Stand: Dezember 2025 | Lesezeit: 15 Minuten
Ein Gesetz, das aus Fehlern lernt
Als Amazon 2018 sein KI-gestütztes Recruiting-Tool abschalten musste, war das mehr als nur eine Panne. Das System hatte systematisch Frauen diskriminiert – nicht, weil es so programmiert war, sondern weil es aus zehn Jahren Bewerbungsdaten gelernt hatte, die überwiegend von Männern stammten. Das Wort "Frauen" im Lebenslauf – etwa durch die Mitgliedschaft in einem Frauen-Schachclub – reichte aus, um schlechter bewertet zu werden.
Amazon ist kein Einzelfall. HireVue, ein Anbieter von KI-Video-Interviews, analysierte jahrelang Mimik, Stimme und Gestik von Bewerbern – bis Kritiker nachwiesen, dass Menschen mit Akzent, neurodiverse Personen oder Bewerber mit Behinderungen systematisch benachteiligt wurden. Das Unternehmen zog Teile der Technologie zurück. Und im Mai 2025 wurde eine Sammelklage gegen Workday zugelassen: Der IT-Experte Derek Mobley wirft dem HR-Software-Riesen vor, dass dessen KI-System ihn bei über 100 Bewerbungen ablehnte – weil er über 40 und Afroamerikaner ist.
Diese Fälle zeigen, warum die Europäische Union gehandelt hat. Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Und seit August 2025 ist es keine Theorie mehr: Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro geahndet werden.
Warum gerade jetzt?
Die Zahlen sprechen eine deutliche Sprache: 36 Prozent der deutschen Unternehmen setzen bereits KI ein – eine Verdopplung gegenüber dem Vorjahr. Gleichzeitig wissen viele nicht, was sie eigentlich nutzen: Wenn Ihre Mitarbeiter ChatGPT für E-Mails verwenden, Ihre HR-Abteilung Bewerbungen mit Software vorsortiert oder Ihr Marketing KI-generierte Bilder postet – dann betrifft Sie der AI Act.
Das Problem: KI trifft Entscheidungen, die Menschen direkt betreffen. Und anders als bei menschlichen Fehlern lässt sich bei Algorithmen oft nicht nachvollziehen, warum eine Entscheidung gefallen ist. Der niederländische Kindergeld-Skandal von 2013 zeigt, wie verheerend das sein kann: Ein KI-System zur Betrugserkennung beschuldigte tausende Familien fälschlich – überwiegend Menschen mit Migrationshintergrund. Die Affäre führte zum Rücktritt der gesamten Regierung.
Die EU will solche Szenarien verhindern. Der AI Act schafft klare Regeln – nicht um Innovation zu bremsen, sondern um Vertrauen zu schaffen. Denn Kunden, Partner und Mitarbeiter werden zunehmend fragen: Wie geht Ihr Unternehmen mit KI um?
Der Zeitplan: Was gilt wann?
Anders als viele vermuten, ist der AI Act kein Zukunftsprojekt. Die ersten Pflichten gelten bereits – und andere stehen kurz bevor.
Bereits in Kraft (seit 1. August 2024): Das Gesetz selbst ist wirksam. Unternehmen sollten spätestens jetzt mit der Vorbereitung beginnen.
Seit 2. Februar 2025: Zwei entscheidende Regeln gelten bereits. Erstens: Bestimmte KI-Praktiken sind verboten – dazu gleich mehr. Zweitens: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Ja, diese Schulungspflicht gilt bereits jetzt. Und ja, sie betrifft wahrscheinlich auch Ihr Unternehmen.
Seit 2. August 2025: Die Behörden sind benannt, und Sanktionen können verhängt werden. Die Bundesnetzagentur ist die zentrale Anlaufstelle in Deutschland. Außerdem gelten jetzt die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck – das betrifft vor allem die großen Player wie OpenAI, Google und Anthropic.
Ab 2. August 2026: Die umfassenden Regeln für Hochrisiko-KI-Systeme treten in Kraft. Wenn Sie KI im Recruiting, für Kreditentscheidungen oder in der medizinischen Diagnostik einsetzen, sollten Sie dieses Datum rot im Kalender markieren.
Ab 2. August 2027: Die letzte Stufe – dann gelten die Regeln auch für KI-Systeme, die als Sicherheitskomponenten in Produkten verbaut sind.
Was ist eigentlich verboten?
Der AI Act verfolgt einen risikobasierten Ansatz. Das bedeutet: Je gefährlicher eine KI-Anwendung potenziell ist, desto strenger die Regeln. Und manche Anwendungen sind so gefährlich, dass sie komplett verboten sind.
Verboten: Social Scoring
Stellen Sie sich vor, eine Versicherung bewertet Ihre Beiträge danach, wie Sie sich in sozialen Medien verhalten. Oder ein Vermieter lehnt Sie ab, weil ein Algorithmus Ihre Online-Aktivitäten analysiert hat. In China ist das Realität – in der EU ist es seit Februar 2025 verboten.
Verboten: Emotionserkennung am Arbeitsplatz
Ein Kamerasystem, das die Stimmung Ihrer Mitarbeiter überwacht? Ein Tool, das bei Schülern analysiert, ob sie aufmerksam sind? Verboten. Die EU schützt damit einen Kernbereich menschlicher Würde: das Recht, seine Gefühle nicht offenlegen zu müssen.
Verboten: Biometrische Kategorisierung nach sensiblen Merkmalen
Eine KI, die aus Gesichtsmerkmalen auf Religion, politische Überzeugung oder sexuelle Orientierung schließt, ist unzulässig. Das klingt wie Science-Fiction, ist aber technisch bereits möglich – und deshalb explizit verboten.
Verboten: Unterschwellige Manipulation
KI-Systeme, die das Verhalten von Menschen beeinflussen, ohne dass diese es bemerken, sind unzulässig. Das betrifft etwa Werbung, die gezielt Schwächen ausnutzt – beispielsweise bei älteren Menschen oder Personen in finanziellen Schwierigkeiten.
Verboten: Ungezieltes Scrapen von Gesichtsbildern
Das massenhafte Sammeln von Gesichtsbildern aus dem Internet zur Erstellung biometrischer Datenbanken ist verboten. Unternehmen wie Clearview AI, die genau das getan haben, könnten in der EU nicht mehr operieren.
Die Strafen für diese Verbote sind drastisch: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist.
Die unterschätzte Pflicht: KI-Kompetenz
Viele Unternehmen konzentrieren sich auf die spektakulären Verbote und übersehen eine Pflicht, die bereits gilt und praktisch jeden betrifft: Artikel 4 des AI Acts verlangt, dass Unternehmen sicherstellen, dass ihre Mitarbeiter über "ausreichende KI-Kompetenz" verfügen.
Was bedeutet das konkret? Jeder Mitarbeiter, der mit KI arbeitet – und sei es nur, indem er ChatGPT für E-Mails nutzt – muss verstehen, was er tut. Er muss wissen, wo die Grenzen der Technologie liegen, welche Risiken bestehen und wie er verantwortungsvoll damit umgeht.
Die gute Nachricht: Eine formelle Zertifizierung ist nicht erforderlich. Die schlechte Nachricht: Sie müssen dokumentieren, dass Sie Schulungen durchgeführt haben. Wer geschult wurde, wann, und mit welchen Inhalten – all das sollte nachweisbar sein. Denn wenn durch fehlerhafte KI-Nutzung ein Schaden entsteht, könnte mangelnde Schulung als Verletzung der Sorgfaltspflicht gewertet werden.
Die Bundesnetzagentur berichtet, dass sie besonders viele Anfragen zu genau diesem Thema erhält. Unternehmen sind verunsichert. Dabei ist der Ansatz im Grunde vernünftig: Bevor Sie Ihren Mitarbeitern ein neues Werkzeug geben, stellen Sie sicher, dass sie wissen, wie man es benutzt.
Hochrisiko-KI: Wo die Regeln streng werden
Der AI Act definiert bestimmte Anwendungsbereiche als "hochriskant". Das sind Bereiche, in denen KI-Fehler besonders schwerwiegende Folgen haben können – weil sie direkt über Lebenschancen von Menschen entscheiden.
Recruiting und Personalwesen
KI, die Lebensläufe sortiert, Bewerber bewertet oder bei Beförderungsentscheidungen hilft, gilt als Hochrisiko-System. Die Fälle von Amazon, HireVue und Workday zeigen, warum: Wenn ein Algorithmus diskriminiert, können tausende Menschen betroffen sein – ohne es zu merken und ohne sich wehren zu können.
Kreditwürdigkeitsprüfung
Wenn eine Bank per KI entscheidet, ob Sie einen Kredit bekommen, muss sie nachweisen können, dass das System fair und transparent arbeitet. Das betrifft auch Scoring-Systeme, die die Bonität von Kunden bewerten.
Bildung und Berufsausbildung
KI-Systeme, die Prüfungen bewerten, über Zulassungen entscheiden oder den Zugang zu Bildung beeinflussen, unterliegen strengen Anforderungen. Hier geht es um Lebenschancen junger Menschen.
Kritische Infrastruktur
KI in der Strom- und Wasserversorgung, im Verkehr oder in anderen kritischen Bereichen muss besonders sicher sein. Ein Fehler kann hier viele Menschen gleichzeitig gefährden.
Strafverfolgung und Justiz
Wenn KI bei der Polizei oder vor Gericht zum Einsatz kommt, gelten die strengsten Regeln. Es geht um nicht weniger als den Rechtsstaat.
Für all diese Hochrisiko-Systeme gelten ab August 2026 umfangreiche Pflichten: Risikomanagementsysteme, technische Dokumentation, Datenqualitätsanforderungen, menschliche Aufsicht, Konformitätsbewertung und Registrierung in einer EU-Datenbank.
Die Grauzone: KI mit "begrenztem Risiko"
Zwischen den verbotenen Praktiken und den Hochrisiko-Systemen liegt eine Grauzone: KI-Anwendungen mit begrenztem Risiko. Hier gelten vor allem Transparenzpflichten.
Chatbots müssen sich zu erkennen geben
Wenn Ihre Kunden mit einem Chatbot sprechen, müssen sie wissen, dass es sich um eine KI handelt. Das klingt selbstverständlich, wird aber oft vergessen. Der freundliche "Kundenberater Max" auf Ihrer Website? Wenn er eine KI ist, muss das klar sein.
Deepfakes müssen gekennzeichnet werden
KI-generierte Bilder, Videos und Audioaufnahmen müssen als solche erkennbar sein – und zwar maschinenlesbar. Das bedeutet: Ein Wasserzeichen oder eine Kennzeichnung, die auch automatisch ausgelesen werden kann. Wenn Sie KI-generierte Bilder in Ihrer Werbung verwenden, sollten Sie prüfen, ob diese Anforderung erfüllt ist.
Synthetische Texte in bestimmten Kontexten
Wenn KI-generierte Texte dazu dienen, die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, müssen sie gekennzeichnet werden. Das betrifft etwa automatisch generierte Nachrichtenartikel.
Die Ironie dabei: Viele Unternehmen nutzen KI-generierte Inhalte, ohne es zu wissen. Wenn Ihr Marketing-Team Bilder von Stock-Plattformen verwendet, könnten diese KI-generiert sein. Es lohnt sich, das zu prüfen.
Die Bundesnetzagentur: Ihr neuer Ansprechpartner
Seit Juli 2025 gibt es in Deutschland eine zentrale Anlaufstelle für alle Fragen rund um den AI Act: den KI-Service-Desk der Bundesnetzagentur. Die Behörde, die Sie bisher vielleicht nur von Telekommunikation und Energie kannten, wird zur KI-Aufsicht.
Das Service-Desk bietet vier zentrale Angebote:
Der Compliance-Kompass: Ein Online-Tool, mit dem Sie herausfinden können, ob und wie der AI Act auf Ihre KI-Systeme anwendbar ist. Sie beantworten einige Fragen, und das System zeigt Ihnen, welche Pflichten Sie treffen. Das ist kein Ersatz für rechtliche Beratung, aber ein guter Startpunkt.
Informationsangebote: FAQs, Beispiele und Erläuterungen zu allen Aspekten des AI Acts. Besonders wertvoll: konkrete Szenarien, die zeigen, wo die Grenze zwischen erlaubt und verboten verläuft.
Kontaktmöglichkeit: Sie können direkt Fragen an die Behörde stellen. Das ist besonders für Unternehmen interessant, die sich in einer Grauzone bewegen und Klarheit brauchen.
Schulungshinweise: Links zu kostenlosen Weiterbildungsangeboten, die bei der Erfüllung der KI-Kompetenz-Pflicht helfen können.
Die Website finden Sie unter: www.bundesnetzagentur.de/ki
Was Sie jetzt konkret tun sollten
Genug Theorie. Was bedeutet das alles für Ihr Unternehmen? Hier sind die wichtigsten Schritte:
1. Machen Sie eine Bestandsaufnahme
Wissen Sie eigentlich, welche KI-Systeme in Ihrem Unternehmen im Einsatz sind? Nicht nur die offiziellen, sondern auch die, die Mitarbeiter eigenständig nutzen? ChatGPT, Copilot, Midjourney, Claude – die Liste ist lang. Erstellen Sie ein Inventar. Nur so können Sie beurteilen, welche Pflichten Sie treffen.
2. Klären Sie Ihre Rolle
Sind Sie "Anbieter" eines KI-Systems, also entwickeln Sie selbst KI? Oder sind Sie "Betreiber", nutzen also KI-Systeme anderer Anbieter? Die Pflichten unterscheiden sich erheblich. Die meisten mittelständischen Unternehmen sind Betreiber – aber prüfen Sie das.
3. Prüfen Sie auf verbotene Praktiken
Setzen Sie irgendwo Emotionserkennung ein? Analysieren Sie das Verhalten von Mitarbeitern oder Kunden auf eine Weise, die als manipulativ gelten könnte? Nutzt Ihre HR-Abteilung Tools, die möglicherweise diskriminieren? Wenn Sie unsicher sind, holen Sie rechtlichen Rat ein. Die Strafen sind zu hoch für Experimente.
4. Starten Sie mit KI-Schulungen
Das ist die Pflicht, die Sie am schnellsten erfüllen können und sollten. Informieren Sie Ihre Mitarbeiter über die Grundlagen von KI, über Chancen und Risiken, über verantwortungsvolle Nutzung. Dokumentieren Sie, was Sie tun.
5. Bereiten Sie sich auf die Transparenzpflichten vor
Wenn Sie Chatbots einsetzen oder KI-generierte Inhalte verwenden, prüfen Sie, ob die Kennzeichnung korrekt ist. Das lässt sich meist mit überschaubarem Aufwand umsetzen.
6. Planen Sie voraus für Hochrisiko-KI
Wenn Sie KI im Recruiting, für Kreditentscheidungen oder in anderen sensiblen Bereichen einsetzen, haben Sie bis August 2026 Zeit, sich auf die strengen Anforderungen vorzubereiten. Das klingt nach viel, ist es aber nicht. Risikomanagementsysteme und Dokumentation brauchen Zeit.
Die Chance hinter der Regulierung
Es ist leicht, den AI Act als Bürokratie-Monster zu sehen. Aber es lohnt sich, einen Schritt zurückzutreten und das größere Bild zu betrachten.
Die Skandale um Amazon, HireVue und Workday zeigen, was passiert, wenn KI unkontrolliert eingesetzt wird: Menschen werden diskriminiert, ohne es zu wissen. Entscheidungen werden von Algorithmen getroffen, die niemand versteht. Unternehmen delegieren Verantwortung an Maschinen und waschen ihre Hände in Unschuld.
Der AI Act zwingt Unternehmen, Verantwortung zu übernehmen. Das ist Arbeit, ja. Aber es ist auch eine Chance. Unternehmen, die transparent mit KI umgehen, ihre Systeme dokumentieren und ihre Mitarbeiter schulen, werden Vertrauen gewinnen – bei Kunden, Partnern und in der Öffentlichkeit.
Die Alternative ist ein Wildwest, in dem das nächste Skandal-Unternehmen nur eine Frage der Zeit ist. Und dann werden die Rufe nach noch strengerer Regulierung kommen.
Besser, Sie sind vorbereitet.
Fazit: Handeln Sie jetzt
Der EU AI Act ist keine ferne Zukunftsmusik. Die ersten Pflichten gelten bereits. Sanktionen können verhängt werden. Und die Behörden haben ihre Arbeit aufgenommen.
Gleichzeitig müssen Sie nicht in Panik verfallen. Beginnen Sie mit den Grundlagen: Bestandsaufnahme, Schulungen, Transparenz. Nutzen Sie die Angebote der Bundesnetzagentur. Und wenn Sie unsicher sind, holen Sie sich professionelle Unterstützung.
Die gute Nachricht: Sie müssen nicht alles auf einmal schaffen. Die Fristen sind gestaffelt, und die Behörden zeigen sich bisher pragmatisch. Aber warten Sie nicht zu lange. Denn 35 Millionen Euro Bußgeld sind ein hoher Preis für Zögern.
Sie brauchen Unterstützung bei der Umsetzung des AI Acts? hypescale begleitet Unternehmen bei der strategischen KI-Implementierung – von der Bestandsaufnahme bis zur vollständigen Compliance. Wir helfen Ihnen, KI verantwortungsvoll einzusetzen und regulatorische Anforderungen zu erfüllen.
→ Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch
