Sicherheit
← Zurück zur Übersicht
Practitioner Sicherheit 40 Min

EU AI Act: Was Unternehmen jetzt tun müssen

Der EU AI Act betrifft JEDES Unternehmen, das KI nutzt. Stichtag 2. August 2026: Lerne Risikoklassifizierung, Schulungspflicht, KI-Inventar und Compliance -- bevor die Bussgelder drohen.

Visual Summary

Klicken zum Vergrößern

EU AI Act: Was Unternehmen jetzt tun müssen - Sketchnote

EU AI Act: Was Unternehmen jetzt tun müssen

Am 2. August 2026 treten die vollständigen Pflichten für Hochrisiko-KI-Systeme in Kraft. Bussgelder bis zu 35 Millionen Euro drohen bei Verstössen. Dieser Kurs erklärt dir klar und praxisnah, was der EU AI Act für dein Unternehmen bedeutet und wie du dich vorbereiten kannst.

Lektion 1: Der EU AI Act im Überblick

Was ist der EU AI Act?

Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, anbieten oder einsetzen -- unabhängig davon, ob das Unternehmen seinen Sitz in der EU hat.

Die wichtigsten Fristen

DatumWas passiert
August 2024KI-Verordnung in Kraft getreten
Februar 2025Verbotene KI-Praktiken gelten, Schulungspflicht aktiv
August 2025Pflichten für GPAI-Modelle (z.B. ChatGPT, Claude) verbindlich
2. August 2026Vollständige Pflichten für Hochrisiko-KI -- DER zentrale Stichtag
August 2027Restliche Vorschriften vollständig anwendbar

Wen betrifft es?

Kurze Antwort: Jedes Unternehmen, das KI nutzt.

  • Nutzt du ChatGPT für E-Mails? → Betroffen
  • Nutzt du KI-gestützte Bewerberauswahl? → Hochrisiko!
  • Nutzt du KI für Kreditentscheidungen? → Hochrisiko!
  • Nutzt du KI-generierte Bilder oder Videos? → Kennzeichnungspflicht

Selbst wenn du nur "einfache" KI-Tools wie ChatGPT oder Claude nutzt, musst du die Schulungspflicht (AI Literacy) erfüllen. Diese gilt bereits seit Februar 2025.

Lektion 2: Das Risikostufen-Modell verstehen

Die vier Risikostufen

Der EU AI Act klassifiziert KI-Systeme in vier Stufen:

Stufe 1: Inakzeptables Risiko (VERBOTEN) Diese KI-Systeme sind komplett verboten:

  • Social Scoring (Bewertung von Menschen nach ihrem Verhalten)
  • Biometrische Echtzeit-Überwachung im öffentlichen Raum
  • Manipulation von verwundbaren Gruppen (Kinder, ältere Menschen)
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen

Stufe 2: Hohes Risiko Strenge Auflagen und Dokumentationspflichten für:

  • KI in HR und Recruiting (Bewerberauswahl, Leistungsbewertung)
  • KI in Kreditvergabe und Versicherungswesen
  • KI in Bildung (Prüfungsbewertung, Zugangssteuerung)
  • KI in kritischer Infrastruktur (Energie, Wasser, Verkehr)
  • KI in Strafverfolgung und Justiz

Stufe 3: Begrenztes Risiko (Transparenzpflichten)

  • KI-Chatbots müssen sich als KI zu erkennen geben
  • KI-generierte Inhalte müssen gekennzeichnet werden (Deepfakes, synthetische Medien)
  • Emotionserkennungssysteme müssen Nutzer informieren

Stufe 4: Minimales Risiko

  • Keine besonderen Auflagen (z.B. Spam-Filter, Spiele-KI)
  • Die meisten Alltagsanwendungen fallen hierunter

Wie klassifiziere ich meine KI-Systeme?

Stelle dir drei Fragen:

  1. Was tut das System? (Recruiting, Texterstellung, Datenanalyse...)
  2. Auf wen wirkt es? (Mitarbeiter, Kunden, Bewerber, Öffentlichkeit)
  3. Welche Konsequenzen hat eine Fehlentscheidung? (Unannehmlichkeit vs. Diskriminierung vs. Gefahr)

Lektion 3: Die Schulungspflicht (AI Literacy)

Was Artikel 4 verlangt

Artikel 4 der KI-Verordnung verpflichtet jedes Unternehmen, das KI einsetzt, seine Mitarbeiter angemessen zu schulen. Diese Pflicht gilt bereits seit Februar 2025 -- sie ist NICHT erst ab August 2026 relevant.

Was "angemessene Schulung" bedeutet

Die Schulung muss sicherstellen, dass Mitarbeiter:

  • Die Grundlagen der KI verstehen (Was kann sie? Was nicht?)
  • Risiken erkennen können (Halluzinationen, Bias, Datenschutz)
  • Verantwortungsvoll mit KI umgehen (Prüfpflicht, Kennzeichnung)
  • Die Grenzen des KI-Systems kennen, das sie nutzen

Wie du die Schulungspflicht umsetzt

Schritt 1: KI-Inventar erstellen Welche KI-Systeme werden in deinem Unternehmen genutzt? (Auch privat installierte Tools auf Firmen-Laptops!)

Schritt 2: Schulungsbedarf ermitteln

  • Wer nutzt welche KI-Systeme?
  • Welches Vorwissen ist vorhanden?
  • Welche Risiken sind rollenspezifisch?

Schritt 3: Schulungen durchführen

  • Basis-Schulung für alle Mitarbeiter
  • Vertiefung für intensive KI-Nutzer
  • Spezialisierung für Hochrisiko-Systeme

Schritt 4: Dokumentieren

  • Teilnehmerlisten führen
  • Schulungsinhalte dokumentieren
  • Regelmässige Auffrischung planen (mind. jährlich)

Praxis-Tipp

Unsere KI-Akademie-Kurse können als Basis für die AI-Literacy-Schulung dienen. Die Teilnahme lässt sich dokumentieren und als Nachweis verwenden.

Lektion 4: Pflichten für Hochrisiko-KI-Systeme

Was ab August 2026 gilt

Wenn du Hochrisiko-KI einsetzt, musst du diese Anforderungen erfüllen:

1. Risikomanagement-System

  • Kontinuierliche Identifikation und Bewertung von Risiken
  • Massnahmen zur Risikominderung dokumentieren
  • Regelmässige Überprüfung und Aktualisierung

2. Daten-Governance

  • Trainingsdaten müssen repräsentativ und fehlerfrei sein
  • Bias-Prüfung der Datensätze
  • Dokumentation der Datenherkunft und -qualität

3. Technische Dokumentation

  • Vollständige Beschreibung des KI-Systems
  • Leistungskennzahlen und Genauigkeitsmetriken
  • Bekannte Einschränkungen und Risiken

4. Protokollierung (Logging)

  • Automatische Aufzeichnung aller KI-Entscheidungen
  • Rückverfolgbarkeit jeder einzelnen Entscheidung
  • Aufbewahrung für mindestens 6 Monate

5. Transparenz und Informationspflicht

  • Nutzer müssen wissen, dass sie mit KI interagieren
  • Klare Erklärungen, wie das System funktioniert
  • Kontaktperson für Rückfragen benennen

6. Menschliche Aufsicht (Human-in-the-Loop)

  • Ein Mensch muss KI-Entscheidungen überwachen und eingreifen können
  • "Stopp-Knopf" für kritische Situationen
  • Qualifiziertes Personal für die Aufsicht

7. Genauigkeit, Robustheit, Cybersicherheit

  • Das System muss zuverlässig funktionieren
  • Schutz gegen Manipulation und Angriffe
  • Regelmässige Tests und Updates

Lektion 5: Die Gap-Analyse -- Wo stehst du?

Dein 10-Punkte-Check

Prüfe für dein Unternehmen:

#FrageStatus
1Haben wir ein vollständiges KI-Inventar?
2Sind alle KI-Systeme nach Risikostufen klassifiziert?
3Gibt es eine KI-Governance-Struktur mit Verantwortlichen?
4Wurden alle Mitarbeiter geschult (AI Literacy)?
5Sind Schulungen dokumentiert und nachweisbar?
6Haben Hochrisiko-Systeme ein Risikomanagement-System?
7Ist eine menschliche Aufsicht für alle KI-Entscheidungen sichergestellt?
8Werden KI-Entscheidungen protokolliert?
9Gibt es einen Prozess für KI-bezogene Beschwerden?
10Ist ein regelmässiger Review-Prozess etabliert?

Ergebnis-Interpretation

  • 8-10 Punkte: Du bist gut aufgestellt. Feinjustierung reicht.
  • 5-7 Punkte: Handlungsbedarf vorhanden. Starte mit den fehlenden Punkten.
  • 0-4 Punkte: Dringender Handlungsbedarf. Setze jetzt Prioritäten!

Der 90-Tage-Plan

Monat 1: Bestandsaufnahme

  • KI-Inventar erstellen
  • Risikoklassifizierung durchführen
  • Verantwortliche benennen

Monat 2: Strukturen aufbauen

  • Governance-Framework implementieren
  • Schulungsplan erstellen und starten
  • Dokumentationsprozesse einrichten

Monat 3: Compliance sicherstellen

  • Hochrisiko-Systeme vollständig dokumentieren
  • Monitoring und Logging einrichten
  • Externe Prüfung beauftragen (optional, aber empfohlen)

Lektion 6: Sanktionen und Durchsetzung

Was droht bei Verstössen?

Die Bussgelder sind gestaffelt nach Schwere des Verstosses:

Schwere Verstösse (verbotene KI-Praktiken):

  • Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes
  • Betrifft: Einsatz verbotener KI-Systeme (Social Scoring, biometrische Überwachung)

Andere Verstösse:

  • Bis zu 15 Millionen Euro oder 3% des Jahresumsatzes
  • Betrifft: Fehlende Dokumentation, mangelnde Transparenz, unzureichende Schulung

Falsche Angaben an Behörden:

  • Bis zu 7,5 Millionen Euro oder 1,5% des Jahresumsatzes
  • Betrifft: Unvollständige oder falsche Informationen bei Anfragen

Sonderregelung für KMU und Start-ups

Für kleine und mittlere Unternehmen sowie Start-ups gelten jeweils die niedrigeren Schwellenwerte. Das bedeutet: Die absoluten Euro-Beträge (nicht die Prozentsätze) sind die Obergrenze.

Wer überwacht die Einhaltung?

  • Jeder EU-Mitgliedsstaat benennt eine nationale Aufsichtsbehörde
  • In Deutschland: Voraussichtlich die BNetzA (Bundesnetzagentur) in Zusammenarbeit mit Datenschutzbehörden
  • Beschwerdemechanismus: Jeder kann Verstösse melden

Lektion 7: Praxisleitfaden -- KI-Inventar erstellen

Schritt-für-Schritt-Anleitung

Was gehört ins KI-Inventar?

Für jedes KI-System in deinem Unternehmen dokumentierst du:

  1. Name und Anbieter (z.B. "ChatGPT, OpenAI")
  2. Einsatzzweck (z.B. "E-Mail-Erstellung, Kundenservice")
  3. Nutzerkreis (z.B. "Marketing-Team, 5 Personen")
  4. Risikostufe (minimal / begrenzt / hoch)
  5. Datenverarbeitung (welche Daten fliessen ein?)
  6. Vertragliche Grundlage (Lizenz, AGB, DPA)
  7. Schulungsstatus (wurden Nutzer geschult?)
  8. Verantwortliche Person (wer ist zuständig?)

Typische KI-Systeme in Unternehmen

Viele Unternehmen unterschätzen, wie viel KI sie bereits nutzen:

  • Office-Tools: Microsoft 365 Copilot, Google Workspace AI
  • Kommunikation: Grammarly, DeepL, Claude, ChatGPT
  • Marketing: Canva AI, Midjourney, Jasper
  • HR: Bewerbermanagement-Systeme mit KI-Scoring
  • Finanzen: Buchhaltungssoftware mit KI-Automatisierung
  • CRM: Salesforce Einstein, HubSpot AI
  • Entwicklung: GitHub Copilot, Cursor, Claude Code

Praxis-Tipp: Shadow-KI aufdecken

Viele Mitarbeiter nutzen KI-Tools auf eigene Faust ("Shadow-KI"). Führe eine anonyme Umfrage durch:

  • "Welche KI-Tools nutzen Sie beruflich?"
  • "Laden Sie Firmendaten in KI-Tools hoch?"
  • "Nutzen Sie KI für Entscheidungen, die andere betreffen?"

Die Ergebnisse werden dich überraschen -- und sie sind essentiell für ein vollständiges KI-Inventar.

Lektion 8: Ausblick und strategische Chancen

Der EU AI Act als Wettbewerbsvorteil

Statt den EU AI Act als Last zu sehen, kannst du ihn als strategischen Vorteil nutzen:

Vertrauensvorsprung: Unternehmen, die KI-Compliance nachweisen können, gewinnen das Vertrauen von Kunden und Partnern.

Qualitätsverbesserung: Die geforderte Dokumentation und das Monitoring verbessern tatsächlich die Qualität deiner KI-Nutzung.

Risikominimierung: Systematisches Risikomanagement schützt vor teuren Fehlern -- nicht nur vor Bussgeldern.

Marktchance: Beratungsunternehmen und Trainer können AI-Literacy-Schulungen als neues Geschäftsfeld erschliessen.

Was noch kommt

  • Harmonisierte Standards: Die EU entwickelt technische Standards (hEN) für die Umsetzung
  • Sandboxes: Regulatorische Sandboxen für Innovation unter kontrollierten Bedingungen
  • Internationale Angleichung: Andere Länder orientieren sich am EU AI Act (Kanada, Brasilien, Japan)

Dein nächster Schritt

  1. Heute: Erstelle eine Liste aller KI-Systeme in deinem Unternehmen
  2. Diese Woche: Klassifiziere jedes System nach Risikostufe
  3. Diesen Monat: Plane und starte die AI-Literacy-Schulung
  4. Bis August 2026: Stelle die vollständige Compliance für Hochrisiko-Systeme sicher

Der EU AI Act ist keine Bedrohung -- er ist eine Einladung, KI verantwortungsvoll und strategisch einzusetzen. Wer jetzt handelt, hat einen Vorsprung vor der Konkurrenz.

EU AI ActComplianceRegulierungDSGVOHochrisiko-KIAI Literacy
← Weitere Kurse entdecken