EU AI Act: Was die KI-Verordnung wirklich bedeutet – Überblick & Praxisleitfaden

Yves-Alexander Wolff ist Partner im Hamburger Büro von BUSE und verfügt über umfassende Expertise im Gewerblichen Rechtsschutz.
Yves-Alexander Wolff, LL.M.
Rechtsanwalt

Futuristischer humanoider Roboter mit sichtbaren Schaltkreisen und Kabeln, dessen Gesicht mit der Flagge der Europäischen Union (blaue Fläche mit gelben Sternen) überlagert ist; Symbolbild für die Regulierung von künstlicher Intelligenz und den EU AI Act in Europa.

Blog: Technologie & Datenwirtschaftsrecht - Beitrag vom 19.08.2025
Der EU AI Act – die neue KI-Verordnung der Europäischen Union – ist der erste umfassende Rechtsrahmen für künstliche Intelligenz. Sein Anspruch ist ambitioniert: Innovation ermöglichen und zugleich Risiken für Gesundheit, Sicherheit und Grundrechte minimieren. Die Verordnung gilt nicht nur in der EU. Wer KI-Systeme in der EU in Verkehr bringt oder deren Ergebnisse hier nutzt, fällt darunter – auch mit Sitz außerhalb Europas. In diesem Beitrag erklären wir, was der EU AI Act regelt, wie die Risikoklassen funktionieren, welche Pflichten auf Unternehmen zukommen, welche Sanktionen drohen und wie Sie jetzt pragmatisch starten.

Worum geht es beim EU AI Act?

Die KI-Verordnung definiert erstmals, was ein KI-System ist: ein maschinengestütztes System, das aus Daten Vorhersagen, Empfehlungen oder Entscheidungen ableitet und dabei mit einem gewissen Grad an Autonomie operiert. Zentrales Prinzip ist der risikobasierte Ansatz. Nicht jede KI wird gleich behandelt – je höher das Risiko für Menschen oder die öffentliche Sicherheit, desto strenger die Anforderungen.

Einige Anwendungen sind per se verboten. Dazu zählen u. a. Social-Scoring-Systeme nach chinesischem Vorbild, manipulative Systeme, die Menschen zu schädlichem Verhalten verleiten, oder biometrische Identifizierung in Echtzeit im öffentlichen Raum (mit sehr engen Ausnahmen). Der Gesetzgeber setzt damit klare rote Linien.

Daneben richtet sich der EU AI Act an alle Rollen entlang der Wertschöpfung: Anbieter/Hersteller, Importeure, Händler – und auch Nutzer (Deployers), also Unternehmen, die fremde KI einsetzen. Das ist wichtig, weil Compliance nicht an der Werkbank endet, sondern bis in den operativen Einsatz reicht.

Die Risikoklassen – und warum sie im Alltag zählen

Die Verordnung unterscheidet vier Kategorien. Unvertretbares Risiko ist verboten, Punkt. Hochrisiko-KI bleibt zulässig, wird aber streng reguliert, wenn sie in sensiblen Bereichen eingesetzt wird – etwa in Medizinprodukten, kritischer Infrastruktur, Beschäftigung (Bewerber-Screening, Leistungsbewertung) oder Kreditscoring. Begrenztes Risiko betrifft vor allem Transparenzpflichten, etwa bei Chatbots oder generativer KI: Nutzer müssen erkennen können, dass sie mit KI interagieren oder dass Inhalte KI-generiert sind (Stichwort Deepfakes). Bei geringem Risiko – z. B. Spamfilter, einfache Assistenzfunktionen – verlangt der EU AI Act keine besonderen Auflagen, doch gute Praxis (Monitoring, menschliche Rückversicherung) bleibt sinnvoll.

In der Praxis entscheidet die Zweckbestimmung über die Einstufung: Dasselbe Modell kann je nach Einsatz als Hochrisiko-System eingestuft werden oder ein ledigliches geringes Risiko darstellen. Wer eine Bild-KI für Marketinggrafiken nutzt, hat andere Pflichten als jemand, der damit medizinische Diagnosen erstellt.

Was Unternehmen je nach Risikostufe leisten müssen

Die Pflichten für Hochrisiko-KI sind umfangreich, aber gut beherrschbar, wenn man sie systematisch angeht. Vorgeschrieben sind u. a. ein Risikomanagement über den gesamten Lebenszyklus (Entwicklung, Betrieb, Monitoring), Daten-Governance mit Fokus auf Qualität und Repräsentativität der Trainings-, Validierungs- und Testdaten, detaillierte Technische Dokumentation und Protokollierung (Logs), Transparenz gegenüber Nutzern (Zweck, Funktionsgrenzen, Rest-Risiken) sowie menschliche Aufsicht mit der Möglichkeit, einzugreifen oder abzuschalten. Hinzu kommen Anforderungen an Robustheit, Genauigkeit und Cybersicherheit.

Bevor ein Hochrisiko-System in Verkehr gebracht oder in Betrieb genommen wird, ist in der Regel eine Konformitätsbewertung erforderlich – mit CE-Kennzeichnung und, sofern vorgesehen, Registrierung in einer EU-Datenbank. Unternehmen, die nur nutzen, stehen nicht minder in der Pflicht: Sie müssen sicherstellen, dass die eingesetzte KI konform ist, die Gebrauchsanleitung beachten, Risiken im eigenen Einsatzkontext bewerten und Monitoring betreiben. Wer Anbieter ist, trägt die Verantwortung für Entwicklung, Konformität und Updates.

Bei begrenztem Risiko konzentriert sich alles auf Transparenz: Nutzer müssen wissen, dass sie mit KI sprechen, und KI-Inhalte müssen als solche erkennbar sein. Das lässt sich pragmatisch lösen – durch klare Hinweise im Interface, Wasserzeichen oder Metadaten bei Medieninhalten. Auch hier gilt: Was einfach klingt, braucht saubere Prozesse, sonst wird Transparenz lückenhaft.

Generative KI: Transparenz ohne Innovationsbremse

Gerade generative KI (Text, Bild, Audio, Video) steht im Fokus der Öffentlichkeit. Die KI-Verordnung verlangt Kennzeichnung KI-generierter Inhalte und angemessene Schutzmaßnahmen gegen Täuschung. Für Unternehmen ist das Chance und Herausforderung zugleich: Marketing, Content-Produktion und interne Wissensarbeit profitieren massiv – doch ohne transparente Kennzeichnung und interne Leitplanken drohen Reputationsschäden und regulatorische Risiken. Wer früh Standards für Prompts, Freigaben, Kennzeichnungen und Logs etabliert, kann generative KI sicher skalieren.

Sanktionen: teuer wird es schnell

Der EU AI Act sieht empfindliche Bußgelder vor, angelehnt an die Logik der DSGVO. Der Betrieb verbotener Systeme kann mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes sanktioniert werden. Verstöße gegen Pflichten – etwa fehlende Konformitätsbewertung, mangelhafte Dokumentation oder fehlende Transparenzhinweise – können 15 Mio. € oder 3 % nach sich ziehen; formale Verstöße 7,5 Mio. € oder 1 %. Zusätzlich drohen Vertriebsverbote, Rückrufpflichten und erheblicher Reputationsverlust. Angesichts gestaffelter Übergangsfristen ist jetzt der richtige Zeitpunkt, Compliance aufzusetzen – nicht, wenn die Uhr abläuft.

Zeitplan

  • Die KI-Verordnung gilt seit dem 1. August 2024;
  • erste Verbote und AI-Literacy-Pflichten greifen seit dem 2. Februar 2025,
  • weitere Vorgaben (u. a. zu GPAI, Governance, Sanktionen) seit dem 2. August 2025;
  • die meisten Pflichten gelten ab dem 2. August 2026,
  • zusätzliche Produkt-Integrationspflichten für Hochrisiko-KI ab dem 2. August 2027.

So starten Sie: fünf Schritte ohne Bürokratie-Overkill

Beginnen Sie mit einer KI-Inventur: Welche Systeme sind im Einsatz, wofür, mit welchen Daten und Schnittstellen? Ordnen Sie diese Anwendungsfälle den Risikoklassen zu und klären Sie Ihre Rolle (Anbieter, Nutzer, Importeur/Händler). Auf dieser Basis bauen Sie eine schlanke KI-Governance auf: eine KI-Policy, klare Verantwortlichkeiten (z. B. ein interdisziplinäres KI-Board), definierte Prozesse für Risikobewertung, Incident-Handling und Change-Management.

Technisch-organisatorisch etablieren Sie Daten-Governance, Bias-Kontrollen, Modell-Monitoring und Logging; für Hochrisiko-Fälle planen Sie frühzeitig die Konformitätsbewertung und CE-Kennzeichnung ein. Parallel schulen Sie die Teams – AI Literacy ist kein Luxus, sondern Voraussetzung für wirksame Umsetzung. Wichtig: Binden Sie Datenschutz (DSGVO), Informationssicherheit und Einkauf/Verträge ein; viele Anforderungen lassen sich dort elegant verankern (z.B. KI-Klauseln in Beschaffungsverträgen, Prüflisten im ISMS).

Wer pragmatisch vorgeht, merkt schnell: Der EU AI Act ist kein Innovationsstopp, sondern ein Ordnungsrahmen, der Vertrauen schafft. Unternehmen, die heute investieren, werden morgen schneller implementieren – und regulatorische Hürden als Qualitätssiegel nutzen.

Fazit

Der EU AI Act setzt den neuen Standard für KI-Compliance. Entscheidend ist, die Risikoklassen korrekt zuzuordnen, Pflichten proportional umzusetzen und Prozesse entlang des KI-Lebenszyklus aufzubauen. So lassen sich Rechtssicherheit, Nutzervertrauen und Innovation vereinen. Wenn Sie eine Roadmap entwickeln, konkrete Risikoprüfungen durchführen oder ein passendes Konformitäts- und Dokumentations-Set-up aufsetzen möchten, unterstützen wir Sie gerne.

Das Wichtigste kurz zusammengefasst

  • Generative KI im Fokus: EU AI Act verlangt klare Kennzeichnung von KI-Inhalten (Text/Bild/Audio/Video), Hinweise bei Deepfakes und – wo möglich – Wasserzeichen/Metadaten. Nutzer müssen erkennen, dass sie mit KI interagieren bzw. dass Inhalte künstlich erzeugt/manipuliert sind.
  • So setzen Sie es um: Content-Labeling in CMS/Workflows verankern, Auto-Tagging & Model-Logs aktivieren, Hinweistexte standardisieren, Human-Review für sensible Inhalte, Vendor-/Modellauswahl mit vertraglichen Zusagen (GPAI-Pflichten, IP/Urheberrecht, Sicherheit).
  • Jetzt starten, Risiken senken: KI-Inventur & Kennzeichnungsrichtlinie, Schulungen für Redaktion/Marketing/HR, Datenschutz-Abgleich. Verstöße können teuer werden (bis 15 Mio. € / 3 % bzw. bei Verboten 35 Mio. € / 7 % des Umsatzes).

Symbolische Darstellung des Übergangs von 2025 zu 2026 mit Schalter und Glühbirne – Sinnbild für Änderungen bei der Markenanmeldung und neue Markenklassen ab 2026

Blog: Technologie & Datenwirtschaftsrecht
13. Ausgabe der Nizza-Klassifikation: Änderungen 2026 für Markenanmeldungen
Ab 2026 neue Klasseneinteilung für Marken – was ändert sich?
18.12.2025
Yves-Alexander Wolff

Illustration aus leuchtenden, digital vernetzten Zahnrädern auf dunklem Hintergrund, die den Digital Package on Simplification symbolisieren.

Blog: Technologie & Datenwirtschaftsrecht
Das avisierte „Digital Package on Simplification“ der EU-Kommission
Mögliche Auswirkungen auf Datenschutz, KI und Tracking
13.11.2025
Thorsten Behling, Timo Meisener

Das Bild zeigt eine stilisierte Weltkarte mit leuchtend blauen Kontinenten, auf denen ein Netzwerk aus verbundenen Punkten dargestellt ist – symbolisiert die globale Vernetzung und internationale Bedeutung der Verfahrensregeln DSGVO im Datenschutzrecht.

Blog: Technologie & Datenwirtschaftsrecht
Vorschlag der EU-Kommission für die Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO
Relevanz für multinational agierende Unternehmensgruppen und Konzerne
17.07.2025
Thorsten Behling, Timo Meisener

Abstrakte Darstellung von Cybersicherheit mit einem roten Vorhängeschloss-Symbol auf einem digitalen Hintergrund aus leuchtenden blauen und roten Datenleitungen und Schaltkreisen.

Blog: Technologie & Datenwirtschaftsrecht
KI-Trainingsdatensätze als geistiges Eigentum? Schutzfähigkeit und Schutzlücken von Trainingsdaten und Datensätzen
08.07.2025
Yves-Alexander Wolff

Nahaufnahme von Händen auf einer Computertastatur mit digital eingeblendeten Icons zu IT-Sicherheit, wie ein Schloss, Dokumente, Server und mobile Geräte – Darstellung von moderner Cybersicherheit im Geschäftsalltag.

Blog: Technologie & Datenwirtschaftsrecht
Der Schutz von Geschäftsgeheimnissen im Zeitalter der KI: Rechtliche Herausforderungen und strategische Ansätze
15.05.2025
Yves-Alexander Wolff

Person ist untereinen Berg von Akten (Zetteln) begraben. Die rechte Hand sticht aus den Akten heraus und streckt sich nach oben

Blog: Handelsrecht
Massenhafte, automatisierte DSGVO-Auskünfte aus ganz Deutschland?
Neues Online-Portal führt zu massenhaften DSGVO-Auskunftsersuchen - und trifft viele unbeteiligte Unternehmen
19.03.2025
Albrecht von Wilucki
Links

Anwälte
Kompetenzen
Blog
Karriere
Partnerschaft
Veranstaltungen

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB