EU AI Act 2025: Was Unternehmen jetzt wissen müssen

Was ist der EU AI Act überhaupt?

Der EU Artificial Intelligence Act (Verordnung (EU) 2024/1689) ist seit dem 1. August 2024 in Kraft. Er reguliert KI-Systeme nach ihrem Risikograd – von verbotenen Anwendungen bis hin zu harmlosen Tools ohne besondere Pflichten. Ziel ist es, KI in Europa sicher, transparent und grundrechtskonform zu gestalten.

Für Unternehmen bedeutet das: Wer KI einsetzt, entwickelt oder vertreibt, muss wissen in welche Risikoklasse seine Anwendungen fallen – und entsprechende Maßnahmen ergreifen.

Die vier Risikoklassen im Überblick

Der AI Act teilt KI-Systeme in vier Kategorien ein:

• Inakzeptables Risiko (verboten): KI zur Manipulation von Menschen, Social Scoring durch Behörden, Echtzeit-Biometrie im öffentlichen Raum. Diese Systeme sind seit Februar 2025 verboten.
• Hohes Risiko: KI in Bereichen wie Personalentscheidungen, Kreditvergabe, medizinische Diagnose oder kritische Infrastruktur. Hier gelten strenge Dokumentations- und Transparenzpflichten.
• Begrenztes Risiko: Chatbots und ähnliche Systeme müssen offenlegen, dass der Nutzer mit einer KI interagiert.
• Minimales Risiko: Spam-Filter, KI in Videospielen, Textgeneratoren für interne Zwecke. Keine besonderen Pflichten.

Welche Fristen gelten?

Der AI Act gilt nicht sofort vollständig – die Pflichten greifen gestaffelt:

• Februar 2025: Verbotene KI-Praktiken sind untersagt
• August 2025: Regeln für Allzweck-KI-Modelle (wie GPT-4, Claude) treten in Kraft
• August 2026: Vollständige Anwendung aller Hochrisiko-Regelungen

Was bedeutet das für den KI-Alltag im Unternehmen?

Die meisten Unternehmen, die KI-Tools wie ChatGPT, DeepL oder Notion AI für interne Aufgaben nutzen, fallen in die Kategorie minimales Risiko. Für sie ändert sich zunächst wenig.

Kritischer wird es, wenn KI bei Personalentscheidungen eingesetzt wird – etwa beim automatisierten Screening von Bewerbungen oder beim Leistungsmonitoring von Mitarbeitenden. Solche Anwendungen gelten als Hochrisiko und erfordern ab 2026 unter anderem:

• Transparente Dokumentation des KI-Systems
• Menschliche Aufsicht bei Entscheidungen
• Registrierung in der EU-Datenbank für Hochrisiko-KI
• Risikoabschätzungen vor dem Einsatz

Chatbots müssen sich als KI zu erkennen geben

Bereits jetzt gilt: Wer auf seiner Website einen KI-Chatbot einsetzt, muss Nutzer darüber informieren, dass sie mit einer KI sprechen – und nicht mit einem Menschen. Das klingt selbstverständlich, wird in der Praxis aber oft vernachlässigt.

Tools wie Chatbase oder Intercom Fin sollten entsprechend konfiguriert sein.

Was sollten Unternehmen jetzt tun?

Auch wenn viele Pflichten erst 2026 greifen, lohnt es sich jetzt zu handeln:

1. KI-Inventar erstellen: Welche KI-Systeme setzt ihr wo ein? Für welche Entscheidungen?
2. Risikoklasse bestimmen: Fallen eure Anwendungen unter Hoch- oder Niedrigrisiko?
3. DSGVO und AI Act zusammen denken: Viele Anforderungen überschneiden sich – wer DSGVO-konform aufgestellt ist, hat einen guten Vorsprung.
4. Mitarbeitende schulen: Transparenz über KI-Einsatz ist nicht nur rechtlich gefordert, sondern schafft auch Vertrauen.
5. Rechtliche Beratung holen: Besonders bei HR- oder Kredit-KI sollte ein Anwalt einbezogen werden.

Fazit

Der EU AI Act ist kein Grund zur Panik – aber ein Anlass zur Vorbereitung. Wer heute seine KI-Nutzung dokumentiert und DSGVO-konforme Tools bevorzugt, ist für 2026 gut aufgestellt. Besonders im HR-Bereich sollten Unternehmen genau hinschauen, bevor KI Entscheidungen unterstützt oder trifft.

Eine gute Orientierung bietet unser Tool-Verzeichnis – gefiltert nach DSGVO-Konformität und Serverstandort.