BEACON Leitfaden

Die KI-Verordnung (EU AI Act), erklärt.

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er trat am 1. August 2024 in Kraft und gilt stufenweise: Einige KI-Praktiken werden vollständig verboten, „Hochrisiko“-Systeme erhalten strenge Pflichten, und Transparenz ist immer dann Pflicht, wenn Menschen mit KI interagieren oder KI-generierte Inhalte sehen. 2026 hat der „Digital Omnibus on AI“ mehrere Fristen verschoben — hier ist das aktuelle Bild: was die Verordnung abdeckt, wer bis wann die Pflichten erfüllen muss, die Bußgelder und was das für eine gewöhnliche Website bedeutet.

Kostenlos starten Kostenlosen Check starten
Risikobasiert statt pauschalVier Klassen: verbotene Praktiken, Hochrisiko-Systeme, begrenztes Risiko (Transparenzpflichten) und minimales Risiko — die meiste KI fällt in die letzte Klasse und erhält keine neuen Pflichten.
Gestufter ZeitplanVerbote und KI-Kompetenz-Pflichten seit Februar 2025; Regeln für KI mit allgemeinem Verwendungszweck (GPAI) seit August 2025; Transparenzpflichten ab August 2026; Hochrisiko-Pflichten nun verschoben auf Dezember 2027 / August 2028.
Extraterritoriale ReichweiteEr gilt für Anbieter und Betreiber außerhalb der EU, sobald der Output des KI-Systems in der EU verwendet wird — wie bei der DSGVO (GDPR) braucht es kein EU-Büro, um in den Anwendungsbereich zu fallen.
Harte VerboteSocial Scoring, manipulative Techniken, ungezieltes Auslesen von Gesichtsbildern, Emotionserkennung am Arbeitsplatz und in der Schule (mit engen Ausnahmen) — verboten seit Februar 2025.
Transparenz für WebsitesChatbots müssen offenlegen, dass sie KI sind; KI-generierte und manipulierte Inhalte (Deepfakes) müssen gekennzeichnet werden, synthetische Medien zusätzlich maschinenlesbar markiert.
Bußgelder auf DSGVO-NiveauBis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene Praktiken; bis zu 15 Mio. € oder 3 % für die meisten anderen Verstöße; bis zu 7,5 Mio. € oder 1 % für irreführende Angaben.
Die vier Risikostufen im Überblick
Unannehmbares Risiko
Vollständig verboten
Hochrisiko
Strenge Pflichten + Registrierung
Begrenztes Risiko
Transparenzpflichten
Minimales Risiko
Keine neuen Pflichten
Maximale Bußgelder
Verbotene Praktiken€35M / 7%
Die meisten anderen Verstöße€15M / 3%
Irreführende Angaben an Behörden€7.5M / 1%
des weltweiten Jahresumsatzes (je nachdem, was höher ist)
Der Zeitplan — aktualisiert nach dem Digital Omnibus 2026
1.8.2024Inkrafttreten
2.2.2025Verbote + KI-Kompetenz gelten
2.8.2025GPAI-Modellregeln gelten
2.8.2026Transparenzpflichten + SanktionenHeute
2.12.2026Neue Inhalte-Verbote (NCII/CSAM)
2.12.2027Hochrisiko-Pflichten — Anhang III
2.8.2028Hochrisiko-Pflichten — Anhang I

Was der AI Act ist (und was nicht)

Der AI Act ist eine produktsicherheitsähnliche Verordnung für KI-Systeme, die in der EU in Verkehr gebracht werden oder deren Output in der EU verwendet wird. Er reguliert nicht „KI“ als Technologie — er reguliert konkrete Einsatzzwecke nach Risiko. Je höher das Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Die meiste Alltags-KI (Spamfilter, Empfehlungs-Widgets, Rechtschreibprüfungen, KI-Funktionen in Produktivitätstools) ist minimales Risiko und erhält überhaupt keine neuen Pflichten.

Die vier Risikoklassen

Alles in der Verordnung hängt an dieser Einstufung:

  • Unannehmbares Risiko — seit dem 2. Februar 2025 vollständig verboten: Social Scoring, ausbeuterische oder manipulative Techniken, ungezieltes Auslesen von Gesichtsbildern, Emotionserkennung am Arbeitsplatz und in Schulen (enge Sicherheitsausnahmen), biometrische Kategorisierung zur Ableitung sensibler Merkmale sowie biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zu Strafverfolgungszwecken (begrenzte Ausnahmen). Ab dem 2. Dezember 2026 verbietet die Novelle von 2026 zusätzlich ausdrücklich KI-Systeme zur Erzeugung nicht einvernehmlicher intimer Bilder oder von CSAM.
  • Hochrisiko — erlaubt, aber streng reguliert: KI als Sicherheitskomponente regulierter Produkte (Anhang I — Maschinen, Medizinprodukte, Aufzüge…) oder in sensiblen Einsatzfeldern (Anhang III — Personalauswahl und Mitarbeiterführung, Bildungsbewertung, Kreditwürdigkeitsprüfung, grundlegende Dienste, Strafverfolgung, Migration, Justiz). Zu den Pflichten gehören Risikomanagement, Daten-Governance, technische Dokumentation, Protokollierung, menschliche Aufsicht, Genauigkeits-/Robustheitstests und die Registrierung in einer EU-Datenbank.
  • Begrenztes Risiko — Transparenzpflichten (Artikel 50): Menschen mitteilen, wenn sie mit einem KI-System interagieren (Chatbots), KI-generierte oder manipulierte Bild-/Audio-/Videoinhalte (Deepfakes) kennzeichnen, synthetische Inhalte maschinenlesbar markieren und KI-generierte Texte offenlegen, die veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren.
  • Minimales Risiko — alles andere: keine neuen Pflichten, freiwillige Verhaltenskodizes werden empfohlen.

Der Zeitplan 2026 — aktualisiert nach dem Digital Omnibus

Die Verordnung trat am 1. August 2024 in Kraft und sollte ursprünglich am 2. August 2026 nahezu vollständig gelten. Im November 2025 schlug die Kommission den „Digital Omnibus on AI“ vor, um das zu vereinfachen und zu staffeln; das Parlament stimmte am 16. Juni 2026 zu, der Rat gab am 29. Juni 2026 die endgültige Zustimmung. Die wichtigsten Termine jetzt:

  • 2. Februar 2025 — Verbote unannehmbarer Praktiken und KI-Kompetenz-Pflichten gelten.
  • 2. August 2025 — Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) (technische Dokumentation, Urheberrechts-Policy, Zusammenfassungen der Trainingsdaten; Zusatzpflichten für Modelle mit systemischem Risiko) sowie das EU AI Office und die Governance-Strukturen.
  • 2. August 2026 — die Verordnung wird allgemein anwendbar: Transparenzpflichten (Artikel 50), Sanktionen und die meisten übrigen Bestimmungen. Für die maschinenlesbare Markierung synthetischer Inhalte gilt eine Übergangsfrist bis zum 2. Dezember 2026 für Systeme, die vor dem 2. August 2026 bereits auf dem Markt waren.
  • 2. Dezember 2026 — neue Verbote für KI zur Erzeugung nicht einvernehmlicher intimer Bilder und von CSAM gelten.
  • 2. Dezember 2027 — Hochrisiko-Pflichten für Anhang-III-Einsatzfelder (Personalauswahl, Kreditwürdigkeitsprüfung, Bildung…) — um 16 Monate gegenüber dem ursprünglichen Termin August 2026 verschoben.
  • 2. August 2028 — Hochrisiko-Pflichten für in Produkte eingebettete KI nach Anhang I (Medizinprodukte, Maschinen…) — um ein Jahr gegenüber August 2027 verschoben. Nationale Reallabore (Sandboxes) sind bis zum 2. August 2027 vorgesehen.

Wer die Pflichten erfüllen muss

Die Pflichten knüpfen an Rollen in der Wertschöpfungskette an: Anbieter (die ein KI-System entwickeln oder unter eigenem Namen in der EU in Verkehr bringen), Betreiber (die ein KI-System beruflich nutzen) sowie Importeure und Händler. Die Reichweite ist extraterritorial — ein US- oder UK-SaaS, dessen KI-Output in der EU verwendet wird, fällt in den Anwendungsbereich. KMU erhalten Erleichterungen: vereinfachte Dokumentation, bevorzugten Zugang zu Reallaboren und Bußgelder, die auf den niedrigeren der beiden Beträge statt den höheren gedeckelt sind.

Was der AI Act für Ihre Website bedeutet

Für die meisten Unternehmen sind die ersten echten Berührungspunkte die Transparenzregeln, die ab August 2026 gelten — sie betreffen das, was Besucher auf Ihrer Website sehen:

  • KI-Chatbots und -Assistenten auf Ihrer Website müssen klarstellen, dass der Besucher mit einer Maschine spricht (sofern es nicht aus dem Kontext offensichtlich ist).
  • KI-generierte oder KI-manipulierte Bilder, Audio- und Videoinhalte (Deepfakes), die Sie veröffentlichen, müssen sichtbar als künstlich erzeugt oder manipuliert gekennzeichnet sein.
  • Synthetische Medien sollten eine maschinenlesbare Markierung tragen (z. B. Metadaten/Wasserzeichen) — die Markierungspflicht für Systeme von vor August 2026 gilt ab dem 2. Dezember 2026.
  • KI-geschriebene Texte, die veröffentlicht werden, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, müssen als KI-generiert offengelegt werden — es sei denn, sie durchliefen eine menschliche redaktionelle Prüfung mit Verantwortungsübernahme.
  • Wenn Sie KI im Recruiting, bei Krediten oder anderen Anhang-III-Einsatzfeldern nutzen, planen Sie für das Hochrisiko-Regime, das ab dem 2. Dezember 2027 gilt.
  • KI-Kompetenz: Organisationen, die KI beruflich einsetzen, sollten Maßnahmen ergreifen, damit Mitarbeitende die Systeme verstehen, die sie bedienen.

Sanktionen

Die Bußgeldstruktur ist bewusst an die DSGVO angelehnt: bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für verbotene Praktiken; bis zu 15 Millionen € oder 3 % für die meisten anderen Verstöße, einschließlich Hochrisiko- und GPAI-Pflichten; bis zu 7,5 Millionen € oder 1 % für falsche oder irreführende Angaben gegenüber Behörden. Für KMU gilt jeweils der niedrigere der beiden Beträge als Obergrenze. Die Durchsetzung teilen sich nationale Marktüberwachungsbehörden und — für GPAI-Modelle — das EU AI Office.

Wie Beacon dazu passt

Beacon scannt bereits, was Suchmaschinen und KI-Crawler auf Ihrer Website tatsächlich sehen — robots.txt-Richtlinien, gerenderte Inhalte, strukturierte Daten und Offenlegungen. Auf dieser Grundlage bauen wir einen AI-Act-Readiness-Scan: eine automatisierte Prüfung der besucherseitigen Transparenzsignale Ihrer Website (Chatbot-Offenlegung, Kennzeichnung von KI-Inhalten, maschinenlesbare Markierung und zugehörige Metadaten) mit einer priorisierten Fix-Liste. Rechtsberatung ist das nicht — aber es zeigt Ihnen konkret, was Ihre Website heute preisgibt und was zuerst zu beheben ist.

FAQ

Gilt der EU AI Act für Unternehmen außerhalb der EU?

Ja. Wie die DSGVO hat er extraterritoriale Reichweite: Wenn Sie ein KI-System in der EU in Verkehr bringen oder der Output des Systems in der EU verwendet wird, fallen Sie in den Anwendungsbereich — unabhängig davon, wo Ihr Unternehmen ansässig ist.

Ab wann gelten die wichtigsten Pflichten tatsächlich?

Verbote und KI-Kompetenz seit dem 2. Februar 2025; GPAI-Modellpflichten seit dem 2. August 2025; Transparenzpflichten und Sanktionen ab dem 2. August 2026. Nach dem Digital Omnibus von 2026 wurden die Hochrisiko-Pflichten auf den 2. Dezember 2027 (Anhang-III-Einsatzfelder) und den 2. August 2028 (in Produkte eingebettete KI nach Anhang I) verschoben.

Muss ich KI-generierte Inhalte auf meiner Website kennzeichnen?

Wenn Sie KI-generierte oder KI-manipulierte Bilder, Audio- oder Videoinhalte (Deepfakes) veröffentlichen, ja — sie müssen gekennzeichnet werden, und synthetische Medien sollten eine maschinenlesbare Markierung tragen. KI-Chatbots müssen offenlegen, dass sie KI sind. KI-geschriebene Texte zu Angelegenheiten von öffentlichem Interesse müssen offengelegt werden, sofern nicht ein menschlicher Redakteur die Verantwortung übernimmt.

Ist ChatGPT oder mein KI-Anbieter statt mir verantwortlich?

Die Verantwortung ist nach Rollen aufgeteilt. Der Modellanbieter (z. B. OpenAI) trägt die GPAI-Anbieterpflichten; Sie als Betreiber, der einen Chatbot auf seiner Website einsetzt oder KI-Inhalte veröffentlicht, tragen die betreiberseitigen Transparenzpflichten gegenüber Ihren Besuchern.

Ist der Einsatz von KI für SEO oder Content-Marketing verboten?

Nein. Marketingtexte mit KI zu erstellen ist minimales/begrenztes Risiko — völlig legal. Die Verordnung verlangt Transparenz nur in bestimmten Fällen (Deepfakes, Texte von öffentlichem Interesse, Chatbots) und verbietet eine kurze Liste schädlicher Praktiken, die mit normalem Marketing nichts zu tun haben.

Was sollte ein Website-Betreiber jetzt tun?

Inventarisieren Sie, wo KI Ihre Website berührt (Chatbot, generierte Bilder/Texte), fügen Sie klare KI-Hinweise und Kennzeichnungen hinzu, prüfen Sie Ihre Markierung synthetischer Medien und schulen Sie Ihr Team. Behalten Sie dann den 2. Dezember 2027 im Blick, falls Sie KI im Recruiting oder anderen Anhang-III-Bereichen einsetzen.

Schnellcheck: Wo stehen Sie?

Sechs Aussagen — antworten Sie ehrlich. Ihre Antworten bleiben im Browser.

Besucher werden informiert, wenn sie mit einer KI chatten (oder wir haben keinen KI-Chat).
KI-generierte Bilder, Audio oder Videos sind sichtbar gekennzeichnet (oder wir veröffentlichen keine).
KI-geschriebene Artikel von öffentlichem Interesse sind offengelegt oder redaktionell geprüft.
Wir haben geprüft, dass keine unserer KI-Nutzungen eine verbotene Praktik ist (Art. 5).
Wir wissen, ob eine unserer KI-Nutzungen unter Anhang III (Hochrisiko) fällt.
Unser Team hat ein KI-Kompetenz-Training erhalten.
0/6 beantwortetKostenlosen AI-Act-Readiness-Scan startenDas kostenlose Beacon-Konto enthält den Website-Signal-Scan und die interaktive Checkliste — ohne Kreditkarte.

Prüfen Sie kostenlos, was Ihre Website heute preisgibt

Starten Sie jetzt Beacons kostenlosen Visibility-Scan. AI-Act-Readiness-Checks kommen bald zu Beacon.

Kostenlos starten Kostenlosen Check starten