Seit dem 2. August 2025 ist es offiziell: Für große KI-Modelle wie GPT-4, Claude und Gemini gelten in Europa neue Regeln. Was auf den ersten Blick nach „Big Tech“-Thema aussieht, betrifft auch viele kleine und mittlere Unternehmen (KMUs) – direkt oder indirekt. Was das für dich bedeutet? Du musst kein eigenes Sprachmodell trainieren, um vom AI Act betroffen zu sein. Es reicht, dass du ein KI-Modell einsetzt – z. B. für Chat, Analyse oder Entscheidungshilfe. Und plötzlich spielst du in der EU-Klasse „Verantwortung mit Ansage“.
Hier kommt dein kompakter Überblick. Für Entscheider:innen, nicht für Entwickler. Ohne Buzzwords – aber mit Klartext.
Was seit dem 2. August 2025 gilt – und was das für dich bedeutet
Seit dem 2. August greifen die Regeln für sogenannte „allgemeine Zweck-KI-Modelle“ (GPAI). Dazu zählen alle Systeme, die nicht für einen konkreten Anwendungsfall entwickelt wurden, sondern breit einsetzbar sind – also genau die Modelle, die viele KMUs via API oder Tool bereits nutzen.
Das bedeutet konkret:
- Anbieter wie OpenAI, Meta oder Anthropic müssen offenlegen, auf welchen Webseiten sie trainiert haben – vor allem im Hinblick auf urheberrechtlich geschützte Inhalte.
- Es kommen Stresstests: Modelle müssen technisch abgesichert sein, damit sie nicht für Desinformation, Deepfakes oder andere Missbrauchsfälle genutzt werden können.
- Wer sich an freiwillige Verhaltenskodizes hält, kann mit weniger Regulierung rechnen – wer nicht, bekommt mehr Auflagen.
- Für dein Unternehmen wichtig: Wenn du solche Modelle einsetzt oder integrierst, musst du im Zweifel belegen können, dass du dich an die Spielregeln hältst – z. B. bei Transparenzpflichten oder bei der Auswahl deiner Tools.
Die EU-Kommission hat in den letzten Wochen bekräftigt, dass der Zeitplan gilt – trotz Forderungen aus Industrie und einzelnen Mitgliedsstaaten, die Fristen zu verschieben. Fazit der Kommission: Es bleibt dabei. Die nächsten Fristen kommen. Der AI Act ist Realität – nicht optional.
„Aber wir sind doch kein Tech-Gigant!“ – Warum du trotzdem betroffen bist
Vielleicht denkst du jetzt: „Wir setzen doch nur GPT für E-Mail-Entwürfe oder Support-Assistenz ein – warum sollte uns das kümmern?“
Weil es bei Regulierung selten nur um den Anbieter geht. Sondern auch um die Wirkung im System.
Drei typische Fälle, in denen du betroffen bist – direkt oder indirekt:
- Du nutzt KI für externe Kommunikation (z. B. Chatbots, Support-E-Mails, Zusammenfassungen)
→ Du musst kennzeichnen, dass hier KI im Spiel ist. - Du nutzt KI für interne Entscheidungen (z. B. Recruiting, Leistungsbewertungen, Kreditprüfung)
→ Du musst klären, ob dein Einsatz unter „hochriskant“ fällt – und ggf. dokumentieren. - Du entwickelst ein Produkt, in dem ein Sprachmodell steckt (z. B. Textgenerierung, Klassifikation)
→ Dann musst du prüfen, ob dein Anbieter seine Pflichten erfüllt – und ob du als „Inverkehrbringer“ zählst.
Wer ist für was zuständig – und wie wird das kontrolliert?
Noch ist nicht alles klar – vor allem auf nationaler Ebene. Aber die EU hat die Grundstruktur gezogen:
- Das EU-KI-Büro (AI Office) überwacht die großen Modelle direkt.
- Nationale Behörden (in Deutschland noch nicht benannt) übernehmen die Marktaufsicht.
- Du als Unternehmen bist verantwortlich dafür, dass deine eingesetzte KI korrekt eingeordnet, dokumentiert und – im Zweifel – auditierbar ist.
Ab August 2026 drohen auch Bußgelder bei Verstößen. Bis dahin gilt: Wer heute schludert, riskiert morgen Klagen. Zum Beispiel von Wettbewerbern oder Nutzer:innen.
Was du als KMU jetzt tun solltest
Du musst nicht alles selbst prüfen. Aber du solltest wissen, worauf du achten musst – und dir ein paar Dinge jetzt schon vornehmen:
✅ Mach eine kurze Bestandsaufnahme: Wo setzt ihr heute KI ein? Welche Tools? Welche Anbieter?
✅ Klär die Zuständigkeit: Wer kümmert sich intern um KI-Risiken, Dokumentation, Transparenz?
✅ Frag deine Anbieter aktiv: Erfüllt ihr die Anforderungen des AI Acts? Gibt es Nachweise (z. B. Transparenzbericht, Risikoanalyse)?
✅ Plane etwas Zeit ein: Für Workshops, Prozesse, Kennzeichnungen. Es geht nicht um 100 Seiten Papier – sondern um sauberes Vorgehen.
Was das alles kostet – und was es bringen kann
Die Einhaltung kostet etwas – ja. Vor allem Zeit, manchmal externe Beratung. Aber im Gegenzug bekommst du:
- Rechtssicherheit
- Klarheit über deine Systeme
- Vertrauen bei Kund:innen
- Und langfristig: die Möglichkeit, mit deiner KI-Strategie zu wachsen – ohne Angst vor Rückabwicklung
Vielleicht wird das Thema „AI Compliance“ 2026 so selbstverständlich wie heute Datenschutz oder IT-Sicherheit. Wer jetzt vordenkt, spart später Nerven.
Was noch kommt – und was schon war
Februar 2025: Verbotene KI-Praktiken (z. B. Social Scoring, Emotionserkennung) werden aktiv verfolgt.
Mai 2025: Letzte Frist für freiwillige GPAI-Verhaltenskodizes.
August 2026: AI Act gilt vollumfänglich: Hochrisiko-Systeme, Konformitätsprüfungen, Marktüberwachung.
Und parallel entstehen europaweit:
- KI-Sandboxes, um neue Systeme unter Aufsicht zu testen
- Anlaufstellen für KMUs, die Support bei der Umsetzung bieten
- Checklisten, Vorlagen und Toolkits, um Compliance zu vereinfachen
Die EU-Kommission hat bekräftigt: Trotz der offenen Debatte wird es keine Verschiebung des Zeitplans geben. Der Code of Practice für GPAI-Modelle kommt, die Governance-Regeln gelten. Wer in Europa KI betreibt, spielt nach europäischen Regeln.
Fazit: Jetzt ist der richtige Moment, sich aufzustellen
Der AI Act ist keine Zukunftsmusik mehr – er ist live. Und auch wenn heute nicht alles auf dein Unternehmen zutrifft, kann das morgen schon anders aussehen. Wer KI einsetzt, sollte wissen, was rechtlich erwartet wird. Nicht aus Angst vor Bußgeldern – sondern aus Verantwortung gegenüber Kund:innen, Mitarbeitenden und der eigenen Zukunftsfähigkeit.
Wenn du Fragen hast oder eine erste Checkliste brauchst: Melde dich gern. Wir navigieren das Thema auch gerade – nicht als Theorie, sondern im echten Produktalltag.
