Eucerta
Jetzt starten
EU-Regulierung

EU AI Act 2025: Was die August-Implementierung für europäische KMU bedeutet

Allgemeine KI-Modelle unterliegen neuen Verpflichtungen – Ist Ihr Unternehmen bereit für EU AI Act-Compliance? Organisationen, die ChatGPT, Copilot, Claude oder Gemini nutzen, drohen Strafen bis €35 Millionen oder 7% des globalen Jahresumsatzes.

Sarah Mueller
Senior Compliance Beraterin
18. September 2025
2 Min. Lesezeit
EU AI Act bei Eucerta

Phase 2: In Kraft seit 2. August 2025

Die Phase-2-Verpflichtungen des EU AI Act sind am 2. August 2025 in Kraft getreten und schaffen erhebliche Compliance-Anforderungen für europäische KMU, die KI-Systeme nutzen. Die meisten KMU sind sich dieser Anforderungen noch nicht bewusst.

Kritische Warnung

Organisationen, die ChatGPT, Copilot, Claude oder Gemini nutzen, drohen Strafen von €35 Millionen oder 7% des globalen Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Zwei primäre Anforderungen

1. Transparenzverpflichtungen für GPAI-Anbieter

  • Technische Dokumentation zu Trainingsprozessen und Modelleinschränkungen
  • Offenlegung von Trainingsdaten-Zusammenfassungen zur Identifizierung potenzieller Verzerrungen
  • Dokumentation der Copyright-Compliance-Verfahren
  • Veröffentlichung von Kontaktinformationen für regulatorische Anfragen

2. Melde- und Risikopflichten

Organisationen, die KI-Modelle mit systemischem Risiko einsetzen, müssen EU-Behörden benachrichtigen.

Drei praktische Szenarien

Szenario 1: Kundenservice-Chatbots

Erfordert Offenlegung gegenüber Kunden, Dokumentationspraktiken und Governance-Strukturen mit menschlichen Aufsichtsprotokollen.

Szenario 2: Recruiting-KI (Hochrisiko)

Erfordert Risikobewertungen, obligatorische menschliche Überprüfung von Entscheidungen, Kandidatentransparenz und detaillierte Audit-Trails mit Entscheidungsbegründungen.

Szenario 3: Business Analytics (geringeres Risiko)

Erfordert Systemdokumentation, Verständnis der Trainingsdaten und menschliche Verifizierung vor der Implementierung.

Compliance-Zeitplan

  • Bis Dezember 2025: Inventar aller KI-Systeme inkl. Nutzer, Anwendungen und Risikoklassifizierungen
  • Bis Februar 2026: Governance-Struktur etablieren, KI-Verantwortlichen benennen, Nutzungsrichtlinien entwickeln
  • Bis März 2026: Team-Schulungen durchführen, Dokumentation erstellen
  • Fortlaufend: Alle Systeme dokumentieren, Risiken identifizieren, Compliance-Maßnahmen aufzeichnen

Strafstruktur

  • Verbotene Praktiken: €35 Millionen oder 7% des globalen Jahresumsatzes
  • Hochrisiko-Systeme Non-Compliance: €15 Millionen oder 3% des Jahresumsatzes
  • Transparenzverstöße: €7,5 Millionen oder 1% des Jahresumsatzes

Beispiel: Ein KMU mit €10 Millionen Umsatz riskiert €100.000 Mindeststrafen bei 1%-Verstößen.

Fazit

Die Verordnung fördert transparente, sichere und ethische KI-Implementierung. Verantwortungsvolle KMU, die ihre Praktiken angemessen dokumentieren, werden minimale Compliance-Herausforderungen haben. Nichteinhaltung resultiert aus dem Versäumnis, Systeme zu dokumentieren und inhärente Risiken wie Diskriminierung oder Datenschutzverletzungen anzugehen.

Teilen:

Über den Autor

Sarah Mueller
Senior Compliance Beraterin

Senior Compliance Beraterin mit Fokus auf ISO-Zertifizierungen und EU-Regulierung.

LinkedInE-Mail

Weitere Artikel zum Thema

Lieferkettengesetzt
EU-Regulierung
Lieferkettengesetz in der Praxis: Warum europäische KMU plötzlich Fragebögen ausfüllen müssen

Viele KMU in Österreich, der Schweiz, Spanien, Frankreich und Italien denken: "Das betrifft uns nicht – wir haben keine 1.000 Mitarbeiter." Doch während die direkte Anwendbarkeit begrenzt sein mag, sind die indirekten Auswirkungen nahezu universell.

28. Nov. 2025
Alle Artikel ansehen