EU AI Act 2025–2027: Pflichten, Risiken, Übungen

Der EU AI Act tritt gestaffelt in Kraft – mit unmittelbaren Auswirkungen auf Alltag und Projekte in Unternehmen und Verwaltung. Wer KI plant, einkauft oder betreibt, muss seine Rolle im Gesetz klären, Use Cases korrekt einordnen und Prozesse für Aufsicht, Protokollierung und Vorfälle aufsetzen. Dieser Beitrag bündelt die wesentlichen EU AI Act Pflichten für Anbieter und Betreiber, ordnet Fristen ein und liefert drei Übungen für die Praxis. Eine vertiefende Einordnung bietet die EU AI Act Schulung und Roadmap.

Zeitachse: Was wann gilt

Die Anwendung erfolgt in Etappen. Entscheidend sind vier Stichtage, die Planungssicherheit geben und Prioritäten setzen:

2. Februar 2025: Verbote in Art. 5 (inakzeptables Risiko) und Kompetenzpflicht aus Art. 4.
2. August 2025: Regeln für GPAI/GenAI (u. a. Dokumentation, Transparenz, Codes of Practice).
2. August 2026: Breite Anwendbarkeit der Verordnung mit risikobasierten Pflichten.
2. Dezember 2027: Vollanwendung zentraler Vorgaben für Hochrisiko-Use-Cases nach Anhang III; weitere Detailfristen folgen für einzelne Bereiche.

Die Staffelung ist gewollt: Zuerst werden gefährliche Praktiken gestoppt, dann GPAI-Regeln etabliert, anschließend greifen die umfassenden Anforderungen. Verstöße können nach Art. 99 mit erheblichen Bußgeldern geahndet werden; Marktaufsichtsbehörden und das AI Office koordinieren die Durchsetzung.

Rollen, Definitionen, Risikoklassen

Rollen bestimmen Pflichten: Anbieter entwickeln oder bringen KI-Systeme in Verkehr; Betreiber setzen sie ein. Daneben gibt es Einführer, Händler und nachgelagerte GPAI-Anbieter. Ein KI-System ist ein maschinenbasiertes System, das mit unterschiedlichen Autonomiegraden Ausgaben wie Vorhersagen, Inhalte oder Entscheidungen erzeugt – breiter gefasst als nur Deep Learning. Wichtig ist die korrekte Einordnung des konkreten Systems, nicht nur der zugrundeliegenden Technik.

Die Risikoklassifizierung erfolgt dreistufig: (1) verbotene Praktiken (Art. 5), etwa manipulative Techniken oder bestimmte Formen biometrischer Echtzeit-Identifikation; (2) Hochrisiko-Systeme nach Art. 6 i. V. m. Anhang III (z. B. Beschäftigung, Bildung, Kreditwürdigkeit, kritische Infrastruktur); (3) Transparenzpflichten für bestimmte Systeme (z. B. Chatbots) sowie sonstige Anwendungen mit begrenztem Risiko. Für öffentliche Stellen und bestimmte Annex-III-Szenarien kommt die Grundrechte-Folgenabschätzung (Art. 50) hinzu.

Konkrete Pflichten: Vom Design bis zum Betrieb

Anbieter hochriskanter Systeme müssen ein Risikomanagement etablieren, Datenqualität sichern, technische Dokumentation und Transparenz bereitstellen, Genauigkeit/Robustheit/Cybersicherheit nachweisen und vor dem Inverkehrbringen eine Konformitätsbewertung durchführen (Art. 9–16, 43). Hinzu kommen CE-Kennzeichnung, Marktüberwachung nach dem Inverkehrbringen (Art. 47) sowie Informations- und Kooperationspflichten (Art. 49). GPAI/GenAI-Anbieter adressieren zusätzlich Dokumentation, Downstream-Informationen und systemische Risiken (Art. 53/55, Code of Practice).

Betreiber sind für den verantwortlichen Einsatz zuständig: angemessene Eingabedaten, Transparenzhinweise (Art. 13), menschliche Aufsicht mit klaren Eingriffsrechten (Art. 14), Protokollierung und Vorfallmanagement (Art. 26/27). Für Behörden bzw. bestimmte Dienste ist eine Grundrechte-Folgenabschätzung zu prüfen (Art. 50). Technisch bedeutet das u. a. sauberes Logging, definierte Override-/Stop-Entscheidungen und belastbare Betriebsanleitungen. Praktische Hinweise zur Umsetzung liefern IT-Teams: Operative Umsetzung von Oversight und Logging.

Drei Übungen für sofortige Operationalisierung

1) Use-Case-Qualifizierung: Reale Fälle (Bewerbervorauswahl, Kreditprüfung, Chatbot, GenAI-Content, Gesichtsdatenbank) werden entlang von Rolle, Risikokategorie und maßgeblichen Artikeln (Art. 5, 6, Anhang III, 50) klassifiziert – mit einer klaren Stop- oder Freigabe-Entscheidung. Ziel: Sicherheit in der Erstbewertung und konsistente Dokumentation.

2) Oversight-Tabletop: Ein Hochrisiko-System liefert ein fragwürdiges Ergebnis. Aus Anleitung und Oversight-Vorgaben wird abgeleitet, wer eingreifen darf, wann Ausgaben ignoriert/übersteuert werden und ob ein Incident vorliegt (Art. 13, 14, 26, 72, 73). Ergebnis: geübte Entscheidungswege, klare Trigger und Beweisführung über Protokolle.

3) GPAI-Vendor-Due-Diligence: Teams prüfen Modellanbieter zu Dokumentation, Downstream-Information, Trainingsdaten-Zusammenfassung, Urheberrechtsstrategie, Code of Practice und möglichem Systemrisiko (Art. 53/55). Das schärft die Trennung zwischen Modell- und Systempflichten. Hinweise zur Moderation und Einbettung in Projektpläne: Projektleitung: Übungen und Tabletop für Compliance-Checks.

Fazit: Der AI Act ist kein reines Rechtsprojekt, sondern Organisationsarbeit über mehrere Jahre. Wer Rollen sauber klärt, Use Cases strukturiert klassifiziert, Oversight und Incident-Prozesse dokumentiert und GPAI-Lieferketten prüft, reduziert Haftungsrisiken und ist gegenüber Marktaufsicht und Beschwerden prüffest aufgestellt.

EU AI Act 2025–2027: Pflichten, Risiken, Übungen

EU AI Act 2025–2027: Pflichten, Risiken, Übungen

Zeitachse: Was wann gilt

Rollen, Definitionen, Risikoklassen

Konkrete Pflichten: Vom Design bis zum Betrieb

Drei Übungen für sofortige Operationalisierung

KI-Schulung für Unternehmen in Köln: Worauf es in der Praxis wirklich ankommt

KI‑Initiativen im Projektmanagement: sinnvoll priorisieren, pilotieren, skalieren

KI in Europa 2025: Wie Sie ein leistungsfähiges KI Anwendungsteam in Europa aufbauen und Millionen Euro IT‑Projekte im öffentlichen Sektor erfolgreich umsetzen

KI-Kompetenz nach Art. 4 EU AI Act: Was Unternehmen praktisch umsetzen sollten

KI-Schulung in Aachen für den Mittelstand: Was Unternehmen wirklich brauchen

Überwachung vs. Freiraum im Büro: Analyse des OpenClaw-Falls

EU AI Act 2025–2027: Pflichten, Risiken, Übungen

Zeitachse: Was wann gilt

Rollen, Definitionen, Risikoklassen

Konkrete Pflichten: Vom Design bis zum Betrieb

Drei Übungen für sofortige Operationalisierung

Ähnliche Beiträge