Der EU AI Act ist kein IT-Gesetz — er ist ein Governance-Gesetz. Er fragt nicht, welche Technologie ein Unternehmen einsetzt, sondern wie es sie kontrolliert, dokumentiert und verantwortet. Und er stellt diese Frage verbindlich — mit Bußgeldern bis zu 35 Millionen Euro.
Was ist der EU AI Act?
Der EU AI Act (Verordnung EU 2024/1689) ist das erste umfassende KI-Regulierungsgesetz der Welt. Er trat im August 2024 in Kraft und gilt für jedes Unternehmen, das KI-Systeme in der EU einsetzt, entwickelt oder vermarktet — unabhängig davon, wo das Unternehmen seinen Sitz hat. Der zentrale Mechanismus: eine Risikoklassifizierung, die bestimmt, welche Pflichten für ein bestimmtes KI-System gelten.
Das Gesetz ist kein Technologieverbot. Es reguliert den Kontext, in dem KI eingesetzt wird. Dieselbe Technologie — ein Sprachmodell, das Texte analysiert — kann je nach Verwendungszweck als Minimal-Risiko eingestuft werden (internes Wissensmanagement) oder als Hochrisiko (Personalentscheidungen). Die Einordnung entscheidet über den Compliance-Aufwand.
Für wen gilt der EU AI Act?
Es gibt keine Ausnahme für KMU. Der EU AI Act gilt für Anbieter, die KI-Systeme entwickeln und in Verkehr bringen, und für Betreiber, die KI-Systeme in ihrem Unternehmen einsetzen. Für den Mittelstand ist die Betreiberrolle entscheidend: Wer Microsoft Copilot, ChatGPT oder ein HR-Analysetool nutzt, ist Betreiber — und trägt Mitverantwortung dafür, dass der Einsatz den Anforderungen entspricht.
Die vier Risikoklassen
Das zentrale Konzept des EU AI Acts ist die Risikeinstufung. Sie bestimmt alles — von den Dokumentationspflichten bis zum Bußgeldrahmen:
| Risikoklasse | Beispiele | Pflichten ab | Mittelstand |
|---|---|---|---|
| Inakzeptabel (verboten) | Social Scoring, manipulative Systeme, Echtzeit-Biometrie öffentlich | Feb 2025 | Selten relevant |
| Hochrisiko | Bewerbungsscreening, Kreditvergabe, medizinische Diagnostik, kritische Infrastruktur | Aug 2026 | Häufig betroffen |
| Begrenzt | Chatbots, KI-generierte Inhalte (Kennzeichnungspflicht) | Sofort | Fast alle betroffen |
| Minimal | Spam-Filter, einfache Automatisierung | Keine | Keine Pflichten |
Was bedeutet Hochrisiko in der Praxis?
Hochrisiko-KI ist nicht dasselbe wie „technisch komplexe KI". Ein einfaches Screening-Tool, das Bewerbungsunterlagen nach Kriterien bewertet, fällt in diese Kategorie — weil es Entscheidungen über Personen beeinflusst. Für solche Systeme verlangt der EU AI Act konkret: eine vollständige technische Dokumentation vor der Inbetriebnahme, einen lückenlosen Audit-Trail, der zeigt, wie Entscheidungen zustande kommen, definierte Human-in-the-Loop-Punkte, an denen Menschen die KI-Ausgabe prüfen und freigeben, sowie Transparenznachweise gegenüber Nutzern und Aufsichtsbehörden.
Die Geschäftsführung trägt diese Verantwortung — nicht die IT-Abteilung. Der EU AI Act adressiert Betreiber als Organisation. Wer die Verantwortung delegiert ohne Governance-Struktur zu schaffen, erzeugt Haftungsrisiko ohne Korrekturmöglichkeit.
Der EU AI Act im AGILERO-Kontext
In der AGILERO-Architektur ist EU AI Act Compliance kein isoliertes Rechtsprojekt — sie ist das Ergebnis einer funktionierenden KI-Governance. Wer seine KI-Systeme inventarisiert, klassifiziert und mit Audit-Trail betreibt, erfüllt die meisten Anforderungen als Nebenprodukt.
| EU AI Act Anforderung | AGILERO-Instrument | Funktion |
|---|---|---|
| KI-Inventar | KI-Governance Stresstest | Alle Systeme erfassen — offiziell und inoffiziell |
| Risikoklassifizierung | KI-Audit Paket A | Einordnung anhand von 7 Governance-Dimensionen |
| Audit-Trail | KI-Betriebsmodell | Dokumentation als strukturierter Prozess, nicht als Einmalereignis |
| Human-in-the-Loop | Human-in-the-Loop | Freigabepunkte definiert, dokumentiert, eingehalten |
Experten-Tipp: Fragen Sie Ihre Mitarbeitenden, welche KI-Tools sie im Arbeitsalltag verwenden — und wie viele davon offiziell freigegeben sind. Wenn die Antworten ausweichen oder voneinander abweichen, ist das kein Tool-Problem. Es ist ein Governance-Problem — und es macht Sie bereits heute angreifbar für Bußgelder nach EU AI Act, auch ohne Hochrisiko-Systeme.
