KI-Kompetenz Schulung

KI-Verordnung (AI Act): Seit August 2025 gelten scharfe Sanktionen – was Unternehmen jetzt beachten müssen

Seit dem 2. August 2025 ist die nächste Stufe der europäischen KI-Verordnung (AI Act) verbindlich. Was bisher Theorie war, wird nun zur Pflicht – und Verstöße können Unternehmen sehr teuer zu stehen kommen.

Rückblick: Was gilt bereits seit Februar 2025?

Die KI-Verordnung schafft als weltweit erster Rechtsrahmen klare Vorgaben für den Einsatz Künstlicher Intelligenz in der EU. Schon seit Februar 2025 gelten zentrale Grundregeln:

  • Verbotene KI-Praktiken: Tabu sind z. B. manipulative Systeme, Sozial-Scoring durch Behörden oder Unternehmen, Echtzeit-Biometrie in der Öffentlichkeit (mit engen Ausnahmen) sowie die gezielte Ausnutzung besonders Schutzbedürftiger.
  • Klare Rollen und Verantwortlichkeiten: Anbieter, Betreiber, Importeure und Händler haben jeweils eigene Pflichten – je nach Position in der Wertschöpfungskette.
  • Schulungspflichten: Mitarbeitende, die mit KI-Systemen arbeiten, müssen über Funktionsweise, Risiken und rechtliche Rahmenbedingungen informiert sein.

Seit August 2025: Sanktionen und neue Pflichten

Mit Inkrafttreten von Kapitel XII greifen nun auch die Sanktionsregelungen. Die Höhe der Bußgelder macht deutlich: KI-Compliance ist Chefsache.

  • Schwerwiegende Verstöße: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (z. B. verbotene Praktiken).
  • Verstöße im Hochrisiko-Bereich: bis zu 15 Mio. € oder 3 % Umsatz (z. B. Pflichtverletzungen bei Entwicklung oder Einsatz von Hochrisiko-KI).
  • Falsche oder irreführende Angaben gegenüber Behörden: bis zu 7,5 Mio. € oder 1 % Umsatz.

Wie bei der DSGVO gilt: Maßgeblich ist der höhere Wert. Für KMU gelten Erleichterungen. Wichtig: DSGVO-Bußgelder können zusätzlich drohen, wenn personenbezogene Daten betroffen sind.

Governance-Pflichten für Hochrisiko-KI

Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, müssen ein Risikomanagementsystem etablieren, das Folgendes umfasst:

  • Systematische Identifizierung und Bewertung von Risiken (z. B. Diskriminierung, Fehlentscheidungen, Sicherheitslücken),
  • klare Prozesse zur Risikominimierung,
  • regelmäßige Überprüfung und Anpassung der Maßnahmen.

Ausblick: Weitere Pflichten ab 2026

Ab dem 2. August 2026 folgen zusätzliche Vorgaben, u. a.:

  • Transparenzpflichten: Kennzeichnung von KI-Interaktionen, Deepfakes und Emotionserkennung.
  • Volle Compliance-Anforderungen für Hochrisiko-KI: Konformitätsbewertungen, Registrierung in der EU-Datenbank und laufende Risikoanalysen.

Mein Rat: Jetzt handeln – konkrete Schritte für Unternehmen

Wer strukturiert vorgeht, vermeidet nicht nur Bußgelder, sondern gewinnt auch Vertrauen bei Kunden und Geschäftspartnern. Sinnvoll ist ein Fahrplan in neun Schritten:

  1. Bestandsaufnahme: Alle KI-Systeme im Unternehmen erfassen, kategorisieren und dokumentieren.
  2. Verbotene Praktiken ausschließen: Anwendungen auf Konformität prüfen und unzulässige Systeme sofort stoppen.
  3. Verantwortlichkeiten klären: Zuständigkeiten intern festlegen und Schnittstellen definieren.
  4. Mitarbeitende schulen: Zielgruppenbezogene Trainings zu Risiken und Pflichten einführen.
  5. Risikomanagement etablieren: Risikoanalyse, Maßnahmenplan und Dokumentation aufbauen.
  6. Transparenzpflichten vorbereiten: Klare Kennzeichnung von KI-Interaktionen planen.
  7. Externe Partner prüfen: Dienstleister und Lieferketten in die Compliance einbeziehen.
  8. Regelmäßige Überprüfung: Monitoring und Audits zur kontinuierlichen Einhaltung einführen.
  9. Notfallplan erstellen: Meldewege und Krisenkommunikation für den Ernstfall vorbereiten.

Fazit

Die KI-Verordnung ist längst keine Zukunftsmusik mehr – sie gilt jetzt. Unternehmen, die rechtzeitig handeln, schützen sich nicht nur vor hohen Bußgeldern, sondern stärken zugleich ihre Marktposition. Wer frühzeitig in Compliance investiert, verschafft sich einen klaren Wettbewerbsvorteil.