KI-Glossar

EU AI Act (Verordnung über KI)

EU-Verordnung zur Regulierung von KI-Anwendungen, seit 2024 in Kraft, gestaffelte Umsetzung bis 2027. Klassifiziert KI-Systeme in vier Risiko-Klassen mit unterschiedlichen Pflichten pro Klasse.

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er gilt seit 2024, mit gestaffelter Umsetzung der einzelnen Bestimmungen bis 2027. Die zentrale Logik: KI-Systeme werden nach ihrem Risiko-Potenzial in vier Klassen eingeteilt — minimales Risiko, limitiertes Risiko, hohes Risiko, verboten. Je höher das Risiko, desto strenger die Pflichten.

In KMU-Praxis fallen die meisten Anwendungen in „minimales Risiko" oder „limitiertes Risiko". Mail-Triage, Datenextraktion aus PDFs, FAQ-Chatbots, automatische Klienten-Reports — alles minimal, kaum zusätzliche Pflichten gegenüber DSGVO. Bei limitiertem Risiko (z.B. Kunden-Chatbots) kommt eine Transparenz-Pflicht hinzu: der Nutzer muss wissen, dass er mit einer KI interagiert.

Hochrisiko-Klassifikation greift bei Anwendungen mit rechtlicher oder sicherheitsrelevanter Wirkung: Personalauswahl per KI (CV-Screening), Kreditvergabe-Entscheidungen, Versicherungspolizzen-Bewertung, medizinische Diagnostik. Hier kommen umfangreiche Pflichten zur Dokumentation, Risikobewertung, Daten-Qualitätssicherung und menschlichen Aufsicht hinzu. Ein normaler KMU-KI-Workflow ist davon meist nicht betroffen — aber wenn Sie z.B. ein Lead-Scoring entwickeln, das automatisch über Kundenpotenzial entscheidet, sollten Sie prüfen, ob es zur Hochrisiko-Klasse gehört.

Verbotene Anwendungen sind z.B. Social Scoring nach chinesischem Vorbild, biometrische Echtzeit-Überwachung im öffentlichen Raum, manipulative Verhaltens-Beeinflussung. Für KMU-Anwendungen praktisch irrelevant.

Wichtig: Der AI Act gilt parallel zur DSGVO, nicht statt ihr. Wer KI-Anwendungen mit personenbezogenen Daten baut, muss beide Verordnungen erfüllen.

Auf einen Blick

In Kraft
Seit 2024, gestaffelte Umsetzung bis 2027
Vier Risiko-Klassen
Minimal, limitiert, hoch, verboten
KMU-Standard-Anwendungen
Meist „minimales Risiko" — kaum zusätzliche Pflichten
Parallel zu DSGVO
Beide Verordnungen gelten gleichzeitig, ergänzen sich
Beispiel aus der Praxis

Eine Hausverwaltung führt eine KI-Mail-Triage ein: eingehende Mieter-Mails werden klassifiziert, an zuständigen Verwalter weitergeleitet, Auto-Empfangsbestätigung verschickt. Klassifikation nach AI Act: minimales Risiko. Pflichten: keine über DSGVO hinaus. Anders wäre es, wenn die KI automatisch über Mietverhältnis-Verlängerungen entscheiden würde — das wäre Hochrisiko und mit umfangreichen Pflichten verbunden.

Wann einsetzen — und wann nicht

Sinnvoll bei

  • Vor jeder neuen KI-Anwendung kurze Risikoklasse-Einschätzung machen
  • Bei automatischen Entscheidungen mit rechtlicher Wirkung sehr genau prüfen
  • Bei Kundenkontakt-KI (Chatbots, Voice-Bots) Transparenz-Pflicht erfüllen
  • Bei Hochrisiko-Anwendungen Dokumentation und menschliche Aufsicht von Anfang an einplanen

Eher nicht bei

  • Den AI Act als Grund nehmen, KI gar nicht einzuführen — KMU-Standard-Anwendungen sind kaum betroffen
  • Annehmen, dass DSGVO und AI Act dasselbe regeln — sie ergänzen sich

Häufige Fehler

  • Eine Anwendung als „minimales Risiko" einschätzen, ohne den konkreten Use-Case zu prüfen — bei Entscheidungs-KI sollte ein Jurist drüberschauen
  • Transparenz-Pflicht bei Chatbots vergessen („Sie sprechen mit einer KI") — kleine Aufschrift reicht
  • Erst nach Live-Schaltung Compliance prüfen — sollte vor Projektbeginn klar sein

Häufige Fragen

Gilt der EU AI Act schon für mich?
Für die meisten KMU-Anwendungen seit August 2025. Verbotene Praktiken wurden bereits 2024 untersagt. Hochrisiko-Pflichten werden bis 2027 schrittweise scharf gestellt. Standard-Anwendungen (Mail-Triage, FAQ-Bot, Reporting) haben kaum zusätzliche Pflichten gegenüber DSGVO.
Was muss ich konkret tun, um Compliant zu sein?
Bei minimalem Risiko: nichts über DSGVO hinaus. Bei limitiertem Risiko (Kundenkontakt-KI): Hinweis „Sie interagieren mit KI" sichtbar machen. Bei Hochrisiko: ausführliche technische Dokumentation, Risikobewertung, Daten-Qualität-Nachweis, menschliche Aufsicht — das ist substanzieller Aufwand.
Welche KMU-Anwendungen sind Hochrisiko?
Selten direkt. Aber prüfen: Personalauswahl mit KI-Screening (Hochrisiko), automatische Kreditentscheidungen (Hochrisiko), Lead-Scoring mit rechtlicher Auswirkung (Grenzfall), biometrische Kundenidentifikation (kann Hochrisiko sein). Standard-Workflow-Automation ist nicht betroffen.
Gilt der AI Act auch für selbst gehostete Open-Source-Modelle?
Ja. Die Verordnung gilt für das KI-System als solches, unabhängig davon, ob es kommerziell oder Open-Source ist. Wer Llama oder Mistral auf eigenem Server betreibt und damit eine Hochrisiko-Anwendung baut, muss dieselben Pflichten erfüllen wie bei kommerzieller Cloud-KI.
Wer prüft die Einhaltung?
Auf nationaler Ebene werden die Datenschutzbehörden federführend mit Marktaufsichtsbehörden zusammenarbeiten. In Österreich ist die Datenschutzbehörde (DSB) die primäre Stelle. Bußgelder sind hoch — bis zu 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken, niedriger bei Hochrisiko-Verstößen.

Verwandte Begriffe

Verwandt

KI & DSGVO

Sobald KI personenbezogene Daten verarbeitet, greift die DSGVO. Entscheidend sind Hosting-Ort, Auftragsverarbeitungsvertrag und ob die Daten zum Training genutzt werden.

Verwandt

ChatGPT im Unternehmen

Was Unternehmen bei der ChatGPT-Nutzung beachten müssen — DSGVO, Datenpreisgabe, Mitarbeiter-Richtlinien. Die kostenlose Web-UI ist nicht für Kundendaten geeignet, ChatGPT Team und Enterprise mit AVV hingegen schon.

Verwandt

KI-Automatisierung

Übernahme wiederkehrender Geschäftsprozesse durch KI-gestützte Workflows — Mail-Klassifikation, Datenextraktion, Content-Generierung. Realistische Zeitersparnis 3–15 Stunden pro Woche je nach Aufgabe und Volumen.

Konkrete Frage zu diesem Thema?

Im Kennenlerngespräch übersetzen wir den richtigen Begriff in einen umsetzbaren Workflow für Ihr Unternehmen.

Kennenlerngespräch vereinbaren →
← Zurück zum Glossar