EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Grundlagen

EU AI Act — was ist das? Verständlich erklärt für Unternehmer

Zuletzt aktualisiert: Mai 2026·10 min Lesezeit
TL;DR

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit 1. August 2024 in Kraft und reguliert KI-Systeme nach ihrem Risiko. Vier Risikoklassen: verboten, hochrisiko, begrenzt, minimal. Hauptdeadline für Hochrisiko-KI ist der 2. August 2026. Bussgelder bis 35 Mio. EUR oder 7% Jahresumsatz.

Der EU AI Act ist die erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz weltweit. Verabschiedet im Juni 2024, in Kraft seit dem 1. August 2024, gilt er als Verordnung direkt in allen 27 EU-Mitgliedstaaten — kein nationales Umsetzungsgesetz nötig.

Was regelt der EU AI Act konkret?

Der Kern des AI Acts ist ein risikobasierter Ansatz: Je höher das Schadenspotenzial eines KI-Systems für Grundrechte, Gesundheit und Sicherheit, desto strenger die Pflichten.

Vier Risikoklassen:

1. Verbotene Praktiken (Art. 5): Manche KI-Anwendungen sind komplett verboten — z.B. Social Scoring durch Behörden, manipulative Subliminal-Techniken, biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen (mit eng begrenzten Ausnahmen).

2. Hochrisiko-KI (Art. 6 + Annex III): Acht Kategorien — Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Migration, Justiz/Demokratie. Plus Annex I: Sicherheitskomponenten in regulierten Produkten (Spielzeug, Medizinprodukte, etc.).

3. Begrenztes Risiko (Art. 50): Transparenzpflichten — Chatbot muss als KI erkennbar sein, Deepfakes müssen gekennzeichnet werden.

4. Minimales Risiko: Spam-Filter, Empfehlungssysteme, KI-Spielcomputer. Keine spezifischen Pflichten — freiwillige Codes of Conduct empfohlen.

Wer ist betroffen?

Der EU AI Act unterscheidet drei Hauptrollen:

  • Provider: Wer ein KI-System entwickelt oder unter seinem Namen vertreibt. Hauptverantwortliche Rolle.
  • Deployer: Wer ein KI-System in einer beruflichen Tätigkeit einsetzt. Auch hier strenge Pflichten bei Hochrisiko-Systemen.
  • Importer / Distributor: Wer KI-Systeme aus Drittländern importiert oder weiterverkauft.

Wichtig: Auch nicht-EU-Unternehmen sind betroffen, wenn ihre KI-Systeme im EU-Markt eingesetzt werden oder die Outputs in der EU genutzt werden (Marktortprinzip, Art. 2 EU AI Act).

Die wichtigsten Deadlines

  • 2. Februar 2025: Verbotene Praktiken (Art. 5) und KI-Literacy-Pflicht (Art. 4) sind aktiv.
  • 2. August 2025: GPAI-Pflichten für neue Foundation Models (ChatGPT, Copilot, Claude, Gemini).
  • 2. August 2026: Hauptdeadline — alle Hochrisiko-Systeme nach Annex III müssen compliant sein.
  • 2. August 2027: Annex-I-Systeme (Sicherheitskomponenten in regulierten Produkten).
  • 31. Dezember 2030: Übergangsfristen für vor August 2025 in Verkehr gebrachte Systeme laufen aus.

Welche Pflichten habe ich?

Hängt von Risikoklasse und Rolle ab:

Als Deployer eines Hochrisiko-Systems (häufigster Fall für KMU):

  • Nutzung gemäss Bedienungsanleitung (Art. 26 Abs. 1)
  • Menschliche Aufsicht sicherstellen (Art. 26 Abs. 2)
  • Eingangsdaten kontrollieren (Art. 26 Abs. 4)
  • Logging-Daten 6 Monate aufbewahren (Art. 26 Abs. 6)
  • Vorfälle der Marktaufsicht melden (Art. 26 Abs. 5)
  • Betroffene Personen informieren (Art. 26 Abs. 11)
  • Gegebenenfalls FRIA durchführen (Art. 27)

Als Provider eines Hochrisiko-Systems:

  • Risikomanagementsystem (Art. 9)
  • Data Governance (Art. 10)
  • Technische Dokumentation (Art. 11 + Annex IV)
  • Logging-System (Art. 12)
  • Transparenz und Bedienungsanleitung (Art. 13)
  • Menschliche Aufsicht ermöglichen (Art. 14)
  • Genauigkeit, Robustheit, Cybersicherheit (Art. 15)
  • Konformitätsbewertung + CE-Kennzeichnung (Art. 43, 47, 48)
  • Registrierung in EU-Datenbank (Art. 49, 71)

Bussgelder

Drei Stufen:

  • Bis 35 Mio. EUR oder 7% Jahresumsatz — Verbotene Praktiken (Art. 5)
  • Bis 15 Mio. EUR oder 3% — Verstösse gegen Hochrisiko-Pflichten
  • Bis 7,5 Mio. EUR oder 1% — Falsche Informationen an Behörden

Für KMU gilt Proportionalität: der niedrigere Betrag wird angewendet (Art. 99 Abs. 6).

Was ist GPAI?

General Purpose AI Models — Foundation Models wie ChatGPT, Claude, Gemini, Copilot. Eigene Pflichten in Art. 51-55:

  • Technische Dokumentation
  • Copyright-Compliance (Art. 53)
  • Trainingsdaten-Zusammenfassung
  • Bei systemischem Risiko (>10²⁵ FLOP Trainingsrechenleistung): zusätzliche Stress-Tests, Cybersicherheit, Vorfallmeldung

Code of Practice für GPAI ist seit Mai 2025 freiwilliger Compliance-Pfad.

Was ist mit der Schweiz?

Die Schweiz ist nicht EU-Mitglied — der AI Act gilt nicht direkt. Aber: Wer EU-Kunden hat oder im EU-Markt KI-Systeme bereitstellt, fällt unter das Marktortprinzip. Zudem hat der Bundesrat im Februar 2025 die Schaffung eines schweizerischen KI-Gesetzes beschlossen — Inkrafttreten frühestens 2027.

Was du jetzt tun solltest

Drei sofortige Schritte:

1. KI-Inventar erstellen — alle eingesetzten KI-Systeme erfassen, inkl. SaaS-Tools mit eingebetteter KI. 2. Klassifikation — jedes System einer Risikoklasse zuordnen. Mit ai-risk-check.com in 5 Minuten kostenlos. 3. KI-Literacy umsetzen — Pflichtschulung nach Art. 4 für alle Mitarbeitenden mit KI-Berührung. Gilt seit Februar 2025.

Häufig gestellte Fragen

Ab wann gilt der EU AI Act?+

Der EU AI Act ist seit dem 1. August 2024 in Kraft. Verbotene Praktiken (Art. 5) und KI-Literacy (Art. 4) sind seit dem 2. Februar 2025 anwendbar. GPAI-Pflichten gelten seit 2. August 2025 für neue Modelle. Hauptdeadline für Hochrisiko-KI ist der 2. August 2026.

Welche KI-Systeme sind verboten?+

Art. 5 listet acht Verbote: subliminale/manipulative Techniken, Ausnutzung von Vulnerabilitäten, Social Scoring durch Behörden, predictive policing auf reiner Profiling-Basis, untargeted face-scraping, Emotionserkennung am Arbeitsplatz/in Schulen, biometrische Kategorisierung sensibler Merkmale, biometrische Echtzeit-Fernidentifikation in öffentlichem Raum (eng begrenzte LE-Ausnahmen).

Bin ich Provider oder Deployer?+

Provider entwickeln ein KI-System oder vertreiben es unter eigenem Namen. Deployer setzen ein KI-System in der eigenen beruflichen Tätigkeit ein (z.B. ein Unternehmen das ATS-Software einkauft und nutzt). Die meisten KMU sind Deployer. Achtung: Wer ein gekauftes System wesentlich verändert oder unter eigener Marke neu vertreibt, wird zum Provider.

Was kostet ein Verstoss gegen den EU AI Act?+

Drei Stufen: bis 35 Mio. EUR (oder 7% Jahresumsatz) für verbotene Praktiken; bis 15 Mio. EUR (3%) für Verstösse gegen Hochrisiko-Compliance; bis 7,5 Mio. EUR (1%) für falsche Informationen an Behörden. Für KMU gilt der niedrigere Betrag.

Gilt der EU AI Act auch in der Schweiz?+

Nicht direkt — die Schweiz ist nicht EU-Mitglied. Aber: Schweizer Unternehmen mit EU-Kunden oder KI-Outputs im EU-Markt fallen unter das Marktortprinzip (Art. 2 EU AI Act). Zudem plant die Schweiz ein eigenes KI-Gesetz (frühestens 2027 in Kraft).

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH — EU AI Act Compliance

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
EU AI Act einfach erklärt — Was ist die KI-Verordnung? | ai-risk-check.com