1
2
3
4
5
6

Der EU AI Act – Grundverständnis und Risikoklassen für KMU (Teil 1)

Bildnachweis

Künstliche Intelligenz (KI) wird permanent weiterentwickelt und findet immer breitere Anwendung. Damit wächst auch die Verantwortung, KI-Tools nicht nur leistungsfähig, sondern auch sicher, transparent und fair einzusetzen. Um genau dies europaweit sicherzustellen, hat die Europäische Union im Frühjahr 2024 die Verordnung (EU) 2024/1689, bekannt als EU AI Act, verabschiedet – das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen [1]. Ziel ist es, Innovationen zu ermöglichen, die jedoch auch im Einklang mit Grundrechten und ethischer Verantwortung stehen. Für viele kleine und mittlere Unternehmen (KMU) und Start-Ups ergeben sich dadurch zentrale Fragen: Welche Systeme fallen unter welche Bestimmungen? Welche Pflichten und Freiräume betreffen kleine Unternehmen?

Der EU AI Act basiert auf einem risikobasierten Ansatz: Je größer das Risiko eines KI-Systems für Grundrechte, Gesundheit oder Sicherheit, desto strenger sind die Anforderungen [1; 2; 3]. Dabei werden vier Risikogruppen unterschieden:

  • Verbotene KI-Systeme (unacceptable risk): Manche Praktiken sind generell untersagt. Dies umfasst insbesondere – aber nicht ausschließlich – manipulative Techniken, verdeckte Beeinflussung, Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung sensibler Merkmale und Überwachung in Echtzeit in öffentlichen Räumen, wenn keine rechtliche Legitimation vorliegt (EU AI Act, 2024, Art. 5).

  • Hochrisiko-KI-Systeme (high-risk): Systeme, die in sensiblen Bereichen – Personalmamagement, Gesundheit, Justiz und kritische Infrastruktur – eingesetzt werden, müssen strenge Anforderungen erfüllen. Dies umfasst u.a. die Datenqualität, Risikomanagement, Dokumentation, Nachvollziehbarkeit, menschliche Aufsicht und Cybersecurity. (EU AI Act, 2024, Art. 6 ff.)

  • Systeme mit begrenztem Risiko (limited risk): Anwendungen, die zur direkten Interaktion mit natürlichen Personen bestimmt sind, haben von nun an eine Transparenzpflicht, d.h. sie müssen Nutzenden offenlegen, dass diese mit einer KI interagieren und bestimmte generierte Inhalte müssen gekennzeichnet sein. Dies umfasst beispielsweise Chatbots, KI-Systeme zur Erzeugung von Bild-, Audio-, Video- oder Textinhalte und Deepfake-Anwendungen. (EU AI Act, 2024, Art. 50)

  • Systeme mit minimalem Risiko (minimal risk): Bei KI-Anwendungen mit sehr geringem Risiko gelten keine speziellen Pflichten, daher sind diese weitgehend von regulatorischen Anforderungen ausgenommen. Viele KI-Hilfsanwendungen fallen in diese Kategorie, so bspw. Anwendungen zur Rechtschreibprüfung und Bildbearbeitung.

Neu im AI Act ist außerdem die besondere Regelung für sogenannte General-Purpose AI (GPAI). Das sind KI-Modelle, die vielseitig einsetzbar sind, z.B. große Sprachmodelle (Large Language Models, LLM). Obwohl sie nicht automatisch als hochriskant eingestuft werden, unterliegen sie speziellen Transparenz- und Kennzeichnungspflichten (z.B. Offenlegung der Trainingsdaten und Risiken). Dies ist insbesondere relevant für Start-Ups, die solchen generischen Modelle als Basis einsetzen [2]. (Vorschlag Blogbeitrag zu: Regelungen für GPAI im AI Act)

Für KMU und Start-Ups ist diese Risikoeinstufung essenziell. Sie bestimmt, welche Pflichten gelten, welche (externen) Kontrollen nötig sind und wo Aufwände gerechtfertigt sind oder vermieden werden können. Zudem unterscheidet der AI Act verschiedenen Rollen in Bezug auf Künstliche Intelligenz [1], die mit unterschiedlichen Pflichten verbunden sind:

  • Anbieter (provider): Wer KI-Systeme entwickelt oder sie von Dritten produzieren lässt und sie unter der eigenen Marke auf den Markt bringt, trägt die umfangreichsten Pflichten.

  • Betreiber (deployer): Wer KI-Systeme für interne Prozesse oder als Dienstleistung nutzt – das heißt, sie beruflich einsetzt aber nicht selber entwickelt – trägt Mitverantwortung, insbesondere was Transparenz und ordnungsgemäße Nutzung betrifft (Transparenz- und Sicherheitsregeln).

  • Anwender (User): Personen, die KI-Systeme nutzen, ohne sie beruflich bereitzustellen oder weiterzuentwickeln, haben die geringsten Verpflichtungen; insbesondere, wenn es um die private Nutzung geht.

Nachdem diesem kurzen Einblick in die kategorischen Einordnungen und den damit einhergehenden Regelungen lohnt sich noch ein Blick auf den gesetzlich vorgesehenen Zeitplan [1; 2], da der AI Act mit gestaffelten Übergangsfristen eingeführt wurde:

  • Seit dem 2. Februar 2025 gelten bereits sämtliche Verbote aus der Kategorie der Verbotenen-KI-Systeme und erste Transparenzpflichten traten in Kraft.

  • Seit dem 2. August 2025 erfolgt eine regulatorische Überwachung durch zentrale Instanzen, u.a. bezüglich der Einhaltung der geltenden Bestimmungen und der Umsetzung von internen Weiterbildungen zu KI.

  • Ab dem 2. August 2026 werden die meisten Bestimmungen des EU AI Act vollständig wirksam, darunter die Anforderungen an Hochrisiko-KI.

  • Bestimmte Hochrisiko-Klassen, insbesondere die, die in Sicherheitskomponenten von Produkten eingebaut sind, haben bis zum 2. August 2027 verlängerte Übergangsfristen.

Der EU AI Act (2024/1689) setzt europaweit neue Maßstäbe für verantwortungsvolle KI. Zum ersten Mal schafft ein Gesetz einheitliche und verbindliche Regeln für den verantwortungsvollen Umgang mit Künstlicher Intelligenz und stärkt damit das Vertrauen in diese Technologie. Gerade für KMU und Start-Ups eröffnet die Regulierung nicht nur neue Pflichten, sondern auch Chancen in Form von klarer Orientierung, Rechtssicherheit und fairen Wettbewerbsbedingungen.

Im zweiten Teil des Artikels (Link zu zweitem Teil) geht es daher um die praktische Umsetzung für KMU. Welche konkreten Pflichten ergeben sich aus dem Gesetz? Welche Ziele sind bereits erreicht, worauf gilt es zu achten? Und wie kann der rechtliche Rahmen als Chance für verantwortungsvolle Innovation verstanden werden?

Literatur

[1] Europäische Kommission. (2024). Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act). http://data.europa.eu/eli/reg/2024/1689/oj (Abgerufen am 08.10.2025)

[2] Directorate-General for Communications Networks, Content and Technology (2025). AI Act. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai (abgerufen am 08.10.2025)

[3] Silva, N. S. E., (2024). The Artificial Intelligence Act: critical overview. Cornell University. https://arxiv.org/abs/2409.00264 (abgerufen am 09.10.2025)

Autorin: Lili Peteri

21.10.25

Themen

Weitere Informationen

Thema Fairness und Diversität

Kontakt
Julian Bornemeier
  • Wilhelm-Raabe-Straße 43
  • 09120 Chemnitz

1
2
3
4
5
6
 
Bundesministerium für Wirtschaft und Energie
Mittelstand-Digital
Das Mittelstand-Digital Netzwerk bietet mit den Mittelstand-Digital Zentren und der Initiative IT-Sicherheit in der Wirtschaft umfassende Unterstützung bei der Digitalisierung. Kleine und mittlere Unternehmen profitieren von konkreten Praxisbeispielen und passgenauen, anbieterneutralen Angeboten zur Qualifikation und IT-Sicherheit. Das Bundesministerium für Wirtschaft und Energie ermöglicht die kostenfreie Nutzung der Angebote von Mittelstand-Digital. Weitere Informationen finden Sie unter www.mittelstand-digital.de.