR oder 3% (Hochrisiko-Verstösse), bis 7,5 Mio. EUR oder 1% (falsche Behörden-Information). Für KMU gilt Proportionalität — der niedrigere Wert wird angewendet.

15. Wer kontrolliert die Einhaltung?

Jeder Mitgliedstaat benennt eine nationale Marktaufsicht. Deutschland: voraussichtlich Bundesnetzagentur (KI-MIG). Österreich: voraussichtlich RTR. Schweiz: Der EU AI Act gilt nur indirekt (Marktortprinzip). Für GPAI ist zusätzlich die EU AI Office in Brüssel zuständig.

16. Was passiert bei einer Behörden-Prüfung?

Behörden können Dokumente einfordern (technische Dokumentation, Konformitätserklärung, Logs), Audits am Standort durchführen, Stichproben-Tests veranlassen. Bei Verdacht auf Verstoss: Anhörung, dann Bussgeld-Verfahren. Wichtig: Sorgfaltsbeweise (z.B. dieser auditfähige Compliance-Report) reduzieren Bussgeld-Höhe erheblich.

DACH-Spezifika

17. Gilt der EU AI Act in der Schweiz?

Direkt nein, indirekt ja. Die Schweiz übernimmt den AI Act nicht automatisch. Aber: das Marktortprinzip greift — Schweizer Unternehmen mit EU-Kunden müssen den AI Act beachten. Zusätzlich: das nDSG (revidiertes Datenschutzgesetz) hat Überschneidungen, insbesondere Art. 21 (automatisierte Entscheidung).

18. Was ist mit dem österreichischen DSG?

Das österreichische DSG (Datenschutzgesetz) regelt Datenschutz parallel zur DSGVO. § 96 DSG entspricht Art. 22 DSGVO. Beim EU AI Act ist Österreich direkt gebunden — die Verordnung gilt unmittelbar ohne nationales Umsetzungsgesetz.

19. Wer ist in Deutschland zuständig?

Voraussichtlich die Bundesnetzagentur als zentrale Marktaufsicht (gemäss KI-MIG vom Februar 2026). Die Datenschutzbehörden der Länder (BfDI, LfDI) bleiben zuständig für DSGVO-Aspekte. Das BfArM für Medizin-KI, BAMF für Migrations-KI.

Praktische Umsetzung

20. Was kostet mich Compliance?

Für ein KMU mit 1-3 Hochrisiko-Systemen realistisch: 15.000 - 40.000 EUR Initialaufwand (technische Dokumentation, Konformitätsbewertung, Schulungen) plus 5.000 - 15.000 EUR jährlich (Monitoring, Updates). Tools wie ai-risk-check.com reduzieren den Anwaltsaufwand um 60-80%.

21. Wie lange dauert Compliance-Aufbau?

Realistisch 9-12 Monate für ein einzelnes Hochrisiko-System. Schritte: Klassifikation (1 Woche), Inventarisierung (2 Wochen), Risikomanagement-Aufbau (2 Monate), technische Dokumentation (3 Monate), Konformitätsbewertung (2 Monate), Mitarbeiterschulung (laufend, 1 Monat Initial).

22. Brauche ich einen KI-Beauftragten?

Der EU AI Act schreibt keinen KI-Beauftragten explizit vor. Aber: ohne verantwortliche Person ist Compliance praktisch unmöglich. Empfehlung: Bestehende DSB (Datenschutzbeauftragte) übernimmt zusätzlich KI-Verantwortung — beide Bereiche überlappen stark.

23. Was ist FRIA?

FRIA = Fundamental Rights Impact Assessment (Grundrechte-Folgenabschätzung). Pflicht nach Art. 27 für bestimmte Hochrisiko-Systeme — vor allem öffentliche Stellen und private Anbieter öffentlicher Dienste. Strukturell ähnlich zur DSFA, aber mit Fokus auf Grundrechte (Diskriminierung, Privatsphäre, Meinungsfreiheit).

24. Was ist der Unterschied zu DSGVO?

DSGVO regelt personenbezogene Daten, EU AI Act regelt KI-Systeme. Überschneidungen bei automatisierten Entscheidungen mit Personenbezug (DSGVO Art. 22 + AI Act Art. 26). Eine bestehende DSGVO-DSFA erfüllt Teile der EU AI Act Anforderungen, aber nicht die FRIA. Beide Verordnungen können parallel anwendbar sein.

25. Was ist wenn ich gar nichts mache?

Bei Audit ab 2. August 2026: Bussgeld-Risiko bis 35 Mio. EUR oder 7% Jahresumsatz. Praktisch wahrscheinlicher: Untersagung des Systems, Reputationsschaden, Vertragskündigungen durch B2B-Kunden, Probleme bei Investoren-Due-Diligence. Die Frage ist nicht ob, sondern wann eine Prüfung kommt — und wie gut deine Sorgfaltsbeweise sind.