EU AI Act Compliance: Beratung zur KI-Verordnung
Die Verordnung (EU) 2024/1689 über künstliche Intelligenz ist das weltweit erste umfassende KI-Gesetz. KO‑MO‑TEL unterstützt Sie bei der Risikoeinstufung, Dokumentation und Compliance – von der KI-Inventarisierung bis zur laufenden AI-Governance.
Was ist der EU AI Act (KI-Verordnung)?
Der EU AI Act (Verordnung EU 2024/1689 über künstliche Intelligenz) ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen. Er trat am 1. August 2024 in Kraft und wird stufenweise bis August 2027 vollständig anwendbar. Verbotene KI-Praktiken gelten bereits seit 2. Februar 2025, Foundation-Models-Pflichten (GPAI) seit 2. August 2025, Hochrisiko-KI-Anforderungen ab 2. August 2026. Als EU-Verordnung gilt der AI Act unmittelbar in allen 27 Mitgliedstaaten, ohne nationale Umsetzung.
Der AI Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte, Gesundheit, Sicherheit und Demokratie, desto strenger die Anforderungen. KO‑MO‑TEL GmbH aus München unterstützt seit 1994 Unternehmen im bayerischen Mittelstand bei der verantwortungsvollen Nutzung von Technologie – und seit 2024 gezielt bei AI-Act-Compliance. Die Verordnung betrifft nicht nur KI-Entwickler: Auch Betreiber (deployer), die KI-Systeme unter eigener Verantwortung nutzen, müssen Pflichten einhalten.
EU-Verordnung
(EU) 2024/1689, veröffentlicht am 13.06.2024
In Kraft seit
1. August 2024 (stufenweise bis 2027)
Regulierungsansatz
Risikobasiert: 4 Stufen von verboten bis minimal
Geltungsbereich
EU-weit + Drittlandanbieter mit EU-Markt-Bezug
Die 4 Risikoklassen des AI Act
Der EU AI Act klassifiziert KI-Systeme in vier Risikostufen. Die Einstufung bestimmt, welche Pflichten Anbieter und Betreiber erfüllen müssen. Die strengsten Anforderungen gelten für Hochrisiko-KI-Systeme in kritischen Bereichen wie Beschäftigung, Bildung, Biometrie und Zugang zu wesentlichen Leistungen.
Verbotene KI-Praktiken (Art. 5)
Seit 2. Februar 2025 sind vier Kategorien von KI-Systemen in der EU verboten: Manipulative Techniken (Dark Patterns, unterschwellige Beeinflussung), Ausnutzung von Schwachstellen vulnerabler Gruppen (Alter, Behinderung, sozioökonomische Lage), Social Scoring durch Behörden (Bewertung von Bürgern nach Sozialverhalten mit Nachteilen), und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgung (mit engen Ausnahmen bei Terrorismus und Vermissten).
Hochrisiko-KI-Systeme (Art. 6–51)
KI-Systeme in kritischen Bereichen gemäß Anhang III: Biometrische Identifikation, kritische Infrastrukturen (Strom, Wasser, Verkehr), Bildung und Berufsbildung (automatisierte Prüfungsbewertung), Beschäftigung und Personalverwaltung (KI-Recruiting, Leistungsbewertung), Zugang zu wesentlichen Leistungen (Kreditscoring, Versicherung), Strafverfolgung (Predictive Policing), Migration und Asyl, Rechtspflege. Pflichten: Risikomanagement, Datengovernance, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht, Genauigkeit, Cybersicherheit, Konformitätsbewertung, CE-Kennzeichnung.
KI mit begrenztem Risiko – Transparenzpflichten (Art. 50)
KI-Systeme, die mit Menschen interagieren oder Inhalte generieren, unterliegen Transparenzpflichten: Chatbots müssen als KI gekennzeichnet werden ('Sie sprechen mit einem KI-System'), Deepfakes (KI-generierte Bilder, Audio, Video) müssen als KI-generiert gekennzeichnet werden, Emotionserkennung und biometrische Kategorisierung erfordern Information der betroffenen Personen vor dem Einsatz. Anwendbar ab 2. August 2026.
Minimales Risiko – Keine Pflichten
Die meisten KI-Anwendungen fallen in diese Kategorie und sind vom AI Act nicht reguliert: Spam-Filter, KI-gestützte Videospiele, Rechtschreibprüfung, Empfehlungssysteme (ohne manipulativen Charakter), Produktivitäts-Tools wie GitHub Copilot oder Microsoft Copilot für interne Zwecke. Freiwillige Verhaltenskodizes sind möglich. Diese KI-Systeme müssen weiterhin DSGVO und Verbraucherschutzrecht einhalten.
Umsetzungsfristen des EU AI Act
Der AI Act wird gestaffelt umgesetzt. Zwei Fristen sind bereits verstrichen, die wichtigste Frist für Hochrisiko-KI kommt im August 2026. Unternehmen sollten jetzt mit der Vorbereitung beginnen.
Verbotene KI-Praktiken (Art. 5)
Seit diesem Datum sind manipulative KI-Techniken, Ausnutzung vulnerabler Gruppen, behördliches Social Scoring und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum verboten. Verstöße werden mit bis zu 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes geahndet.
GPAI-Modelle / Foundation Models (Art. 51–56)
Pflichten für Anbieter von General Purpose AI (GPAI) Modellen wie GPT-4, Claude, Llama und Gemini: Technische Dokumentation, Urheberrechtsinformationen, Energieeffizienz-Bericht. Bei systemischem Risiko (>10²⁵ FLOPs): Zusätzlich Modellevaluation, Adversarial Testing, Incident Reporting.
Hauptteil: Hochrisiko-KI, Transparenz, Governance (Art. 6–83)
Der Hauptteil der Verordnung wird anwendbar: Alle Anforderungen für Hochrisiko-KI-Systeme (Anhang III), Transparenzpflichten für Chatbots und Deepfakes (Art. 50), Governance-Strukturen und Marktüberwachung. Unternehmen müssen bis dahin KI-Inventarisierung, Risikoklassifizierung und Compliance-Maßnahmen abgeschlossen haben.
Wer muss den EU AI Act umsetzen?
Der AI Act betrifft die gesamte Wertschöpfungskette von KI-Systemen – von Entwicklern über Importeure bis hin zu Unternehmen, die KI unter eigener Verantwortung einsetzen. Auch KMU sind betroffen, wenn sie KI nutzen (nicht nur entwickeln). Die extraterritoriale Wirkung erfasst auch Drittlandanbieter, die KI-Systeme im EU-Markt bereitstellen.
Anbieter (Provider)
Entwickeln oder in Verkehr bringen von KI-Systemen. Tragen die Hauptverantwortung für Konformität: Risikomanagement, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung. Auch Start-ups und KMU, die KI-Produkte entwickeln.
Betreiber (Deployer)
Nutzen KI-Systeme unter eigener Verantwortung in ihrem Geschäftsbetrieb. Pflichten: Nutzung gemäß Gebrauchsanweisung, menschliche Aufsicht, Überwachung der KI-Leistung, Meldung schwerwiegender Vorfälle, ggf. Grundrechtliche Folgenabschätzung (FRIA).
Importeure & Händler
Bringen KI-Systeme von Drittland-Anbietern in den EU-Markt. Müssen sicherstellen, dass importierte KI-Systeme konform sind (CE-Kennzeichnung, Konformitätserklärung, technische Dokumentation vorhanden).
Betroffene Personen
Personen, deren Daten durch KI-Systeme verarbeitet werden oder die KI-Entscheidungen unterliegen. Haben Rechte auf Transparenz, Information über KI-Einsatz und menschliche Überprüfung bei automatisierten Entscheidungen.
Auch KMU sind betroffen
Nutzen Sie HR-Software mit KI-Bewerberselektion? Setzen Sie Chatbots ein? Verwenden Sie KI-gestütztes Kreditscoring? Dann könnten Sie als Betreiber (deployer) von Hochrisiko-KI oder KI mit begrenztem Risiko Pflichten nach dem AI Act haben. Der AI Act sieht erleichterte Anforderungen für KMU und Start-ups vor (Art. 62), aber keine vollständige Befreiung.
Sanktionen bei Verstößen gegen den AI Act
Der EU AI Act sieht gestaffelte Bußgelder vor, die sich an der Schwere des Verstoßes orientieren. Es gilt jeweils der höhere Betrag – Festbetrag oder Prozentsatz des weltweiten Jahresumsatzes. Zusätzlich drohen Produktrückrufe, Untersagung des KI-Systems und Reputationsschäden. In Deutschland sind BSI und Bundesnetzagentur als Marktüberwachungsbehörden zuständig.
35 Mio. EUR
oder 7% Umsatz
Verbotene KI-Praktiken (Art. 5)
15 Mio. EUR
oder 3% Umsatz
Hochrisiko-KI-Verstöße (Art. 9–29)
7,5 Mio. EUR
oder 1,5% Umsatz
Transparenzpflichten / falsche Informationen
Die Sanktionen des AI Act sind die höchsten KI-spezifischen Bußgelder weltweit. Für KMU und Start-ups sieht der AI Act eine angemessene Berücksichtigung ihrer Situation vor, dennoch gilt: Frühzeitige Compliance ist deutlich günstiger als ein Bußgeldverfahren. Handeln Sie jetzt – die Hochrisiko-KI-Pflichten gelten ab August 2026.
Wie KO‑MO‑TEL bei AI-Act-Compliance unterstützt
KO‑MO‑TEL GmbH unterstützt Unternehmen bei verantwortungsvoller KI-Nutzung und AI-Act-Compliance. Unser strukturierter Beratungsansatz deckt alle Phasen ab – von der Erstbewertung bis zur laufenden AI-Governance. Als IT-Dienstleister seit 1994 verbinden wir regulatorisches Know-how mit technischer Umsetzungskompetenz.
KI-Inventarisierung & Risikoklassifizierung
Erfassung aller eingesetzten und entwickelten KI-Systeme. Einstufung nach den vier Risikoklassen des AI Act (verboten, Hochrisiko, begrenztes Risiko, minimal). Kategorisierung nach Rolle (Anbieter, Betreiber, Importeur). Dokumentation in einem KI-Register mit Anbieter, Zweck, Rechtsgrundlage und betroffenen Personen.
Compliance-Gap-Analyse
Systematischer Abgleich Ihrer KI-Nutzung mit den AI-Act-Anforderungen. Identifikation von Dokumentationslücken, fehlenden Prozessen und technischen Defiziten. Priorisierter Maßnahmenplan mit Quick Wins (0–3 Monate) und mittelfristigen Maßnahmen (3–12 Monate). Gap-Report als Entscheidungsgrundlage für die Geschäftsführung.
Risikomanagement & Dokumentation für Hochrisiko-KI
Aufbau eines Risikomanagement-Systems gemäß Art. 9 AI Act. Erstellung technischer Dokumentation (Anhang IV): Systemarchitektur, Trainingsdaten, Testverfahren, Leistungskennzahlen. Grundrechtliche Folgenabschätzung (FRIA) gemäß Art. 27. Datenqualitäts-Checks und Bias-Prüfung der Trainingsdaten.
Transparenz-Implementierung & AI-Governance
Implementierung von Transparenz-Kennzeichnungen: Chatbot-Kennzeichnung, Deepfake-Wasserzeichen, KI-generierte Inhalte. Aufbau einer AI-Governance-Struktur: KI-Policy, Beschaffungsprozess für KI-Systeme, Schulungen für Mitarbeiter. Human-in-the-Loop-Prozesse für Hochrisiko-KI. Monitoring regulatorischer Entwicklungen.
Konformitätsbewertung & CE-Kennzeichnung
Begleitung bei der Konformitätsbewertung für Hochrisiko-KI (Selbstbewertung nach Anhang VI oder Drittprüfung nach Anhang VII). Vorbereitung der EU-Konformitätserklärung. Registrierung in der EU-Datenbank (Art. 71). Für Betreiber: Prüfung, ob zugekaufte KI-Systeme CE-gekennzeichnet und AI-Act-konform sind.
Laufende AI-Compliance & Schulungen
Jährliche Aktualisierung des KI-Inventars und der Risikoklassifizierung. Monitoring delegierter Rechtsakte und Durchführungsbestimmungen der EU-Kommission. Workshop 'AI Act für Nicht-Juristen' (4 Stunden, bis 20 Teilnehmer). Due-Diligence-Prüfung bei GPAI-Anbietern (OpenAI, Anthropic, Microsoft, Google). Begleitung bei Behördenprüfungen (BSI, BNetzA).
AI-Act Quick-Check
Ab 2.000 EUR
KI-Inventarisierung (grob), Risikoklassifizierung, erste Handlungsempfehlungen. 1 Tag Vor-Ort oder Remote. Ideal als Einstieg für KMU.
AI-Act Readiness-Paket
Ab 8.500 EUR
Vollständige KI-Inventarisierung, Gap-Analyse, Readiness-Report, Maßnahmenplan und 4-stündiger Workshop. Dauer: 3 Wochen. Für Unternehmen, die Hochrisiko-KI nutzen oder planen.
Häufig gestellte Fragen zum EU AI Act
Antworten auf die wichtigsten Fragen rund um die KI-Verordnung (EU 2024/1689) und deren Umsetzung in Deutschland.
Bereit für den nächsten Schritt?
Lassen Sie uns gemeinsam herausfinden, wie wir Ihre IT voranbringen können.