EU AI Act — PromptLoop Glossar

Was ist der EU AI Act?

Der EU AI Act ist ein verbindliches Regulierungsrahmenwerk, das Entwicklung, Vertrieb und Nutzung von Künstlicher Intelligenz in der Europäischen Union rechtlich normiert. Das Gesetz löst ein strukturelles Problem: Vor seinem Inkrafttreten existierte kein einheitlicher europäischer Standard dafür, welche KI-Anwendungen zulässig sind, welche unter Auflagen laufen dürfen und welche schlicht verboten gehören. Das Ergebnis war ein regulatorisches Vakuum, das Unternehmen Rechtsunsicherheit bescherte und Grundrechte unzureichend schützte. Der Act unterteilt alle AI-Systeme in vier Risikokategorien: verbotene Praktiken, Hochrisiko-Systeme, Systeme mit begrenztem Risiko und Systeme mit minimalem Risiko. Jede Stufe zieht spezifische Pflichten nach sich — von vollständigem Verbot bis hin zu schlanken Dokumentationsanforderungen. Wichtig: Der EU AI Act ist keine Empfehlung und kein Leitfaden. Er unterscheidet sich fundamental von unverbindlichen Rahmenwerken wie den OECD-Prinzipien oder UNESCO-Empfehlungen. Er ist geltendes Recht — mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes bei Verstößen gegen die schwersten Verbote.

Wie funktioniert der EU AI Act?

Die Architektur des Gesetzes folgt einem risikobasierten Ansatz. Seit dem 2. Februar 2025 sind die schärfsten Verbote in Kraft: Social Scoring durch staatliche Stellen, massenhafte biometrische Kategorisierung anhand geschützter Merkmale wie Ethnizität oder Religion, Emotionserkennung an Arbeitsplätzen und in Bildungseinrichtungen sowie Echtzeit-Gesichtserkennung im öffentlichen Raum durch Strafverfolgungsbehörden (mit eng gefassten Ausnahmen). Parallel gilt seit Februar 2025 eine AI-Kompetenzanforderung: Unternehmen müssen nachweisen, dass alle Mitarbeiter, die mit KI-Systemen arbeiten, angemessen geschult sind. Für Hochrisiko-Anwendungen — etwa algorithmische Kandidatenvorauswahl im Recruiting oder KI-gestützte Kreditentscheidungen — verlangt das Gesetz lückenlose Dokumentation, Transparenz gegenüber Betroffenen und nachweisbare menschliche Aufsicht. Die technische Umsetzung erfordert ein strukturiertes AI-Governance-System: ein vollständiges Inventar aller genutzten AI-Systeme, dokumentierte Nutzungsrichtlinien, Validierungsverfahren für KI-generierte Outputs und quartalsweise Aktualisierungen des Inventars. Ein kritisches Compliance-Risiko ist dabei Shadow AI — unkontrolliert von Mitarbeitern eingeführte Tools, die außerhalb jeder Risikobewertung operieren und Unternehmen automatisch in den Verstoß treiben können, bevor der erste Audit stattfindet.

EU AI Act in der Praxis

Im Finanzsektor integrieren Banken Hochrisiko-AI-Anforderungen direkt in bestehende Governance-Frameworks wie MaRisk oder EBA-Guidelines — statt parallele Strukturen aufzubauen. Das spart Ressourcen und nutzt bereits etablierte Kontrollmechanismen. Im HR-Bereich müssen Unternehmen, die algorithmische Tools zur Kandidatenvorauswahl einsetzen, Bewerber aktiv darüber informieren und sicherstellen, dass ein Mensch die finale Entscheidung trifft und dokumentiert. Für Schweizer und internationale Unternehmen mit EU-Marktpräsenz gilt die extraterritoriale Wirkung des Gesetzes: Wer Produkte oder Dienstleistungen in der EU anbietet, fällt unter den Act — unabhängig vom Unternehmenssitz.

Vorteile und Grenzen

Der EU AI Act schafft erstmals Rechtssicherheit für Unternehmen, die bisher in einem Graubereich operierten, und setzt international einen Referenzpunkt — ähnlich wie die DSGVO die globale Datenschutzdebatte geprägt hat. Der risikobasierte Ansatz ist pragmatisch: Er verhindert nicht KI-Innovation pauschal, sondern differenziert nach tatsächlichem Schadenspotenzial. Auf der Gegenseite stehen erhebliche Durchsetzungslücken. Der Fall Ungarn zeigt, dass Mitgliedstaaten eigenständig Gesetze verabschieden können, die direkt kollidieren. Gegen außereuropäische Akteure wie Clearview AI haben sich Sanktionsmechanismen bisher als praktisch wirkungslos erwiesen. Hinzu kommt der operative Aufwand: Gerade für mittelständische Unternehmen bedeutet die vollständige AI-Inventarisierung, laufende Schulungspflichten und Dokumentationsanforderungen einen erheblichen Ressourceneinsatz. Und die technologische Entwicklung läuft dem Regulierungstakt schlicht davon — was heute als Hochrisiko-System gilt, kann morgen durch ein neues Modell ersetzt sein, das formal in eine andere Kategorie fällt.

❓ Häufig gestellte Fragen

▶ Welche KI-Anwendungen sind seit Februar 2025 in der EU verboten?

Seit dem 2. Februar 2025 sind Social Scoring durch staatliche Stellen, massenhafte biometrische Kategorisierung anhand geschützter Merkmale, Emotionserkennung an Arbeitsplätzen und in Schulen sowie Echtzeit-Gesichtserkennung im öffentlichen Raum durch Behörden verboten. Verstöße können Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes nach sich ziehen.

▶ Wer ist vom EU AI Act betroffen — gilt er auch außerhalb der EU?

Ja. Der EU AI Act hat extraterritoriale Wirkung: Jedes Unternehmen, das KI-Systeme in der EU anbietet oder einsetzt, fällt unter das Gesetz — unabhängig davon, ob der Firmensitz in München, Zürich oder San Francisco liegt. Für Schweizer Unternehmen mit EU-Geschäft gilt das Regelwerk damit genauso wie für deutsche Firmen.

▶ Was ist Shadow AI und warum ist es ein Compliance-Risiko unter dem EU AI Act?

Shadow AI bezeichnet KI-Tools, die Mitarbeiter eigenständig und ohne Wissen der IT- oder Compliance-Abteilung nutzen — etwa kostenlose Chatbots oder Browser-Plugins. Das Problem: Der EU AI Act verpflichtet Unternehmen zu einem vollständigen Inventar aller genutzten AI-Systeme. Wer Shadow AI nicht erfasst, kann keine Risikobewertung durchführen und verstößt damit automatisch gegen Basisanforderungen des Gesetzes.

Stand: 20. März 2026