Was der EU AI Act wirklich regelt

Die EU-Verordnung 2024/1689 — kurz EU AI Act — ist das erste umfassende KI-Gesetz weltweit. Sie ist seit August 2024 in Kraft, aber die einzelnen Pflichten greifen gestaffelt:

  • Februar 2025: Verbot bestimmter KI-Anwendungen (z. B. Social Scoring, Manipulation durch unterschwellige Techniken). Pflicht zu KI-Kompetenz im Unternehmen.
  • August 2025: Pflichten für Anbieter von General-Purpose AI (GPAI) — betrifft v. a. OpenAI, Anthropic, Google.
  • August 2026: Vollständiges Wirken aller Pflichten für Hochrisiko-Anwendungen.
  • August 2027: Übergangsfrist endet auch für eingebettete Systeme (z. B. KI in Medizinprodukten).

Für die meisten KMU-Anwendungsfälle — KI-Telefonassistent, Website-Chatbot, automatische E-Mail-Antworten — gilt eine vereinfachte Regel: Sie sind Anwender, nicht Anbieter. Das macht einen großen Unterschied.

Anwender vs. Anbieter — der entscheidende Unterschied

Anbieter ist, wer ein KI-System entwickelt und auf den Markt bringt (z. B. ElevenLabs, OpenAI, n8n als Plattform). Anwender ist, wer das System einsetzt — also Sie, wenn Sie einen KI-Telefonassistenten in Ihrer Praxis betreiben.

Anwender haben deutlich weniger Pflichten:

  • Bestimmungsgemäßen Gebrauch des Systems gewährleisten.
  • Menschliche Aufsicht ermöglichen (jemand muss eingreifen können).
  • Eingaben überprüfen, soweit dies in ihrem Verantwortungsbereich liegt.
  • Logs aufbewahren, soweit sie unter ihrer Kontrolle stehen (in der Regel mindestens 6 Monate).

Risikoklassen — wo Ihre Tools stehen

Begrenztes Risiko (Transparenzpflicht): KI-Telefonassistenten, Chatbots, automatisierte E-Mail-Antworten. Hauptpflicht: Der Nutzer muss erkennen können, dass er mit einer KI spricht.

Minimales Risiko: Spam-Filter, Empfehlungssysteme, Predictive Maintenance. Keine spezifischen Pflichten — DSGVO gilt natürlich weiter.

Hohes Risiko: KI in HR-Auswahl, Notenvergabe, Kreditprüfung, kritischer Infrastruktur. Im KMU-Bereich selten anzutreffen.

Verbotene Praktiken: Social Scoring, biometrische Kategorisierung nach sensiblen Merkmalen, Manipulation durch unterschwellige Techniken. Im KMU-Bereich nicht relevant.

Was Sie konkret jetzt tun sollten

Wenn Sie einen KI-Telefonassistenten oder Chatbot betreiben (oder einführen wollen), sind drei Dinge wichtig:

1
Transparenz herstellen Begrüßung anpassen: „Sie sprechen mit dem KI-Assistenten von …“. Im Chatbot ein Bot-Icon und eine Hinweiszeile zeigen. Wenig Aufwand, kompletter Schutz vor Verstößen gegen die Transparenzpflicht.
2
Aufsichtsregelung dokumentieren Schriftlich festhalten: Wer im Team prüft regelmäßig die KI-Ausgaben? Wer kann den Bot abschalten? Wer entscheidet bei Beschwerden? Eine halbe DIN-A4-Seite reicht.
3
KI-Kompetenz im Team aufbauen Seit Februar 2025 verlangt der EU AI Act, dass Mitarbeiter, die mit KI-Systemen arbeiten, „ausreichende KI-Kompetenz“ besitzen. Eine 1- bis 2-stündige Einführungsschulung erfüllt diese Pflicht in den meisten KMU.

Was Sie nicht tun müssen

Vieles, was in Schlagzeilen Panik verbreitet hat, betrifft KMU nicht oder nur am Rande:

  • Keine Konformitätsbewertung für Standard-Anwendungsfälle wie Telefonassistenten oder Chatbots.
  • Keine CE-Kennzeichnung für die KI-Systeme.
  • Keine Eintragung in EU-Register — das gilt nur für Hochrisiko-Anbieter.
  • Keine technischen Audits durch externe Stellen.

Wo es trotzdem teuer werden kann

Die Bußgelder sind im AI Act nicht zu unterschätzen: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für die schwersten Verstöße. Aber: Die Aufsichtsbehörden in Deutschland (BNetzA und Marktüberwachungsbehörden) konzentrieren sich erfahrungsgemäß auf die großen Anbieter und auf Hochrisiko-Anwendungen. KMU mit korrekt implementierten Standard-Tools haben in der Praxis sehr wenig zu befürchten — vorausgesetzt, die Transparenzpflicht ist erfüllt.

Unser Tipp: Lieber jetzt 1–2 Stunden in saubere Konfiguration und Dokumentation investieren, als später Diskussionen mit der Datenschutzbehörde führen zu müssen.

Häufige Fragen

Bin ich als kleiner Betrieb (5–20 Mitarbeiter) überhaupt vom EU AI Act betroffen?

Ja, aber meist nur als Anwender (nicht Anbieter). Die Hauptpflichten als Anwender sind Transparenz (Kunden müssen wissen, dass sie mit einer KI sprechen) und Aufsicht (Sie müssen die KI-Ausgaben überprüfen können). Beides ist mit den Standard-Konfigurationen modernen KI-Tools meist schon erfüllt.

Welche KI-Anwendungen sind als 'Hochrisiko' eingestuft?

Im KMU-Bereich sind die meisten Tools nicht als Hochrisiko klassifiziert. KI-Telefonassistenten, Chatbots für allgemeine Anfragen und automatisierte E-Mail-Antworten fallen meist in die Kategorie 'begrenztes Risiko'. Hochrisiko sind v.a. KI im HR-Bereich (Bewerber-Auswahl), in der Bildung (Notenvergabe) oder in kritischen Infrastrukturen.

Was bedeutet die Transparenzpflicht konkret?

Der Nutzer muss erkennen können, dass er mit einer KI interagiert. Beim KI-Telefonassistenten reicht eine Begrüßung wie „Sie sprechen mit dem KI-Assistenten der Praxis Dr. Müller“. Bei Chatbots sollte das Bot-Symbol oder ein „Bot“-Label sichtbar sein.

Wer haftet, wenn die KI einen Fehler macht?

Grundsätzlich der Betreiber (Sie als Praxis/Autohaus/Kanzlei). Deshalb ist menschliche Aufsicht — z. B. bei kritischen Entscheidungen — Pflicht. Routinemäßige Antworten und Terminbuchungen sind in der Praxis selten kritisch, weil sie bei Fehlern leicht korrigiert werden können.

Mehr zur Lösung für Ihren Betrieb →

FP
Fabian Pfliegensdörfer
Gründer & Geschäftsführer, LiftUp Socials

Fabian Pfliegensdörfer ist Gründer von LiftUp Socials und entwickelt KI-Automatisierungslösungen für den deutschen Mittelstand. Er berät Arztpraxen, Autohäuser, Handwerksbetriebe, Gastronomen und Kanzleien bei der Einführung von Voice Agents, Chatbots und automatisierter Lead-Bearbeitung.

Passt das zu Ihrem Betrieb?

Wir analysieren kostenlos, ob und wie KI-Automatisierung für Ihr Unternehmen sinnvoll ist. Kein Verkaufsgespräch — nur eine ehrliche Einschätzung.

Zur vollständigen Lösung ↗

Weitere Artikel

Arztpraxis DSGVO-Konformität bei KI-Telefonassistenten Kanzlei KI für Kanzleien: Erstberatung automatisieren Praxiswissen Voice Agent vs. Chatbot — was passt zu welchem Geschäft?