EU AI Act: Das sind 2026 die neuen Pflichten für Unternehmen

Nutzt du beruflich KI, oder nutzen andere in deinem Unternehmen Systeme wie ChatGPT oder Copilot? Die Antwort lautet vermutlich ja – damit gelten die Vorschriften aus dem „AI Act“ der EU. Das führt bereits jetzt zu Schulungspflichten. Ab August 2026 ist auch die Kennzeichnung von KI vorgeschrieben. 

AI Act: ein EU-weit gültiges KI-Gesetz 

Es gibt ein EU-weites Gesetz zur Künstlichen Intelligenz. Der AI Act, auch KI-Gesetz oder KI-Verordnung genannt, gilt nicht nur für Unternehmen, die KI-Technologie auf den Markt bringen. Er betrifft dein Unternehmen auch, wenn dort KI genutzt wird – wenn also beispielsweise ChatGPT die Marketing-Texte vorformuliert, Perplexity bei der Recherche und Claude beim Code hilft oder Canva Grafiken für die Website liefert. 

Das „Gesetz über künstliche Intelligenz“ (Verordnung (EU) 2024/1689) wurde schon im Mai 2024 verabschiedet, übrigens als erstes KI-Gesetz weltweit. Bisher ist erst ein Teil der Bestimmungen in Kraft getreten. Im August 2026 kommt ein Großteil der weiteren Regelungen hinzu. Die letzten Vorgaben werden ab August 2027 wirksam. 

Auf einen Blick:  

Wenn in deinem Unternehmen KI nur genutzt wird, sind vor allem diese zwei Vorgaben aus dem AI Act wichtig: 

• KI-Schulungspflicht: Unternehmen sollen die KI-Kompetenz ihrer Mitarbeiter sicherstellen, wenn diese mit Künstlicher Intelligenz arbeiten. Diese Vorschrift gilt bereits. 

• Transparenzpflicht: Mit KI erstellte Inhalte und Dialoge müssen in vielen Fällen gekennzeichnet werden. Das gilt besonders für Chatbots sowie für Deep Fakes, die man für menschliche Kommunikation beziehungsweise für echte Darstellungen halten könnte. Diese Regelung tritt am 02. August 2026 in Kraft.  

Falls dein Unternehmen eigene KI-Angebote entwickelt und vermarktet oder „Hochrisiko-KI“ nutzt, kommen weitere wichtige Vorschriften hinzu. 

So ordnet der AI Act KI-Systeme ein 

Die EU-Verordnung klassifiziert KI-Systeme gemäß ihrem Risiko in vier Gruppen. 

• KI „mit unannehmbarem Risiko“ ist generell verboten. Das betrifft zum Beispiel Systeme, die Nutzer gezielt manipulieren oder ohne Berechtigung nach biometrischen Daten klassifizieren. 

• „Hochrisiko-KI“ ist grundsätzlich zulässig, aber besonders streng reguliert. Das gilt etwa für Anwendungen, die personenbezogene Daten für medizinische oder finanzielle Profile auswerten, Bewerbungen sichten oder kritische Infrastruktur steuern. 

• „KI mit begrenztem Risiko“ ist grundsätzlich frei nutzbar, aber auch hier gelten bereits Vorgaben wie Transparenz- und Schulungspflichten. Darunter fallen Angebote wie die KI-Chatbots von ChatGPT und Perplexity, KI-basierte Grafikgeneratoren wie Canva oder Midjourney und in andere Software integrierte KI-Komponenten wie Microsoft Copilot bei regulärer Nutzung. 

• „KI mit minimalem Risiko“ bietet Unterstützung, ohne dass Rechtsverletzungen wahrscheinlich sind. Deshalb kann sie ohne besondere Vorgaben eingesetzt werden. Beispiele sind Rechtschreibprüfungen, einfache Spiele sowie Empfehlungsalgorithmen oder Spam-Filter auf KI-Basis. 

Nicht das Tool, sondern die Nutzung entscheidet 

Entscheidend ist nicht unbedingt, welches KI-System man nutzt, sondern wofür es zum Einsatz kommt. Wenn jemand einen KI-Chatbot dazu bringt, anhand von Bewerbungsunterlagen alle mutmaßlichen Muslime auszusortieren, ist zumindest der Bereich von Hochrisiko-KI erreicht, in aller Regel sogar die verbotene Nutzung. Das Gleiche gilt, wenn Fotos mit KI-Grafikanwendungen in kompromittierender Weise verändert werden, z. B. zu „deepfake nudes“.

Eigentlich sollten Schutzvorkehrungen in generativer KI so etwas unterbinden. Oft genug lassen sie sich allerdings umgehen. Dann kann die Verantwortung nicht einfach an das Unternehmen abgeschoben werden, das die KI bereitstellt („Anbieter“ in der Terminologie des AI Act). Die Verordnung nimmt auch die Nutzer („Betreiber“) von KI in die Pflicht.

KI-Schulungspflicht für Arbeitgeber 

Wer ein KI-System im Auftrag eines Unternehmens nutzt, soll über „ausreichende KI-Kompetenz verfügen“.  Das verlangt Artikel 4 des AI Act. Es ist Aufgabe der Unternehmen, diese Kompetenz sicherzustellen. Damit läuft die Vorschrift in vielen Fällen auf eine Fortbildungs- oder Schulungspflicht hinaus. 

Sie greift bereits, wenn Mitarbeitende gängige ChatGPT oder Microsoft Copilot nutzen. Die Schulungspflicht erstreckt sich neben Beschäftigten auch auf andere Personen. Das können auch Subunternehmer, Dienstleister oder sogar Kunden sein. 

Welches Maß an KI-Kompetenz gefordert ist, hängt von den Umständen ab. Es gibt keine vorgegebenen Schulungsinhalte. Es darf jedoch nicht nur um technisches Wissen oder rein praktisches Know-how zu Prompts und Skills gehen. Wer für dein Unternehmen KI bedient, sollte auch über mögliche rechtliche Probleme und Risiken für die Zielgruppe Bescheid wissen. Ihm oder ihr sollte beispielsweise klar sein, wann die Grenze zu hochriskantem oder verbotenem KI-Gebrauch überschritten ist.

Zwei Praxistipps 

• Das Angebot an KI-Kompetenzkursen ist inzwischen groß und unübersichtlich. Auch die Kosten variieren beträchtlich. Entsprechend schwierig kann es sein, die Schulungsmaßnahme zu finden, die optimal zu deinem Unternehmen passt.  

• Ein als „Living Repository“ betiteltes, englischsprachiges Dokument der EU sammelt Praxisbeispiele zur Umsetzung der Kompetenzpflicht in Unternehmen verschiedener Größe. Vielleicht findest du dort passende Anregungen.

Verpflichtender Hinweis auf KI-erstellte Inhalte 

Ab dem 02. August 2026 gilt eine weitere Regelung des AI Act, die viele Unternehmen und Selbstständige konkret im Alltag betrifft. Dann tritt eine weitgehende Transparenzpflicht in Kraft. Sie ergibt sich aus Artikel 50 des AI Act. 

• Für KI-generierte Audio-, Video-, Grafik- und Text-Inhalte gilt eine generelle Kennzeichnungspflicht, die die „Anbieter“ betrifft. Unternehmen wie OpenAI, die entsprechende Technologie bereitstellen, müssen dafür sorgen, dass der Output in maschinenlesbarer Form als KI-Produkt gekennzeichnet wird.  Für Menschen muss dies nicht erkennbar sein. 

• Auch für „Betreiber“ gelten Pflichten. Personen oder Unternehmen müssen jeden mit KI-Systemen erstellten „Deep Fake“ klar als solchen kennzeichnen. Ein von Nutzern, Zuschauern oder Zuhörern wahrnehmbarer Hinweis ist also vorgeschrieben, wenn mit KI erzeugte Bilder oder Töne für echt gehalten werden können. 

• Von KI erzeugter Text muss gekennzeichnet werden, wenn er „zu dem Zweck veröffentlicht wird, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren“. Das betrifft zum Beispiel redaktionelle Inhalte zu aktuellen Themen in Blogs. 

• Bei KI-basierten Chatbots, Auskunfts- und Kommunikationssystemen muss klar sein, dass man mit einem Algorithmus interagiert. Immer dann, wenn Zweifel möglich sind, muss das den Nutzerinnen und Nutzern eindeutig kommuniziert werden. 

• Wer KI zur Emotionserkennung oder biometrischen Kategorisierung verwendet, muss ebenfalls darauf hinweisen. Für solche Systeme bestehen bereits jetzt enge datenschutzrechtliche und persönlichkeitsrechtliche Grenzen. Wenn sie in deinem Unternehmen zum Einsatz kommen, solltet ihr euch juristisch beraten lassen. 

Gleichzeitig gelten für die verschiedenen Szenarien gewisse Einschränkungen und Bedingungen. So darf ein KI-generierter Text zu aktuellen Ereignissen, der vor der Publikation redaktionell geprüft wurde, ohne Hinweis erscheinen. Filme, Podcasts, Bücher und ähnliche Werke, die KI-generierte Bilder und Audio-Sequenzen umfassen, müssen nicht stets und fortlaufend darauf hinweisen. Die Kennzeichnung darf ausdrücklich in einer Form erfolgen, die „die Darstellung oder den Genuss des Werks nicht beeinträchtigt“.   

Schließlich müssen KI-Algorithmen kein maschinenlesbares Wasserzeichen hinterlassen, wenn sie den Gehalt der Bilder und Töne nicht wesentlich verändern. Das betrifft beispielsweise KI-Korrekturfunktionen für Fotos. 

Die praktische Umsetzung: 

• In welcher Form du Deep Fakes kennzeichnen musst, sagt der AI Act nicht. Ein kurzer Text wie „Grafik mit KI generiert“ sollte genügen. Hauptsache, der Hinweis ist klar erkennbar. 

• Wann kann KI-Content für echt gehalten werden? Zieh die Grenzen nicht zu eng. Wenn du täglich mit Künstlicher Intelligenz zu tun hast, solltest du dich nicht selbst als Maßstab nehmen. Es genügt, dass unbedarfte Gelegenheitsnutzer den Videoclip oder den Dialog für authentisch halten. 

• Know-how zur Umsetzung soll der KI-Desk der Bundesnetzagentur liefern. Dort wurde auch das „Koordinierungs- und Kompetenzzentrum für die KI-Verordnung“, kurz KoKIVO, angesiedelt. Du findest dort viele Informationen und Tools. 

• Welche Praxisanforderungen du tatsächlich erfüllen musst, wird sich im Detail erst herausstellen, wenn Gerichtsurteile zur Kennzeichnungspflicht vorliegen. Bis dahin sollte man die Regeln nicht übertrieben großzügig auslegen. Zu Panik oder gar zu vorauseilendem Verzicht auf KI-Nutzung besteht allerdings ebenfalls kein Grund.

Sinnvoll: Bestandsaufnahme und klare Regeln für KI-Einsatz 

Natürlich ist es zunächst einmal wichtig, dass dein Unternehmen die Vorschriften aus dem AI Act erfüllt. Doch es macht wenig Sinn, dafür nur Listenpunkte abzuhaken. Es geht nicht nur um Trainings und Hinweis-Floskeln. Sinnvoll ist eine klare Strategie. 

Dein Unternehmen sollte zunächst einmal wissen, wo und von wem Künstliche Intelligenz zu welchem Zweck verwendet wird, wo KI-Inhalte veröffentlicht werden und wo KI für den Dialog nach außen genutzt wird. Es sollte den Kenntnisstand der Betreffenden kennen und wo nötig eine Fortbildung bereitstellen, um die geforderte und die für euch selbst sinnvolle KI-Kompetenz zu gewährleisten. Ihr solltet mit KI verbundene Risiken wie Verletzungen von Datenschutz-, Urheber- oder Persönlichkeitsrechten im Blick haben und euch sinnvolle Regeln geben, die alle kennen.  

Es lohnt sich. Mit einer solchen Gesamtstrategie verliert die geforderte KI-Compliance ihren Schrecken.