Der AI Act: EU-Verordnung für Unternehmen, die KI nutzen

Nutzen Sie oder ihre Mitarbeitenden geschäftlich Programme wie ChatGPT, Microsoft Copilot oder eine Branchen-Software mit künstlicher Intelligenz? Dann gilt der AI Act auch für Ihren Betrieb. Diese EU-Verordnung enthält Vorschriften für Unternehmen, die KI nutzen. Doch was genau gilt ab wann – und was bedeutet das für Ihre tägliche Arbeit?

AI Act: EU-Vorschriften für Anbieter und Nutzer von künstlicher Intelligenz

Ob Chat-GPT oder ein spezialisiertes Branchen-Tool auf KI-Basis: Künstliche Intelligenz ist für viele Betriebe und Selbstständige längst Arbeitsalltag. Die EU hat im Juni 2024 das „Gesetz über künstliche Intelligenz (Verordnung (EU) 2024/1689)“ verkündet. Ein Teil davon gilt bereits. Weitere Teile werden am 2. August 2026 und am 2. August 2027 gültig.

Kurzbezeichnungen der Verordnung lauten „AI Act“, „KI-Verordnung“ oder KI-VO. Sie enthält Vorschriften für die Entwicklung, das Angebot und den Einsatz künstlicher Intelligenz im öffentlichen und im beruflichen Bereich. Die private oder wissenschaftliche KI-Nutzung tangiert sie nicht.

Die EU-Vorschriften betreffen Selbstständige und Unternehmen also nicht nur, wenn sie selbst KI-Software entwickeln, KI in andere Produkte integrieren oder KI-Lösungen vertreiben. Der AI Act enthält auch Vorschriften zur Verwendung von KI im Rahmen des Berufs.

KI-Nutzung klassifizieren, Mitarbeiter schulen, Kennzeichnungspflicht beachten

Dieser Beitrag konzentriert sich auf die EU-Regelungen zur geschäftlichen Nutzung von KI. Die Pflichten für Entwickler, Anbieter, Importeure und Verkäufer von KI-Systemen sind deutlich umfangreicher.

Für Selbstständige und Unternehmen, die KI nur einsetzen, stellen sich durch den AI Act vor allem vier Fragen:

• Sind Schulungen oder Trainings erforderlich? KI-Systeme dürfen im beruflichen Umfeld nur von Personen mit „KI-Kompetenz“ verwendet werden.

• Kommt ein KI-System mit erhöhten Risiken gemäß KI-Verordnung zum Einsatz? Die genutzte KI sollte gemäß den Vorgaben des AI Act klassifiziert werden, schon um verbotene Einsatzzwecke auszuschließen.

• Werden mit KI generierte Bilder, Audio-Dateien oder Texte verwendet? Dafür wird ab dem 2. August 2026 eine Kennzeichnungspflicht

• Interagieren KI-Systeme mit Personen, etwa in Form von KI-Chatbots oder intelligenten Formularen? Dann gilt ab dem 2. August 2026 eine Hinweispflicht.

Ein risikobasierter Ansatz, viel Abstraktion

Die Vorgaben der EU sollen Manipulation, Diskriminierung, Datenschutzverstöße und unerlaubte Überwachung durch KI verhindern. Gemäß diesem Ansatz klassifiziert die KI-Systeme nach ihrem Risiko in vier Gruppen, für die unterschiedliche Vorschriften gelten:

• verbotene KI mit unannehmbarem Risiko

• Hochrisiko-KI

• KI mit begrenztem Risiko

• KI mit minimalem Risiko

Für die konkrete Einordnung sind betroffene Unternehmen letztlich selbst verantwortlich. Hilfestellung geben der Compliance Checker vom „Future of Life Institute“ und der AI Act Risk Navigator vom TÜV AI Lab.

Sehr konkret sind die Vorgaben bisher nicht

In vielen Teilen ist das Regelwerk des AI Act recht abstrakt, ohne konkrete Vorgaben und praktische Kriterien. Das liegt wohl daran, dass bereits die Definition von künstlicher Intelligenz in der Verordnung absichtlich weit gefasst ist, um die Vielfalt der Angebote abzudecken und zukünftige Entwicklungen einzuschließen. Die Umsetzung wird dadurch allerdings nicht einfacher. Manche Stolperfallen werden sich möglicherweise erst durch Bußgeldverfahren und Gerichtsurteile zeigen.

In vielen Aspekten sollen Leitlinien und weitere Vorgaben der EU und nationaler Behörden für mehr Klarheit sorgen. So liegen bereits Leitlinien zur Abgrenzung von KI-Systemen sowie ein Leitlinien-Entwurf zu verbotener KI (auf Englisch) vor. Der Entwurf enthält auch Beispiele und Abgrenzungskriterien für verbotene KI-Anwendungen. Im Mai 2025 soll die EU-Kommission einen KI-Verhaltenskodex veröffentlichen.

Bis zum 2. August 2025 hat die Bundesregierung Zeit, um eine nationale KI-Aufsichtsbehörde einzurichten. Sie wird die Einhaltung des AI Act überwachen, für Kontrollen und Zulassungsverfahren zuständig sein und Sanktionen aussprechen. Die Verordnung ermöglicht drakonische Bußgelder, die im Fall verbotener KI-Praktiken 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes erreichen können (Art. 99 Abs. 3 KI-VO, gilt ab 2. August 2025).

Pflicht zur KI-Kompetenz: Weiterbildung bei KI-Nutzung

Anbieter und Betreiber von KI-Systemen sollen sicherstellen, dass Mitarbeitende und andere Personen, die mit diesen Systemen arbeiten, über „ausreichende KI-Kompetenz verfügen“. Dabei sind die erforderlichen technischen Kenntnisse, die Erfahrung der Nutzer sowie Kontext und Zielgruppe der konkreten KI-Funktionalität zu berücksichtigen. So lässt sich der Artikel 4 der KI-Verordnung zusammenfassen.

Er ist bereits am 2. Februar 2025 in Kraft getreten und damit für alle Selbstständigen und jedes Unternehmen verbindlich, in dem Software oder Dienste mit KI-Komponenten genutzt werden. Diese Regelung gilt auch dann, wenn lediglich Kundenanschreiben mit ChatGPT optimiert oder Grafiken mit dem KI-Bildgenerator in Microsoft 365 erstellt werden. Wird KI für sensible Aufgaben wie Bedienungsanleitungen oder die Analyse personenbezogener Daten genutzt, ist die Kompetenzvorschrift besonders ernst zu nehmen.

Gleichzeitig ist die Kompetenzanforderung rein abstrakt gehalten. Auch der offizielle „Erwägungsgrund 20“ zum AI Act bringt wenig Konkretes. Konkrete Wissensanforderungen wie bei theoretischen Führerscheinprüfung sind bisher nicht formuliert worden. Arbeitgebern werden zwar bereits viele KI-Fortbildungsmaßnahmen angeboten. Es gibt aber derzeit keine Garantie dafür, dass diese die Anforderungen der KI-Verordnung erfüllen. Andererseits: KI- Schulungen, die über Tipps zu sinnvollen Prompts hinaus auch Informationen zu den Grundlagen von KI sowie zu Rechtsaspekten enthalten und von nachweislich sachkundigen Trainern gegeben werden, bieten eine gute Voraussetzung. Sie sollten möglichst auch die Umsetzung der kommenden Kennzeichnungspflicht und die Risiken von KI im Persönlichkeitsrecht, Urheberrecht und beim Datenschutz behandeln.

Übrigens: Die Pflicht zur Gewährleistung von KI-Kompetenz gilt auch bei der Beauftragung von Freelancern, wenn diese mit KI-Anwendungen des Kunden arbeiten, etwa mit dessen Software zur Marketing-Analyse.

Verbotene KI-Systeme

Seit Februar 2025 sind in der EU KI-Systeme verboten, die ein unannehmbares Risiko für die Rechte von Betroffenen darstellen (Art. 5 KI-VO). Solche Systeme dürfen generell nicht entwickelt, vertrieben oder genutzt werden. Das gilt für KI, die …

• … Menschen täuscht oder in ihren Entscheidungen manipuliert und ihnen dadurch schaden kann. Ein Beispiel wäre eine KI, die durch unterschwellige auditive und visuelle Reize Unruhe auslöst und so Interesse für Sicherheitslösungen generiert.
• … menschliche „Schwachstellen“ wie Alter, Armut oder gesundheitliche Beeinträchtigung ausnutzt. Das wäre bei einem KI-Game gegeben, das den Spieltrieb von Kindern durch auf Suchtverhalten abzielende Belohnungsmuster für exzessive Spieldauer nutzt.
• … Menschen aufgrund von Sozialverhalten oder Persönlichkeitsmerkmalen klassifiziert und benachteiligt. Das wäre der Fall, wenn die KI die Social-Media-Feeds neuer Kunden auswertet und manche ausschließt, weil sie sich oft über Produkte beschweren.
• … Gesichter auf Videoaufnahmen oder im Internet erkennt und speichert. Eine Software, die Kunden aufgrund der Videoaufzeichnungen in den Verkaufsräumen erkennt und daraus eine Gesichtsdatenbank der Besucher erstellt, fällt unter das Verbot.
• … nur aufgrund von Verhalten oder Persönlichkeit das individuelle Risiko von Straftaten ermittelt. Das würde wohl für eine Software gelten, die bei Supermarkt-Kunden auf Basis ihrer Bewegungs- und Verhaltensmuster das Diebstahlrisiko ermittelt.
• … am Arbeitsplatz oder in Bildungseinrichtungen die Emotionen von Menschen erkennt. So gibt es Systeme, die unaufmerksame Schülerinnen und Schüler oder Mitarbeitende automatisch erkennen. Emotionserkennung per KI ist nur zur Sicherheit oder zu medizinischen Zwecken zulässig.
• … biometrische Daten nutzt, um die ethnische Zugehörigkeit, Weltanschauung, oder sexuelle Orientierung von Personen zu erkennen. Verboten wäre eine KI, die unter den per Video aufgezeichneten Kunden vermutlich muslimische Menschen identifiziert.

Es gibt bestimmte Ausnahmen von diesen Verboten. So kann die biometrische Erkennung durch KI zur Strafverfolgung in bestimmten Fällen erlaubt sein. Wer legal Daten wie ein Archiv aus Porträtdaten erwirbt, darf dort die Bilder aller Frauen oder von allen schwarzen Menschen per KI ausfiltern. Diese Ausnahmen sind jedoch eng gefasst.

Hochrisiko-KI: Pflichten ab August 2026

Der AI Act stuft eine ganze Reihe von Anwendungen als „KI-Systeme mit hohem Risiko“ ein Art. 6 KI-VO.

• Die im Anhang III zusammengefassten Anwendungen zählen ab dem 2. August 2026 als Hochrisiko-KI. Sie betreffen biometrische Fernidentifizierung und die Emotionsanalyse, KI-Systeme in kritischen Infrastrukturen, KI zur Steuerung von Verkehr oder bei Versorgern, KI im Bildungsbereich, zur Personalverwaltung und Bewerberauswahl, zur Prüfung staatlicher Ansprüche (wie Kostenübernahme) und KI-Systeme, die die Vergabe oder Angebotserstellung von Krediten sowie Lebens- und Krankenversicherungen steuern.

  Voraussetzung ist stets, dass die KI ein „erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen“ darstellt. Können Anbieter oder Verwender nachweisen, dass eine KI im konkreten Fall rein zur Prozessabwicklung dient, kein Profiling von Menschen durchführt und keine menschliche Bewertung ersetzt, liegt keine Hochrisiko-KI vor.

• Ab dem 2. August 2027 gelten zudem KI-Anwendungen als hochriskant, wenn sie unter eine in Anhang I aufgeführte Liste an EU-Verordnungen für verschiedene Produkte fallen. Das gilt, wenn die KI entweder ein solches Produkt darstellt oder eine Sicherheitskomponente davon ist. Der Anhang umfasst unter anderem Medizinprodukte, Spielzeug, Kfz, Schutzausrüstung und vieles mehr. Werden sicherheitsrelevante Aspekte solcher Produkte von KI gesteuert, wie beim autonomen Fahren oder bei Behandlungsgeräten mit automatischen Funktionen, gelten sie als KI-Systeme mit hohem Risiko.

Für Hochrisiko-KI vorgeschrieben werden Risikomanagementsysteme, Trainingsdaten von hoher Qualität, umfassende technische Dokumentation, umfangreiche Protokollfunktionen der Software, transparente und ausführliche Nutzerinformationen, die Überwachbarkeit durch Menschen sowie robuste Cyber-Sicherheit.

Diese Vorgaben betreffen nicht nur Entwicklung und Vertrieb. Auch Unternehmen, die Hochrisiko-KI einsetzen, werden Pflichten haben. Sie müssen beispielsweise die Logfiles der Software mindestens sechs Monate aufbewahren, die Qualität der Eingabedaten gewährleisten und für menschliche Aufsicht durch qualifizierte Personen sorgen

Transparenzverpflichtung: Kennzeichnungspflicht bei KI-Nutzung

Eine weitere Pflicht, die ab dem 2. August 2026 gilt, betrifft die Transparenz:

• Wenn Nutzer direkt mit einem KI-System interagieren, müssen sie explizit darauf hingewiesen Das gilt zum Beispiel für KI-Chatbots. Ausnahmen: Es ist offensichtlich, dass es sich um eine KI handelt, oder der Einsatz erfolgt zur Strafverfolgung.

• Mit generativer KI erstellte oder veränderte Inhalte wie Texte, Bilder, Videos und Audio müssen grundsätzlich gekennzeichnet Das gilt insbesondere für KI-generierte Texte zur Information der Öffentlichkeit. Die Kennzeichnung muss maschinenlesbar sein. Deepfakes – mit KI erstellte, scheinbar echte Porträts, Stimmaufnahmen oder Videos - sind ohne Kennzeichnung grundsätzlich nicht zulässig. Für offensichtliche Kunst, Fiktion und Satire gilt allerdings eine reduzierte Kennzeichnungspflicht „in einer angemessenen Weise“.

• Wer KI auf legale Art zur Auswertung biometrischer Daten oder zur Emotionserkennung einsetzt, muss die Betroffenen darüber informieren.

Fazit: Auch Selbstständige und kleinere Unternehmen sollten die KI-Rechtslage im Auge behalten

Auch wenn die EU-Vorschriften im AI Act noch nicht sehr konkret sind, werden sie für Selbstständige und Unternehmen wichtig, die solche KI-Systeme nutzen.

KI-Werkzeuge sind in vielen Unternehmen Teil des Arbeitsalltags geworden – von Chat-GPT über KI-Komponenten in Standardsoftware wie Microsoft 365 bis zu KI-Branchenlösungen, etwa intelligenter Recherche-Software für Kanzleien, Modellierungstools für Ingenieurbüros oder LLM-basierten fachsprachlichen Übersetzungshelfern. In all diesen Fällen ist der AI Act der EU einschlägig.

Auch Selbstständige und kleinere Unternehmen sollten deshalb prüfen, wo und wie sie KI einsetzen und ob die Vorgaben der KI-Verordnung sie betreffen. In etwas mehr als einem Jahr müssen sie KI-generierte Inhalte kennzeichnen und Nutzer explizit auf KI-Supporthilfen hinweisen. Besonders riskant wird es, wenn KI Kundenverhalten analysiert oder Bewerbungen vorsortiert.

Lektüretipps

Weiterführende Informationen zu Rechts- und Businessthemen finden Sie im orgaMAX-Blog und im Newsletter-Archiv:

• Influencer und Content Creator: Gründung, Steuern und Sozialversicherung
• Barrierefreiheit-Pflicht – gilt für Online-Shops, Produkte und Dienstleistungen
• Digitales Kaufrecht: Verkauf von elektronischen Waren, Dienstleistungen, Inhalten
• Fotos geschäftlich nutzen: an Urheberrecht und Persönlichkeitsrecht denken
• Greenwashing: Vorsicht mit Aussagen wie „klimaneutral“
• ChatGPT & Co. im Geschäftsalltag: Es drohen rechtliche Fallen
• Video-Überwachung im Unternehmen: ist das legal?
• Papierloses Büro? Diese fünf Schritte genügen
• E-Rechnungen verschicken und empfangen mit orgaMAX Buchhaltung
• Automatisiertes Belegmanagement: kein Problem mit orgaMAX Online