EU AI Act — The Complete Guide for Businesses
Regulation (EU) 2024/1689 has been in force since August 2024: the world's first comprehensive AI law. What does this mean concretely for your business? Which obligations apply when? And how are fines of up to €35 million avoided?
What is the EU AI Act?
The EU AI Act (Regulation (EU) 2024/1689) is the world's first comprehensive regulatory framework for artificial intelligence. It was published in the EU Official Journal on 1 August 2024 and entered into force on the same day. The AI Act applies to all companies that develop, distribute or use AI systems in the EU, regardless of where the company is based.
The approach is risk-based: the higher the risk of an AI system to fundamental rights and safety, the stricter the requirements. The spectrum ranges from outright bans to systems with no special requirements.
The Four Risk Classes
Verboten. Keine Ausnahmen für Unternehmen.
Konformitätsbewertung, Risikomanagement, Dokumentation, menschliche Aufsicht, Registrierung in EU-Datenbank.
Offenlegung gegenüber Nutzern, dass sie mit einer KI interagieren.
Keine gesetzlichen Pflichten. Freiwillige Verhaltenskodizes empfohlen.
Deadlines & Timeline
EU AI Act in Kraft getreten (VO 2024/1689)
Verbote für inakzeptables Risiko gelten (Kapitel I & II)
Verhaltenskodizes für GPAI-Modelle werden angewendet
Hauptteil gilt: Hochrisiko-KI, Transparenzpflichten, Behörden eingerichtet
Vollständiger Rollout, auch für bestehende Hochrisiko-Systeme
Fines & Sanctions
Verstoß gegen verbotene KI-Praktiken (Artikel 5)
Verstöße gegen Anforderungen für Hochrisiko-KI
Falsche Informationen gegenüber Behörden
* Alternatively: % of global annual turnover, whichever is higher.
Frequently Asked Questions
Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende KI-Regelwerk. Er klassifiziert KI-Systeme nach Risikostufen und definiert Pflichten für Unternehmen, die KI entwickeln oder einsetzen. Er gilt EU-weit und damit auch für alle deutschen Unternehmen.
Alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen, unabhängig von ihrer Größe oder ihrem Sitz. Auch Nicht-EU-Unternehmen sind betroffen, wenn ihre KI-Systeme in der EU genutzt werden.
Der AI Act definiert KI-Systeme als maschinenbasierte Systeme, die auf Basis von Eingaben Vorhersagen, Empfehlungen, Entscheidungen oder Inhalte erzeugen und damit physische oder virtuelle Umgebungen beeinflussen können. Das umfasst LLMs wie ChatGPT, Bilderkennungssysteme, Empfehlungsalgorithmen und mehr.
Für die meisten Einsatzzwecke (Texterstellung, Zusammenfassung, Recherche) fallen ChatGPT und Copilot in die Kategorie minimales Risiko und es gelten keine speziellen Pflichten. Werden sie jedoch in hochriskanten Kontexten eingesetzt (z.B. HR-Entscheidungen, Kreditbewertung), gelten die Hochrisiko-Anforderungen.
Schritt 1: Inventar aller eingesetzten KI-Systeme erstellen. Schritt 2: Risikoklasse jedes Systems bestimmen. Schritt 3: Für Hochrisiko-Systeme: Konformitätsbewertung, Risikomanagement und Dokumentationspflichten aufsetzen. Schritt 4: Mitarbeiter schulen, die mit KI arbeiten. Schritt 5: KI-Governance-Richtlinie erstellen.
GPAI-Modelle sind leistungsstarke KI-Grundlagenmodelle wie GPT-4, Claude oder Gemini. Ab einer Trainingsrechenleistung von 10²⁵ FLOP gelten sie als systemisch relevant und unterliegen zusätzlichen Transparenz- und Sicherheitspflichten.
Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei Verstößen gegen verbotene KI-Praktiken. Bis zu 15 Millionen Euro oder 3% des Umsatzes bei Verletzung der Hochrisiko-Anforderungen.
Der AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Beide Regelwerke gelten parallel. Die DSGVO regelt den Datenschutz, der AI Act regelt die KI-Sicherheit und -Transparenz. Bei KI-Systemen, die personenbezogene Daten verarbeiten, müssen beide Regelwerke eingehalten werden.
We check whether your AI systems are compliant and create a concrete action plan.
Request now →