EU AI Act – Welche Unternehmen sind betroffen? Wer muss konkret jetzt handeln in welchem Zeitraum? Teil 1 von 3

Zum EU AI Act – Teil 1 von 3

Der EU AI Act wird ab 2025 für viele Unternehmen in der EU verbindlich. Das komplexe Regelwerk betrifft nicht nur Tech-Giganten, sondern auch kleine und mittelständische Unternehmen. Dieser erste Teil unserer dreiteiligen Reihe zum EU AI Act klärt, welche Unternehmen konkret betroffen sind. Welche Fristen gelten. Und warum gerade jetzt strategisches Handeln gefragt ist. In Teil II beleuchten wir die zentralen Herausforderungen, ethischen Fragestellungen und Geltungsbereiche des Gesetzes. Teil III zeigt final auf, welche Risiken und Chancen sich ganz grundsätzlich für Unternehmen ergeben und wie Pflichten pragmatisch umgesetzt werden können.

Der Artikel entstand inhaltlich unter dem Mentoring von Dr. Philipp Hendel, Partner der auf Wirtschaftsrecht spezialisierten Münchner Anwalts-Sozietät drrp Rechtsanwälte PartmbB. Dr. Philipp Hendel, Fachanwalt für Bank- & Kapitalmarktrecht

Der EU AI Act tritt ab 2026 vollständig in Kraft – doch erste Regelungen greifen bereits ab 2025. Er betrifft nicht nur KI-Entwickler, sondern auch Unternehmen, die KI-Systeme einsetzen, importieren oder anpassen. Diese Regulierung erfordert von Unternehmen frühzeitiges Handeln.

Wer ist vom EU AI Act betroffen – und warum jetzt handeln?

Mit dem EU AI Act hat die Europäische Union den weltweit ersten umfassenden Rechtsrahmen zur Regulierung von Künstlicher Intelligenz geschaffen. Ziel ist es, Innovation und Vertrauen zu fördern, Risiken zu minimieren und grundlegende Rechte zu schützen. Für Unternehmen bedeutet das: Neue Pflichten und klare Fristen. Die Verordnung betrifft sowohl Anbieter als auch Betreiber, Importeure und Nutzer von KI-Systemen. Dabei ist es unerheblich, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat – entscheidend ist, ob das jeweilige KI-System auf dem europäischen Markt genutzt oder bereitgestellt wird.

Vier Rollen mit Verantwortung

• Anbieter – Sie entwickeln KI-Systeme selbst oder lassen sie entwickeln. Sie bringen diese unter eigenem Namen oder Marke auf den Markt. Hinweis: Auch Organisationen, die wesentliche Änderungen an einem System vornehmen, gelten als ‚Anbieter‘.
• Betreiber – Sie nutzen KI-Systeme eigenverantwortlich für spezifische Aufgaben, bspw. Personalentscheidungen, Kreditwürdigkeitsprüfungen, Kundenservice. Entscheidend: aktive, nicht nur passive Nutzung.
• Importeure – Sie bringen KI-Systeme aus dem Nicht-EU-Ausland in den EU-Markt ein. Sie müssen sicherstellen, dass diese den europäischen Vorgaben entsprechen.
• Nutzer – Sie verwenden KI-Systeme unter ihrer Aufsicht, ohne sie technisch zu verändern. Das sind typischerweise Unternehmen, die eine Lösung eines Dritten einsetzen.

Wer ist konkret betroffen?

Im Klartext: Fast jedes Unternehmen, das KI in irgendeiner Form nutzt oder nutzen möchte. Das gilt gleichermaßen für Chatbots im Kundenservice, für die Automatisierung von Rechnungsprozessen oder zur Risikoanalyse. Auch wenn viele dieser Anwendungen in den Bereich „geringes Risiko“ fallen, gelten doch oft Transparenz- oder Informationspflichten.
Besonders betroffen sind Unternehmen, die sogenannte Hochrisiko-KI-Systeme verwenden. Dazu zählen beispielsweise Systeme zur Kreditwürdigkeitsprüfung, zur Personalrekrutierung oder für den Zugang zu Bildungsangeboten. Wichtig zu wissen ist, dass die EU KI-Verordnung zwar einheitlich beschlossen, jedoch gestaffelt in Kraft tritt. Ab 2. Februar 2025 gelten erste Regelungen für verbotene KI-Praktiken – etwa Echtzeit-Biometrie zur Massenüberwachung oder sogenanntes Social Scoring. Ab 2. August 2026 gilt der vollständige Geltungsbereich für alle Hochrisiko-KI-Systeme, inklusive der umfassenden Anforderungen an Risikomanagement, Dokumentation und Konformitätsprüfung. Unternehmen, die Hochrisiko-Systeme entwickeln oder nutzen, haben daher nur noch rund ein Jahr Zeit, ihre Prozesse und Systeme anzupassen.

EU AI Act – Worum es eigentlich geht

Was bedeutet das für Unternehmen?

Auch wenn kleinere Unternehmen oft keine eigenen KI-Systeme entwickeln, nutzen sie diese zunehmend über SaaS-Anbieter oder externe Dienstleister. Und genau hier greift der AI Act: Auch der Einsatz von Drittanbieter-KI-Systemen ist geregelt – etwa durch die Pflicht zur menschlichen Aufsicht, zur Schulung der Mitarbeitenden oder zur Dokumentation von Entscheidungen. Die oft zitierte Unterscheidung zwischen Anbieter und Nutzer ist also nicht nur juristisch relevant, sondern entscheidet über den Umfang der Pflichten.

Hinweis: Bei Nichtbeachtung drohen empfindliche Strafen. Je nach Art der Verstöße können Bußgelder bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes fällig werden. Das unterstreicht die Bedeutung eines strukturierten und rechtssicheren Umgangs mit KI-Systemen. Der EU AI Act ist kein reines IT-Thema – er betrifft alle Unternehmensbereiche, von der Personalabteilung bis zum Produktmanagement. Die Verantwortlichkeiten liegen bei der Geschäftsführung, beim Compliance-Management und in der IT gleichermaßen. Unternehmen, die jetzt beginnen, die neuen Rollen zu analysieren, ihre verwendeten Systeme zu kategorisieren und interne Zuständigkeiten zu klären, verschaffen sich einen klaren Wettbewerbsvorteil.

Jetzt Weichen stellen, morgen rechtskonform zu sein

Der EU AI Act kommt nicht überraschend – aber er verlangt eine strategische Vorbereitung. Wer als Unternehmer heute KI einsetzt oder plant, sie zu nutzen, sollte sich spätestens jetzt mit den neuen Pflichten auseinandersetzen. Denn es geht nicht nur um Technik, sondern auch um Verantwortung und Vertrauen. In Teil II werfen wir einen Blick auf die Herausforderungen und ethischen Fragen rund um KI im Unternehmen.

Ausblick: In Teil zwei unserer dreiteiligen Artikelserie zum EU AI Act setzen wir uns mit Herausforderungen, Geltungsbereichen & ethische Aspekten von KI im Unternehmens-Kontext auseinander.