---
title: EU AI Act
date: 2026-05-28T14:56:00+02:00
author: Hannes Heckel
canonical_url: "https://www.fast-lta.de//de/blog/eu-ai-act"
section: "Entries: Articles"
---
### Was der EU AI Act regelt, und was nicht [\#](#was-der-eu-ai-act-regelt-und-was-nicht "Was der EU AI Act regelt, und was nicht")

Der EU AI Act (Ver­ord­nung EU 2024⁄1689) ist das ers­te umfas­sen­de KI-Regel­werk der Welt. Er gilt für alle, die KI-Sys­te­me in der EU ent­wi­ckeln, in Ver­kehr brin­gen oder betrei­ben, unab­hän­gig davon, wo der Anbie­ter sei­nen Sitz hat.

Drei Rol­len sind relevant:

**Anbie­ter** ent­wi­ckeln und brin­gen KI-Sys­te­me auf den Markt. Sie tra­gen die umfang­reichs­ten Pflichten.

**Betrei­ber** set­zen KI-Sys­te­me ein, die von einem Anbie­ter stam­men. Das sind typi­scher­wei­se Unter­neh­men, die ChatGPT Enter­pri­se, Micro­soft Copi­lot oder eine eige­ne KI-Lösung betrei­ben. Ihre Pflich­ten sind gerin­ger als die der Anbie­ter, aber nicht trivial.

**Nut­zer** ver­wen­den KI-Sys­te­me in ihrer eige­nen Tätig­keit. Im Unter­neh­mens­kon­text sind das Mit­ar­bei­ter, die Ver­ant­wor­tung liegt beim Betrei­ber, nicht beim Nutzer.

Für die meis­ten mit­tel­stän­di­schen Unter­neh­men ist die Betrei­ber-Rol­le relevant.

---

### Das Risi­ko­stu­fen­mo­dell [\#](#das-risikostufenmodell "Das Risikostufenmodell")

Der EU AI Act klas­si­fi­ziert KI-Sys­te­me nach Risi­ko. Die Stu­fe bestimmt die Pflichten.

**Ver­bo­te­ne Prak­ti­ken** (seit Febru­ar 2025 anwend­bar): Sozia­les Scoring durch staat­li­che Stel­len, unter­schwel­li­ge Beein­flus­sung, Aus­nut­zung von Vul­nerabi­li­tät. Für die über­wie­gen­de Mehr­heit der Unter­neh­mens­an­wen­dun­gen nicht relevant.

**Hoch­ri­si­ko-KI-Sys­te­me** (Pflich­ten ab August 2026 für neue Sys­te­me, August 2027 für bestehen­de): Sys­te­me in bestimm­ten Sek­to­ren. Bil­dung, Beschäf­ti­gung, kri­ti­sche Infra­struk­tu­ren, Straf­ver­fol­gung, Jus­tiz, Bio­me­trie. Wer KI im HR-Bereich für Bewer­bungs­aus­wahl oder Leis­tungs­be­wer­tung ein­setzt, fällt hierunter.

**KI-Sys­te­me mit all­ge­mei­nem Ver­wen­dungs­zweck (GPAI)** (also Sys­te­me wie GPT‑4, Gemi­ni oder Mis­tral) unter­lie­gen eige­nen Trans­pa­renz­pflich­ten. Die­se Pflich­ten rich­ten sich pri­mär an die Anbie­ter die­ser Model­le, nicht an Betreiber.

**Sys­te­me mit nied­ri­gem Risi­ko**: Chat­bots, Con­tent-Emp­feh­lun­gen, Spam-Fil­ter. Für die­se gilt haupt­säch­lich eine frei­wil­li­ge Verhaltensregeln-Empfehlung.

**Prak­ti­sche Fol­ge für die meis­ten Unter­neh­men:** Ein inter­nes KI-Wis­sens­ma­nage­ment-Sys­tem (also RAG auf eige­nem Doku­men­ten­be­stand) fällt in der Regel nicht unter Hoch­ri­si­ko. Die wesent­li­chen Pflich­ten sind Art. 4 (KI-Kom­pe­tenz) und die Doku­men­ta­ti­ons­pflich­ten des DSGVO-Verarbeitungsverzeichnisses.

---

### Arti­kel 4: KI-Kom­pe­tenz, was jetzt gilt [\#](#artikel-4-ki-kompetenz-was-jetzt-gilt "Artikel 4: KI-Kompetenz, was jetzt gilt")

Arti­kel 4 des EU AI Act ist seit Febru­ar 2025 wirk­sam. Er ver­pflich­tet Anbie­ter und Betrei­ber, ​„ihr Bes­tes zu tun, um sicher­zu­stel­len, dass ihre Mit­ar­bei­ter und alle ande­ren Per­so­nen, die in ihrem Namen KI-Sys­te­me bedie­nen oder nut­zen, über ein aus­rei­chen­des Maß an KI-Kom­pe­tenz verfügen.”

Das klingt vage, und ist es. Kei­ne fes­te Stun­den­zahl, kein defi­nier­tes Prü­fungs­for­mat. Aber es ist eine Pflicht, und Auf­sichts­be­hör­den kön­nen sie prüfen.

Was das kon­kret bedeutet:

**Kein tech­ni­sches Exper­ten­wis­sen für alle Mit­ar­bei­ter.** ​„KI-Kom­pe­tenz” im Sin­ne von Art. 4 bedeu­tet nicht, dass jeder Mit­ar­bei­ter Prompt Engi­nee­ring beherrscht. Es bedeu­tet, dass Mit­ar­bei­ter ver­ste­hen, was ein KI-Sys­tem tut, wel­che Gren­zen es hat, wel­che Risi­ken bei fal­scher Nut­zung ent­ste­hen, und wel­che Daten sie in wel­ches Sys­tem ein­ge­ben dürfen.

**Schu­lung muss nach­weis­bar sein.** Wer bei einer Prü­fung nach­wei­sen muss, dass Art. 4 erfüllt ist, braucht Doku­men­ta­ti­on: Schu­lungs­un­ter­la­gen, Teil­neh­mer­lis­ten, Datum. Eine münd­li­che Ein­wei­sung reicht nicht.

**Risi­ko­ba­sier­ter Ansatz.** Je höher das Risi­ko des ein­ge­setz­ten KI-Sys­tems, des­to umfang­rei­cher die erfor­der­li­che Kom­pe­tenz. Für ein ein­fa­ches Assis­tenz­sys­tem reicht ein kur­zes Onboar­ding. Für KI-gestütz­te HR-Ent­schei­dun­gen oder KI in der Pati­en­ten­ver­sor­gung ist mehr nötig.

---

### Doku­men­ta­ti­ons­pflich­ten: Was ins Ver­ar­bei­tungs­ver­zeich­nis muss [\#](#dokumentationspflichten-was-ins-verarbeitungsverzeichnis-muss "Dokumentationspflichten: Was ins Verarbeitungsverzeichnis muss")

Der EU AI Act ist kein Ersatz für die DSGVO, er ergänzt sie. Für den Ein­satz von KI-Sys­te­men, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, gel­ten bei­de Regel­wer­ke parallel.

**DSGVO Art. 30. Ver­ar­bei­tungs­ver­zeich­nis:** Jede KI-Lösung, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, muss im Ver­ar­bei­tungs­ver­zeich­nis doku­men­tiert sein. Das gilt auch für inter­ne KI-Sys­te­me. Ein­zu­tra­gen sind: Zweck, ver­ar­bei­te­te Daten­ka­te­go­rien, Emp­fän­ger, Spei­cher­dau­er, Sicherheitsmaßnahmen.

**EU AI Act: Tech­ni­sche Doku­men­ta­ti­on für Hoch­ri­si­ko-Sys­te­me.** Betrei­ber von Hoch­ri­si­ko-KI-Sys­te­men müs­sen eine tech­ni­sche Doku­men­ta­ti­on vor­hal­ten, die Sys­tem-Zweck, Trai­nings­ver­fah­ren, Leis­tungs­kenn­zah­len und Maß­nah­men zur Risi­ko­mi­ni­mie­rung beschreibt. Für Nicht-Hoch­ri­si­ko-Sys­te­me ist das kei­ne Pflicht, aber gute Praxis.

**EU AI Act Art. 12⁄13: Trans­pa­renz und Log­ging.** Hoch­ri­si­ko-Sys­te­me müs­sen Pro­to­kol­le füh­ren, die eine nach­träg­li­che Über­prü­fung ermög­li­chen. Für all­ge­mei­ne KI-Assis­tenz­sys­te­me ist das kei­ne Pflicht, aber jedes pro­duk­tiv ein­ge­setz­te KI-Sys­tem soll­te einen Audit-Trail haben, schon wegen der DSGVO-Rechenschaftspflicht.

---

### Was Unter­neh­men mit loka­ler KI bes­ser stel­len [\#](#was-unternehmen-mit-lokaler-ki-besser-stellen "Was Unternehmen mit lokaler KI besser stellen")

Unter­neh­men, die KI lokal betrei­ben, haben gegen­über Cloud-KI-Nut­zern in mehr­fa­cher Hin­sicht einen Compliance-Vorteil:

**Kei­ne Dritt­land-Über­tra­gung.** Cloud-KI-Diens­te über­tra­gen per­so­nen­be­zo­ge­ne Daten in der Regel in die USA. Das erfor­dert nach DSGVO Art. 44 ff. eine gül­ti­ge Rechts­grund­la­ge (Ange­mes­sen­heits­be­schluss, Stan­dard­ver­trags­klau­seln). Das EU-US Data Pri­va­cy Frame­work ist poli­tisch fra­gil, ein loka­les Sys­tem hat die­ses Pro­blem struk­tu­rell nicht.

**Voll­stän­di­ger Audit-Trail im eige­nen Sys­tem.** Wer KI lokal betreibt, kann den Audit-Trail voll­stän­dig kon­trol­lie­ren: Wer hat wann was gefragt, wel­che Quel­len wur­den genutzt, wel­che Ant­wort wur­de gege­ben. Das ist sowohl für die DSGVO-Rechen­schafts­pflicht als auch für den EU AI Act wertvoll.

**Kein US CLOUD Act-Risi­ko.** US-Behör­den kön­nen auf Daten bei US-Unter­neh­men welt­weit zugrei­fen, unab­hän­gig vom Ser­ver­stand­ort. Ein loka­les Sys­tem eines deut­schen Her­stel­lers hat die­ses Risi­ko struk­tu­rell nicht.

**Trans­pa­renz über das ein­ge­setz­te Modell.** Der EU AI Act ver­langt von Betrei­bern Trans­pa­renz über die ein­ge­setz­ten KI-Sys­te­me. Bei einer loka­len Lösung mit aus­tausch­ba­rem Open-Source-Modell ist die­se Trans­pa­renz voll­stän­dig gege­ben. Bei einem Cloud-Dienst hängt sie vom Anbie­ter ab.

---

### Check­lis­te: EU AI Act Grund­pflich­ten für Betrei­ber [\#](#checkliste-eu-ai-act-grundpflichten-f%C3%BCr-betreiber "Checkliste: EU AI Act Grundpflichten für Betreiber")

Pflich­ten, die heu­te (Mai 2026) wirk­sam sind oder bald werden:

- \[ \] **KI-Inven­tar erstel­len:** Wel­che KI-Sys­te­me setzt das Unter­neh­men ein, offi­zi­ell und in Schatten-KI?
- \[ \] **Risi­koklas­se bestim­men:** Für jedes Sys­tem klä­ren, ob es unter Hoch­ri­si­ko fällt (Anhang III EU AI Act)
- \[ \] **Art. 4 umset­zen:** Schu­lungs­pro­gramm für KI-nut­zen­de Mit­ar­bei­ter erstel­len und dokumentieren
- \[ \] **Ver­ar­bei­tungs­ver­zeich­nis aktua­li­sie­ren:** Alle KI-Sys­te­me, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, eintragen
- \[ \] **KI-Richt­li­nie erstel­len:** Schrift­li­che Poli­cy, wel­che Daten in wel­che KI dürfen
- \[ \] **Audit-Trail sicher­stel­len:** Für jedes pro­duk­ti­ve KI-Sys­tem Pro­to­kol­lie­rung aktivieren
- \[ \] **Dritt­land-Trans­fers prü­fen:** Für Cloud-KI-Diens­te Rechts­grund­la­ge nach DSGVO Art. 44 ff. sicherstellen
- \[ \] **Hoch­ri­si­ko-Pflich­ten vor­be­rei­ten:** Für Sys­te­me, die ab August 2026 unter Hoch­ri­si­ko fal­len, tech­ni­sche Doku­men­ta­ti­on und Kon­for­mi­täts­be­wer­tung einplanen

---

### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen")

**Gilt der EU AI Act für jedes Unter­neh­men, das ChatGPT nutzt?** Ja, als Betrei­ber. Wer ChatGPT oder ein ver­gleich­ba­res Sys­tem für unter­neh­mens­in­ter­ne Zwe­cke ein­setzt, ist Betrei­ber im Sin­ne des EU AI Act. Für nied­ri­g­ris­kan­te Sys­te­me sind die Pflich­ten gering; die KI-Kom­pe­tenz­pflicht (Art. 4) gilt aber für alle.

**Was pas­siert, wenn ein Unter­neh­men Art. 4 nicht erfüllt?** Die Sank­tio­nen des EU AI Act sind nach Risi­ko­stu­fe gestaf­felt. Für Art. 4‑Verstöße gilt ein Buß­geld­rah­men von bis zu 15 Mio. EUR oder 3 % des welt­wei­ten Jah­res­um­sat­zes, je nach­dem, was höher ist. Die prak­ti­sche Wahr­schein­lich­keit einer Sank­ti­on für Art. 4‑Verstöße in der Anfangs­pha­se ist gering, aber das Risi­ko steigt mit der zuneh­men­den Akti­vi­tät natio­na­ler Aufsichtsbehörden.

**Brau­chen wir für ein inter­nes KI-Sys­tem eine Konformitätsbewertung?** Nur für Hoch­ri­si­ko-Sys­te­me. Ein inter­nes KI-Wis­sens­ma­nage­ment­sys­tem, das kei­ne HR-Ent­schei­dun­gen trifft und kei­ne kri­ti­sche Infra­struk­tur steu­ert, ist in der Regel kein Hoch­ri­si­ko-Sys­tem. Eine Rechts­be­ra­tung zur kon­kre­ten Ein­ord­nung emp­fiehlt sich.

**Was ist mit Open-Source-Modellen?** Open-Source-Model­le mit all­ge­mei­nem Ver­wen­dungs­zweck (GPAI) unter­lie­gen nach EU AI Act ein­ge­schränk­ten Pflich­ten. Wer ein Open-Source-Modell lokal deployt und für inter­ne Zwe­cke nutzt, ist Betrei­ber, mit den Betrei­ber­pflich­ten, nicht den Anbieterpflichten.

---

### Fazit [\#](#fazit "Fazit")

Der EU AI Act ist kein abs­trak­tes Zukunfts­ge­setz mehr. Arti­kel 4 gilt seit Febru­ar 2025. Die ers­ten Hoch­ri­si­ko-Pflich­ten wer­den ab August 2026 scharf. Für die meis­ten Unter­neh­men sind die wesent­li­chen Schrit­te über­schau­bar: KI-Inven­tar anle­gen, Schu­lun­gen doku­men­tie­ren, KI-Richt­li­nie schrei­ben, Ver­ar­bei­tungs­ver­zeich­nis aktualisieren.

Der größ­te Hebel für struk­tu­rel­le Com­pli­ance: eine loka­le KI-Lösung für sen­si­ble Daten, die kei­nen Dritt­land-Trans­fer erzeugt, einen voll­stän­di­gen Audit-Trail mit­bringt und das Rech­te­ma­nage­ment durchsetzt.

→ [Schat­ten-KI im Unter­neh­men: Was wirk­lich hilft](/de/blog/schatten-ki-unternehmen/) → [Loka­les KI-Wis­sens­ma­nage­ment mit Silent AI](/de/loesungen/ki-wissensmanagement/) → [KI-Wis­sens­ma­nage­ment: Der voll­stän­di­ge Leitfaden](/de/blog/ki-wissensmanagement-leitfaden/)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

  

#### Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.