Der EU AI Act

Was Unternehmen jetzt wissen müssen
Der AI Act nach Inkrafttreten – warum Standardisierung, Fristen und KMU-Beteiligung laut dem KI Bundesverband jetzt entscheidend sind.
Der AI Act hat in mehrfacher Hinsicht Geschichte geschrieben. Einerseits wurde die erste umfassende KI-Regulierung der Welt beschlossen und dies zusätzlich in einem der wohl bislang längsten Verhandlungs-Marathon der EU-Geschichte, der ganze 36 Stunden andauerte. Andererseits stellte sich von Beginn an die Frage, ob der AI Act sich als Instrument zur Innovationsförderung oder nicht eher als wirtschaftlicher Hemmschuh herausstellen könnte. Denn der horizontale Ansatz, KI übergreifend zu regulieren – anstatt bestehende sektorale Regelungen anzupassen – war von Anfang an umstritten. Nun ist der AI Act seit einigen Monaten in Kraft, und auch wenn noch wichtige Implementierungsschritte ausstehen, lassen sich durchaus erste Entwicklungen erkennen.
AI Act: Umsetzungspflichten rücken näher
Seit dem 1. August 2024 ist der AI Act offiziell in Kraft. Dieses Datum ist vor allem deshalb bedeutend, weil es den Startschuss für den gestaffelten Umsetzungsprozess gegeben hat. Die bisherigen Entwicklungen sind dabei überschaubar, aber nicht unbedeutend: Bis letzten November mussten die Mitgliedstaaten bekanntgeben, welche Behörden und Institutionen für den Schutz fundamentaler Menschenrechte im Zusammenhang mit KI-Anwendungen verantwortlich sein werden. Seit Februar 2025 sind nun auch die Verbote wirksam geworden. Zu den untersagten KI-Anwendungen gehören unter anderem Anwendungen wie Social Scoring, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, manipulative KI-Systeme sowie KI-Anwendungen, die ungezielt biometrische Daten insbesondere Gesichter – aus offenen Quellen auslesen und für Datenbanken verwenden.
Neben den bereits in Kraft getretenen Bestimmungen muss aber auch intensiv an der Herstellung der Compliance für die nächsten, bald kommenden Fristen gearbeitet werden. Alle Akteure, die KI-Systeme entwickeln oder nutzen, müssen diese anhand des im AI Act eingeführten Risikograd-Systems bewerten und gegebenenfalls Maßnahmen ergreifen, um die Anforderungen zu erfüllen. Besonders hoch sind die Auflagen für sogenannte Hochrisiko-KI-Systeme. Anbieter und Betreiber müssen außerdem sicherstellen, dass alle Personen, die mit der Entwicklung, Anwendung oder Überwachung von Hochrisiko-KI befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.
Allerdings sind sowohl die Definition von Hochrisiko-KI-Systemen (HRAIS) als auch die Anforderungen an die Schulungspflicht derzeit noch unkonkret. Zwar enthält der Gesetzestext umfangreiche Passagen, in denen verschiedene HRAIS skizziert werden, jedoch fehlt es an umfassenden Guidelines, anhand derer sich jedes System klar als Hochrisiko oder Nicht-Hochrisiko einordnen ließe. Außerdem behält sich die EU-Kommission vor, im Nachgang weitere Systeme zu ihrer bestehenden Liste an HRAIS hinzuzufügen.
Fehlende Standards bremsen Umsetzung des AI Acts
Gut ein halbes Jahr nach Inkrafttreten werden in der Praxis überwiegend kritische Stimmen laut. Denn viele Unternehmen sehen sich derzeit mit erheblichen Unsicherheiten konfrontiert. Dies liegt vor allem daran, dass der AI Act an vielen Stellen auf künftige technische Standards und Normen verweist, die derzeit noch in der Entwicklung sind. Insbesondere für die konkrete Risikobewertung, die Umsetzung der Sicherheitsanforderungen sowie die Ausgestaltung von Schulungsprogrammen fehlen noch verbindliche Vorgaben. Gleichzeitig sind bereits erste Pflichten in Kraft, sodass Unternehmen sich teilweise im Unklaren über die genaue Auslegung der Vorschriften befinden.
“Unternehmen befinden sich teilweise im Unklaren über die genaue Auslegung der Vorschriften.”
Besonders deutlich werden die bestehenden Unsicherheiten beim Blick auf den aktuellen Stand der Standardisierungsprozesse. Eine umfassende Analyse des KI Bundesverbandes in Zusammenarbeit mit Partnern zeigt, dass gerade die praktische Umsetzung der zentralen Pflichten des AI Acts – etwa Risiko- und Qualitätsmanagement, Transparenz- und Dokumentationspflichten oder Anforderungen an menschliche Aufsicht – maßgeblich von harmonisierten technischen Standards abhängt, welche sich zum aktuellen Zeitpunkt noch in einer frühen Entwicklungsphase befinden. Als besonders herausfordernd erweist sich dabei nicht nur die in der Praxis voraussichtlich sehr kurze Umsetzungsfrist von teilweise weniger als einem Jahr, sondern auch die begrenzte Beteiligung kleinerer und mittlerer Unternehmen an den Standardisierungsgremien. Gerade diese Akteure, die den europäischen KI-Markt stark prägen, sehen sich mit einem doppelten Problem konfrontiert: Einerseits fehlt es ihnen häufig an Ressourcen, um sich aktiv in die Erarbeitung der Standards einzubringen, andererseits sind sie auf deren präzise Ausgestaltung angewiesen, um ihre Systeme rechtssicher und effizient anpassen zu können.
Empfehlungen für die Umsetzung des AI Act
Vor diesem Hintergrund formulieren wir konkrete Empfehlungen, um eine praxisnahe und innovationsfreundliche Implementierung des AI Acts sicherzustellen. Dazu zählen insbesondere die Verlängerung der Umsetzungsfristen, niedrigschwellige Beteiligungsmöglichkeiten für KMU und Start-ups im Standardisierungsprozess sowie begleitende Maßnahmen wie finanzielle Unterstützung und praxisorientierte Leitlinien. Zudem wird die zeitnahe Klärung der Frage nach der kostenfreien Zugänglichkeit der harmonisierten Standards als entscheidend angesehen, um insbesondere kleineren Anbietern die notwendige Rechtssicherheit zu verschaffen. Ob und in welchem Umfang diese Empfehlungen in den kommenden Monaten umgesetzt werden, dürfte eine zentrale Rolle dafür spielen, ob der AI Act sein Ziel erreicht, Innovation und Sicherheit gleichermaßen zu fördern.
“Für Unternehmen ist es wichtig, sich laufend über relevante Entwicklungen informiert zu halten.”
Gerade weil sich derzeit noch so viele Aspekte des AI Acts in der Detailausarbeitung befinden, ist es für Unternehmen wichtig, sich laufend über relevante Entwicklungen informiert zu halten um rechtzeitig Compliance-Maßnahmen ergreifen zu können, sobald relevante Fristen näher rücken oder in Teilbereichen Klarheit geschaffen wird. Zudem sollten proaktiv eigene Analysen durchgeführt werden, um die firmeneigenen Systeme in die entsprechenden Risikokategorien einzuordnen. Eine frühzeitige und umfassende Dokumentation aller relevanten Prozesse und Entscheidungen ist ebenfalls ratsam.
Die Frage, ob der AI Act seinem Anspruch, gleichzeitig Innovation zu fördern und Risiken wirksam zu begrenzen, gerecht werden kann, stellt sich damit weiterhin. Die kommenden Monate, insbesondere mit Blick auf die Standardisierungsprozesse und deren Ergebnisse, werden entscheidend sein. Schon jetzt zeigt sich jedoch, dass der AI Act nicht nur ein Meilenstein der Regulierung ist, sondern auch einen Prüfstein für die europäische KI-Strategie darstellt.
AI Act Timetable

Erwartete Ergänzungen
Delegierte oder Durchführungsrechtsakte
- 9 Monate: Verhaltenskodizes für GPAI-Anbieter
- 12 Monate: Erste jährliche Überprüfung der Liste der
verbotenen KI-Systeme - 18 Monate: Modell zur Überwachung nach dem
Inverkehrbringen - 24 Monate: Überprüfung der Liste der Hochrisiko-KI-Systeme
Die Kommission muss ebenfalls erarbeiten
- Verfahren zur Einrichtung eines wissenschaftlichen Beirats
- Verfahren zur Entwicklung von regulatorischen Sandboxes
unter realen Bedingungen
Harmonisierte Standards
(Publikation geplant für 2. Halbjahr 2025)
- Risikomanagement
- Datenqualität und -verwaltung
- Protokollierung
- Transparenz
- Menschliche Aufsicht
- Genauigkeit
- Robustheit
- Cybersicherheit
- Qualitätsmanagement
- Konformitätsbewertung
Für Mitgliedstaaten
- 3 Monate: Benennung der Behörde für den Schutz
fundamentaler Rechte - 12 Monate: Identifizierung und Benennung der
zuständigen nationalen Behörden - 24 Monate: Mitteilung an die Kommission über das
System der Sanktionen - 24 Monate: Einrichtung mindestens einer
regulatorischen Sandbox - Auflistung der geltenden Verpflichtungen
Dieser Artikel erschien erstmalig in unserem Magazin data! Ausgabe 5. Jetzt kostenlos lesen.