IT-Sicherheit mit KI – Wissensnugget #11

Rechtliche Rahmenbedingungen für die Anwendung Künstlicher Intelligenz (AI Act)

05. Februar 2026

Kleine und mittlere Unternehmen (KMU) sehen sich mit der zunehmenden Nutzung von Künstlicher Intelligenz (KI) vor neuen rechtlichen Herausforderungen. Die seit August 2024 geltende EU-KI-Verordnung (AI Act) schafft klare Regeln für einen sicheren, transparenten und verantwortungsvollen Umgang mit KI.

Das Wissensnugget „Rechtliche Rahmenbedingungen für die Anwendung Künstlicher Intelligenz (AI Act)“ bietet KMU kompakte, verständliche Informationen zu den wichtigsten Anforderungen, Risikokategorien und Fristen der Verordnung.

Inhalt

1. Der AI Act

2. Risikokategorien für KI-Systeme

3. Datenschutz und Transparenz

4. KI-Kompetenzen im Unternehmen

5. Sanktionen

6. Fazit

1. Der AI Act

Künstliche Intelligenz gewinnt für Unternehmen zunehmend an Bedeutung. Gleichzeitig steigen die Anforderungen an einen sicheren, transparenten und verantwortungsvollen Einsatz. Mit der EU-KI-Verordnung (AI Act) hat die Europäische Union im Jahr 2024 erstmals einen einheitlichen Rechtsrahmen für den Umgang mit KI geschaffen.

Der AI Act ist am 1. August 2024 in Kraft getreten. Die Pflichten gelten jedoch schrittweise:

  • ab Februar 2025: Verbot bestimmter KI-Praktiken mit unannehmbarem Risiko,
    z. B.
    • Social Scoring von Bürger:innen durch staatliche Stellen
    • KI-gestützte Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen

  • ab August 2025: Erste Pflichten für KI-Systeme mit allgemeinem Verwendungszweck, z. B. große Sprach- oder Bildmodelle, insbesondere zu Transparenz und technischer Dokumentation

  • ab August 2026: allgemeine Anwendbarkeit der Verordnung. Ab diesem Zeitpunkt müssen die meisten KI-Systeme, die neu eingesetzt oder betrieben werden, alle vorgesehenen Anforderungen erfüllen (z. B. Transparenz, Dokumentation, Risikobewertung).

  • ab August 2027: Umsetzung für bestimmte Hochrisiko-Systeme. Auch ältere Hochrisiko-KI-Systeme, die bereits vor Inkrafttreten des AI Act im Einsatz waren, müssen nun vollständig an die neuen Regeln angepasst sein. Die Übergangsfristen enden.

Ziel der Verordnung ist es, das Vertrauen in KI zu stärken, Innovation zu fördern und gleichzeitig die Grundrechte zu schützen.

2. Risikokategorien für KI-Systeme

Der AI Act unterscheidet vier Risikostufen:

  1. Unannehmbares Risiko:
    KI-Systeme, die die Sicherheit oder Grundrechte gefährden, sind verboten – etwa Social Scoring durch Behörden.

  2. Hohes Risiko:
    KI in sensiblen Bereichen wie Personalwesen oder Finanzwesen unterliegt strengen Anforderungen. Unternehmen müssen Risiken dokumentieren, Transparenz schaffen und menschliche Kontrolle gewährleisten.

  3. Begrenztes Risiko:
    Hier gelten reduzierte Pflichten. Bei Chatbots oder Empfehlungssystemen muss deutlich sein, dass Nutzer:innen mit einer KI interagieren oder Inhalte KI-generiert sind.

  4. Minimales Risiko:
    Systeme wie Übersetzungstools oder Spamfilter sind frei nutzbar, müssen aber die Datenschutzregeln beachten.

3. Datenschutz und Transparenz

Auch beim Einsatz von KI gilt die Datenschutz-Grundverordnung (DSGVO).
Das bedeutet:

  • Personenbezogene Daten dürfen nur mit gültiger Rechtsgrundlage verarbeitet werden.
  • Betroffene müssen informiert werden, wofür ihre Daten verwendet werden.
  • Bei hohem Risiko ist eine Datenschutz-Folgenabschätzung erforderlich.
  • „Privacy by Design“ und „Privacy by Default“ müssen umgesetzt werden – also Datenschutz von Anfang an und durch datensparsame Standardeinstellungen.

Ab 2026 gelten zusätzliche Transparenzpflichten:
KI-generierte oder manipulierte Inhalte müssen eindeutig gekennzeichnet werden – etwa Deepfakes oder KI-erstellte Produktbilder. Ebenso müssen Unternehmen offenlegen, wenn Kund:innen mit einer KI kommunizieren, zum Beispiel in der Form von Chatbots.

4. KI-Kompetenzen im Unternehmen

Seit Februar 2025 müssen Unternehmen sicherstellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse verfügen.

Dazu gehört:

  • zu verstehen, wie KI funktioniert,
  • Risiken und Grenzen einschätzen zu können,
  • regulatorische Anforderungen zu kennen,
  • Entscheidungen von KI-Systemen kritisch zu hinterfragen.

Schulungen und Dokumentation sind empfohlen, um im Falle einer Prüfung nachweisen zu können, dass alle gesetzlichen Vorgaben erfüllt sind.

5. Sanktionen

Wer gegen die KI-Verordnung verstößt, riskiert hohe Bußgelder:

  • Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen Verbote.
  • Auch Datenschutzverstöße nach DSGVO können empfindliche Strafen nach sich ziehen.

6. Fazit

Der AI Act schafft erstmals einen europaweit einheitlichen Rahmen für den Einsatz von Künstlicher Intelligenz.

Unternehmen, die ihre KI-Anwendungen frühzeitig klassifizieren, Mitarbeitende schulen und Transparenz sicherstellen, reduzieren rechtliche Risiken und stärken das Vertrauen von Kund:innen und der Gesellschaft.

KI rechtssicher einzusetzen bedeutet: Innovation mit Verantwortung zu verbinden.

Alle Wissensnuggets
Download als PDF

Sie haben Fragen? Schreiben Sie uns.

Carina Überle | Projektreferentin Mittelstand-Digital Zentrum Handel

Carina Überle 
Projektreferentin 
Tel: 0941/788397-25 
carina.ueberle@ibi.de  

Accessibility by WAH