EU AI Act verstehen
Klar. Praxisnah. Auf den Punkt. Für Online-Unternehmer, Coaches & Agenturen.
Überblick
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das zentrale EU-Gesetz für den Einsatz von Künstlicher Intelligenz. Er gilt direkt in allen EU-Mitgliedstaaten und erfasst auch Online-Unternehmer, Coaches, Berater, Agenturen und SaaS-Anbieter, sobald KI-Systeme im EU-Markt eingesetzt werden, unabhängig vom Unternehmenssitz.
Anwendungsbereich
Für wen gilt der AI Act?
Deine Zuordnung kannst du so lesen: Unternehmer, Selbstständige und Schulen sind mit umfasst. Fast jeder, der KI im beruflichen Kontext entwickelt, vertreibt oder einsetzt, fällt unter eine der vier Rollen.
Provider
Anbieter
Du entwickelst oder vertreibst eine eigene KI-SaaS (z. B. KI-Analyse-Tool für Coaches). Eine EdTech-Firma entwickelt ein KI-System für Prüfungsbewertung oder Studienplatz-Vergabe. Das ist zusätzlich meist Hochrisiko-KI im Bildungsbereich (Annex III).
Typische Anwendungsfälle
- Eigene KI-Software entwickeln oder als White-Label anbieten
- KI-Systeme für HR, Bildung oder Bonitätsprüfung auf den Markt bringen
- GPAI-Modelle (z. B. LLMs) als API oder SaaS bereitstellen
Wichtige Pflichten
- CE-Konformitätsbewertung (bei Hochrisiko)
- Risikomanagementsystem aufbauen und dokumentieren
- Technische Dokumentation und EU-Konformitätserklärung erstellen
- Registrierung in der EU-Datenbank für Hochrisiko-KI
Deployer
Bereitsteller (User im beruflichen Kontext)
Coach, Berater, Agentur, Solopreneur, KMU, Schule oder Hochschule nutzt ChatGPT, Chatbots, KI-Lead-Scoring, KI-Copywriting, KI-Proctoring usw. im Unterricht, Marketing, Admissions oder Prüfungen. Schulen und Unis, die KI in Zulassung, Bewertung oder Tracking von Schülern/Studierenden einsetzen, gelten als Deployer von (teilweise) Hochrisiko-Systemen.
Typische Anwendungsfälle
- ChatGPT, Claude oder Jasper für Kunden-Content nutzen
- KI-Chatbot auf der Webseite oder im Kundenservice einbinden
- KI-Lead-Scoring oder automatisierte E-Mail-Sequenzen verwenden
- KI in Zulassung, Bewertung oder Prüfung einsetzen (Bildung = Hochrisiko)
Wichtige Pflichten
- Nur konforme KI-Systeme einsetzen (Due Diligence beim Provider prüfen)
- Input-Daten gemäß den Anweisungen des Providers verwenden
- Nutzung protokollieren und überwachen (Logging & Review)
- Bei Risiken oder Incidents den Provider und ggf. Behörden informieren
- AI-Literacy-Schulung für alle Mitarbeitenden (Art. 4)
Importeur
Einführer
Du sitzt in der EU und bringst ein KI-System aus den USA oder UK unter deren Marke in den EU-Markt. Der Importeur tritt als Verbindungsglied zwischen Drittstaaten-Anbieter und EU-Markt auf und haftet mit für die Konformität.
Typische Anwendungsfälle
- US-amerikanische KI-Software unter eigener EU-Marke vertreiben
- KI-Systeme aus UK oder Schweiz in den EU-Binnenmarkt einführen
- OEM-Versionen von KI-Tools für den europäischen Markt aufbereiten
Wichtige Pflichten
- Prüfung, ob das System CE-konform und korrekt dokumentiert ist
- Sicherstellen, dass der Drittstaaten-Provider einen EU-Bevollmächtigten benannt hat
- Eigene Kontaktdaten auf dem Produkt / der Verpackung anbringen
- Unterlagen für Marktüberwachungsbehörden bereithalten
Distributor
Verteiler
Du bist Reseller, Affiliate oder Plattform in der Lieferkette und bietest KI-Systeme an, ohne sie selbst zu entwickeln oder zu importieren. Auch Marktplätze, Agenturen und IT-Reseller fallen hierunter, wenn sie fremde KI-Produkte in die Wertschöpfungskette einbinden.
Typische Anwendungsfälle
- Software-Reseller, der KI-Tools an Endkunden weiterverkauft
- Online-Marktplatz, der KI-Plugins oder KI-SaaS anbietet
- Agentur, die KI-Lizenzen an Kunden weitergibt
Wichtige Pflichten
- Prüfung der CE-Kennzeichnung und EU-Konformitätserklärung vor Weitergabe
- Sicherstellen, dass Speicherung, Transport und Handhabung die Konformität nicht beeinträchtigen
- Bei Nichtkonformität keine weiteren Systeme in Verkehr bringen und Behörden melden
- Bei Anfragen von Marktüberwachungsbehörden mitwirken
Risikoklassen
Die 4 Risikostufen
Unzulässig
Social Scoring, manipulative Subliminal-KI, Echtzeit-Biometrie im öffentlichen Raum (eng begrenzt).
Hochrisiko
HR/Recruiting, Bonitätsprüfung, Bildung, kritische Infrastruktur (Annex I & III).
Begrenztes Risiko
Chatbots, KI-Content, Deepfakes: v. a. Transparenz- & Kennzeichnungspflicht.
Minimales Risiko
KI-Spamfilter, KI in Games: keine zwingenden Pflichten, freiwillige Codes of Conduct.
Zeitplan
Wichtige Stichtage
Februar 2025
AI Literacy (Art. 4) & Grundbegriffe
Schulungspflicht für Mitarbeitende, die mit KI arbeiten.
August 2025
Verbotene Praktiken & Transparenz
Verbote unzulässiger KI; Transparenzpflichten für viele Limited-Risk-Systeme.
2. August 2026
Hauptpflichten Hochrisiko-KI
CE-Konformität, Registrierungen, Risikomanagement für Hochrisiko-Systeme.
2027
GPAI / Systemrisiko-Modelle
Zusätzliche Detailfristen für Modelle mit systemischem Risiko.
Praxis
Pflichten für Online-Unternehmer, Coaches & Agenturen
Systeminventur
Liste aller eingesetzten KI-Tools mit Zweck und Risikoklasse.
Rollenklärung
Bist du Provider oder Deployer? Pflichten unterscheiden sich deutlich.
Verträge & Due Diligence
Haftung, Dokumentation, Support bei Behördenanfragen klären.
Transparenz für Kunden
Chatbots, KI-Inhalte und Deepfakes klar kennzeichnen.
AI-Literacy-Programm
Schulungen, Guidelines, Do/Don't-Listen, dokumentierte Trainings.
Risikoanalyse & Logging
Nutzungsrichtlinien, Review-Prozesse, Incident-Reporting.
Quiz
Teste dein Wissen: 10 Fragen
1.Welche Verordnung regelt den EU AI Act?
2.Wie viele Risikoklassen kennt der AI Act?
3.Du nutzt als Agentur ein externes KI-Tool. Welche Rolle hast du typischerweise?
4.Ab wann gilt die AI-Literacy-Pflicht nach Art. 4?
5.Wann greifen die Hauptpflichten für Hochrisiko-KI?
6.Welche Praktik ist nach dem AI Act grundsätzlich verboten?
7.Welche Pflicht trifft Chatbots im Online-Business?
8.Wie sind Deepfakes zu behandeln?
9.Welche Behörde ist in Deutschland Leit-Marktüberwachung für viele Hochrisiko-Bereiche?
10.Welche Pflicht trifft alle GPAI-Provider?
Quellen