Dieser Beitrag ordnet die politische Einigung zum AI Act aus dem Dezember 2023 ein. Für die heutige Rechtslage rund um KI-Systeme, Anbieterrollen, Einsatz im Unternehmen und Anschlussfragen zu Governance, Dokumentation und Haftung führt vor allem die Vertiefung im KI-Recht für Unternehmen weiter.
Schneller Einstieg
Der Beitrag beleuchtet die damalige politische Einigung zum europäischen AI Act und ihre Kernelemente.
Relevant ist das insbesondere für Unternehmen, Produktverantwortliche, KI-Anbieter, Deployer, Start-ups und Compliance-Funktionen.
Der ursprüngliche Haupttext ist historisch einzuordnen. Maßgeblich ist inzwischen die in Kraft getretene KI-Verordnung mit gestaffelten Anwendungsdaten.
Sie sehen schnell, welche Aussagen des Altbeitrags weiter tragen und an welcher Stelle die aktuelle Pflichtenlage inzwischen weiter ist.
Kurze Einordnung
Das Wichtigste in Kürze
- Der Haupttext bildet den Stand der politischen Einigung vom 9. Dezember 2023 ab und ist deshalb heute vor allem als zeitliche Einordnung nützlich.
- Die KI-Verordnung der EU ist inzwischen in Kraft und gilt schrittweise, sodass für Unternehmen nicht mehr nur die Einigung, sondern vor allem die konkrete Anwendbarkeit einzelner Pflichten zählt.
- Seit dem 2. Februar 2025 greifen bereits die Regeln zu verbotenen Praktiken und zur KI-Kompetenz; für General-Purpose-AI-Modelle gelten zentrale Vorgaben seit dem 2. August 2025.
- Der breite Hauptanwendungszeitpunkt vieler Vorschriften liegt beim 2. August 2026; einzelne Pflichten für bestimmte Hochrisiko-Systeme greifen erst ab dem 2. August 2027.
- Wer KI-Systeme entwickelt, einkauft, integriert oder im Unternehmen nutzt, sollte die Einordnung nicht nur technisch, sondern auch entlang von Rollen, Einsatzkontext, Dokumentation und Governance prüfen.
Heute eingeordnet
Stand April 2026
Der Beitrag stammt aus der Phase der politischen Einigung. Inzwischen ist die KI-Verordnung der Europäischen Union in Kraft und gilt gestaffelt. Das bedeutet: Der historische Haupttext bleibt als Einordnung verständlich, die operative Bewertung richtet sich heute aber nach dem inzwischen erlassenen Rechtsakt und seinen Anwendungsdaten.
- Seit dem 1. August 2024 ist die Verordnung in Kraft.
- Seit dem 2. Februar 2025 gelten bereits die Regeln zu verbotenen KI-Praktiken und zur KI-Kompetenz.
- Seit dem 2. August 2025 gelten zentrale Regeln für General-Purpose-AI-Modelle sowie bestimmte Governance-Bausteine.
- Ab dem 2. August 2026 gilt ein großer Teil der übrigen Verordnung.
- Für einzelne Hochrisiko-Systeme nach der Produktregulierung reicht die Übergangsfrist bis zum 2. August 2027.
Für Unternehmen ist deshalb nicht nur die abstrakte Risikologik wichtig. Praktisch entscheidend ist, welche Rolle das eigene Unternehmen einnimmt, ob ein System als Hochrisiko-System einzuordnen ist, ob GPAI-Bezug besteht, welche Transparenz- und Dokumentationspflichten greifen und ob bereits konkrete Umsetzungsarbeit ansteht. Für die breitere rechtliche Einordnung führt die fachliche Vertiefung im Bereich KI-Recht weiter.
Der AI Act, das KI Gesetz wurde im April 2021 von der EU-Kommission vorgeschlagen
KI-Recht. Nach 36 Stunden Verhandlungen verständigten sich Vertreter des EU-Parlaments und EU-Ministerrats am Freitag, den 9. Dezember 2023 auf den „AI Act“, welcher den Umgang mit künstlicher Intelligenz regeln soll. Damit bildet der AI Act das erste KI-Gesetz der Welt und soll laut Roberta Metsola, der Präsidentin des Europäischen Parlaments, Nachahmer finden.
Das Gesetz wurde im April 2021 von der EU-Kommission vorgeschlagen.
Es soll eine transparente und verantwortliche Entwicklung und Anwendung von KI in der EU sicherstellen. Hierbei soll die Sicherheit, sowie die Grundrechte von natürlichen und juristischen Personen geschützt werden.
KI-Modelle sollen in verschiedene Risikogruppen eingeteilt werden. Diese sind unterteilt in 1. Verboten, 2. Hochrisiko, 3. Eingeschränktes Risiko und 4. Minimales Risiko. Dies hängt von dem Bereich ab, in welchem die KI operiert und wie das KI-System funktioniert bzw. die Rechenleistung, die zum Training dieser genutzt wurde. Als risikoreiche Anwendung zählt KI, die in kritischer Infrastruktur agiert, wie beispielsweise dem Gesundheitswesen.
Sogenannte „Hochrisiko KI-Systeme“ sollen klaren Verpflichtungen folgen, die Missbrauch verhindern und Sicherheitsrisiken minimieren. Darunter fallen Modelle, die mit großen Datenmengen trainiert worden sind, höhere Leistung erbringen und systemische Risiken bringen.
Damit soll ein Kompromiss gefunden werden, Entwickler großer KI-Modelle Verpflichtungen aufzuerlegen und kleine Start-Ups nicht zu behindern. Je höher die Einstufung in das Risikosystem, desto strikter sind die Vorgaben, an die sich die Entwickler halten müssen.
Entwickler müssen nun „technische Dokumentationen“ erstellen, wodurch Informationen über Trainings- und Testverfahren gegeben wird.
Texte, Bilder und Töne, die durch KI entstanden sind, sollen als solche kenntlich gemacht werden und mit einem Watermark versehen werden.
KI zur Gesichtserkennung im öffentlichen Raum soll nur gegen konkrete Verdächtige im Zusammenhang mit schweren Straftaten erlaubt sein. Dazu zählen Straftaten, auf die eine Mindeststrafe von drei Jahren Freiheitsstrafe besteht. Auch ist dies nur nach richterlicher Genehmigung zulässig. Entgegen Frankreichs Forderung KI-Gesichtserkennung zur Sicherheitsgewährleistung der Olympischen Spiele 2024 zu nutzen, darf die KI-Gesichtserkennung kaum präventiv eingesetzt werden. Dies ist nur unter höheren Anforderungen zur Verhinderung konkreter gegenwärtiger terroristischer Bedrohung und Lokalisierung und Identifizierung einer verdächtigen Person zulässig oder zum Auffinden der Opfer von Menschenhandel.
KI-Unternehmer sollen eine detaillierte Zusammenfassung der Inhalte bereitstellen, die sie für das Trainieren ihrer Modelle benutzen. Damit tritt die EU der Gefahr entgegen, dass urheberrechtlich geschützte Werke von Künstlern zum Training der KI-Modelle benutzt werden, obwohl diese dem nicht zugestimmt haben.
Die Einhaltung des EU-Urheberrechts soll hierdurch kontrolliert werden können.
Gänzlich verboten ist zukünftig die Erstellung von Gesichtsdatenbanken durch ungezieltes Auslesen von Fotos aus dem Internet, Social- Scoring-Systeme, kognitive Verhaltensmanipulation und Erstellung biometrischer Kategorisierungssysteme, die auf sensiblen Daten wie politischer Überzeugung basieren.
Damit sind nicht nur Anbieter von KI-Systemen vom AI Act betroffen, sondern auch Nutzer der KI-Systeme, so auch Privatpersonen.
Zur Regulierung wird eine KI-Behörde innerhalb der Kommission eingerichtet mit Unterabteilungen in den einzelnen Mitgliedsstaaten. Im Europäischen Ausschuss kommen Vertreter der nationalen Behörden, die für die Überwachung der KI-Systeme verantwortlich sind, zusammen, um eine einheitliche Anwendung der Rechtsvorschriften zu garantieren.
Bürger sollen Beschwerden einreichen können und Auskunft über die Entscheidungen erhalten.
Bei Verstoß gegen die in der Verordnung festgelegten Pflichten, werden Bußgelder verhängt, welche je nach Art, Schwere und Dauer variieren.
Nun müssen das Europaparlament und die Mitgliedsstaaten dem Vorhaben noch zustimmen.
Was davon heute besonders relevant bleibt
Praktische Einordnung für Unternehmen
- Die risikobasierte Logik des Beitrags trägt weiterhin. Für die Unternehmenspraxis reicht eine grobe Einordnung in „KI ja oder nein“ aber regelmäßig nicht aus.
- Wesentlich ist die Rollenfrage: Anbieter, Importeur, Händler, Betreiber oder sonstige Einbindung können unterschiedliche Pflichten auslösen.
- Besonders sensibel sind Hochrisiko-Konstellationen, General-Purpose-AI-Modelle, Transparenzpflichten, Verbotsbereiche und die interne Organisation von Freigabe, Schulung und Dokumentation.
- Wer bereits konkrete Klassifizierungs-, Dokumentations- oder Governance-Fragen lösen muss, ist nicht mehr im bloßen Überblick, sondern in der operativen Umsetzung. Dann führt die engere Vertiefung zu AI Act / KI-Verordnung umsetzen weiter.
Häufige Anschlussfragen
Gilt dieser Beitrag noch als aktuelle Einführung in den AI Act?
Als historische Einordnung ja. Für die operative Rechtslage nur eingeschränkt. Der Haupttext beschreibt die politische Einigung Ende 2023, während die Verordnung inzwischen in Kraft ist und schrittweise anwendbar wird.
Ab wann müssen Unternehmen tatsächlich mit Pflichten rechnen?
Das hängt von der Rolle und vom Systemtyp ab. Verbotene Praktiken und KI-Kompetenz sind bereits seit Februar 2025 relevant. Zentrale Regeln für GPAI gelten seit August 2025. Viele weitere Vorschriften greifen ab August 2026.
Reicht ein allgemeiner Überblick zum AI Act für die Praxis aus?
Oft nicht. Sobald ein Unternehmen KI-Systeme einkauft, integriert, trainiert, vertreibt oder intern produktiv einsetzt, geht es regelmäßig um Klassifizierung, Dokumentation, Zuständigkeiten, Vertragslage, Datenbezug und Nachweisfähigkeit.
Offizielle Quellen und weiterführende Hinweise
EU-KI-Verordnung
Maßgeblich ist die Verordnung (EU) 2024/1689 im Amtsblatt der Europäischen Union. Sie ist die verbindliche Grundlage für die heutige Einordnung des AI Act.
Offizielle Zeitschiene der Europäischen Kommission
Die Kommission stellt die gestaffelte Anwendbarkeit des AI Act mit den relevanten Daten übersichtlich dar.
Leitlinien zu verbotenen Praktiken
Für die Auslegung der Verbotsnormen ist der Blick in die Leitlinien der Kommission besonders sinnvoll.
Leitlinien und Code of Practice zu GPAI
Für Anbieter und Einordnungen im GPAI-Bereich sind die Kommissionshinweise und der Code of Practice ein naheliegender Ausgangspunkt.
Leitlinien für Anbieter von General-Purpose-AI-Modellen
General-Purpose-AI Code of Practice
Zuständige Rechtsanwälte bei ITMR
Jean Paul P. Bohne, LL.M., MM
Partner, Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht. Naheliegend bei KI-Recht, Digitalregulierung, urheberrechtlichen Schnittstellen und unternehmensweiter Einordnung von KI-Projekten.
Dr. Alexander Pleh
Partner, Fachanwalt für IT-Recht, AI Officer | KI-Beauftragter. Naheliegend bei regulatorischer Einordnung, Governance-Fragen und operativer Umsetzung des AI Act im Unternehmen.
Fazit
Der Beitrag bleibt als Einordnung der politischen Einigungsphase Ende 2023 sinnvoll. Für die heutige Unternehmenspraxis ist jedoch die inzwischen geltende und schrittweise anwendbare KI-Verordnung maßgeblich.
Wer den AI Act zunächst rechtlich einordnen will, findet die passende Vertiefung im KI-Recht für Unternehmen. Wenn Klassifizierung, Dokumentation, Freigabeprozesse, Rollenverteilung oder Governance bereits konkret anstehen, ist die engere Route über AI Act / KI-Verordnung umsetzen der sachnähere nächste Schritt.
Einen breiteren Überblick zu digitalen Regulierungsfragen im Unternehmenskontext bietet außerdem IT-Recht & Digitalisierung.
AI / KI Act der EU - Gesetz über künstliche Intelligenz
von Annemarie Schulz, wissenschaftliche Mitarbeiterin