Der nächste Stichtag zur Umsetzung konkreter Compliance-Maßnahmen der EU-KI-Verordnung naht: Am 2. August 2026 wird der sogenannte EU AI Act in seinen zentralen Teilen verbindlich gültig. Anbieter, Betreiber und Nutzer von KI-Systemen müssen dann neue Vorschriften umsetzen. Unternehmen sollten daher jetzt prüfen, in welcher Rolle sie von der Verordnung betroffen sind.
Insbesondere gelten ab dem Stichtag umfangreiche Pflichten für Unternehmen, die sogenannte Hochrisiko-KI-Systeme entwickeln, vertreiben oder einsetzen. Betroffen sind aber ausdrücklich auch Unternehmen, die KI-Anwendungen im eigenen Betrieb nutzen. Für viele Organisationen entsteht damit erstmals eine unmittelbare Verpflichtung zur strukturierten KI-Compliance.
Unterschiedliche Auflagen für Anbieter und Betreiber
Die Verordnung unterscheidet zwischen verschiedenen Rollen im Umgang mit Künstlicher Intelligenz. Anbieter ("Provider") sind Unternehmen, die KI-Systeme entwickeln oder unter eigenem Namen in Verkehr bringen. Für sie gelten besonders umfangreiche Anforderungen, etwa im Hinblick auf Risikomanagementsysteme, Trainingsdatenqualität, technische Dokumentation, Transparenz, Konformitätsbewertung und laufende Marktüberwachung. Diese Pflichten betreffen insbesondere Softwareunternehmen, Plattformanbieter sowie Hersteller digital integrierter Produkte mit KI-Komponenten.
Daneben umfasst die Verordnung ausdrücklich auch Betreiber ("Deployer"), früher zum Teil auch Nutzer genannt. Gemeint sind aber nicht Privatpersonen, sondern Unternehmen, die KI-Systeme im eigenen Geschäftsbetrieb einsetzen. Diese Gruppe umfasst den größten Teil der Wirtschaft. Bereits der Einsatz von KI zur Bewerberauswahl, zur Kreditwürdigkeitsprüfung, zur Betrugserkennung, zur Kundenbewertung, zur Preisgestaltung oder zur Analyse sicherheitsrelevanter Prozesse kann zu regulatorischen Anforderungen führen. Betreiber müssen insbesondere sicherstellen, dass eingesetzte Systeme entsprechend den Herstellerangaben genutzt werden, dass menschliche Aufsicht gewährleistet ist und dass Entscheidungsprozesse nachvollziehbar dokumentiert werden.
Auch Unternehmen außerhalb der Europäischen Union sind betroffen, wenn ihre KI-Systeme innerhalb der EU eingesetzt werden oder ihre Ergebnisse hier Wirkung entfalten. Internationale Softwareanbieter, Plattformbetreiber oder datengetriebene Dienstleister müssen daher ebenfalls die europäischen Anforderungen berücksichtigen, sobald ihre Systeme hier genutzt werden.
Von Personalmanagement bis Rechtsdurchsetzung
Welche konkreten Pflichten greifen, hängt vom Risikoniveau der jeweiligen Anwendung ab. Besonders relevant sind sogenannte Hochrisiko-KI-Systeme. Dazu zählen unter anderem Anwendungen im Personalmanagement, bei Bonitätsbewertungen, im Zugang zu Bildung, bei kritischen Infrastrukturentscheidungen, in sicherheitsrelevanten Steuerungssystemen oder bei bestimmten Formen automatisierter Rechtsdurchsetzung. Unternehmen, die solche Systeme einsetzen oder bereitstellen, müssen ein strukturiertes Dokumentations- und Kontrollsystem etablieren, Verantwortlichkeiten festlegen, Einsatzprotokolle führen und die menschliche Überwachung automatisierter Entscheidungen sicherstellen.
Neben Hochrisiko-Anwendungen enthält die Verordnung auch Transparenzpflichten für Systeme mit begrenztem Risiko. Dazu gehört insbesondere generative KI. Unternehmen müssen in diesen Fällen offenlegen, wenn Inhalte durch KI erzeugt wurden oder wenn Nutzer mit KI-Systemen interagieren, beispielsweise in Form von Chatbots. Gerade im Marketing, Kundenservice oder in internen Assistenzsystemen gewinnt diese Transparenzpflicht praktische Bedeutung.
Die EU AI Act (2024/1689) betrifft Unternehmen aller Branchen, sobald KI-Systeme eingesetzt, entwickelt oder bereitgestellt werden. Einzelne Teile der Verordnung sind bereits stufenweise wirksam geworden. Nach ihrem Inkrafttreten am 1. August 2024 gelten seit Februar 2025 erste Verbote besonders risikobehafteter Anwendungen sowie Vorgaben zur Förderung der KI-Kompetenz bei Mitarbeitern. Seit August 2025 greifen zudem spezifische Transparenz- und Governance-Pflichten für allgemeine KI-Modelle. Mögliche Bußgelder können bis zu 35 Millionen Euro oder sieben Prozent des Vorjahresumsatzes betragen.
