EU AI Act Zusammenfassung — die wichtigsten 15 Punkte auf einen Blick
Der EU AI Act in 15 Punkten: 4 Risikoklassen, 8 verbotene Praktiken (Art. 5), 8 Hochrisiko-Kategorien (Annex III), GPAI-Pflichten ab August 2025, Hochrisiko-Deadline 2. August 2026, Bussgelder bis 35 Mio. EUR. KMU sind meist Deployer mit 10 Pflichten nach Art. 26.
Der EU AI Act umfasst 113 Artikel und 13 Anhänge. Hier die 15 Kernpunkte, die jeder Unternehmer kennen sollte.
1. Geltungsbereich
Verordnung (EU) 2024/1689 regelt KI-Systeme im EU-Markt — unabhängig vom Sitz des Anbieters (Marktortprinzip, Art. 2). Auch Schweizer und US-Anbieter sind betroffen, wenn ihre Systeme in der EU genutzt werden.
2. Vier Risikoklassen
- Verboten (Art. 5): manipulativ, ausbeuterisch, social scoring, etc.
- Hochrisiko (Art. 6, Annex III): 8 Kategorien strengster Pflichten
- Begrenzt (Art. 50): Transparenzpflichten
- Minimal: keine spezifischen Pflichten
3. Acht verbotene Praktiken (Art. 5)
(a) Subliminale/manipulative Techniken | (b) Ausnutzung von Vulnerabilitäten | (c) Social Scoring durch Behörden | (d) Predictive Policing auf reiner Profiling-Basis | (e) Untargeted Face-Scraping | (f) Emotionserkennung am Arbeitsplatz/in Schulen | (g) Biometrische Kategorisierung sensibler Merkmale | (h) Biometrische Echtzeit-Fernidentifikation öffentlich.
4. Acht Hochrisiko-Kategorien (Annex III)
1. Biometrie | 2. Kritische Infrastruktur | 3. Bildung | 4. Beschäftigung/HR | 5. Wesentliche Dienste (Banking, Versicherung, Notdienste) | 6. Strafverfolgung | 7. Migration/Grenze | 8. Justiz/Demokratie
5. Annex I: Sicherheitskomponenten
Zusätzlich zu Annex III: KI als Sicherheitskomponente in regulierten Produkten (Spielzeug, Medizinprodukte, Maschinen, Aufzüge, Druckgeräte) — 12 Sektor-Richtlinien.
6. GPAI Modelle
General Purpose AI (Art. 51-55): ChatGPT, Claude, Gemini, Copilot. Pflichten: technische Dokumentation, Copyright-Policy, Trainingsdaten-Zusammenfassung. Bei systemischem Risiko (>10²⁵ FLOP): zusätzliche Stress-Tests.
7. Drei Hauptrollen
- Provider (Hersteller): höchste Pflichten
- Deployer (Nutzer in beruflicher Tätigkeit): Art. 26 Pflichten
- Importer/Distributor: Sorgfaltspflichten
8. KI-Literacy seit Februar 2025
Art. 4 verlangt "ausreichende KI-Kompetenz" für alle Mitarbeitenden mit KI-Berührung. Schulung dokumentieren.
9. Hauptdeadline 2. August 2026
Hochrisiko-Systeme nach Annex III müssen compliant sein. Volle Bussgelder ab dann.
10. Bussgelder
Bis 35 Mio. EUR oder 7% Jahresumsatz für verbotene Praktiken. Bis 15 Mio. EUR / 3% für Hochrisiko-Verstösse. Bis 7,5 Mio. EUR / 1% für Falschinformation.
11. Zehn Deployer-Pflichten (Art. 26)
Bedienungsanleitung folgen | menschliche Aufsicht | Eingangsdaten prüfen | Logging | Monitoring | Vorfallmeldung | Information Betroffener | Datenschutz | Transparenz Arbeitnehmer | Registrierung (öffentliche Stellen).
12. Provider-Pflichten
Risikomanagement (Art. 9), Data Governance (Art. 10), Technische Doku (Art. 11), Logging (Art. 12), Transparenz (Art. 13), Aufsicht (Art. 14), Genauigkeit (Art. 15), Konformitätsbewertung (Art. 43), CE-Kennzeichnung (Art. 48), EU-Datenbank-Registrierung (Art. 49).
13. FRIA — Grundrechte-Folgenabschätzung
Art. 27: Bestimmte Deployer (öffentliche Stellen, private Provider von Diensten allgemeinen Interesses) müssen vor Einsatz eines Hochrisiko-Systems eine FRIA durchführen.
14. Marktaufsicht
Jeder EU-Mitgliedstaat benennt nationale Behörden. Deutschland: Bundesnetzagentur (KI-MIG). Österreich: voraussichtlich RTR. Frankreich: ANSSI. EU-Ebene: AI Office bei der Kommission.
15. Übergangsfristen für Bestandssysteme
Vor 2. August 2025 in Verkehr gebrachte Hochrisiko-Systeme müssen bis 31. Dezember 2030 nachgerüstet werden — nur bei wesentlicher Änderung sofort.
Häufig gestellte Fragen
Was ist der wichtigste Punkt des EU AI Act?+
Die Klassifikation deiner KI-Systeme in eine der vier Risikoklassen. Davon hängen alle weiteren Pflichten ab. Hochrisiko-Systeme nach Annex III erfordern den grössten Aufwand — ATS-Software, Kreditscoring, biometrische Identifikation, Bildungs-KI sind typische Fälle für KMU.
Welche Frist ist die wichtigste?+
Der 2. August 2026 — ab diesem Datum müssen alle Hochrisiko-Systeme nach Annex III die volle Compliance-Pflicht erfüllen. Davor sind Verbote (Februar 2025) und KI-Literacy (Februar 2025) bereits aktiv.
Was ist ein GPAI-Modell?+
General Purpose AI — Foundation Models wie ChatGPT, Claude, Gemini, Microsoft Copilot. Diese fallen unter Art. 51-55 mit eigenen Pflichten (technische Dokumentation, Copyright-Policy). Systemisches Risiko (>10²⁵ FLOP Training) löst zusätzliche Pflichten aus.
Bin ich als KMU besonders betroffen?+
Die Pflichten sind grundsätzlich gleich, aber Bussgelder werden proportional angewendet (niedrigerer der beiden Beträge). Zudem unterstützt Art. 62 KMU mit reduzierten Gebühren bei der Konformitätsbewertung. Die meisten KMU sind Deployer mit überschaubaren Pflichten nach Art. 26.
Direkt prüfen — kostenlos
Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.
Kostenloser EU AI Act Check →Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.
Zuletzt aktualisiert: Mai 2026