EU AI Act: Was das weltweit erste KI-Gesetz für Ihr Unternehmen bedeutet

Am 2. Februar 2025 trat das weltweit erste umfassende KI-Gesetz in Kraft: der EU AI Act. Nicht als Entwurf, nicht als Richtlinie — als verbindliche Verordnung, die in allen 27 EU-Mitgliedstaaten unmittelbar gilt. Wenn Ihr Unternehmen KI einsetzt, entwickelt oder vertreibt, betrifft Sie dieses Gesetz. Die Frage ist nicht ob, sondern wie stark.

Dieser Artikel erklärt die wesentlichen Regelungen, ordnet sie praktisch ein und zeigt konkret, was Sie jetzt tun müssen — besonders wenn Sie Textanalyse oder andere KI-gesteuerte Datenverarbeitung nutzen.

Das Herzstück des EU AI Act ist ein risikobasierter Ansatz. Nicht jede KI wird gleich reguliert — die Strenge der Regeln richtet sich nach dem Schadenspotenzial:

Stufe 1: Unakzeptables Risiko (verboten)

Bestimmte KI-Anwendungen sind in der EU schlicht verboten. Dazu gehören:

• Social Scoring: Bewertungssysteme, die Menschen auf Basis ihres Sozialverhaltens klassifizieren (wie Chinas Social Credit System)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: KI, die Emotionen von Mitarbeitern oder Schülern erkennt und darauf basierend Entscheidungen trifft
• Biometrische Massenüberwachung: Echtzeit-Gesichtserkennung im öffentlichen Raum durch Strafverfolgungsbehörden (mit eng definierten Ausnahmen für schwere Straftaten)
• Manipulation vulnerabler Gruppen: KI-Systeme, die gezielt Kinder, ältere Menschen oder Menschen mit Behinderungen manipulieren

Diese Verbote gelten seit dem 2. Februar 2025. Es gibt keine Übergangsfristen.

Stufe 2: Hochrisiko (strenge Regulierung)

KI-Systeme, die in sensiblen Bereichen eingesetzt werden, unterliegen umfangreichen Pflichten. Dazu gehören Systeme in den Bereichen:

• Personalauswahl und Bewerbermanagement
• Kreditwürdigkeit und Versicherungsentscheidungen
• Justiz und Strafverfolgung
• Migration und Grenzkontrolle
• Kritische Infrastruktur (Energie, Wasser, Verkehr)
• Bildung (Zugang und Bewertung)

Für diese Systeme gelten strenge Anforderungen an Risikobewertung, Dokumentation, Transparenz, menschliche Aufsicht und technische Robustheit.

Stufe 3: Begrenztes Risiko (Transparenzpflichten)

KI-Systeme, die direkt mit Menschen interagieren, müssen transparent machen, dass sie KI sind. Das betrifft:

• Chatbots: Nutzer müssen wissen, dass sie mit einer KI sprechen
• Deepfakes: KI-generierte Bilder, Videos und Audio müssen als solche gekennzeichnet werden
• KI-generierte Texte: Wenn Texte von KI erzeugt werden und zu Themen von öffentlichem Interesse veröffentlicht werden, muss dies kenntlich gemacht werden

Stufe 4: Minimales Risiko (keine besonderen Pflichten)

Die große Mehrheit der KI-Anwendungen — Spam-Filter, KI in Videospielen, KI-gestützte Empfehlungssysteme für Musik — ist minimal reguliert. Es gelten die allgemeinen Gesetze (DSGVO, Verbraucherschutz), aber keine spezifischen AI-Act-Pflichten.

Die erste Welle des EU AI Act ist bereits in Kraft. Unternehmen, die folgende Praktiken einsetzen, handeln seit dem 2. Februar 2025 rechtswidrig:

1. Social Scoring jeder Art — auch wenn es intern als "Mitarbeiter-Engagement-Score" oder "Kunden-Loyalitätsindex" bezeichnet wird, sofern es Verhaltensbewertungen aggregiert und darauf Entscheidungen stützt
2. Emotionserkennung am Arbeitsplatz — KI-Systeme, die Mimik, Stimme oder Körpersprache von Mitarbeitern analysieren, um Emotionen zu erkennen (Ausnahme: Sicherheitsrelevante Anwendungen wie Müdigkeitserkennung bei Piloten)
3. Predictive Policing auf individüller Ebene — KI, die vorhersagt, ob eine bestimmte Person eine Straftat begehen wird
4. Ungezielte Sammlung von Gesichtsbildern aus dem Internet oder Überwachungskameras zum Aufbau von Gesichtserkennungsdatenbanken

Verstoß: Bussgelder bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Wenn Ihr KI-System in die Hochrisiko-Kategorie fällt, müssen Sie umfangreiche Anforderungen erfüllen:

1. Risikomanagementsystem: Ein dokumentiertes, fortlaufendes Verfahren zur Identifikation, Analyse und Minderung von Risiken
2. Daten-Governance: Hohe Anforderungen an Trainingsdaten — Relevanz, Repräsentativität, Fehlerfreiheit, Vollständigkeit
3. Technische Dokumentation: Detaillierte Beschreibung des Systems, seiner Funktionsweise, Grenzen und vorgesehenen Verwendung
4. Protokollierung: Automatische Aufzeichnung von Eingaben, Ausgaben und relevanten Entscheidungsparametern
5. Transparenz gegenüber Nutzern: Klare, verständliche Informationen über Fähigkeiten und Grenzen des Systems
6. Menschliche Aufsicht: Design, das menschliche Kontrolle und Eingriff ermöglicht — einschließlich der Möglichkeit, das System zu stoppen
7. Genauigkeit und Robustheit: Nachweis, dass das System zuverlässig funktioniert und gegen Manipulation geschützt ist

Diese Anforderungen gelten ab August 2026. Aber: Die Vorbereitung dauert Monate. Unternehmen, die jetzt nicht anfangen, werden die Frist verpassen.

Der EU AI Act wird gestaffelt eingeführt:

• Februar 2025: Verbotene Praktiken in Kraft (bereits aktiv!)
• August 2025: Regeln für General Purpose AI (GPAI) — betrifft Anbieter von Basismodellen wie GPT, Claude, Llama. Transparenzpflichten, Urheberrechtsbeachtung, technische Dokumentation
• August 2026: Hauptteil des Gesetzes — Hochrisiko-KI-Pflichten, Marktaufsicht, Konformitätsbewertungen
• August 2027: Erweiterte Regeln für KI-Systeme, die in andere Produkte eingebettet sind (medizinische Geräte, Fahrzeuge, Spielzeug)

Wichtig: Die Fristen gelten für das Inverkehrbringen UND die Nutzung. Auch wenn Sie KI nicht entwickeln, sondern nur einsetzen, sind Sie als "Deployer" verpflichtet.

Hier wird es für viele Unternehmen praktisch relevant. Die Einstufung Ihres Textanalyse-Systems hängt vom Einsatzzweck ab:

Minimales Risiko (kaum Pflichten):

• Textanalyse für Marktforschung und Trendanalyse
• Sentimentanalyse von öffentlichen Produktbewertungen
• Automatische Zusammenfassung von Dokumenten
• Themenextraktion aus Kundenfeedback (anonymisiert)

Begrenztes Risiko (Transparenzpflicht):

• KI-Chatbots im Kundenkontakt — müssen als KI kenntlich gemacht werden
• KI-generierte Texte für Marketingzwecke — Kennzeichnungspflicht bei öffentlicher Verbreitung

Hochrisiko (volle Regulierung):

• Textanalyse für automatisierte Personalauswahl — z.B. Bewertung von Motivationsschreiben oder Lebenslauf-Screening
• KI-gestützte Kreditwürdigkeitsprüfung auf Basis von Textdaten
• Textanalyse in der Strafjustiz — z.B. automatisierte Bewertung von Zeugenaussagen
• KI-Analyse von Texten für Versicherungsentscheidungen

Faustregel: Wenn Ihre Textanalyse automatisierte Entscheidungen trifft, die Menschen wesentlich betreffen (Job, Kredit, Versicherung, Rechtsprechung), ist sie wahrscheinlich hochriskant im Sinne des AI Act.

1. Bestandsaufnahme: Welche KI-Systeme setzen Sie ein? Erstellen Sie ein vollständiges Inventar — auch zugekaufte Tools und eingebettete KI in Standardsoftware zählen
2. Risiko-Klassifizierung: Ordnen Sie jedes System einer Risikostufe zu. Im Zweifel: lieber konservativ einstufen. Die Beweislast liegt bei Ihnen
3. Dokumentation aufbauen: Beginnen Sie jetzt mit der technischen Dokumentation. Beschreiben Sie Zweck, Funktionsweise, Trainingsdaten, bekannte Grenzen und vorgesehene Nutzung jedes Systems
4. Human-in-the-Loop sicherstellen: Für Hochrisiko-Systeme müssen Sie nachweisen, dass Menschen die Entscheidungen überwachen und eingreifen können. Implementieren Sie entsprechende Prozesse
5. Monitoring etablieren: Kontinuierliche Überwachung der Systemleistung, Erkennung von Drift und Bias, regelmäßige Risiko-Neubewertungen

Für europäische Unternehmen kommt der AI Act nicht aus dem Nichts — er trifft auf eine bereits bestehende DSGVO-Infrastruktur. Die beiden Gesetze ergänzen sich, überlappen sich aber auch teilweise. Unternehmen müssen beide erfüllen:

• DSGVO: Regelt den Schutz personenbezogener Daten — Rechtsgrundlage, Einwilligung, Auskunftsrecht, Löschrecht, Datenminimierung
• AI Act: Regelt den sicheren und vertrauenswürdigen Einsatz von KI — Risikobewertung, Transparenz, menschliche Aufsicht, technische Robustheit

Die Schnittmenge ist gross: Wenn ein KI-System personenbezogene Daten verarbeitet (und das tun fast alle), gelten beide Regelwerke gleichzeitig. Artikel 22 DSGVO (automatisierte Einzelfallentscheidungen) und die Hochrisiko-Anforderungen des AI Act stellen ähnliche, aber nicht identische Anforderungen.

Die gute Nachricht: Unternehmen, die bereits solide DSGVO-Prozesse haben, bringen eine gute Grundlage mit. Datenminimierung, Zweckbindung und Transparenz sind Prinzipien, die in beiden Gesetzen zentral sind.

Die weniger gute Nachricht: Der AI Act geht in vielen Punkten über die DSGVO hinaus — insbesondere bei der technischen Dokumentation, der Risikobewertung und den Anforderungen an Trainingsdaten. DSGVO-Compliance allein reicht nicht.

Der EU AI Act wird oft als Bürokratiemonster kritisiert. Und ja, die Compliance-Anforderungen sind erheblich. Aber die Alternative — ein unregulierer KI-Markt, in dem Vertrauen erodiert und einzelne Skandale ganze Branchen beschädigen — wäre für europäische Unternehmen schlimmer.

Die Unternehmen, die den AI Act früh ernst nehmen, werden feststellen: Compliance ist kein Kostenfaktor — es ist ein Vertrauenssiegel. In einer Welt, in der KI-Vertrauen knapp wird, ist nachweisbare Regelkonformität ein Wettbewerbsvorteil. Kunden, Partner und Investoren werden zunehmend nach AI-Act-Compliance fragen — so wie sie heute nach ISO-Zertifizierungen und DSGVO-Konformität fragen.

Warten Sie nicht auf August 2026. Die Vorbereitung dauert länger als man denkt. Und die Unternehmen, die als Erste compliant sind, werden als Erste das Vertrauen ihrer Kunden gewinnen.

Sie nutzen KI-Textanalyse und möchten wissen, wie der AI Act Sie betrifft? Sprechen Sie mit unserem Team — wir helfen Ihnen bei der Einordnung.