Glossar: EU AI Act
9 Min.
Was ist der EU AI Act?
Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das erste umfassende KI-Gesetz der Welt. Er legt verbindliche Anforderungen fest, wie künstliche Intelligenz in der Europäischen Union entwickelt, vertrieben und eingesetzt werden darf. Das Ziel: KI-Systeme sollen sicher, transparent und grundrechtskonform sein — ohne Innovation unnötig zu blockieren.
Die Verordnung trat am 1. August 2024 in Kraft (EU Commission, 2024). Für Hochrisiko-KI-Systeme gilt der Act ab dem 2. August 2026 vollumfänglich. Unternehmen, die KI einsetzen — von der einfachen Chatbot-Empfehlung bis zur automatisierten Kreditentscheidung — müssen spätestens dann nachweisen, dass ihre Systeme konform sind.
branchly erfüllt die Anforderungen des EU AI Act bereits heute: Hosting in europäischen Rechenzentren, vollständige Datenhoheit in der EU, transparente KI-Prozesse. Kein Risiko für dein Unternehmen, kein Handlungsbedarf in letzter Minute.
Wie funktioniert der EU AI Act? Das Risikoklassensystem
Der Act teilt alle KI-Systeme in vier Risikostufen ein. Diese Klassifizierung bestimmt, welche Pflichten du als Anbieter oder Betreiber hast.
Stufe 1: Inakzeptables Risiko (Verboten)
KI-Systeme, die fundamentale Grundrechte verletzen, sind schlicht verboten. Dazu gehören:
Soziale Bewertungssysteme (Social Scoring) durch Behörden
Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit eng gefassten Ausnahmen)
Manipulation durch unterschwellige Techniken, die dem Nutzer schaden
KI, die Schwachstellen bestimmter Personengruppen ausnutzt
Diese Verbote gelten seit dem 2. Februar 2025.
Stufe 2: Hohes Risiko (Strenge Anforderungen)
Hochrisiko-KI umfasst Systeme, die kritische Entscheidungen über Menschen treffen. Die vollständige Anwendung dieser Regeln beginnt am 2. August 2026. Typische Beispiele:
KI in der Kreditvergabe, Versicherung oder Personalauswahl
Biometrische Identifizierung
KI in kritischer Infrastruktur (Energie, Wasser, Verkehr)
Bildungs- und Berufsqualifikationsentscheidungen
Systeme, die Strafverfolgung oder Rechtspflege unterstützen
Anbieter von Hochrisiko-KI müssen unter anderem: ein Risikomanagementsystem einrichten, Trainingsdaten dokumentieren, menschliche Aufsicht sicherstellen, technische Robustheit garantieren und sich bei einer EU-Datenbank registrieren.
Stufe 3: Begrenztes Risiko (Transparenzpflichten)
KI-Systeme mit begrenztem Risiko unterliegen vor allem Transparenzanforderungen. Das betrifft besonders KI-Chatbots und generative KI: Nutzer müssen wissen, dass sie mit einem KI-System interagieren — nicht mit einem Menschen. Deepfakes müssen als solche gekennzeichnet werden.
Diese Stufe ist für die meisten Unternehmen mit Website-KI die relevante Kategorie. branchly kommuniziert standardmäßig transparent, dass Besucher mit einem KI-System sprechen. Diese Anforderung ist bereits im Produkt verankert.
Stufe 4: Minimales oder kein Risiko (Keine Sonderanforderungen)
Die große Mehrheit aller KI-Anwendungen fällt in diese Kategorie: KI-gestützte Spam-Filter, Empfehlungsalgorithmen, einfache Bildbearbeitung. Für diese Systeme gelten keine spezifischen Pflichten aus dem AI Act.
EU AI Act vs. DSGVO: Was ist neu?
Der AI Act ergänzt die DSGVO — er ersetzt sie nicht. Beide gelten gleichzeitig. Hier sind die wesentlichen Unterschiede:
Merkmal | DSGVO | EU AI Act |
|---|---|---|
Gegenstand | Verarbeitung personenbezogener Daten | Entwicklung und Einsatz von KI-Systemen |
In Kraft seit | Mai 2018 | August 2024 |
Vollständige Anwendung | Sofort (2018) | Stufenweise bis August 2026 |
Höchststrafe (Tier 1) | 4 % des weltweiten Jahresumsatzes | 7 % des weltweiten Jahresumsatzes |
Adressaten | Unternehmen, die Daten verarbeiten | Anbieter, Betreiber und Importeure von KI |
Durchsetzung | Datenschutzbehörden (national) | KI-Marktüberwachungsbehörden (national) + EU AI Office |
Kumulierbarkeit | Gilt parallel zum AI Act | Kann zusätzlich zur DSGVO greifen |
Aufwand für KMU | Bekannte Compliance-Praxis | Neu, komplex, hohe Einmalkosten |
Bis März 2026 wurden insgesamt rund 5,8 Milliarden Euro an DSGVO-Bußgeldern verhängt (BuiltinEU, 2025). Die maximale Strafe nach EU AI Act liegt mit 7 % des Jahresumsatzes fast doppelt so hoch wie das DSGVO-Maximum von 4 % — ein klares Signal, wie ernst die EU diesen Regelungsbereich nimmt.
Bußgelder und Strafen: Die drei Tiers
Das Bußgeldsystem des EU AI Act ist abgestuft — je nach Schwere des Verstoßes (Art. 99 EU AI Act, via matproof.com, 2025):
Tier 1 — Verbotene KI-Praktiken:
Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (der jeweils höhere Betrag). Greift bei Verstößen gegen die Verbote aus Art. 5 — also bei echten Grundrechtsverletzungen.
Tier 2 — Verstöße gegen Hochrisiko-Anforderungen:
Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Betrifft Fehler bei Risikomanagementsystemen, Dokumentation, technischer Robustheit oder Transparenz bei Hochrisiko-KI.
Tier 3 — Falsche Angaben gegenüber Behörden:
Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes. Greift bei Fehlinformationen in Registrierungen oder Behördenkommunikation.
Für KMU und Startups gelten angepasste Obergrenzen — der Act sieht explizit vor, dass kleinere Unternehmen verhältnismäßig behandelt werden. Dennoch: Ignorieren ist keine Strategie.
Zeitplan: Wann gilt was?
Datum | Was tritt in Kraft |
|---|---|
1. August 2024 | EU AI Act tritt in Kraft |
2. Februar 2025 | Verbote für inakzeptables Risiko gelten |
2. August 2025 | Governance-Regelungen und allgemeine KI-Modelle (GPAI) |
2. August 2026 | Hochrisiko-KI vollständig anwendbar (Art. 6 Abs. 2 Systeme) |
2. August 2027 | Hochrisiko-KI in bestehenden Produkten (Art. 6 Abs. 1) |
Der Stand der Vorbereitung: Besorgniserregend
Die Zahlen sind eindeutig: Ein Großteil der europäischen Unternehmen ist noch nicht bereit.
Laut einer Umfrage von Littler (November 2025) unter europäischen Arbeitgebern geben nur 18 % an, "sehr gut vorbereitet" zu sein — während 20 % überhaupt nicht vorbereitet sind (Littler, 2025).
In Deutschland ist das Bild ähnlich: 69 % der deutschen Unternehmen wünschen sich konkrete Hilfe bei der Umsetzung des AI Act, wie eine Bitkom-Erhebung zeigt (Bitkom, Juli 2025). Das überrascht kaum, denn die Compliance-Kosten für Hochrisiko-KI sind erheblich: Laut EU Commission und Eurochambres müssen Unternehmen mit 319.000 bis 600.000 Euro rechnen, allein um ein einzelnes Hochrisiko-KI-System compliant zu machen (Eurochambres, 2026).
Erschwerend kommt hinzu, dass die nationale Durchsetzungsstruktur noch im Aufbau ist: Bis März 2026 hatten nur 8 von 27 EU-Mitgliedstaaten eine nationale Kontaktstelle für den AI Act benannt (EPRS, März 2026). Das ändert nichts an der Geltung der Verordnung — verzögert aber die Rechtssicherheit für Unternehmen.
Für branchly-Kunden ist dieser Aufwand weitgehend erledigt: Die Plattform ist auf Azure EU-Servern gehostet, alle Prozesse sind dokumentiert und transparent, die KI-Interaktionen werden DSGVO-konform auf EU-Infrastruktur verarbeitet.
EU AI Act in der Praxis: Drei Branchen
E-Commerce
Ein Online-Shop, der einen KI-Chatbot für Produktberatung einsetzt, fällt typischerweise in die Stufe "begrenztes Risiko". Die Pflicht: Nutzer müssen wissen, dass sie mit KI sprechen. branchly erfüllt das automatisch — jede Konversation macht transparent, dass es sich um ein KI-System handelt. Wer dagegen KI für automatisierte Preisdiskriminierung oder personalisierte Manipulation ohne Einwilligung einsetzt, bewegt sich in deutlich riskanteres Terrain.
Praxistipp: Überprüfe, ob dein Recommendation-Engine oder dein Chatbot personenbezogene Entscheidungen trifft — oder nur informiert. Der Unterschied bestimmt die Risikoklasse. Mit branchly und seinen über 40 Millionen verarbeiteten KI-Sessions (Quelle: branchly, 2026) haben Hunderte europäischer E-Commerce-Unternehmen diesen Weg bereits gegangen.
Tourismus
Für touristische Unternehmen sind KI-Chatbots in der Regel niedrigschwellige Systeme: Sie beantworten Fragen, geben Empfehlungen, unterstützen bei Buchungen. Das fällt unter "begrenztes" oder "minimales" Risiko. Die Herausforderung liegt weniger in der Risikoklassifizierung als in der Dokumentation: Welche Daten fließen in die KI? Werden Gästedaten außerhalb der EU verarbeitet?
branchly unterstützt 101 Sprachen nativ — Tourismus-Websites können internationale Gäste in deren Muttersprache bedienen, ohne dass Daten in Drittländer übermittelt werden. Die Widget-Interaktionsrate liegt bei 5–10 % (Branchendurchschnitt: 0,5–1 %) — das entspricht einem 10-fachen Unterschied (Quelle: branchly, 2026).
Finanzdienstleistungen
Hier wird es ernst: KI, die an Kreditentscheidungen, Risikobewertungen oder Betrugserkennung beteiligt ist, fällt unter Hochrisiko. Die Anforderungen sind streng — Risikomanagementsystem, Dokumentation der Trainingsdaten, menschliche Aufsicht, Registrierung. Wer KI nur für FAQ-Bots oder Lead-Qualifizierung einsetzt, operiert im "begrenzten Risiko"-Bereich und kommt mit Transparenzpflichten davon.
branchly bedient 40 Millionen Nutzer in diesem Umfeld — darunter Finanzdienstleister wie IKB, die auf EU-konforme KI-Kommunikation setzen. Die Plattform ist ab 499 Euro/Monat (Starter, 1.000 Sessions) verfügbar und deckt die Transparenzpflichten des AI Act ohne Mehraufwand ab.
Verwandte Begriffe
Häufig gestellte Fragen
Was ist der EU AI Act in einfachen Worten?
Der EU AI Act ist das erste umfassende KI-Gesetz der Welt. Er schreibt vor, welche Anforderungen KI-Systeme in der EU erfüllen müssen — abhängig vom Risiko, das sie für Menschen darstellen. Verbotene Praktiken wie Social Scoring sind seit Februar 2025 untersagt. Hochrisiko-KI muss ab August 2026 strenge Auflagen erfüllen. Alle anderen KI-Systeme unterliegen hauptsächlich Transparenzpflichten.
Ab wann gilt der EU AI Act für mein Unternehmen?
Das hängt davon ab, welche Art von KI du einsetzt. Verbote gelten seit dem 2. Februar 2025. Hochrisiko-Systeme (wie KI in der Kreditvergabe oder Personalauswahl) müssen ab dem 2. August 2026 vollständig konform sein. Für KI-Chatbots und generative KI — also die meisten Website-Anwendungen — gelten Transparenzpflichten, die schrittweise in Kraft getreten sind.
Ist mein KI-Chatbot ein Hochrisiko-System nach dem EU AI Act?
In den allermeisten Fällen: nein. Chatbots für Produktberatung, FAQs, Support oder Tourismusinformationen fallen typischerweise in die Kategorie "begrenztes Risiko" — sie müssen sich als KI zu erkennen geben, aber kein Risikomanagementsystem nachweisen. Hochrisiko entsteht erst, wenn KI-Systeme Entscheidungen über Menschen treffen: Kredit, Beschäftigung, Strafverfolgung, Bildung. Wenn du dir unsicher bist: Lass deinen Anwendungsfall von einem Juristen mit AI-Act-Expertise prüfen.
Welche Strafen drohen bei Verstößen gegen den EU AI Act?
Das Bußgeldsystem hat drei Stufen. Verstöße gegen verbotene KI-Praktiken (Tier 1): bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Verstöße gegen Hochrisiko-Anforderungen (Tier 2): bis zu 15 Millionen Euro oder 3 %. Falsche Angaben gegenüber Behörden (Tier 3): bis zu 7,5 Millionen Euro oder 1,5 %. Zum Vergleich: Das DSGVO-Maximum liegt bei 4 % — der AI Act übertrifft das (matproof.com, 2025).
Wie unterscheidet sich der EU AI Act von der DSGVO?
Die DSGVO regelt, wie personenbezogene Daten verarbeitet werden. Der EU AI Act regelt, wie KI-Systeme entwickelt und eingesetzt werden dürfen. Beide Regelwerke gelten gleichzeitig und können sich überschneiden — etwa wenn ein KI-System personenbezogene Daten für Entscheidungen nutzt. Die gute Nachricht: Wer DSGVO-konform arbeitet, hat viele Grundlagen bereits erledigt.
Was bedeutet Transparenzpflicht bei KI-Chatbots konkret?
Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren — nicht mit einem echten Menschen. Das bedeutet in der Praxis: ein klarer Hinweis beim Start der Konversation (z. B. "Du chattest mit unserem KI-Assistenten"). Deepfakes und synthetische Medien müssen ebenfalls als KI-generiert gekennzeichnet werden. branchly kommuniziert diese Transparenz standardmäßig in jeder Interaktion.
Gilt der EU AI Act auch für Unternehmen außerhalb der EU?
Ja. Ähnlich wie die DSGVO folgt der AI Act dem Marktortprinzip: Wer KI-Systeme in der EU anbietet oder deren Outputs in der EU genutzt werden, unterliegt dem Act — unabhängig vom Unternehmenssitz. Das hat praktische Konsequenzen: US-amerikanische KI-Anbieter ohne EU-Repräsentanz müssen Vertreter benennen.
Wie gut sind europäische Unternehmen auf den EU AI Act vorbereitet?
Schlecht, wenn man den Umfragen glaubt. Laut Littler (November 2025) sind nur 18 % der europäischen Arbeitgeber "sehr gut vorbereitet" — 20 % sind gar nicht vorbereitet (Littler, 2025). In Deutschland geben 69 % der Unternehmen an, konkrete Hilfe bei der Umsetzung zu brauchen (Bitkom, 2025). Wer KI über einen compliant-by-design-Anbieter wie branchly einsetzt, reduziert diesen Aufwand erheblich.
Was kostet EU AI Act Compliance für KMU?
Für Hochrisiko-KI-Systeme sind die Kosten erheblich: Laut EU Commission und Eurochambres rechnen Unternehmen mit 319.000 bis 600.000 Euro für ein einzelnes System (Eurochambres, 2026). Für KI-Systeme mit begrenztem Risiko — also typische Chatbots und Website-KI — sind die Aufwände deutlich geringer: Transparenzpflichten, Dokumentation und klare Kennzeichnung als KI genügen in den meisten Fällen.
Wie kann ich prüfen, ob meine KI EU AI Act konform ist?
Starte mit einer Risikoklassifizierung: Trifft deine KI automatisierte Entscheidungen über Menschen in sensiblen Bereichen (Kredit, Arbeit, Bildung, Strafverfolgung)? Falls ja, bist du im Hochrisiko-Bereich. Falls nein, prüfe, ob du die Transparenzpflichten erfüllst: Wissen Nutzer, dass sie mit KI interagieren? Werden Daten ausschließlich in der EU verarbeitet? Ein EU-AI-Act-konformer Anbieter wie branchly nimmt dir einen Großteil dieser Prüfung ab — Hosting auf Azure EU, dokumentierte Prozesse, DSGVO-Konformität inklusive.
