Compliance · AI Act

EU AI Act: Was sich für Ihr KMU wirklich ändert

Die Verordnung (EU) 2024/1689 betrifft fast jedes Unternehmen, das KI-Tools nutzt – nicht nur jene, die sie entwickeln. Hier finden Sie konkrete Antworten zu Pflichten, Fristen und ersten Schritten, ohne Alarmismus und ohne Fachjargon.

32 Antworten

Was ist der EU AI Act, einfach erklärt?

Der AI Act (Verordnung (EU) 2024/1689) ist das erste europäische Gesetz, das regelt, wie Künstliche Intelligenz entwickelt und eingesetzt werden darf. Er ist am 1. August 2024 in Kraft getreten und gilt stufenweise bis 2027.

Die Grundlogik ist einfach: Je stärker ein KI-System die Rechte oder die Sicherheit von Menschen berühren kann, desto mehr Regeln muss es einhalten. Manche Anwendungen sind ganz verboten, andere gelten als hochriskant und werden streng kontrolliert, die meisten alltäglichen Anwendungen (etwa ein Schreibassistent) unterliegen dagegen nur minimalen Pflichten.

GiBSeS — Herauszufinden, in welche Kategorie Ihre Tools fallen, ist der Ausgangspunkt jeder Bewertung, die wir mit KMU durchführen.

Gilt der AI Act auch für mein kleines Unternehmen?

Ja, der AI Act macht keine Ausnahme nach Unternehmensgröße: Er gilt für alle, die KI-Systeme im Rahmen einer beruflichen Tätigkeit entwickeln, vertreiben oder schlicht nutzen – einschließlich KMU und Freiberufler. Entscheidend ist nicht der Umsatz, sondern wie Sie KI einsetzen.

Die gute Nachricht: Die Pflichten sind risikoproportional. Wer KI für unkritische Aufgaben nutzt, hat nur geringe Auflagen zu erfüllen. Die Verordnung sieht zudem gezielte Unterstützungsmaßnahmen für KMU und Start-ups vor, etwa Reallabore (Sandboxes) und abgestufte Bußgelder.

GiBSeS — Die eigentliche Arbeit besteht darin, herauszufiltern, was Sie wirklich betrifft und was nicht – genau mit diesem praktischen Filter beginnen wir.

Was ist der Unterschied zwischen Provider und Deployer bei KI?

Der Provider (Anbieter) entwickelt ein KI-System oder bringt es unter eigenem Namen oder eigener Marke in Verkehr. Der Deployer (Betreiber) ist, wer ein KI-System in eigener Verantwortung im Rahmen einer beruflichen Tätigkeit nutzt.

Fast alle KMU sind Deployer, nicht Provider: Wer ChatGPT, Copilot, ein CRM mit KI-Funktionen oder ein automatisiertes Recruiting-Tool nutzt, ist Deployer. Die schwersten Pflichten (technische Dokumentation, Konformitätsbewertungen) treffen vor allem die Provider; Deployer haben geringere, aber nicht null Pflichten – besonders wenn sie Hochrisikosysteme einsetzen.

GiBSeS — Zu wissen, ob Sie bei jedem einzelnen Tool Provider oder Deployer sind, verändert die gesamte Liste der Pflichten – das klären wir als eines der ersten Dinge gemeinsam.

Wenn wir im Unternehmen nur ChatGPT oder Copilot nutzen, sind wir betroffen?

Ja, aber vermutlich nur in geringem Umfang. Mit der Nutzung dieser Tools sind Sie Deployer von KI und fallen damit in den Anwendungsbereich der Verordnung. In den meisten Fällen handelt es sich um KI mit begrenztem oder minimalem Risiko, mit Pflichten vor allem im Bereich Transparenz und gesunder Menschenverstand.

Die Pflicht, die Sie so gut wie sicher betrifft, ist die KI-Kompetenzvermittlung für das Personal (Art. 4): Wer diese Tools nutzt, muss ein angemessenes Verständnis dafür haben, wie sie funktionieren, wo ihre Grenzen liegen und welche Risiken bestehen (z. B. vertrauliche Daten in Prompts, Halluzinationen, Bias).

GiBSeS — Auch der scheinbar harmloseste Chatbot-Einsatz muss eingeordnet werden: Wir helfen Ihnen, schwarz auf weiß festzuhalten, was ausreicht und was nicht.

Muss ich meine Mitarbeitenden gesetzlich zu KI schulen?

Teilweise ja. Artikel 4 des AI Act, anwendbar seit dem 2. Februar 2025, verpflichtet Provider und Deployer, ein „ausreichendes“ Niveau an KI-Kompetenz beim Personal sicherzustellen, das diese Systeme nutzt. Das ist eine reale, aber flexible Pflicht.

Wichtig: Das Gesetz schreibt WEDER einen formalen zertifizierten Kurs NOCH ein bestimmtes Zeugnis vor. Verlangt wird ein angemessenes, zur Rolle, Erfahrung und Art der genutzten KI passendes Niveau. Praktisch heißt das: Die Mitarbeitenden müssen wissen, was sie da nutzen, mit welchen Risiken und Grenzen. Es empfiehlt sich, das Vorgehen zu dokumentieren (ein internes Schulungsregister mit Materialien und durchgeführten Sitzungen), um es bei Kontrollen nachweisen zu können.

GiBSeS — Ein angemessener, nachweisbarer Kompetenzplan ohne Leerlauf gehört zu den typischen Ergebnissen unseres AI-Act-Academy-Programms.

Wie weise ich nach, dass ich die KI-Schulungspflicht erfüllt habe?

Es gibt kein offizielles Formular und keine Pflichtzertifizierung. Der Nachweis wird intern aufgebaut: Halten Sie fest, wer geschult wurde, wozu, wann und mit welchen Inhalten. Ein einfaches Schulungsregister mit Materialien und Daten ist bereits eine solide Grundlage.

Das Ziel ist nicht Bürokratie um ihrer selbst willen, sondern einer Behörde zeigen zu können, dass Sie ernsthaft und angemessen gehandelt haben. Für ein kleines Unternehmen kann eine dokumentierte interne Sitzung plus eine schriftliche Nutzungsrichtlinie für KI-Tools bereits ausreichen.

GiBSeS — Ein solches Register schlank, aber wasserdicht aufzusetzen, ist etwas, wobei wir Ihnen in wenigen Stunden helfen können.

Welche Risikostufen sieht der AI Act vor?

Der AI Act unterteilt Systeme in vier Stufen:

1. Unannehmbares Risiko: verbotene Praktiken (Art. 5), unter keinen Umständen zulässig.

2. Hohes Risiko: stark regulierte Systeme (z. B. Personalauswahl, Kreditvergabe, Medizinprodukte, kritische Infrastrukturen) mit strengen Pflichten.

3. Begrenztes Risiko: Pflichten vor allem im Bereich Transparenz (z. B. Nutzer darauf hinweisen, dass er mit einem Chatbot spricht, generierte Inhalte kennzeichnen).

4. Minimales Risiko: die überwiegende Mehrheit der alltäglichen Anwendungen, ohne spezifische Pflichten außer gesundem Menschenverstand und KI-Kompetenz.

GiBSeS — Jedes Tool korrekt der richtigen Stufe zuzuordnen, vermeidet sowohl Bußgelder als auch unnötigen Aufwand – das ist der Kern unserer Diagnose.

Welche KI-Anwendungen sind laut AI Act verboten?

Artikel 5 listet die Praktiken mit unannehmbarem Risiko auf, die seit dem 2. Februar 2025 unionsweit verboten sind. Dazu gehören: schädigende unterschwellige oder täuschende Manipulation, das Ausnutzen von Schwächen schutzbedürftiger Personen, Social Scoring (soziale Bewertung von Bürgern), bestimmte Formen der Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, ungezieltes Scraping von Gesichtsbildern zum Aufbau von Datenbanken für Gesichtserkennung sowie biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, von sehr eng begrenzten Ausnahmen abgesehen.

Für ein durchschnittliches KMU sind diese Verbote selten ein Thema, sollten aber bekannt sein, bevor Tools für HR-Analytics, „intelligente“ Videoüberwachung oder aggressives Verhaltensmarketing eingeführt werden.

GiBSeS — Zu prüfen, dass kein bewertetes Tool an eine verbotene Praxis heranreicht, ist eine schnelle, aber unverzichtbare Kontrolle, die wir immer einbeziehen.

Was bedeutet es, wenn ein KI-System als „hochriskant“ gilt?

Als hochriskant gelten die in der Verordnung aufgeführten Systeme, die die Sicherheit oder Grundrechte erheblich beeinträchtigen können. Dazu zählen etwa KI zur Auswahl oder Bewertung von Bewerbern und Beschäftigten, zur Entscheidung über Kreditzugang, im medizinischen Bereich, in der Bildung oder beim Betrieb kritischer Infrastrukturen.

Wenn Sie als Deployer ein Hochrisikosystem einsetzen, haben Sie konkrete Pflichten: Es gemäß Anleitung nutzen, menschliche Aufsicht sicherstellen, den Betrieb überwachen, Protokolle aufbewahren und betroffene Beschäftigte informieren. Die strengeren Regeln für diese Systeme werden ab dem 2. August 2026 voll anwendbar (bei einigen regulierten Produkten ab 2027).

GiBSeS — Ein Recruiting- oder KI-Scoring-Tool kann Sie unbemerkt zum Hochrisiko-Deployer machen – ein Fall, den wir sorgfältig prüfen.

Muss ich Kunden mitteilen, wenn ein Inhalt von KI erzeugt wurde?

In vielen Fällen ja. Artikel 50 führt Transparenzpflichten ein: Wer Audio-, Bild-, Video- oder Textinhalte mit KI erzeugt (einschließlich Deepfakes), muss dies erkennbar machen und als künstlich kennzeichnen. Auch Chatbots müssen dem Nutzer klarmachen, dass er mit einer Maschine und nicht mit einem Menschen interagiert.

Für ein KMU bedeutet das praktisch: kennzeichnen, wenn ein Marketingbild oder -video KI-generiert ist, und klar angeben, wenn ein virtueller Assistent nicht menschlich ist. Das sind zumutbare Pflichten, oft mit einem einfachen Hinweis oder Label lösbar.

GiBSeS — Diese Pflichten in wenige operative Regeln für Marketing und Kundenservice zu übersetzen, ist ein schneller Eingriff, den wir gemeinsam mit Ihnen aufsetzen können.

Welche Sanktionen drohen bei Nichteinhaltung des AI Act?

Die Sanktionen sind beträchtlich und steigen mit dem Schweregrad. Für verbotene Praktiken (Art. 5) sind bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes möglich, je nachdem, welcher Betrag höher ist. Für die Verletzung anderer Pflichten liegt die Obergrenze bei bis zu 15 Millionen Euro oder 3 % des Umsatzes; für unrichtige Angaben gegenüber Behörden bei bis zu 7,5 Millionen Euro oder 1 %.

Wichtig für KMU: Für kleine und mittlere Unternehmen sowie Start-ups gilt jeweils der niedrigere Betrag zwischen Festbetrag und Prozentsatz, nicht der höhere. Die Sanktionen werden von den nationalen Behörden der jeweiligen Mitgliedstaaten verhängt, wobei die operative Aufsicht ab dem 2. August 2026 beginnt.

GiBSeS — Das Risiko muss an Ihrem realen Fall bemessen werden, nicht an alarmistischen Schlagzeilen: Ein Teil unserer Arbeit ist es, Ihnen ein ehrliches Maß für Ihre Risikoexposition zu geben.

Wer kontrolliert die Einhaltung des AI Act, und ab wann?

Aufsicht und Sanktionen liegen bei den zuständigen nationalen Behörden, die jeder Mitgliedstaat benennt, koordiniert auf europäischer Ebene durch das AI Office der Kommission. Es gibt keine einzige europäische „KI-Polizei“: Wer Sie kontrolliert, unterscheidet sich von Land zu Land.

Die Sanktionsbefugnis der nationalen Behörden wird ab dem 2. August 2026 operativ. Manche Pflichten gelten aber schon vorher (Verbote und KI-Kompetenzpflicht seit dem 2. Februar 2025) – „noch nicht kontrolliert“ heißt also nicht „noch nicht verpflichtet“.

GiBSeS — Zu wissen, welche Behörde für Ihren Sitz und Ihre Märkte zuständig ist, ist Teil der Erstanalyse, die wir für Sie erstellen.

Welches sind die wichtigsten Termine und Fristen des AI Act?

Die wichtigsten Etappen sind:

- 1. August 2024: Inkrafttreten der Verordnung.

- 2. Februar 2025: Verbote für Praktiken mit unannehmbarem Risiko (Art. 5) und KI-Kompetenzpflicht (Art. 4).

- 2. August 2025: Regeln für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und zur Governance.

- 2. August 2026: Anwendung der meisten Pflichten, einschließlich vieler Hochrisikosysteme, sowie volle Sanktionsbefugnis der Behörden.

- 2. August 2027: Pflichten für KI, die in bereits regulierte Produkte integriert ist.

GiBSeS — Einen internen Mini-Kalender nur mit den für Sie relevanten Fristen zu erstellen, verhindert Last-Minute-Hektik – ein konkretes Ergebnis unseres Assessments.

Wo fange ich konkret an, um mich regelkonform aufzustellen?

Der erste Schritt ist nicht der Kauf von Software oder eine Schulung: Es ist eine Inventur. Listen Sie auf, welche KI-Tools Sie tatsächlich nutzen (auch die „versteckten“ in CRM, ERP-Systemen, Marketing-Tools), zu welchem Zweck und mit welchen Daten.

Dann klären Sie für jedes Tool: Sind Sie Provider oder Deployer, in welche Risikostufe fällt es und welche Pflichten ergeben sich daraus. Danach bleiben für die meisten KMU drei praktische Schritte: das Personal schulen (Art. 4), eine Nutzungsrichtlinie für KI-Tools verfassen und die Transparenz gegenüber Kunden und Nutzern dort herstellen, wo sie nötig ist.

GiBSeS — Diese durchdachte Inventur ist genau der erste Schritt, den wir gemeinsam gehen: ein halber Tag gut investiert, der sowohl Bußgelder als auch unnötige Ausgaben vermeidet.

Brauche ich wirklich einen Berater, oder kann ich das selbst machen?

Für ein KMU mit einfachen KI-Anwendungen lässt sich vieles intern erledigen: Ein Tool-Inventar, eine Nutzungsrichtlinie und eine dokumentierte Schulungssitzung decken einen Großteil der Pflichten ab. Ein großes Projekt ist dafür nicht zwingend nötig.

Externe Unterstützung ist vor allem dann sinnvoll, wenn potenziell hochriskante Tools im Spiel sind (HR, Kredit, Gesundheitswesen), wenn sensible Daten verarbeitet werden, oder schlicht wenn Sie Gewissheit wollen, nichts vergessen zu haben, ohne tagelang selbst zu recherchieren. Das richtige Ziel ist Verhältnismäßigkeit: so viel wie nötig, nicht mehr.

GiBSeS — Genau so arbeiten wir: Wir liefern eine unabhängige Diagnose und sagen Ihnen ehrlich, was Sie selbst regeln können und was nicht.

Was kostet es, ein KMU AI-Act-konform aufzustellen?

Es gibt keinen Festpreis: Es hängt davon ab, wie viele Tools Sie nutzen und welche Risikostufe sie erreichen. Für die meisten kleinen Unternehmen mit begrenztem oder minimalem Risiko ist die Anpassung vor allem organisatorisch (Inventar, Richtlinie, Schulung) und mit überschaubaren Kosten verbunden, oft eher an interner Zeit als an Geld.

Die Kosten steigen erst, wenn Sie in den Hochrisikobereich kommen, wo strukturierte Dokumentation, menschliche Aufsicht und Monitoring nötig sind. Das zu vermeidende Risiko liegt im umgekehrten Fall: zu viel für Pflichten auszugeben, die Sie gar nicht betreffen, aus Angst vor überdimensionierter Beratung.

GiBSeS — Die Ausgaben am realen Risiko zu bemessen, ohne sie aufzublähen, ist ein Leitprinzip unseres Ansatzes: wirtschaftliche Disziplin zuerst.

Ersetzt der AI Act die DSGVO beim Datenschutz?

Nein, das sind zwei eigenständige und sich ergänzende Regelwerke. Die DSGVO regelt die Verarbeitung personenbezogener Daten; der AI Act regelt KI-Systeme nach ihrem Risiko. Ein KI-System, das personenbezogene Daten verarbeitet, muss beide einhalten.

In der Praxis heißt das: Wenn Sie KI mit Kunden- oder Mitarbeiterdaten einsetzen, gelten weiterhin die DSGVO-Regeln (Rechtsgrundlage, Informationspflicht, Sicherheit), und zusätzlich kommen die Pflichten des AI Act hinzu. Beide Bewertungen müssen zusammen erfolgen, nicht alternativ.

GiBSeS — AI-Act- und DSGVO-Compliance so zusammenzuführen, dass keine Doppelarbeit entsteht, ist Teil unserer Analyseweise für KMU.

Betrifft der AI Act auch Unternehmen außerhalb der EU, etwa in der Schweiz?

Der AI Act hat eine extraterritoriale Reichweite: Er gilt auch für Anbieter und Betreiber mit Sitz außerhalb der EU, wenn die Ergebnisse des KI-Systems in der Union genutzt werden oder wenn Sie KI-Systeme auf dem europäischen Markt in Verkehr bringen. Ein Schweizer oder außereuropäisches Unternehmen, das Kunden oder Nutzer in der EU bedient, kann also darunterfallen.

Wenn Sie ausschließlich auf Nicht-EU-Märkten tätig sind, greift der AI Act als solcher womöglich nicht, dennoch lohnt sich oft eine Ausrichtung daran als Referenzstandard, da europäische Kunden und Partner ihn tendenziell einfordern.

GiBSeS — Für Unternehmen mit Kunden in der Schweiz, Italien und der EU prüfen wir Fall für Fall, wo die Verordnung wirklich greift und wo sich eine freiwillige Anpassung lohnt.

Lohnt sich KI angesichts all dieser Pflichten überhaupt noch?

Ja, aber mit Methode. Der AI Act verbietet KI nicht: Er verlangt, sie bewusst und risikoproportional einzusetzen. Die richtige Antwort ist weder Verzicht noch pauschale Einführung, sondern die Fall-für-Fall-Entscheidung, ob und wo ein KI-Tool einen echten Nutzen bringt, der seine Risiken und Kosten aufwiegt.

Viele KI-Projekte scheitern nicht an der Regulierung, sondern weil sie aus Modegründen eingeführt wurden, ohne ein klares Problem zu lösen. KI sollte, wie jede andere Technologie oder Unternehmensinvestition, erst nach einer Risiko-Nutzen-Analyse eingeführt werden.

GiBSeS — Das ist der Kern unseres unabhängigen Ansatzes: Wir verkaufen keine KI, sondern helfen datenbasiert zu entscheiden, wo sie wirklich nötig ist und wo nicht.

Wie vermeide ich eine Bindung an einen einzigen KI-Anbieter, während ich mich regelkonform aufstelle?

Die Konformität mit dem AI Act zwingt Sie nicht, sich für einen bestimmten Anbieter zu entscheiden. Im Gegenteil, sie ist die passende Gelegenheit, die Dinge herstellerneutral aufzusetzen: Zu dokumentieren, was jedes Tool tut, mit welchen Daten und welchen Garantien, macht es leichter, es morgen zu wechseln, ohne festzustecken.

Vorsicht bei „Alles-inklusive“-Lösungen, die Compliance versprechen, Sie aber an eine einzige Plattform binden: Echte Compliance ist ein Prozess, der Ihnen gehört, kein Produkt eines Anbieters. Behalten Sie die Eigentümerschaft über Ihre Daten, Ihre Richtlinien und Ihre Dokumentation.

GiBSeS — Unabhängigkeit von Anbietern und Anti-Lock-in sind Prinzipien, auf denen wir jede Empfehlung aufbauen: Die Compliance bleibt Ihre, nicht die des Anbieters.

Mein Unternehmen hat weder Sitz noch Betriebsstätte in der EU: Gilt der AI Act trotzdem?

Ja. Die Verordnung (EU) 2024/1689 (AI Act) hat eine bewusst extraterritoriale Reichweite. Sie gilt für Anbieter (Provider), die KI-Systeme auf dem EU-Markt in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, wo sie niedergelassen sind, und sogar für Anbieter und Betreiber außerhalb der EU, wenn die vom KI-System erzeugten Ergebnisse in der Union genutzt werden.

Praktisch zählt also nicht, wo Ihr Unternehmen seinen Sitz hat, sondern ob Ihre KI-Systeme (oder deren Ergebnisse) europäische Kunden und Nutzer erreichen. Wenn die Antwort ja lautet, fallen Sie in den Anwendungsbereich der Verordnung.

GiBSeS — GiBSeS hilft Nicht-EU-Unternehmen zu verstehen, ob und wie der AI Act sie betrifft, bevor er zu einem Hindernis beim Zugang zum europäischen Markt wird.

Muss ich zwingend einen Bevollmächtigten in Europa benennen, um meine KI-Systeme zu verkaufen?

Das hängt vom Systemtyp ab. Wenn Sie ein Nicht-EU-Anbieter eines Hochrisiko-KI-Systems sind, verpflichtet Sie der AI Act, per schriftlichem Mandat einen in der Union niedergelassenen Bevollmächtigten zu benennen, bevor Sie das System auf dem EU-Markt bereitstellen. Dieselbe Pflicht gilt für Nicht-EU-Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI).

Der Bevollmächtigte ist die Kontaktstelle für die europäischen Behörden, bewahrt die technische Dokumentation auf und wirkt bei Prüfungen mit. Für Systeme mit begrenztem oder minimalem Risiko greift diese spezifische Pflicht nicht, die übrigen anwendbaren Anforderungen bleiben aber bestehen.

GiBSeS — GiBSeS kann Sie zur Rolle des Bevollmächtigten beraten und dazu, wie Sie diese am schlankesten abdecken, ohne Ihre Struktur zu belasten.

Ich bin ein US-amerikanischer/asiatischer KI-SaaS-Anbieter mit Kunden in der EU: Was muss ich konkret tun?

Der erste Schritt ist, Ihr System nach dem AI Act zu klassifizieren: verbotene Praxis, hohes Risiko, begrenztes Risiko (nur mit Transparenzpflichten) oder minimales Risiko. Die meisten generalistischen KI-SaaS-Angebote fallen unter begrenztes oder minimales Risiko, aber bestimmte Anwendungsfälle (etwa Personalauswahl, Kreditvergabe, Biometrie, Sicherheitskomponenten) lösen die Hochrisiko-Einstufung aus.

Gelten Sie als Anbieter eines Hochrisikosystems, müssen Sie technische Dokumentation, ein Risikomanagementsystem, menschliche Aufsicht, Protokollierung der Ereignisse, CE-Kennzeichnung und einen Bevollmächtigten in der EU vorhalten. Bei begrenztem Risiko sind die Hauptpflichten Transparenz gegenüber dem Nutzer. In jedem Fall entscheidet die korrekte Kartierung Ihrer EU-Kunden und des Output-Flusses über Ihre tatsächlichen Pflichten.

GiBSeS — GiBSeS begleitet Nicht-EU-SaaS-Anbieter bei der Risikoklassifizierung und der minimal nötigen Vorbereitung, um europäische Kunden regelkonform zu bedienen.

Mein KI-System läuft vollständig außerhalb der EU, aber die Ergebnisse werden von europäischen Kunden genutzt: Bin ich trotzdem betroffen?

Ja. Genau das ist eines der zentralen Kriterien des AI Act: Die Verordnung gilt auch für Anbieter und Betreiber mit Sitz in einem Drittland, wenn das vom KI-System erzeugte Ergebnis in der Europäischen Union genutzt wird. Es spielt keine Rolle, ob die Software in der EU gehostet oder ausgeführt wird.

Das bedeutet: Ein Modell, das etwa in den USA oder in Asien trainiert und betrieben wird und dessen Ergebnisse Entscheidungen oder Dienste für europäische Nutzer speisen, fällt in den Anwendungsbereich. Entscheidend ist, wohin die Ergebnisse gehen und wie sie genutzt werden, nicht die Geografie der Server.

GiBSeS — GiBSeS hilft nachzuvollziehen, wo die Ergebnisse Ihrer Systeme tatsächlich landen und welche EU-Pflichten das auslöst.

Wer trägt gegenüber den EU-Behörden wirklich die Verantwortung: ich als Anbieter, der Importeur oder der europäische Händler?

Der AI Act verteilt entlang der Lieferkette klar getrennte Verantwortlichkeiten. Der Anbieter (wer das System entwickelt und unter eigenem Namen oder eigener Marke in Verkehr bringt) trägt die schwersten Pflichten: Konformität, technische Dokumentation, CE-Kennzeichnung. Der EU-Importeur muss prüfen, ob der Nicht-EU-Anbieter die Konformitätsbewertung durchgeführt, die Dokumentation erstellt und den Bevollmächtigten benannt hat, und darf das Inverkehrbringen verweigern, wenn etwas fehlt.

Der Händler muss vor der Bereitstellung des Systems das Vorhandensein von Kennzeichnung und Dokumentation kontrollieren. Vorsicht aber: Importeure oder Händler, die wesentliche Änderungen vornehmen oder das System unter eigener Marke vermarkten, können als Anbieter umqualifiziert werden und übernehmen dann alle entsprechenden Pflichten. Die Verantwortung verlagert sich nicht automatisch auf die nachgelagerten Akteure.

GiBSeS — GiBSeS hilft Ihnen, Rollen und Verantwortlichkeiten mit Ihren EU-Partnern klar zu definieren, damit Sie nicht plötzlich mit unerwarteten Pflichten dastehen.

Was ist die CE-Kennzeichnung für KI, und brauche ich sie wirklich für den Zugang zum europäischen Markt?

Die CE-Kennzeichnung bestätigt, dass ein Produkt die geltenden EU-Anforderungen erfüllt. Für als hochriskant eingestufte KI-Systeme verlangt der AI Act, dass der Anbieter die Konformitätsbewertung abschließt, die EU-Konformitätserklärung ausstellt und die CE-Kennzeichnung anbringt, bevor das System in der Union in Verkehr gebracht oder in Betrieb genommen wird.

Für Systeme mit begrenztem oder minimalem Risiko ist die CE-Kennzeichnung im Sinne des AI Act nicht erforderlich: Dort zählen vor allem die Transparenzpflichten. Zu verstehen, in welche Kategorie Ihr Produkt fällt, entscheidet also, ob diese Pflicht Sie betrifft oder nicht.

GiBSeS — GiBSeS begleitet Sie dabei zu klären, ob Ihr System eine CE-Kennzeichnung benötigt, und die dafür nötige technische Dokumentation vorzubereiten.

Was riskiere ich konkret bei Nichtkonformität: Bußgelder, Marktrücknahme, Produktsperren?

Die Konsequenzen sind zweierlei Art. Auf Marktebene können die nationalen Aufsichtsbehörden Korrekturmaßnahmen anordnen, das System vom EU-Markt zurückziehen oder zurückrufen und seine Bereitstellung untersagen: In der Praxis wird Ihr Produkt damit von europäischen Kunden ausgeschlossen.

Auf Sanktionsebene sieht der AI Act Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresgesamtumsatzes für verbotene Praktiken vor, bis zu 15 Millionen Euro oder 3 % für die Verletzung anderer Pflichten und bis zu 7,5 Millionen Euro oder 1 % für unrichtige Angaben gegenüber Behörden (es gilt jeweils der höhere der beiden Beträge). Für ein Nicht-EU-Unternehmen ist das unmittelbarste Risiko oft genau der Verlust des Marktzugangs.

GiBSeS — GiBSeS hilft Ihnen, diese Szenarien zu vermeiden, indem die Konformität abgesichert wird, bevor sie zur Handelsblockade wird.

Ich stelle ein KI-Modell mit allgemeinem Verwendungszweck (GPAI/Foundation Model) bereit: Habe ich als Nicht-EU-Unternehmen zusätzliche Pflichten?

Ja. Der AI Act führt eine eigene Regelung für KI-Modelle mit allgemeinem Verwendungszweck ein. GPAI-Anbieter müssen technische Dokumentation bereitstellen, nachgelagerte Anbieter informieren, die das Modell integrieren, eine Urheberrechts-Compliance-Policy verabschieden und eine Zusammenfassung der für das Training verwendeten Daten veröffentlichen. Für Modelle mit systemischem Risiko kommen verschärfte Pflichten hinzu (Bewertungen, Risikominderung, Cybersicherheit, Meldung von Vorfällen).

Außerdem müssen GPAI-Anbieter mit Sitz außerhalb der EU einen Bevollmächtigten in der Union benennen. Die GPAI-Regeln gehören im Zeitplan der Verordnung zu den ersten, die anwendbar werden.

GiBSeS — GiBSeS unterstützt Nicht-EU-Anbieter von General-Purpose-Modellen dabei, die GPAI-Pflichten zu kartieren und die erforderliche Dokumentation frühzeitig aufzusetzen.

Kann ich praktisch noch in die EU verkaufen, oder droht mir der AI Act, mich vom Markt auszuschließen?

Sie können weiterhin verkaufen: Der AI Act schließt Nicht-EU-Anbieter nicht vom Markt aus, macht den Zugang aber von der Einhaltung risikobasierter Regeln abhängig. Die überwiegende Mehrheit der KI-Systeme fällt unter minimales oder begrenztes Risiko mit überschaubaren Pflichten; nur wenige klar definierte Anwendungsfälle sind hochriskant oder verboten.

Entscheidend ist, vorbereitet anzutreten: die eigene Risikokategorie kennen, die richtigen Pflichten erfüllen (weder zu viele noch zu wenige) und, wo nötig, einen Bevollmächtigten in der EU haben. Nicht-EU-Unternehmen, die sich rechtzeitig organisieren, verwandeln Compliance in einen Wettbewerbsvorteil gegenüber unvorbereiteten Anbietern.

GiBSeS — GiBSeS hilft Ihnen, den Zugang zum EU-Markt pragmatisch aufzusetzen, ohne Sie stärker zu binden als nötig.

Ab wann muss ich konform sein? Welche Fristen betreffen mich?

Der AI Act ist am 1. August 2024 in Kraft getreten und gilt stufenweise. Die Verbote für verbotene KI-Praktiken sind seit dem 2. Februar 2025 anwendbar. Die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten ab dem 2. August 2025.

Die meisten Pflichten für Hochrisikosysteme werden ab dem 2. August 2026 anwendbar, während für einige Hochrisikosysteme, die in bereits regulierte Produkte integriert sind, die Frist am 2. August 2027 liegt. Für ein Nicht-EU-Unternehmen empfiehlt es sich, von diesen Terminen rückwärts zu planen, da die Vorbereitung von technischer Dokumentation, Konformitätsbewertung und Bevollmächtigtem Monate in Anspruch nimmt.

GiBSeS — GiBSeS hilft Ihnen, eine an diesen Fristen ausgerichtete Compliance-Roadmap zu erstellen, damit Sie vorbereitet auf den EU-Markt treffen.

Wo fange ich konkret an, um konform zu sein und den EU-Markt zu erschließen?

Der Ausgangspunkt ist ein Inventar Ihrer KI-Systeme und ihrer Einstufung nach dem AI Act (verboten, hohes Risiko, begrenztes Risiko, minimales Risiko), abgeglichen mit den Anwendungsfällen für europäische Kunden oder Nutzer. Diese Kartierung legt genau fest, welche Pflichten Sie betreffen, und vermeidet sowohl Lücken als auch unnötigen Aufwand.

Daraus ergeben sich die operativen Schritte: technische Dokumentation dort vorbereiten, wo erforderlich, Rollen entlang der Kette klären (Anbieter, Importeur, Händler), die Benennung eines Bevollmächtigten in der EU prüfen und die Transparenzpflichten umsetzen. Besser mit einer gezielten Gap-Analyse beginnen als mit einer pauschalen Compliance.

GiBSeS — GiBSeS setzt genau bei dieser Gap-Analyse an, um Sie regelkonform auf den EU-Markt zu bringen – mit dem richtigen Aufwand und ohne überflüssige Bindungen.

Ich biete einen Chatbot an oder erzeuge synthetische Inhalte (Deepfakes, KI-Bilder) für EU-Nutzer: Welche Transparenzpflichten habe ich?

Der AI Act sieht Transparenzpflichten für bestimmte Systeme vor, die mit Menschen interagieren oder Inhalte erzeugen. KI-Systeme, die zur direkten Interaktion mit natürlichen Personen bestimmt sind (wie Chatbots), müssen den Nutzer darüber informieren, dass er mit einer Künstlichen Intelligenz kommuniziert, außer in offensichtlichen Fällen. Anbieter von Systemen, die synthetische Text-, Bild-, Audio- oder Videoinhalte erzeugen, müssen sicherstellen, dass diese Ausgaben in einem maschinenlesbaren Format als künstlich generiert oder manipuliert gekennzeichnet werden.

Wer Systeme einsetzt, die Deepfakes erzeugen, muss zudem offenlegen, dass der Inhalt künstlich generiert oder verändert wurde. Diese Pflichten gelten auch für Nicht-EU-Anbieter, deren Systeme oder Ausgaben Nutzer in der Union erreichen.

GiBSeS — GiBSeS hilft Ihnen, die Transparenzpflichten und die Inhaltskennzeichnung konform für das europäische Publikum umzusetzen.

Dieser Inhalt dient der Information und stellt keine Rechtsberatung dar.

Machen wir eine Bestandsaufnahme Ihrer AI-Act-Situation

In einer gezielten Sitzung kartieren wir, welche KI-Tools Sie tatsächlich nutzen, in welche Risikostufe sie fallen und welche Pflichten Sie konkret betreffen – und unterscheiden dabei, was nötig ist, von dem, was überflüssig ist. Eine unabhängige Analyse, passend zu Ihrem KMU, ohne pauschal KI zu verkaufen.

AI-Act-Diagnose buchen