Der AI Act der Europäischen Union wurde im Mai 2024 offiziell verabschiedet und tritt am 20. Juli 2025 in Kraft. Für bestimmte Pflichten gilt jedoch eine Übergangsfrist, sodass einige Regelungen bereits ab Ende 2024 (z. B. für Hochrisiko-Systeme) oder ab Anfang 2026 verbindlich sind. Unternehmen und insbesondere Start-ups sollten sich daher nach Ansicht von Dr. Späth & Partner Rechtsanwälten mbB mit Sitz in Berlin jetzt vorbereiten, um Haftungsrisiken und Bußgelder zu vermeiden.

  1. Was ist der AI Act der EU?

Der AI Act der EU (Verordnung (EU) 2024/1684) ist die weltweit erste umfassende gesetzliche Regelung zur Künstlichen Intelligenz. Ziel ist es, einheitliche Standards für Sicherheit, Transparenz und Grundrechte bei der Entwicklung und Nutzung von KI-Systemen in der EU zu schaffen und somit die neue Technologie nicht zu bremsen, aber Risiken zu vermeiden und somit das Vertrauen in die neue Technologie zu fördern.

  1. Welche Unternehmen sind betroffen?

Alle Unternehmen, die:

  • KI-Systeme in der EU anbieten oder in den Verkehr bringen,
  • Nutzer von KI-Systemen in der EU sind oder
  • Ergebnisse von KI-Systemen auf dem EU-Markt bereitstellen,
    unabhängig davon, ob sie in der EU ansässig sind oder nicht.

Gerade für Start-ups mit KI-Produkten oder -Anwendungen ist der AI Act von zentraler Bedeutung, auch wenn sie zunächst nur in der Entwicklungsphase sind und es ist somit wichtig, die Anforderungen des AI-Act zu erfüllen.

  1. Welche Verpflichtungen bestehen?

Der AI Act unterscheidet vier Risikokategorien:

a) Verbotene KI (Art. 5 AI Act)

Beispiele: Soziale Bewertung durch Behörden, manipulative KI, biometrische Echtzeitüberwachung ohne Ausnahme. Diese Systeme sind komplett verboten.

b) Hochrisiko-KI (Art. 6–29 AI Act)

Hier gelten umfangreiche Pflichten, z. B.:

  • Risikomanagementsystem (§ 9),
  • Daten- und Datenqualitätsanforderungen (§ 10),
  • Technische Dokumentation (§ 11),
  • Transparenz- und Erklärbarkeitspflichten (§ 13),
  • Registrierung in der EU-Datenbank für Hochrisiko-KI (§ 60).

Beispiele: KI in HR-Prozessen (z. B. für Bewerberauswahl), KI in der medizinischen Diagnostik, KI für kritische Infrastrukturen.

c) Begrenztes Risiko / Transparenzpflichten (Art. 50)

KI-Systeme, die z. B. Deepfakes erzeugen, müssen klar kennzeichnen, dass es sich um KI-generierte Inhalte handelt.

d) Minimales Risiko

Für Systeme wie KI-gestützte Spamfilter oder Chatbots bestehen keine direkten regulatorischen Anforderungen, aber freiwillige Standards werden empfohlen.

  1. Was müssen Unternehmen jetzt tun?

Unternehmen, die im Bereich KI tätig sind oder diese anwenden, haben diverse Pflichten, die sie teilweise bereits jetzt oder in naher  Zukunft erfüllen müssen und die immer im Einzelfall geprüft werden sollten, um Haftungsrisiken zu vermeiden.

Bestandsaufnahme: Welche KI-Systeme werden entwickelt oder genutzt? Welche Risikoklasse liegt vor?

Kategorisierung nach Risikoklasse: Nach Art. 6 ff. AI Act – Hochrisiko? Transparenzpflichtig?

Risikomanagement & technische Dokumentation aufbauen (bei Hochrisiko-KI): Insbesondere Dokumentation nach Art. 9–13 AI Act.

Interne Prozesse & Governance anpassen: Schulungen, Datenschutzkonzepte und Compliance-Strukturen aufbauen.

Beobachtung der Marktaufsicht und Übergangsfristen: Frühzeitig mit Behörden und ggf. zuständigen  Stellen zusammenarbeiten.

  1. Sanktionen bei Verstößen

Unternehmen und Start-ups sollte bewusst sein, dass bei Verstößen empfindliche Strafen und Geldbußen drohen, deren Eintritt unbedingt vermieden werden sollte.

  • Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes bei besonders schweren Verstößen (z. B. gegen Art. 5 – Verbotene KI).
  • Bußgelder nach Art. 99 AI Act sind ähnlich streng wie bei der DSGVO.
  1. Fazit

Nutzer, Anbieter und Inverkehrbringer von KI-Systemen müssen sich bereits jetzt intensiv mit dem AI-Act der EU beschäftigen, damit die KI-Systeme rechtskonform angewandt werden können. Start-ups und KMU sollten den Umsetzungsprozess nicht unterschätzen: Wer frühzeitig prüft, dokumentiert und seine Systeme an die Anforderungen des AI-Acts der EU anpasst, sichert sich nicht nur Compliance-Vorteile und Vertrauen, sondern vermeidet auch Haftungsrisiken und empfindliche Bussgelder.

Dr. Späth & Partner Rechtsanwälte mbB beraten Unternehmen und Start-ups in allen Bereichen des IT-Rechts und des Rechts der KI  – von der Risikoklassifikation über die Dokumentation bis hin zur behördlichen Registrierung, sofern erforderlich. Unternehmen und Start-ups, die im Bereich KI tätig sind oder KI-Systeme in ihrem Unternehmensablauf integrieren möchten,, können sich gerne an Dr. Späth & Partner Rechtsanwälte wenden, die seit dem Jahr 2002, und somit seit fast 23 Jahren, rechtsberatend tätig sind.