EU AI Act: Was Unternehmen als Deployer wissen müssen
Der EU AI Act ist in Kraft. Er unterscheidet zwischen Providern die KI bauen und Deployern die KI einsetzen. Wer KI-Systeme nutzt — ob SaaS, Eigenentwicklung oder API — ist Deployer.
Was das konkret bedeutet, welche Pflichten entstehen, und was jetzt zu tun ist.
Was der EU AI Act ist
Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Er ist keine Richtlinie die empfiehlt — er ist eine Verordnung die verpflichtet. Direkt anwendbar in allen EU-Mitgliedstaaten, ohne nationalen Umsetzungsakt.
Februar 2025
Verbotene KI-Praktiken in Kraft. Keine Social Scoring Systeme, keine biometrische Echtzeit-Überwachung im öffentlichen Raum, keine Emotionserkennung im Arbeitskontext.
August 2025
GPAI-Regeln (General Purpose AI) in Kraft. Betrifft Anbieter von Foundation Models.
August 2026
Hochrisiko-Regeln in Kraft. Für die meisten Deployer das relevante Datum.
Was das für euch bedeutet: Wer heute plant, plant für August 2026. Das sind 14 Monate. Wer HR-Tools, Kredit-Scoring oder Performance-Monitoring-Systeme einsetzt, sollte die Klassifizierung heute klären.
Provider vs. Deployer: Wo ihr steht
Der EU AI Act unterscheidet zwei zentrale Rollen:
Provider
Entwickelt und bringt ein KI-System in den Verkehr. Verantwortlich für die Konformitätsbewertung, CE-Kennzeichnung bei Hochrisiko, technische Dokumentation. Das sind Anbieter von KI-Software.
Deployer
Kauft und setzt ein KI-System im Berufs-/Geschäftskontext ein. Verantwortlich für die Einhaltung von Nutzungsbedingungen, menschliche Aufsicht bei Hochrisiko, Protokollierung, Informationspflichten gegenüber Betroffenen. Das sind die meisten Unternehmen.
Die wichtige Implikation: Wer ein Hochrisiko-System kauft, kann die Pflichten nicht vollständig an den Anbieter delegieren. Deployer tragen eigene Pflichten — auch wenn sie das System nicht gebaut haben.
Was das für euch bedeutet: “Unser Anbieter ist DSGVO-konform” reichte bisher. Für den EU AI Act reicht “unser Anbieter ist konform” nicht mehr allein. Als Deployer tragt ihr eigene Pflichten.
Vier Risikoklassen — eine Klassifikations-Logik
Verboten (unacceptable risk)
Social Scoring durch Behörden, biometrische Echtzeit-Überwachung im öffentlichen Raum, Emotionserkennung in Arbeits- und Bildungskontext, manipulative Systeme die Verhalten unterbewusst steuern. Gilt bereits seit Februar 2025.
Hochrisiko (high risk)
8 definierte Bereiche (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, grundlegende Dienste, Strafverfolgung, Migration, Justiz). Konformitätsbewertung vor Einsatz, laufende Aufsicht, Protokollierung.
Begrenzt riskant (limited risk)
Chatbots, KI die Text generiert der als menschlich wahrgenommen werden könnte. Transparenzpflicht: Nutzer müssen wissen dass sie mit KI interagieren.
Minimal riskant
Spam-Filter, Produktionsoptimierung, Routing-Algorithmen. Keine spezifischen EU-AI-Act-Pflichten.
Die Praxis-Faustregel: Jedes System das Entscheidungen über Menschen vorbereitet oder trifft — in HR, Finanz, Gesundheit, Behörden — ist ein Hochrisiko-Kandidat. Gleiche Technologie, anderer Kontext: andere Risikoklasse.
Was Deployer bei Hochrisiko-Systemen tun müssen
Konformität prüfen
Vor dem Einsatz sicherstellen, dass der Provider die Konformitätsbewertung durchgeführt hat und eine CE-Kennzeichnung vorhanden ist (bei KI-Systemen die das erfordern).
Menschliche Aufsicht einrichten
Für Hochrisiko-Systeme muss eine qualifizierte Person die Ausgaben überwachen können und in der Lage sein, das System zu stoppen.
Protokollierung
Einsatz-Logs führen — wann wurde das System genutzt, für welche Entscheidung, mit welchem Outcome? Mindestspeicherdauer: 6 Monate.
Betroffene informieren
Wer einem Hochrisiko-System ausgesetzt ist (z.B. Bewerber die durch CV-Screening laufen), muss darüber informiert werden.
Datenpflege
Trainingsdaten und Eingangsdaten müssen relevant, repräsentativ, fehlerfrei und vollständig sein — soweit im Einflussbereich des Deployers.
Was das für euch bedeutet: HR-Tools die CV-Screening oder Performance-Monitoring betreiben, sind fast immer Hochrisiko. Wer das heute nicht weiß und nicht vorbereitet, hat in August 2026 ein Problem.
Häufige Fragen
Gilt der EU AI Act auch für SaaS-Tools die wir nicht selbst gebaut haben?
Ja. Als Deployer seid ihr verantwortlich dafür, dass die Tools die ihr einsetzt die Anforderungen erfüllen. Ihr müsst prüfen ob der Anbieter Hochrisiko-Pflichten erfüllt hat — und ihr müsst eure eigenen Deployer-Pflichten einhalten.
Was ist mit Tools die wir schon nutzen?
Laufende Systeme, die unter Hochrisiko fallen, müssen bis August 2026 konformitätsbewertet sein. Es gibt keine Bestandsschutz-Regelung für bereits deployete Systeme.
Was sind die Sanktionen bei Verstößen?
Bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes für schwerwiegendste Verstöße. Für Fehler bei Hochrisiko-Pflichten: bis 15 Mio. Euro oder 3% des Umsatzes.
Müssen wir das selbst aufbauen oder gibt es externe Hilfe?
Der EU AI Act schreibt Ergebnisse vor, nicht Wege. Wie ihr eure Compliance-Prozesse aufbaut, bleibt euch überlassen. Externe Beratung und Tooling hilft — aber die Verantwortung bleibt intern.