Vaeren
Themen-Hub

AI Act

Was die KI-Verordnung der EU für den industriellen Mittelstand bedeutet.

Aktueller Stand · 16. Mai 2026

Die GPAI-Pflichten gelten seit dem 2. August 2025. Die meisten Hochrisiko-Pflichten greifen ab dem 2. August 2026.

Wer ist betroffen?

Anbieter (Provider)

Wer KI-Systeme entwickelt oder unter eigenem Namen in Verkehr bringt.

Verwender (Deployer)

Wer KI-Systeme im geschäftlichen Kontext nutzt, etwa für HR-Screening oder Qualitätssicherung.

Importeure und Händler

Wer KI-Systeme aus Drittstaaten in die EU einführt oder vertreibt.

Größenschwellen

Keine Mitarbeiter-Schwelle. Risikoklasse entscheidet, nicht Unternehmensgröße.

Pflichten im Überblick

1
KI-Inventar führen

Vollständige Liste aller eingesetzten KI-Systeme inklusive Risikoeinstufung.

laufend
2
Kompetenz aufbauen (Art. 4)

Sicherstellen, dass alle Personen, die KI nutzen, hinreichende KI-Kompetenz haben.

seit 2. Februar 2025
3
Verbotene Praktiken vermeiden (Art. 5)

Keine Social-Scoring-, Emotion-Recognition- oder Echtzeit-Biometrie-Systeme einsetzen.

seit 2. Februar 2025
4
GPAI-Anforderungen prüfen (Art. 53 f.)

Verwendete GPAI-Modelle auf Anbieter-Compliance prüfen, Mithaftung vermeiden.

seit 2. August 2025
5
Hochrisiko-Systeme dokumentieren (Anhang III)

Risikomanagement, Datenqualität, Logging, Human Oversight nachweisen.

2. August 2026
6
Konformitätsbewertung durchführen

Vor Inverkehrbringen eines Hochrisiko-Systems CE-Konformität feststellen.

2. August 2026

Wichtige Stichtage

Auszug aus dem vollständigen Fristen-Kalender.

  • 12. Juli 2024 AI Act: Amtsblatt-Veröffentlichung Quelle
  • 1. August 2024 AI Act: Inkrafttreten Quelle
  • 2. Februar 2025 AI Act: Verbotene Praktiken + KI-Kompetenz-Pflicht greifen Quelle
  • 2. August 2025 AI Act: GPAI-Pflichten gelten Quelle
  • 2. Februar 2026 AI Act: Frist für KI-Kompetenz-Nachweis abgelaufen seit 12 Monaten Quelle
  • 2. August 2026 AI Act: Hochrisiko-Pflichten greifen Quelle
  • 2. August 2027 AI Act: GPAI-Bestandsmodelle müssen volle Compliance erfüllen Quelle
  • 2. August 2028 AI Act: vollständige Anwendbarkeit aller Bestimmungen Quelle

Häufige Fragen

Brauchen wir einen KI-Beauftragten? +
Der AI Act schreibt keinen Beauftragten vor, aber Anbieter und Deployer von Hochrisiko-Systemen müssen Verantwortlichkeiten klar zuordnen. In der Praxis bündelt eine Person KI-Compliance, oft die Datenschutzbeauftragte oder die Compliance-Verantwortliche.
Was bedeutet GPAI? +
General-Purpose AI. Damit sind universell einsetzbare KI-Modelle wie GPT-4, Claude oder Gemini gemeint. Anbieter dieser Modelle haben besondere Pflichten.
Müssen wir Bewerber-Tools austauschen? +
Nein, aber prüfen. KI-gestützte HR-Tools fallen in Anhang III und sind Hochrisiko. Dokumentation, Bias-Tests und menschliche Letztentscheidung sind Pflicht.
Was passiert bei Nicht-Einhaltung? +
Sanktionen bis 35 Mio. EUR oder 7 Prozent des weltweiten Umsatzes, je nachdem was höher ist. Verbotene Praktiken werden am stärksten geahndet.
Wie unterscheidet sich der AI Act von DSGVO? +
Beide gelten parallel. DSGVO regelt personenbezogene Daten, AI Act regelt KI-Systeme unabhängig vom Datentyp. Ein KI-System, das personenbezogene Daten verarbeitet, muss beiden entsprechen.
Brauchen wir ein eigenes Risikomanagement? +
Wer Hochrisiko-KI-Systeme anbietet oder einsetzt, ja. Wer ausschließlich Low-Risk-KI nutzt, kann sich auf Inventar und KI-Kompetenz beschränken.

Weiterführende Quellen