Artikelinhalt
Der EU AI Act ist die weltweit erste KI-Regulierung mit Sanktionen bis 35 Mio. €. Erfahren Sie Risikokategorien, Compliance-Fristen (2025–2027) und Anforderungen für Hochrisiko-KI.
Kurzantwort: The EU AI Act (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen zur Regulierung von Künstlicher Intelligenz nach Risikoniveaus. Er stuft KI-Systeme in vier Stufen ein — verboten, Hochrisiko, begrenztes Risiko und minimales Risiko — mit Sanktionen bis 35 Mio. € oder 7 % des weltweiten Umsatzes bei Nichteinhaltung.
Was ist der EU AI Act?
Der EU Artificial Intelligence Act ist ein risikobasierter Regulierungsrahmen, der am 1. August 2024 in Kraft trat und harmonisierte Regeln für KI-Entwicklung, -Einsatz und -Nutzung in allen 27 EU-Mitgliedstaaten schafft. Der Act gilt extraterritorial für jede Organisation, deren KI-Systeme EU-Bürger oder -Unternehmen betreffen — unabhängig vom Sitz des Anbieters.
Die Verordnung ordnet KI-Systeme vier Risikokategorien mit entsprechenden Pflichten zu. Unannehmbare KI-Praktiken (wie Social Scoring und Emotionserkennung am Arbeitsplatz) sind verboten. Hochrisiko-Systeme erfordern Konformitätsbewertungen, EU-Datenbankregistrierung und laufendes Monitoring. KI mit begrenztem Risiko muss Transparenzanforderungen erfüllen. Systeme mit minimalem Risiko haben keine spezifischen Pflichten.
Der Act umfasst Anbieter (Entwickler), Deployer (Nutzer), Importeure, Distributoren und autorisierte Vertreter. General-Purpose-AI-Modelle wie ChatGPT und GPT-4 haben separate Anforderungen unter dem GPAI-Rahmen, gültig seit 2. August 2025.
Warum der EU AI Act 2025 wichtig ist
Die Daten zeigen dringenden Compliance-Bedarf:
- Maximale Sanktionen von 35 Mio. € oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist — für verbotene KI-Praktiken
- Maximale Sanktionen von 15 Mio. € oder 3 % des globalen Umsatzes bei GPAI-Modellverstössen
- 2. August 2026 vollständige Compliance-Frist für die meisten Bestimmungen
- 2. August 2027 verlängerte Frist für Hochrisiko-KI in regulierten Produkten
- Über 150.000 monatliche Nutzer greifen auf EU-AI-Act-Ressourcen zu — ein Zeichen breiter Branchensorge
- Anstieg von 21,3 % bei KI-bezogenen Gesetzeserwähnungen in 75 Ländern seit 2023, mit dem EU AI Act als globaler Referenz
Derzeit durchgesetzte Bestimmungen (Stand September 2025):
- Verbotene KI-Praktiken (seit 2. Februar 2025)
- GPAI-Modellanforderungen (seit 2. August 2025)
- KI-Kompetenzpflichten für Deployer
Organisationen, die KI für Beschäftigungsentscheidungen, Kredit-Scoring, Strafverfolgung, kritische Infrastruktur oder Bildung nutzen, müssen sich bis August 2027 auf Hochrisiko-Klassifikation vorbereiten.
EU-AI-Act-Risikokategorien: vollständiger Vergleich
| Risikoniveau | Beispiele | Anforderungen | Sanktionen | Durchsetzung |
|---|---|---|---|---|
| Unannehmbares Risiko VERBOTEN | Social-Scoring-Systeme, Echtzeit-Biometrie in öffentlichen Räumen, Emotionserkennung am Arbeitsplatz/in Bildung, subliminale Manipulation | Vollständiges Verbot — darf in der EU nicht entwickelt, deployed oder genutzt werden | 35 Mio. € oder 7 % globaler Umsatz | Aktiv seit 2. Feb. 2025 |
| Hochrisiko HOCH | KI in kritischer Infrastruktur, Beschäftigung/HR, Kredit-Scoring, Strafverfolgung, Bildung, wesentliche Dienste | Risikomanagementsystem, technische Dokumentation, Transparenz, menschliche Aufsicht, Konformitätsbewertung, EU-Datenbankregistrierung | 35 Mio. € oder 7 % globaler Umsatz | 2. Aug. 2027 (2026 Behörden) |
| Begrenztes Risiko BEGRENZT | Chatbots, Deepfakes, Emotionserkennung (ausserhalb des Arbeitsplatzes), synthetische Content-Generatoren | Transparenzpflichten: Nutzer informieren, dass sie mit KI interagieren; KI-generierte Inhalte klar kennzeichnen | 15 Mio. € oder 3 % globaler Umsatz | 2. Aug. 2026 |
| Minimales Risiko MINIMAL | KI-gestützte Videospiele, Spam-Filter, Empfehlungsengines, Bestandsmanagement | Keine spezifischen Pflichten (freiwillige Verhaltenskodizes empfohlen) | N/A | Keine Anforderungen |
General-Purpose AI wie ChatGPT, Claude, GPT-4 und Gemini muss technische Dokumentation führen, Nutzungsanleitungen bereitstellen, die EU-Copyright-Richtlinie einhalten und Trainingsdaten-Zusammenfassungen veröffentlichen. Hochimpact-GPAI-Modelle mit systemischem Risiko müssen Modellbewertungen, adversariale Tests durchführen, schwerwiegende Vorfälle melden und Cybersicherheitsschutz gewährleisten.
Anforderungen an Hochrisiko-KI-Systeme
Organisationen, die Hochrisiko-KI einsetzen, müssen implementieren:
- Risikomanagementsystem - Kontinuierliche Identifikation, Analyse, Schätzung und Minderung von KI-Risiken über den Lebenszyklus
- Daten-Governance - Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ und fehlerfrei sein
- Technische Dokumentation - Umfassende Aufzeichnungen zu Systemdesign, Entwicklung, Trainingsmethodik und Leistungsmetriken
- Protokollierungsfähigkeiten - Automatische Ereignisprotokollierung für Nachverfolgbarkeit und Post-Market-Monitoring
- Transparenz - Gebrauchsanweisungen müssen klar, präzise und für Deployer zugänglich sein
- Menschliche Aufsicht - Massnahmen, damit Menschen KI-Betrieb verstehen, überwachen und eingreifen können
- Genauigkeitsstandards - Angemessene Genauigkeit, Robustheit und Cybersicherheit
- Konformitätsbewertung - Drittbewertung vor Markteinführung
- EU-Datenbankregistrierung - Mandatory registration before deployment (database operational by 2. Aug. 2026)
- Post-Market-Monitoring - Laufende Überwachung von KI-Leistung und -Risiken
FAQ
Wer ist vom EU AI Act betroffen?
Jede Organisation, deren KI-Systeme auf dem EU-Markt platziert werden oder deren Outputs in der EU genutzt werden — unabhängig vom Hauptsitz. Dazu gehören Anbieter (Entwickler), Deployer (professionelle KI-Nutzer), Importeure, Distributoren und Produkthersteller. Unternehmen in Nordamerika, Asien, UK und der Schweiz, die KI für EU-Bürger oder -Unternehmen einsetzen, müssen compliance-konform sein. KMU erhalten proportionale Sanktionsberücksichtigung.
Wann werden verschiedene EU-AI-Act-Bestimmungen durchsetzbar?
Prohibited AI practices: February 2, 2025 (already enforced). GPAI-Modellanforderungen: August 2, 2025 (already enforced). Transparenz obligations and AI literacy: August 2, 2026. High-risk AI systems: August 2, 2027 (36-month transition period). Public authorities using high-risk AI: August 2, 2026. Organizations should begin compliance preparation immediately as high-risk system conformity assessments require substantial lead time.
Welche Sanktionen drohen bei EU-AI-Act-Verstössen?
Verbotene KI-Praktiken: 35 Mio. € oder 7 % des globalen Jahresumsatzes (je nachdem, welcher höher). Nichteinhaltung Hochrisiko-Pflichten: 15 Mio. € oder 3 % globaler Umsatz. GPAI-Verstösse: 15 Mio. € oder 3 % globaler Umsatz. Falsche/irreführende Angaben: 7,5 Mio. € oder 1 % globaler Umsatz. KMU und Startups erhalten reduzierte Sanktionen. Nationale Aufsichtsbehörden setzen Endbussen nach Schwere, Unternehmensgrösse und Vorverstössen fest.
Wie wirkt sich der EU AI Act auf Drittparteien-KI-Anbieter aus?
Las organizaciones que utilizan sistemas de IA de terceros siguen siendo responsables del cumplimiento como implementadores. Si utiliza IA para decisiones de empleo, scoring crediticio u otros fines de alto riesgo, debe garantizar que el proveedor de IA suministre la documentación necesaria, que el sistema cumpla los requisitos de la UE y que implemente una supervisión humana adecuada. Los programas de TPRM deben incluir ahora verificación de cumplimiento de la Ley de IA para todos los proveedores de IA. Supplier Shield ayuda a evaluar el cumplimiento de la Ley de IA de los proveedores como parte de la gestión integral de riesgos de terceros.
Was gilt als Hochrisiko-KI-System?
Ein KI-System ist Hochrisiko, wenn es: (1) Sicherheitskomponente in Produkten nach EU-Sicherheitsrecht ist (Spielzeug, Luftfahrt, Autos, Medizinprodukte, Aufzüge) mit Drittkonformitätsbewertung, ODER (2) in 8 Annex-III-Bereiche fällt: kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Migration, Justiz oder biometrische Identifikation. Systeme mit vorbereitenden Aufgaben oder Mustererkennung ohne Ersatz menschlicher Entscheidungen können ausgenommen sein. Profiling von Personen ist immer Hochrisiko.
Fazit
Der EU AI Act ist die weltweit erste umfassende KI-Regulierung mit verbindlichen Anforderungen nach Risikoniveau. Mit bereits durchgesetzten Verboten, aktiven GPAI-Anforderungen seit August 2025 und nahenden Vollcompliance-Fristen (2026–2027) müssen Organisationen sofort KI-Systeme bewerten, Risikoniveaus klassifizieren und erforderliche Governance-Strukturen implementieren.
Nichteinhaltung birgt schwere finanzielle Sanktionen — bis 35 Mio. € oder 7 % des globalen Umsatzes. Die extraterritoriale Reichweite bedeutet: Unternehmen weltweit, deren KI EU-Bürger betrifft, müssen compliance-konform sein — de-facto globaler KI-Standard.
Supplier Shield hilft europäischen Organisationen, AI-Act-Compliance von KI-Anbietern durch automatisierte Assessments, kontinuierliches Monitoring und Dokumentenmanagement sicherzustellen — kritisch für Third-Party-KI-Risikopflichten unter AI Act und NIS2.
Zuletzt aktualisiert: 29. September 2025
🎯 Wie hoch ist Ihr KI-Risikoniveau?
Beantworten Sie 5 kurze Fragen zu Ihren EU-AI-Act-Compliance-Anforderungen
1 von 5
Trifft Ihr KI-System Entscheidungen über Personen?
<!-- Question 2 -->
<div class="quiz-card" data-question="2">
<h3>Nutzt Ihre KI biometrische Daten?</h3>
<div class="options">
<button class="option-btn" data-score="prohibited" data-next="3">
<span class="icon">🚫</span>
<div class="option-content">
<strong>Ja — Echtzeit-Gesichtserkennung in der Öffentlichkeit</strong>
<small>Öffentliche Überwachung, Massenidentifikation</small>
</div>
</button>
<button class="option-btn" data-score="prohibited" data-next="3">
<span class="icon">😢</span>
<div class="option-content">
<strong>Ja — Emotionserkennung bei Arbeit/Schule</strong>
<small>Arbeitsplatz-Monitoring, Schülerbewertung</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="3">
<span class="icon">🔝</span>
<div class="option-content">
<strong>Ja — aber für Sicherheit/Zutrittskontrolle</strong>
<small>Gebäudezutritt, Geräte-Entsperrung</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="3">
<span class="icon">✅</span>
<div class="option-content">
<strong>Keine biometrischen Daten</strong>
<small>Nur Text, Zahlen, Standarddaten</small>
</div>
</button>
</div>
</div>
<!-- Question 3 -->
<div class="quiz-card" data-question="3">
<h3>In welchem Sektor operiert Ihre KI?</h3>
<div class="options">
<button class="option-btn" data-score="high" data-next="4">
<span class="icon">⚡</span>
<div class="option-content">
<strong>Kritische Infrastruktur</strong>
<small>Energie, Transport, Wasser, Gesundheitswesen</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="4">
<span class="icon">👮</span>
<div class="option-content">
<strong>Strafverfolgung oder Justiz</strong>
<small>Polizei, Gerichte, Rechtssysteme</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="4">
<span class="icon">🝢</span>
<div class="option-content">
<strong>Geschäfts-/Commercial Services</strong>
<small>Marketing, Vertrieb, Operations</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="4">
<span class="icon">🎮</span>
<div class="option-content">
<strong>Consumer Entertainment</strong>
<small>Spiele, Content, Empfehlungen</small>
</div>
</button>
</div>
</div>
<!-- Question 4 -->
<div class="quiz-card" data-question="4">
<h3>Können Menschen KI-Entscheidungen übersteuern?</h3>
<div class="options">
<button class="option-btn" data-score="minimal" data-next="5">
<span class="icon">✋</span>
<div class="option-content">
<strong>Ja — volle menschliche Kontrolle jederzeit</strong>
<small>Mensch immer in the Schleife</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="5">
<span class="icon">👝</span>
<div class="option-content">
<strong>Ja — Mensch kann prüfen und übersteuern</strong>
<small>Mensch auf der Schleife</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="5">
<span class="icon">⚙</span>
<div class="option-content">
<strong>Begrenzt — nur in spezifischen Fällen</strong>
<small>Mensch ausserhalb der Schleife</small>
</div>
</button>
<button class="option-btn" data-score="prohibited" data-next="5">
<span class="icon">🤖</span>
<div class="option-content">
<strong>Nein — vollautomatisierte Entscheidungen</strong>
<small>Kein menschliches Eingreifen möglich</small>
</div>
</button>
</div>
</div>
<!-- Question 5 -->
<div class="quiz-card" data-question="5">
<h3>Wie wirkt Ihre KI auf Personen?</h3>
<div class="options">
<button class="option-btn" data-score="high" data-next="result">
<span class="icon">🎯</span>
<div class="option-content">
<strong>Bestimmt Zugang zu wesentlichen Diensten</strong>
<small>Leistungen, Gesundheit, Bildung, Wohnen</small>
</div>
</button>
<button class="option-btn" data-score="high" data-next="result">
<span class="icon">📊</span>
<div class="option-content">
<strong>Bewertet persönliche Merkmale</strong>
<small>Leistung, Verhalten, Prognosen</small>
</div>
</button>
<button class="option-btn" data-score="limited" data-next="result">
<span class="icon">💭</span>
<div class="option-content">
<strong>Beeinflusst Entscheidungen, entscheidet aber nicht</strong>
<small>Empfehlungen, Vorschläge</small>
</div>
</button>
<button class="option-btn" data-score="minimal" data-next="result">
<span class="icon">🔧</span>
<div class="option-content">
<strong>Minimaler individueller Impact</strong>
<small>Backend-Operationen, Automatisierung</small>
</div>
</button>
</div>
</div>
<!-- Results Screen -->
<div class="quiz-card result-card" data-question="result">
<div class="result-content" id="resultContent">
<!-- Results injected by JavaScript -->
</div>
</div>
Quellenlinks:
- EU Artificial Intelligence Act (Offizieller Text)
- https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Primärquelle für alle Bestimmungen
- EU-AI-Act-Zusammenfassung des Europäischen Parlaments
- https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence
- Risikokategorien, Durchsetzungszeitplan
- EU-AI-Act-Implementierungszeitplan
- https://artificialintelligenceact.eu/implementation-timeline/
- Detaillierte Durchsetzungstermine je Bestimmung
- EU-AI-Act-High-Level-Zusammenfassung
- https://artificialintelligenceact.eu/high-level-summary/
- Risikoklassifikationen, Pflichtenüberblick
- EU-AI-Act-Zeitplan (Goodwin Law)
- https://www.goodwinlaw.com/en/insights/publications/2024/10/insights-technology-aiml-eu-ai-act-implementation-timeline
- Compliance-Fristen, Sanktionshöhen
- EU-AI-Act-Analyse (Jones Day, Februar 2025)
- https://www.jonesday.com/en/insights/2025/02/eu-ai-act-first-rules-take-effect-on-prohibited-ai-systems
- Verbotene Praktiken, Durchsetzungsdetails
- GPAI-Compliance-Leitfaden (Greenberg Traurig, Juli 2025)
- Rechtsrahmen EU AI Act (White & Case)
- https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal
- Offizielle Veröffentlichungsdetails, 12. Juli 2024
- Artikel 99: Sanktionen (Offizieller Text)
- https://artificialintelligenceact.eu/article/99/
- Details zur Sanktionsstruktur
- EU-AI-Act-Status 2025 (BSR)
- https://www.bsr.org/en/blog/the-eu-ai-act-where-do-we-stand-in-2025
- Aktueller Durchsetzungsstatus
”
Möchten Sie dies auf Ihr Lieferanten-Ökosystem anwenden? Sehen Sie die Plattform in Aktion und kartieren Sie Ihre wichtigsten Lieferantenrisiken live in einem Walkthrough.