EU AI Act 2025 Guide: Timeline, Compliance & Haftung für Unternehmen

EU AI Act 2025: Vollständiger Compliance-Guide mit Timeline, Risikoklassen, Checkliste & Haftung. Für deutsche Unternehmen, 1600+ Wörter.

EU AI Act 2025: Der Compliance-Guide für deutsche Unternehmen

Seit 1. August 2024 ist der EU AI Act in Kraft – die weltweit erste umfassende KI-Regulierung. Mit dem 2. Februar 2025 traten erste Verbote in Kraft, bis August 2026 müssen alle Unternehmen vollständig compliant sein. Dieser Guide zeigt Ihnen, was Sie jetzt wissen müssen.

Was ist der EU AI Act?

Der Artificial Intelligence Act (AI Act) reguliert KI-Systeme nach einem risikobasierten Ansatz: Je höher das Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Anforderungen. Die Verordnung wurde am 21. Mai 2024 veröffentlicht und gilt ab August 2024 mit gestaffelten Übergangsfristen bis 2028.

Die drei Hauptziele

  • Grundrechtsschutz: Verhinderung von Diskriminierung und Manipulation
  • Innovationsförderung: Klare Rahmenbedingungen für Entwickler
  • Binnenmarkt: Harmonisierte Standards in der gesamten EU

Die vier Risikokategorien im Detail

1. Verbotene KI-Systeme (seit 2. Februar 2025)

Untersagt sind:

  • Social Scoring durch Behörden
  • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit Ausnahmen)
  • Manipulative KI-Praktiken (Subliminal Techniques)
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  • Kategorisierung nach sensiblen Merkmalen ohne Rechtsgrundlage

Strafen: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes (je nachdem, was höher ist).

2. Hochrisiko-KI-Systeme (ab August 2026)

Betroffen sind Bereiche wie:

  • Kritische Infrastruktur (Verkehr, Energie, Wasser)
  • Bildung & Berufsbildung (Prüfungsbewertung, Zulassung)
  • Beschäftigung (Bewerbermanagement, Leistungsbeurteilung)
  • Zugang zu Dienstleistungen (Kreditscoring, Versicherungen)
  • Strafverfolgung (Predictive Policing, Beweisbewertung)
  • Medizinprodukte (Diagnose, Therapieplanung)

Anforderungen:

  1. Risikomanagement-System: Lebenszyklus-Bewertung von Risiken
  2. Datenqualität: Repräsentative, bias-freie Trainingsdaten
  3. Technische Dokumentation: Umfassende Entwicklungsdokumentation
  4. Transparenz: Nutzer müssen KI-Einsatz erkennen
  5. Menschliche Aufsicht: Human-in-the-Loop oder Human-on-the-Loop
  6. Genauigkeit & Robustheit: Zuverlässigkeit unter verschiedenen Bedingungen
  7. Cybersecurity: Schutz vor Manipulation

3. GPAI-Modelle (seit August 2025)

General Purpose AI wie ChatGPT, Gemini, Claude unterliegen seit August 2025 besonderen Pflichten:

  • Transparenz: Offenlegung der Trainingsdaten
  • Urheberrecht: Nachweis lizenzierter Nutzung
  • Dokumentation: Technische Modellbeschreibung
  • Systemische Risiken: Bei über 10^25 FLOPs zusätzliche Meldepflichten

4. Minimales Risiko (ab Februar 2027)

Kennzeichnungspflichten für:

  • KI-generierte Bilder, Videos, Audio
  • Chatbots (Hinweis „Sie chatten mit KI“)
  • Deepfakes (klare Manipulation-Kennzeichnung)

Timeline: Wann gilt was?

Datum Inkrafttreten
1. August 2024 Verordnung tritt in Kraft
2. Februar 2025 Verbot unannehmbarer Systeme, KI-Literacy-Pflicht
2. Mai 2025 Verhaltenskodizes veröffentlicht
2. August 2025 GPAI-Regelungen, Governance-Strukturen
2. August 2026 Vollständige Anwendbarkeit Hochrisiko-Systeme
2. Februar 2027 Kennzeichnungspflicht auch für Alt-Systeme
2. Dezember 2027 Long-Stop Annex III Hochrisiko (Digital Omnibus)
2. August 2028 Long-Stop Annex I Hochrisiko (Digital Omnibus)

Digital Omnibus: Wichtige Änderungen (November 2025)

Am 19. November 2025 veröffentlichte die EU-Kommission den Digital Omnibus mit Erleichterungen:

1. Stop-the-Clock-Mechanismus

Die Kommission erkennt an, dass harmonisierte Standards fehlen. Daher werden Hochrisiko-Regelungen verzögert, bis Support-Maßnahmen verfügbar sind – aber spätestens bis Dezember 2027 bzw. August 2028.

2. Erweiterung auf SMC

Bisherige KMU-Privilegien gelten nun auch für kleine und mittlere Kapitalgesellschaften (bis 1.500 Mitarbeiter).

3. DSGVO & berechtigtes Interesse

Klarstellung: KI-Training mit personenbezogenen Daten kann auf „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden, wenn:

  • Legitimes Geschäftsinteresse besteht
  • Interessenabwägung zugunsten Anbieter ausfällt
  • Wirksame Opt-Out-Möglichkeiten bestehen

4. Zentralisierte Aufsicht

Das EU AI Office erhält erweiterte Befugnisse für grenzüberschreitende KI-Systeme und GPAI-Modelle.

Nationale Umsetzung: Bundesnetzagentur

In Deutschland übernimmt die Bundesnetzagentur (BNetzA) die zentrale Marktüberwachung:

  • Konformitätsprüfung von Hochrisiko-Systemen
  • Durchsetzung von Sanktionen
  • Koordination mit BaFin, BSI, Datenschutzbehörden

Compliance-Checkliste: 10 Schritte

Schritt 1: Bestandsaufnahme

Listen Sie alle eingesetzten KI-Systeme auf – intern entwickelte und externe Dienste (ChatGPT, Cloud-KI etc.).

Schritt 2: Risikobewertung

Klassifizieren Sie jedes System: verboten, Hochrisiko, GPAI, minimal.

Schritt 3: Gap-Analyse

Vergleichen Sie IST-Zustand mit SOLL-Anforderungen. Wo fehlen Dokumentationen?

Schritt 4: Governance etablieren

Benennen Sie einen AI Compliance Officer und bilden Sie ein interdisziplinäres Team.

Schritt 5: Dokumentation

Erstellen Sie für Hochrisiko-Systeme:

  • Technische Dokumentation
  • Risikomanagementsystem
  • Konformitätsbewertung
  • EU-Konformitätserklärung

Schritt 6: DSGVO-Compliance

Prüfen Sie Rechtsgrundlagen (berechtigtes Interesse, Einwilligung, Vertrag) und führen Sie bei Hochrisiko-KI eine DPIA durch (Art. 35 DSGVO).

Schritt 7: Menschliche Aufsicht

Implementieren Sie Human-in-the-Loop (finale Entscheidung durch Menschen) oder Human-on-the-Loop (Überwachung mit Eingriffsmöglichkeit).

Schritt 8: Schulungen

KI-Literacy ist seit 2. Februar 2025 Pflicht. Schulen Sie Mitarbeiter zu:

  • AI Act-Grundlagen
  • Bias-Erkennung
  • Datenschutz
  • Verantwortungsvoller KI-Einsatz

Schritt 9: Incident-Management

Etablieren Sie Meldesysteme für schwerwiegende Vorfälle (Tod, Gesundheitsschädigung, Grundrechtsverletzungen).

Schritt 10: Audits

Führen Sie halbjährlich interne Audits und jährlich externe Audits für Hochrisiko-Systeme durch.

Haftung & Sanktionen

Bußgelder nach AI Act

Verstoß Bußgeld
Verbotene Systeme Bis 35 Mio. € oder 7% Umsatz
Hochrisiko-Verstöße Bis 15 Mio. € oder 3% Umsatz
Falsche Infos Bis 7,5 Mio. € oder 1,5% Umsatz

Produkthaftung (seit Dezember 2024)

Die reformierte EU-Produkthaftungsrichtlinie gilt auch für KI:

  • Beweislastumkehr: Anbieter muss Fehlerfreiheit nachweisen
  • Update-Haftung: Haftung auch für fehlende Updates
  • KI als Produkt: Auch reine Software haftet

Aktuelle Gerichtsurteile 2025

LG Kiel (29.02.2024 – 6 O 151/23)

Fall: Wirtschaftsauskunftei verbreitete KI-generierte Falschinformationen über Unternehmen.
Urteil: Haftung als unmittelbarer Störer. Automatisierung entbindet nicht von Verantwortung.

LG München (11.11.2025 – 42 O 14139/24)

Fall: GEMA vs. OpenAI – ChatGPT gibt Liedtexte aus.
Urteil: Urheberrechtsverletzung. KI-Training erfordert Lizenzierung geschützter Werke.

OLG Köln (23.05.2025 – 15 UKl 2/25)

Fall: Meta nutzt öffentliche Facebook-Profile für KI-Training.
Urteil: Berechtigtes Interesse ist tragfähige Rechtsgrundlage bei effektivem Opt-Out.

Praxisbeispiel: Maschinenbau-Mittelstand

Unternehmen: 800 Mitarbeiter, 3 KI-Systeme

System 1: Predictive Maintenance (Hochrisiko)

  • Risikodokumentation: Falsche Wartung → Maschinenausfall
  • Menschliche Aufsicht: Techniker prüfen Empfehlungen
  • Dokumentation: TÜV-Auditierung

System 2: Chatbot (Minimal)

  • Kennzeichnung: „KI-Assistent“
  • Eskalation zu Menschen bei komplexen Fragen

System 3: Qualitätskontrolle (Hochrisiko)

  • Stichproben durch Qualitätsmanager
  • Regelmäßige Bias-Tests

Ergebnis: Compliance ab August 2026 + 15% Reduktion Ausschussrate.

FAQs zum AI Act

1. Gilt der AI Act für KMU?
Ja, aber mit Erleichterungen bei Dokumentationspflichten.

2. Muss ich ChatGPT melden?
Nein als Nutzer, aber Transparenzpflicht (Kennzeichnung).

3. Was ist mit Alt-Systemen?
Nachrüstung bis Übergangsfristen (spätestens 2027/2028).

4. Wer haftet: Anbieter oder Betreiber?
Beide! Anbieter für conforme Systeme, Betreiber für korrekten Einsatz.

5. Brauche ich CE-Kennzeichnung?
Ja, für Hochrisiko-Systeme nach Konformitätsbewertung.

6. Gibt es Sandboxes zum Testen?
Ja, ab August 2026 in allen EU-Staaten verfügbar.

7. Gilt der Act auch außerhalb der EU?
Ja (extraterritoriale Wirkung), wenn KI in EU genutzt wird.

8. Compliance-Kosten für Hochrisiko?
Ca. 50.000–200.000 € (Dokumentation, Audits, Anpassungen).

Handlungsempfehlungen

Sofort (Dezember 2025)

  1. Bestandsaufnahme aller KI-Systeme
  2. Risikobewertung & Klassifizierung
  3. Verbotene Systeme eliminieren

Q1 2026

  1. Gap-Analyse durchführen
  2. AI Compliance Officer benennen
  3. Schulungsprogramme starten

Bis August 2026 (Stichtag!)

  1. Dokumentationen fertigstellen
  2. Konformitätsbewertung abschließen
  3. Incident-Management einrichten

Fazit: Compliance als Chance

Der EU AI Act mag komplex erscheinen, doch frühzeitige Compliance bringt Vorteile:

  • Rechtssicherheit: Keine Bußgelder
  • Vertrauen: Kunden schätzen verantwortungsvolle KI
  • Wettbewerbsvorteil: Early Movers setzen Standards
  • Bessere Systeme: Robuster, fairer, transparenter

Starten Sie jetzt! Die Zeit bis August 2026 ist knapp. Nutzen Sie Angebote der IHK/Handwerkskammern oder spezialisierte Berater.

Stand: Dezember 2025. Berücksichtigt Digital Omnibus & aktuelle Rechtsprechung.

⚠️ KI-UNTERSTÜTZT: Dieser Artikel wurde teilweise mit KI-Unterstützung erstellt. Trotz sorgfältiger Überprüfung können Fehler vorkommen. Bitte verifizieren Sie wichtige Informationen bei kritischen Entscheidungen.