Von Hakan Akcan · Reepa Solutions
Mit dem EU AI Act hat die Europäische Union 2024 das weltweit erste umfassende KI-Gesetzeswerk verabschiedet — und die Wirkung wird für den deutschen Mittelstand 2026 spürbar. Während viele Geschäftsleitungen den AI Act noch als Thema für Tech-Konzerne abtun, gelten zentrale Pflichten ausdrücklich auch für reine Anwender — also für jedes Unternehmen, das ChatGPT in der Personalauswahl einsetzt, Copilot in der Buchhaltung nutzt oder ein RAG-System auf Kundendaten anwendet. Seit Februar 2025 greift die AI-Literacy-Pflicht nach Artikel 4, ab August 2026 die meisten Pflichten für Hochrisiko-Systeme, und die Bußgelder liegen mit bis zu 35 Millionen Euro oder 7 Prozent des Konzernumsatzes deutlich über dem DSGVO-Niveau. Dieser Artikel zeigt, was der AI Act konkret regelt, welche Risiko-Klassen es gibt, welche Pflichten für mittelständische Unternehmen als Anwender wirklich greifen, was AI-Literacy in der Praxis bedeutet und mit welchen konkreten Schritten Sie sich für die Frist August 2026 aufstellen. Für die Einordnung in die Gesamtstrategie siehe unseren KI-Guide für den Mittelstand, für die parallel geltenden Datenschutz-Anforderungen unseren Cluster KI und DSGVO.
Was der EU AI Act ist — und die Zeitleiste bis 2027
Der EU AI Act — formal Verordnung (EU) 2024/1689 — ist am 1. August 2024 in Kraft getreten. Wie die DSGVO wirkt er als europäische Verordnung unmittelbar in jedem Mitgliedsstaat, ohne dass es eines deutschen Umsetzungs-Gesetzes bedarf. Geregelt wird der gesamte Lebenszyklus von KI-Systemen — Entwicklung, Inverkehrbringen, Einsatz und Marktüberwachung. Der Geltungsbereich ist extraterritorial: amerikanische, chinesische oder britische Anbieter, die ihre Modelle in der EU anbieten, sind genauso erfasst wie europäische Anbieter und Anwender.
Die Anwendbarkeit ist gestaffelt — ein bewusster Kompromiss zwischen schneller Wirkung und ausreichender Vorbereitungs-Zeit. Die folgende Zeitleiste zeigt die wichtigsten Stichtage:
| Datum | Was greift | Relevanz Mittelstand |
|---|---|---|
| 1. August 2024 | Inkrafttreten der Verordnung | Vorbereitungs-Phase startet |
| 2. Februar 2025 | Verbote nach Art. 5, AI-Literacy nach Art. 4 | Sofort relevant — Schulungs-Programm Pflicht |
| 2. August 2025 | Regeln für GPAI-Modelle, nationale Aufsichten, Sanktionen | Foundation-Model-Anbieter dokumentationspflichtig |
| 2. August 2026 | Pflichten für Hochrisiko-Systeme nach Anhang III | Hauptdatum — HR-Tools, Kredit-Scoring, kritische Infrastruktur |
| 2. August 2027 | Pflichten für Hochrisiko-Systeme nach Anhang I | KI in regulierten Produkten (Medizin, Spielzeug, Maschinen) |
Aus dieser Staffelung ergibt sich für mittelständische Unternehmen eine klare Prioritäten-Folge: AI-Literacy ist heute Pflicht und sollte sofort aufgesetzt werden, die Klassifizierung der eigenen KI-Anwendungen sollte 2025 abgeschlossen sein, und die volle Hochrisiko-Compliance muss bis August 2026 stehen. Wer wartet, läuft in die Sanktionsfristen.
Die vier Risiko-Klassen des AI Act
Das Herzstück des AI Act ist ein risiko-basierter Ansatz mit vier Klassen. Jede KI-Anwendung wird einer Klasse zugeordnet, aus der sich die konkreten Pflichten ableiten. Die Zuordnung erfolgt nach dem Anwendungs-Zweck — nicht nach der Technologie. Ein und dasselbe Sprachmodell kann je nach Einsatz in unterschiedliche Risiko-Klassen fallen.
| Risiko-Klasse | Beispiele | Konsequenz |
|---|---|---|
| Verbotene Praktiken (Art. 5) | Social Scoring durch Behörden, Manipulation durch unterschwellige Techniken, biometrische Echtzeit-Identifizierung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz | Komplettes Verbot, höchste Bußgelder |
| Hochrisiko (Anhang III) | HR-Screening, Kredit-Scoring, Versicherungs-Tarifierung, kritische Infrastruktur, Bildungs-Zulassungen, Strafverfolgung | Volle Pflichten — Risiko-Management, Daten-Governance, menschliche Aufsicht, Konformitätsbewertung |
| Begrenztes Risiko (Art. 50) | Chatbots im Kundenservice, KI-generierte Inhalte, Deepfakes | Transparenz-Pflichten — Kennzeichnung gegenüber Nutzer und Betroffenen |
| Minimales Risiko | Spam-Filter, KI in Computerspielen, Empfehlungs-Systeme im Einzelhandel | Keine spezifischen Pflichten — freiwillige Codes of Conduct möglich |
Eine Beobachtung aus unserer Beratungspraxis: die meisten mittelständischen Unternehmen unterschätzen ihre Hochrisiko-Exposition. Wer ein KI-gestütztes Bewerber-Tool einsetzt, fällt unmittelbar in den Hochrisiko-Bereich nach Anhang III Punkt 4 — unabhängig davon, ob es ein Eigen-Entwicklung ist oder eine Standard-Software wie SAP SuccessFactors mit KI-Modul. Die Hochrisiko-Klassifizierung folgt dem Anwendungs-Zweck, nicht der Software-Marke.
Wer ist betroffen — auch reine Anwender
Der AI Act unterscheidet vier Rollen: Anbieter (Provider), Anwender (Deployer), Importeur und Vertreiber. Für den deutschen Mittelstand sind in der Regel zwei Rollen relevant: Anwender beim Einsatz fertiger KI-Produkte, gelegentlich Anbieter bei Eigen-Entwicklungen oder bei deutlich angepassten Modellen.
Anwender im Sinne des AI Act ist jede natürliche oder juristische Person, die ein KI-System unter eigener Verantwortung verwendet — außer rein privat. Damit ist jedes mittelständische Unternehmen, das ChatGPT Enterprise, Microsoft Copilot, Claude for Work oder eine spezialisierte Anwendung wie ein KI-Bewerber-Screening produktiv einsetzt, Deployer und hat eigene Pflichten. Diese Pflichten umfassen unter anderem: das System nur entsprechend der Gebrauchs-Anweisung des Anbieters zu nutzen, menschliche Aufsicht sicherzustellen, Logs aufzubewahren, Betroffene zu informieren und im Hochrisiko-Bereich eine Grundrechte-Folgenabschätzung durchzuführen.
Eine wichtige Konstellation: wenn ein mittelständisches Unternehmen ein bestehendes KI-System wesentlich verändert — durch Fine-Tuning auf eigenen Daten, durch Umzweck-Anwendung oder durch Einbettung in ein eigenes Produkt — kann es selbst zum Anbieter werden und übernimmt damit die strengeren Anbieter-Pflichten. Dieser Fall tritt häufiger ein als erwartet, etwa wenn ein Maschinenbauer ein Llama-Modell für sein eigenes Service-Portal feintunt und das Ergebnis seinen Kunden zur Verfügung stellt.
Pflichten je Risiko-Klasse
Die folgende Übersicht zeigt die wichtigsten Pflichten differenziert nach Risiko-Klasse und Rolle. Sie ist als Orientierungs-Hilfe gedacht — die vollständige Klassifizierung und Pflicht-Ableitung gehört in eine dokumentierte Compliance-Analyse.
| Klasse | Anbieter-Pflichten | Anwender-Pflichten |
|---|---|---|
| Verbotene Praktiken | Nicht in Verkehr bringen | Nicht einsetzen |
| Hochrisiko | Risiko-Management-System, Daten-Governance, Technische Dokumentation, Transparenz, Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank-Registrierung | Einsatz nach Vorgabe, menschliche Aufsicht, Logs aufbewahren, Betroffene informieren, Grundrechte-Folgenabschätzung (FRIA) bei öffentlichen Stellen und bestimmten privaten Diensten |
| Begrenztes Risiko | Transparenz nach Art. 50 — Output kennzeichnen | Nutzer informieren, dass sie mit KI interagieren; KI-Output entsprechend kennzeichnen |
| Minimales Risiko | Keine spezifischen Pflichten | Keine spezifischen Pflichten — AI-Literacy gilt trotzdem |
Quer über alle Klassen gilt: die AI-Literacy-Pflicht nach Artikel 4 trifft sowohl Anbieter als auch Anwender — unabhängig von der Risiko-Klasse des konkreten Systems. Wer KI einsetzt, muss seine Belegschaft kompetent machen. Punkt.
AI-Act-Readiness-Check anfordern
Sie überlegen, wie weit Ihre KI-Anwendungen für den AI Act ab August 2026 aufgestellt sind? Wir bieten ein 30-minütiges Erstgespräch ohne Kosten — wir klassifizieren Ihre KI-Anwendungen, identifizieren Hochrisiko-Exposition und geben einen pragmatischen Fahrplan bis zur Frist.
Kostenlosen AI-Act-Readiness-Check anfordernAI-Literacy-Pflicht nach Artikel 4 — seit Februar 2025
Artikel 4 ist eine der unscheinbarsten und gleichzeitig folgenreichsten Bestimmungen des AI Act. Er verpflichtet Anbieter und Anwender, sicherzustellen, dass alle Beschäftigten, die mit KI-Systemen arbeiten, ein „ausreichendes Maß an KI-Kompetenz“ besitzen. Was „ausreichend“ heißt, lässt der Verordnungs-Text offen — er nennt aber Anknüpfungs-Punkte: die technische Kenntnis, die Erfahrung, die Ausbildung und der Anwendungs-Kontext sollen berücksichtigt werden.
In der Praxis bedeutet das für mittelständische Unternehmen vier konkrete Bausteine. Erstens ein dokumentiertes Schulungs-Programm, das alle Mitarbeitenden mit KI-Kontakt erreicht — vom Vertrieb, der ChatGPT für Angebots-Texte einsetzt, bis zur Buchhaltung, die Copilot für Excel-Analysen nutzt. Zweitens eine Rollen-Differenzierung: Power-User mit Prompt-Engineering- und Modell-Kenntnis brauchen tiefere Inhalte als Gelegenheits-Nutzer mit Basis-Briefings. Drittens Teilnahme-Nachweise pro Mitarbeitenden, die im Audit vorgelegt werden können. Viertens regelmäßige Auffrischungen — KI-Systeme entwickeln sich zu schnell, als dass eine einmalige Schulung dauerhaft trägt.
Praktisch sinnvoll sind drei Schulungs-Ebenen: ein 30-minütiges Pflicht-Modul für alle Mitarbeitenden zu KI-Grundlagen und Risiko-Bewusstsein, ein zweistündiges Aufbau-Modul für aktive Nutzer mit Prompt-Praxis und Datenschutz-Fokus, und ein halbtägiges Intensiv-Modul für Power-User und Multiplikatoren. Diese Struktur ist im Audit gut darstellbar und passt zur Größe und Aufwands-Bereitschaft mittelständischer Unternehmen. Mehr zum operativen Aufbau finden Sie in unserem Cluster KI-Training für Mitarbeiter.
Hochrisiko-Systeme — Beispiele aus dem Mittelstand
Die Hochrisiko-Klassifizierung nach Anhang III ist der Bereich, der mittelständische Unternehmen am häufigsten unerwartet trifft. Die folgenden drei Konstellationen sehen wir besonders oft:
- HR-Screening und Bewerber-SortierungAnhang III Punkt 4 stellt KI-Systeme zur Personalauswahl, zur Bewertung von Bewerbungen und zur Leistungs-Bewertung unter Hochrisiko-Status. Davon erfasst sind nicht nur exotische Spezial-Tools, sondern auch KI-Module in gängigen ATS-Systemen wie SAP SuccessFactors, Workday oder Personio, wenn diese eingehende Bewerbungen automatisch ranken oder zusammenfassen. Konsequenz: Risiko-Bewertung, menschliche Aufsicht über jede algorithmische Entscheidung, Information der Bewerbenden, Grundrechte-Folgenabschätzung.
- Kredit-Scoring und Bonitäts-BewertungAnhang III Punkt 5 erfasst KI-Systeme, die natürliche Personen für den Zugang zu wesentlichen privaten Diensten bewerten. Banken, Leasing-Anbieter, Versicherer, Vermieter und große Online-Händler mit Bonitäts-Prüfung fallen direkt in den Hochrisiko-Bereich. Im Mittelstand sehen wir das oft bei Maschinen-Vermietern mit automatisierter Kunden-Bewertung und bei B2B-Plattformen mit Bonitäts-Scoring.
- KI in kritischer InfrastrukturAnhang III Punkt 2 erfasst KI-Systeme als Sicherheits-Komponenten in der Steuerung kritischer Infrastruktur — Verkehr, Wasser, Gas, Strom, Wärme. Mittelständische Stadtwerke, Netz-Betreiber und Wasser-Versorger sind hier doppelt betroffen, weil parallel auch die NIS2-Richtlinie greift. Wer als KRITIS-Betreiber KI-gestützte Anomalie-Erkennung oder vorausschauende Wartung im Steuerungs-Netz einsetzt, ist Hochrisiko-Anwender.
Weitere Hochrisiko-Bereiche aus Anhang III, die für den Mittelstand relevant werden können: KI in der Bildungs-Zulassung und Prüfungs-Bewertung, KI in der Migrations- und Asyl-Verwaltung (relevant für Dienstleister öffentlicher Stellen), KI in der Justiz und demokratischen Prozessen, KI-Module in regulierten Produkten nach Anhang I — etwa Medizingeräte, Maschinen oder Spielzeug.
Transparenz-Pflichten nach Artikel 50
Artikel 50 regelt die Transparenz-Pflichten für KI-Systeme mit begrenztem Risiko — und gilt zusätzlich zu allen anderen Pflichten. Drei Konstellationen sind hier zentral.
Erstens die Chatbot-Kennzeichnung: jedes KI-System, das mit natürlichen Personen interagiert, muss diese in einer klaren, eindeutigen Weise darüber informieren, dass sie mit einer KI sprechen. Ausnahmen gelten nur, wenn es aus dem Kontext offensichtlich ist. Praktisch bedeutet das für jeden Kundenservice-Chatbot eine sichtbare Kennzeichnung im ersten Nachrichten-Block.
Zweitens die Output-Kennzeichnung: synthetisch generierte Audio-, Bild-, Video- oder Text-Inhalte müssen so gekennzeichnet werden, dass erkennbar ist, dass sie künstlich erzeugt oder manipuliert wurden. Für Anbieter heißt das eine technische Kennzeichnung im Output-Format selbst, etwa über Wasserzeichen oder C2PA-Metadaten. Für Anwender heißt es, KI-generierte Inhalte in der Außen-Darstellung kenntlich zu machen — etwa generierte Bilder im Marketing oder auto-generierte Blog-Texte.
Drittens die Deepfake-Disclosure: wenn ein KI-System Inhalte erzeugt, die echten Personen, Objekten oder Ereignissen täuschend ähnlich sind, muss diese Tatsache offengelegt werden. Ausnahmen gelten für künstlerische und satirische Werke, dort reicht eine entsprechende Kennzeichnung, ohne den künstlerischen Effekt zu zerstören.
GPAI und Foundation-Model-Pflichten
Mit den Regeln für General-Purpose-AI-Modelle (GPAI) — Foundation Models wie GPT-4, Claude, Gemini oder Mistral — adressiert der AI Act gezielt die Anbieter dieser Basis-Modelle. Mittelständische Anwender sind von diesen Pflichten nur indirekt betroffen: sie müssen sich darauf verlassen können, dass die Anbieter ihre Pflichten erfüllen, und entsprechende Nachweise im Audit vorlegen können.
Konkret sind GPAI-Anbieter verpflichtet, eine technische Dokumentation zu pflegen, Informationen für nachgelagerte Anbieter bereitzustellen, Urheberrechts-Richtlinien einzuhalten und eine Zusammenfassung der Trainingsdaten zu veröffentlichen. Für GPAI-Modelle mit systemischem Risiko — derzeit großen Modellen ab einer Rechenleistung von 10^25 FLOPs für das Training — kommen zusätzliche Pflichten zu Modell-Evaluierung, Risiko-Minderung, Vorfall-Meldung und Cybersicherheit hinzu.
Für mittelständische Anwender ergibt sich daraus eine einfache Konsequenz: in der Vendor-Auswahl und im Beschaffungs-Prozess gehört die Frage nach der AI-Act-Konformität des Anbieters zum Standard-Fragebogen. Wer eine KI-Plattform einsetzt, sollte sich vom Anbieter schriftlich bestätigen lassen, dass alle relevanten GPAI-Pflichten erfüllt sind und entsprechende Nachweise auf Anfrage bereitgestellt werden.
Sanktionen — bis 35 Millionen Euro oder 7 Prozent Konzernumsatz
Der AI Act führt ein abgestuftes Sanktionssystem ein, das die DSGVO-Maxima deutlich übertrifft. Die folgende Übersicht zeigt die drei Stufen:
| Verstoß | Bußgeld bis | Alternativ |
|---|---|---|
| Verbotene Praktiken nach Art. 5 | 35 Mio € | 7 % weltweiter Jahresumsatz |
| Hochrisiko-Pflichten, Transparenz nach Art. 50, GPAI-Pflichten | 15 Mio € | 3 % weltweiter Jahresumsatz |
| Falsche oder unvollständige Auskünfte gegenüber der Aufsicht | 7,5 Mio € | 1 % weltweiter Jahresumsatz |
Das Konzern-Prinzip ist hier wichtig: bemessen wird am weltweiten Konzern-Umsatz, nicht am Umsatz der einzelnen verstoßenden Tochter-Gesellschaft. Für mittelständische Konzerne kann das im Worst Case existenz-bedrohend werden. Hinzu kommen die üblichen Begleiterscheinungen — Unterlassungs-Anordnungen, Marktrücknahme-Verfügungen, Reputations-Schäden, Lieferanten-Audit-Konsequenzen.
Eine bemerkenswerte Detail-Regelung: für kleine und mittlere Unternehmen sowie Start-ups sieht der AI Act in Artikel 99 verminderte Bußgelder vor — die Höchstsätze gelten dann als Obergrenzen statt als Regelwerte. Dieser Mittelstands-Bonus ist im Audit aber kein Freibrief, sondern nur eine Bemessungs-Erleichterung.
Konkrete Schritte — der pragmatische Fahrplan
Für mittelständische Unternehmen, die heute noch keine vollständige AI-Act-Roadmap haben, empfehlen wir die folgenden fünf Schritte in dieser Reihenfolge. Erfahrungsgemäß lassen sich die ersten drei Schritte innerhalb von zwei bis drei Monaten erledigen, die letzten beiden brauchen je nach Hochrisiko-Exposition sechs bis zwölf Monate.
- KI-Inventar anlegenErfassen Sie alle KI-Anwendungen, die in Ihrem Unternehmen produktiv oder pilothaft im Einsatz sind — von ChatGPT-Konten einzelner Mitarbeitender über Copilot-Lizenzen bis zu KI-Modulen in Standard-Software wie ATS, CRM oder ERP. Erfassen Sie pro Anwendung: Anbieter, Anwendungs-Zweck, betroffene Daten, betroffene Personen, eingesetzte Modell-Familie.
- Risiko-Klassifizierung pro SystemOrdnen Sie jede erfasste KI-Anwendung einer der vier AI-Act-Klassen zu. Achten Sie besonders auf versteckte Hochrisiko-Bereiche — HR-Module in ATS, Bonitäts-Bewertung in Vertriebs-Tools, KI in Steuerungs-Systemen. Dokumentieren Sie die Klassifizierungs-Entscheidung mit Begründung — das ist im Audit der wichtigste Nachweis.
- AI-Literacy-Schulung aufsetzenImplementieren Sie das dreistufige Schulungs-Modell — Pflicht-Modul für alle, Aufbau-Modul für aktive Nutzer, Intensiv-Modul für Power-User. Sichern Sie Teilnahme-Nachweise und integrieren Sie eine jährliche Auffrischung in den Personal-Prozess.
- Dokumentation und Governance aufbauenEtablieren Sie eine KI-Governance mit klaren Verantwortlichkeiten — typischerweise ein KI-Beauftragter in Personalunion mit dem Datenschutzbeauftragten oder dem CISO. Pflegen Sie ein Register der KI-Anwendungen, dokumentieren Sie Klassifizierungen, Schulungen und Maßnahmen.
- Hochrisiko-Compliance ausrollenFür identifizierte Hochrisiko-Anwendungen: implementieren Sie Risiko-Management, Daten-Governance, menschliche Aufsicht, Logging, Information der Betroffenen und gegebenenfalls die Grundrechte-Folgenabschätzung. Stimmen Sie das Vorgehen mit Datenschutz, Betriebsrat und Recht ab. Frist: August 2026.
Ein zentraler Punkt aus der Praxis: lassen Sie sich nicht von der Komplexität lähmen. Die meisten mittelständischen Unternehmen haben drei bis zehn Hochrisiko-Anwendungen — überschaubar, mit moderatem Aufwand sauber compliance-fähig zu machen. Wer früh anfängt, ist mit drei bis sechs Monaten Projekt-Laufzeit gut aufgestellt. Wer wartet, kommt 2026 in die Engpässe — sowohl beim eigenen Personal als auch bei externen Beratern.
Häufige Fragen
Gilt der EU AI Act auch, wenn wir KI nur einsetzen, nicht selbst entwickeln?
Ja, ausdrücklich. Der EU AI Act unterscheidet zwischen Anbietern (Provider) und Anwendern (Deployer) und nimmt beide in die Pflicht. Wer ChatGPT, Microsoft Copilot, Claude oder eine andere KI-Anwendung produktiv in den eigenen Geschäftsprozessen einsetzt, ist Deployer im Sinne der Verordnung und hat damit eigene Pflichten — insbesondere bei Hochrisiko-Systemen, bei der AI-Literacy nach Artikel 4 und bei der Transparenz nach Artikel 50. Die häufige Annahme, der AI Act gehe nur Anbieter wie OpenAI oder Anthropic etwas an, ist falsch und gefährlich.
Ab wann gelten welche Pflichten des AI Act?
Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird gestaffelt anwendbar. Seit dem 2. Februar 2025 gelten die Verbote bestimmter Praktiken und die AI-Literacy-Pflicht nach Artikel 4. Ab dem 2. August 2025 greifen die Regeln für GPAI-Modelle und die nationalen Aufsichts-Strukturen. Ab dem 2. August 2026 sind die meisten Pflichten für Hochrisiko-Systeme nach Anhang III anwendbar. Ab dem 2. August 2027 gelten die letzten Übergangsfristen für Hochrisiko-Systeme aus Anhang I, die in regulierte Produkte eingebettet sind. Mittelständische Unternehmen sollten die Frist 2. August 2026 fest im Kalender haben.
Was bedeutet die AI-Literacy-Pflicht nach Artikel 4 konkret?
Artikel 4 verpflichtet sowohl Anbieter als auch Anwender, sicherzustellen, dass alle Beschäftigten, die mit KI-Systemen arbeiten, ein ausreichendes Maß an KI-Kompetenz besitzen. Konkret heißt das, dass Mitarbeitende die Funktionsweise, die Risiken und die Grenzen der eingesetzten KI verstehen müssen — angepasst an ihre Rolle, ihre Vorbildung und den konkreten Anwendungskontext. Praktisch bedeutet das für mittelständische Unternehmen ein dokumentiertes Schulungs-Programm mit Teilnahme-Nachweisen, eine Differenzierung zwischen Power-Usern und Gelegenheits-Nutzern, und eine regelmäßige Auffrischung. Die Pflicht gilt seit Februar 2025 und ist eine der ersten, bei denen Aufsichten konkrete Nachweise verlangen werden.
Setzen wir als Mittelständler überhaupt Hochrisiko-Systeme ein?
Häufiger als gedacht. Anhang III des AI Act listet acht Bereiche, die als Hochrisiko gelten — darunter Beschäftigung und Personalmanagement (HR-Screening, Bewerber-Sortierung, Leistungsbewertung), Zugang zu wesentlichen privaten Diensten (Kredit-Scoring, Versicherungs-Tarifierung), kritische Infrastruktur und Bildungs-Zulassungen. Sobald Sie KI in Bewerbungs-Prozessen, in Kredit-Entscheidungen, in Bonitäts-Bewertungen oder in der Steuerung kritischer Anlagen einsetzen, fallen Sie in den Hochrisiko-Bereich — auch als reiner Anwender einer Standardlösung. Damit greifen erweiterte Pflichten zu Risiko-Management, Daten-Governance, Protokollierung, menschlicher Aufsicht und Folgenabschätzung.
Wie hoch sind die Bußgelder bei Verstößen gegen den AI Act?
Der EU AI Act führt das mit Abstand höchste Bußgeld-Regime im EU-Tech-Recht ein. Bei Verstößen gegen die verbotenen Praktiken nach Artikel 5 drohen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Bei Verstößen gegen die Pflichten für Hochrisiko-Systeme sind es bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes. Bei falschen oder unvollständigen Auskünften gegenüber der Aufsicht bis zu 7,5 Millionen Euro oder 1 Prozent. Diese Werte liegen deutlich über den DSGVO-Maxima von 20 Millionen Euro oder 4 Prozent und sind ein klares politisches Signal.
Bereit für den AI Act ab August 2026?
Sprechen wir 30 Minuten unverbindlich. Wir klassifizieren Ihre KI-Anwendungen nach den vier Risiko-Klassen, identifizieren Hochrisiko-Exposition, prüfen die AI-Literacy-Reife Ihrer Belegschaft und liefern einen pragmatischen Fahrplan bis zur Frist — inklusive Schulungs-Konzept und Governance-Vorlage.
30-minütiges Gespräch vereinbaren
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über Cloud-Security, NIS2, DSGVO-Compliance, EU AI Act und KI-Governance.
Geprüft am: 22. Mai 2026 · Mehr über Hakan