EU AI Act 2025/26: Pflichten für deutsche Unternehmen

Kurzfassung: Der EU AI Act ist seit 1. August 2024 schrittweise in Kraft getreten und regelt KI in der EU risikobasiert. Verbotene Praktiken gelten bereits, weitere Pflichten greifen stufenweise – mit zentralen Anforderungen an Transparenz, Daten- und Modell-Dokumentation, Risikomanagement, menschliche Aufsicht und Kennzeichnung synthetischer Inhalte. Verstöße können mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes geahndet werden. (Künstliche Intelligenz Gesetz EU)

• Rechtsstatus: Verordnung (direkt geltendes EU-Recht). Veröffentlichung im Amtsblatt am 12. Juli 2024, Inkrafttreten am 1. August 2024. (Künstliche Intelligenz Gesetz EU)
• Zeitplan (vereinfacht):
  • Seit Februar 2025: Verbotene Praktiken (z. B. Emotionserkennung am Arbeitsplatz/Schule, Social Scoring, ungezieltes Scrapen von Gesichtsbildern) sind untersagt. (Reuters)
  • 2025–2026: Transparenz- und Kennzeichnungspflichten (u. a. Deepfakes/synthetische Inhalte) sowie GPAI/“Foundation Models” starten phasenweise. (Europäisches Parlament)
  • Ab 2026/2027 (stufenweise): breite Anwendung der Pflichten, insbesondere für Hochrisiko-KI (Annex III). (Europäisches Parlament)

1. Unannehmbares Risiko – verboten
   U. a. Social Scoring, Emotionserkennung in Arbeit & Bildung, biometrische Kategorisierung nach sensiblen Merkmalen, untargetetes Scrapen von Gesichtsbildern. (Künstliche Intelligenz Gesetz EU)
2. Hochrisiko-KI
   Systeme in sicherheitskritischen Produkten oder in den in Annex III genannten Anwendungsfeldern (z. B. Bildung/Prüfungen, Beschäftigung, Zugang zu essentiellen Diensten). (Künstliche Intelligenz Gesetz EU)
3. Begrenztes Risiko (Transparenzpflichten)
   Interaktive KI/Chatbots, synthetische Medien (Deepfakes, KI-Video, KI-Audio): Kennzeichnungspflichten.
4. Allgemeiner Zweck/GPAI & Modelle mit systemischem Risiko
   Dokumentations- & Transparenzauflagen, zusätzliche Pflichten bei „systemischem Risiko“; Code of Practice der EU-AI-Office als Brücke zur Konformität. (Digitale Strategie Europas)

Rollen unterscheiden: Anbieter/Provider (entwickeln/vertreiben KI), Bereitsteller/Deployer (setzen KI ein), Händler/Importeure. Die Pflichten variieren je nach Rolle und Risikoklasse:

• Transparenz & Kennzeichnung
  • Nutzer informieren, wenn sie mit KI interagieren (sofern nicht offensichtlich).
  • Synthetische Inhalte (Bild/Audio/Video/Text) maschinenlesbar als künstlich generiert/manipuliert kennzeichnen – inklusive Deepfakes. (Künstliche Intelligenz Gesetz EU)
• Hochrisiko-KI (z. B. Tests/Prüfungen in E-Learning, HR-Screening)
  • Risikomanagement, QMS, Daten-/Modell-Dokumentation, Logging, menschliche Aufsicht, Konformitätsbewertung/CE, Post-Market-Monitoring. (Künstliche Intelligenz Gesetz EU)
• GPAI/“Foundation Models”
  • Technische Dokumentation, Urheberrechts-/Training-Daten-Transparenz; ggf. zusätzliche Pflichten bei „systemischem Risiko“. Code of Practice kann Nachweis erleichtern. (Digitale Strategie Europas)

Bußgelder:

• Bis 35 Mio. € oder 7 % (verbotene Praktiken), bis 15 Mio. € oder 3 % (andere Verstöße), bis 7,5 Mio. € oder 1 % (falsche Angaben). (ktslaw.com)

Aufsicht:

• EU-AI-Office (Kommission) + nationale Marktüberwachungsbehörden (Mitgliedstaaten designieren zuständige Stellen, in DE in Vorbereitung). (Digitale Strategie Europas)

Was gilt?

• Kennzeichnungspflicht: Jede Veröffentlichung/Verbreitung synthetischer Inhalte (KI-Video, KI-Audio, KI-Bild, KI-Text) muss klar und maschinenlesbar erkennbar machen, dass es sich um künstliche Inhalte handelt. Das gilt plattformübergreifend (z. B. Website, Social Media, Ads, E-Learning, Corporate Comms). (Künstliche Intelligenz Gesetz EU)
• Plattformregeln zusätzlich: TikTok/Meta/YouTube verlangen eigene AI-Labels – die gelten zusätzlich zum AI-Act. Prozesse daher zweistufig aufsetzen (Legal-Label + Plattform-Label). (WEVENTURE)
• Verbote beachten: Keine Emotionserkennung in Arbeit/Bildung (z. B. „Mimik-Analyse“ in Schulungen/Recruiting-Videos). Kein Social Scoring. Kein ungezieltes Gesichtsscraping. (Künstliche Intelligenz Gesetz EU)

Best-Practice für Produktionen:

1. Label by Design: Wasserzeichen/Metadata (C2PA/maschinelles Label) bereits im Render-/Export-Workflow setzen; sichtbare Hinweis-Overlays für kritische Kontexte vorsehen. (euaiact.com)
2. Dokumentation: Prompt- und Asset-Protokolle, verwendete Modelle & Versionen, Trainingsdaten-Zusammenfassung (bei GPAI-Eigenbetrieb). (Digitale Strategie Europas)
3. Review & Freigabe: Juristischer Check auf Persönlichkeitsrechte/Urheberrecht & Irreführungsrisiken vor Veröffentlichung.
4. Plattform-Compliance: Upload-Labeling (YouTube/TikTok/Meta) + interne Checkliste. (WEVENTURE)

Relevante Pflichten:

• Transparenz bei KI-Interaktion (Chatbots in Kampagnen, KI-Beratung) & Kennzeichnung synthetischer Werbemittel (KI-Stimme, KI-Video, KI-Visuals). (Künstliche Intelligenz Gesetz EU)
• Verbotene Praktiken vermeiden: keine manipulativen „Dark Patterns“, keine Emotionserkennung bei Beschäftigten (z. B. Agentur-Call-Center), keine biometrische Kategorisierung.
• Hochrisiko-Grenzfälle: KI, die Zugang zu essentiellen Diensten steuert oder individuelle Ansprüche bewertet, kann Annex-III-relevant sein (selten in klassischer Werbung, aber relevant bei z. B. Kredit-Pre-Scoring in Journey-Bots). (Künstliche Intelligenz Gesetz EU)

Umsetzungstipps für Marketing-Teams/Agenturen:

• Asset-Pipelines mit automatisierter AI-Label-Insertion (sichtbar + Metadaten).
• Claims-Governance: interne Freigabe für Aussagen, die KI generiert (Fact-Checking/Brand Safety).
• Prozess-Handbuch: Checkliste pro Kanal (Kennzeichnung, Opt-ins, Speicher-/Löschfristen).
• Vendor-Due-Diligence: bei externen KI-Tools Dokumentation & Konformität (Transparenz, Urheberrecht, Datennutzung) einfordern. (Digitale Strategie Europas)

Wann wird’s hochriskant?

• Annex III „Bildung/Berufsbildung“: KI, die Lernende bewertet, prüft oder deren Zugang zu Bildung beeinflusst, fällt in der Regel unter Hochrisiko → QMS, Daten-/Modell-Dokumentation, menschliche Aufsicht, Konformitätsbewertung. (Künstliche Intelligenz Gesetz EU)
• Striktes Verbot: Emotionserkennung in Bildungseinrichtungen (außer medizinische/sicherheitsbezogene Zwecke). Keine biometrische Kategorisierung. (Wolters Kluwer Legal Blogs)

Praxisleitfaden für EdTech/Unternehmensakademien:

• Abgrenzung: Ist die KI nur didaktische Assistenz (z. B. generiert Erklärtexte/Videos) → eher Transparenzpflichten + KI-Kennzeichnung; keine Bewertungshoheit der KI. (Künstliche Intelligenz Gesetz EU)
• Assessments: Wenn KI prüft/scort, prüfen, ob Annex III greift (meist ja) → Hochrisiko-Pfad wählen (QMS, Datenqualität, Bias-Tests, Human-in-the-Loop). (Künstliche Intelligenz Gesetz EU)
• Synthetische Lernmedien (KI-Avatare, KI-Voice-over, KI-Videos): sichtbar kennzeichnen (z. B. „Dieses Video enthält KI-generierte Inhalte“) + maschinenlesbare Markierung. (Künstliche Intelligenz Gesetz EU)

(der 90-Tage-Plan)

1. KI-Inventar: Alle KI-Use-Cases, Modelle, Anbieter, Datenflüsse, Kanäle (inkl. Marketing & E-Learning) erfassen.
2. Risikoklassifizierung: Verboten / Hochrisiko / Begrenztes Risiko / GPAI – pro Use Case. (Künstliche Intelligenz Gesetz EU)
3. Kennzeichnungs-Standard: Einheitliche AI-Labels (sichtbar + C2PA/Metadaten) für alle synthetischen Medien. (euaiact.com)
4. Risikomanagement & QMS (für Hochrisiko): Prozesse, Rollen, Freigaben, Logging und Post-Market-Monitoring etablieren. (Künstliche Intelligenz Gesetz EU)
5. Daten-/Modell-Dokumentation: Prompt-/Training-Daten-Zusammenfassungen, Modellkarten, Versionskontrolle. GPAI: am Code of Practice ausrichten. (Digitale Strategie Europas)
6. Menschliche Aufsicht definieren: Eingriffsmöglichkeiten, Eskalationen, Fail-Safes. (Künstliche Intelligenz Gesetz EU)
7. Vendor-Checks: Konformitätszusagen, technische Doks, IP-/Urheber-Compliance, Subprozessoren. (Digitale Strategie Europas)
8. Plattform-Compliance: Social-Plattform-Labels in Workflows integrieren (YouTube/TikTok/Meta). (WEVENTURE)
9. Training & Policy: AI-Policy, Redaktions-/Kennzeichnungsleitfaden, Schulungen für Marketing, HR, L&D.

• „Nur Marketing, keine Pflichten“ – falsch: Kennzeichnung gilt auch für Ads/Organic/PR.
• Verwechslung „Legal Label vs. Plattform Label“ – beides parallel umsetzen.
• Hidden Deepfakes in Imagefilm/Recruiting – riskant; immer klar kenntlich machen.
• Emotionserkennung in Schulungen/Performance-Reviews – verboten (Ausnahme: Medizin/Sicherheit).

• EU-Ebene: European AI Office (Leitlinien, Durchsetzungshilfe). (Digitale Strategie Europas)
• Deutschland: Nationale Behörden werden gemäß Art. 70 designiert (Stand: in Arbeit; beobachten). (Künstliche Intelligenz Gesetz EU)

• Maximalstrafen: bis 35 Mio. € oder 7 % (verbotene Praktiken), bis 15 Mio. € oder 3 % (sonstige), bis 7,5 Mio. € oder 1 % (falsche Angaben). Zusätzlich Produkt-Rücknahme möglich. (ktslaw.com)

• Text-Hinweis am Asset („Enthält KI-generierte Inhalte“).
• Maschinenlesbare Kennzeichnung/Wasserzeichen (z. B. C2PA/Metadaten). (euaiact.com)
• Upload-Label je Plattform (YouTube/TikTok/Meta).
• Dokumentation (Prompts/Modelle/Versionen/Quellen).
• Rechts-Review (Urheber-, Persönlichkeits-, Wettbewerbsrecht).
• Freigabe-Protokoll & Archivierung.

---

• Zeitplan & Übersicht, Hochrisiko-Katalog, Definitionen, Transparenz/Deepfakes, Strafen, Akteure/AI-Office. (Künstliche Intelligenz Gesetz EU)
• GPAI/Code of Practice und aktuelle Leitlinien/Systemrisiken. (Digitale Strategie Europas)
• Plattform-Labels (Praxisüberblick). (WEVENTURE)
• Verbotene Praktiken (inkl. Emotionserkennung in Arbeit/Bildung). (Künstliche Intelligenz Gesetz EU)

---

Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung. Für konkrete Vorhaben (z. B. KI-Video-Kampagnen, automatisierte Assessments im E-Learning, GPAI-Eigenbetrieb) sollten Sie eine rechtliche Prüfung durchführen lassen.