Dieser Artikel wird regelmäßig aktualisiert. Nächste relevante Frist: August 2026 (Vollständige Geltung EU AI Act für Hochrisiko-KI-Systeme).
Ich bekomme diese Frage regelmäßig: „Müssen wir jetzt wegen dem EU AI Act irgendetwas tun?" Meine ehrliche Antwort: Ja — aber wahrscheinlich weniger als Sie befürchten. Und deutlich mehr als „nichts".
Dieser Artikel ist keine Rechtsberatung. Für verbindliche Einschätzungen Ihrer spezifischen Situation wenden Sie sich an spezialisierte Anwälte. Was ich hier biete: eine strukturierte Orientierung für Geschäftsführer, die verstehen wollen, wo sie stehen — und was die nächsten vernünftigen Schritte sind.
Dieser Artikel ersetzt keine rechtliche Beratung. Er gibt eine orientierende Einschätzung auf Basis des verabschiedeten EU AI Act (in Kraft seit August 2024). Ihre konkreten Pflichten hängen von Art und Risikoeinstufung Ihrer KI-Nutzung ab. Lassen Sie sich im Zweifel anwaltlich beraten.
Was ist der EU AI Act — in 3 Sätzen
Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Er klassifiziert KI-Systeme nach Risikostufen (verboten, hochriskant, begrenzt riskant, minimales Risiko) und knüpft an jede Stufe unterschiedliche Pflichten. Er gilt für alle, die in der EU KI-Systeme einsetzen, entwickeln oder in Verkehr bringen — also auch für KMU, die KI-Tools von Drittanbietern nutzen.
Der Zeitplan — wo stehen wir?
EU AI Act tritt in Kraft
Das Gesetz ist verabschiedet und gilt. Die Übergangsfristen laufen seitdem.
Verbote für nicht akzeptable Risiken gelten
Social Scoring durch Behörden, biometrische Echtzeitüberwachung im öffentlichen Raum und andere verbotene Praktiken sind ab diesem Datum unzulässig. Für die meisten KMU nicht relevant — aber wichtig zu kennen.
GPAI-Modelle (Allzweck-KI) unterliegen Regeln
Für Anbieter großer KI-Modelle (z. B. OpenAI, Google, Anthropic) gelten Transparenz- und Dokumentationspflichten. Als Nutzer dieser Modelle sind Sie mittelbar betroffen — durch die Anforderungen an Ihre Verträge mit diesen Anbietern.
Hochriskante KI-Systeme: volle Compliance erforderlich
Für KI in Bereichen wie Personalentscheidungen, Kreditvergabe, kritische Infrastruktur gelten strenge Anforderungen: Risikomanagement, Datendokumentation, menschliche Aufsicht, Transparenz gegenüber Betroffenen.
Die entscheidende Frage: Welche Risikokategorie treffen Sie?
Das hängt davon ab, was Ihre KI entscheidet oder beeinflusst. Grobe Orientierung:
KI für Texterstellung, Übersetzung, interne Recherche, Produktivität, Marketingtexte, einfache Chatbots ohne Beratungsfunktion. Hier gibt es keine zwingenden Compliance-Anforderungen — aber gute Praxis empfiehlt sich trotzdem.
Chatbots, die mit Kunden interagieren. Deepfakes. KI-generierte Inhalte, die als solche nicht erkennbar sind. Hier gilt: Sie müssen offenlegen, dass KI im Spiel ist.
KI in HR (Recruiting, Leistungsbewertung), Kreditentscheidungen, Sicherheitssystemen, medizinischen Anwendungen, Bildungsbeurteilungen. Wenn Sie KI in einem dieser Bereiche einsetzen: jetzt handeln.
Was Geschäftsführer konkret jetzt tun sollten
Nicht als rechtliche Verpflichtung, sondern als vernünftiger nächster Schritt:
Was den meisten KMU erspart bleibt
Zur Beruhigung: Der EU AI Act ist nicht primär auf KMU ausgerichtet. Die schwersten Anforderungen treffen Anbieter von KI-Systemen, nicht deren Nutzer. Wenn Sie ein Standard-KI-Tool (ChatGPT, Copilot, etc.) für interne Zwecke nutzen, sind Sie als Anwender reguliert — aber deutlich weniger streng als der Anbieter selbst.
Der Regulierungsdruck kommt oft indirekt: über Auftraggeber, die eine EU-AI-Act-konforme Lieferkette fordern. Auch Banken und Versicherungen fragen zunehmend nach KI-Governance-Dokumentation. Wer hier frühzeitig vorbereitet ist, hat einen Wettbewerbsvorteil — nicht nur ein Compliance-Häkchen.
Der EU AI Act ist kein Grund zur Panik — aber ein Anlass zur Klarheit. Wer weiß, welche KI er einsetzt, für welchen Zweck, und wer dafür verantwortlich ist, hat 80 % der praktischen Anforderungen bereits erfüllt. Der Rest ist Dokumentation.
Wer wissen möchte, wie sein Unternehmen konkret dasteht: Unsere EU AI Act Orientierungsseite gibt einen strukturierten Überblick. Oder wir schauen es uns gemeinsam an — im Quick Scan.
Regularnie słyszę to pytanie: „Czy musimy teraz coś zrobić w związku z Aktem o SI?" Moja szczera odpowiedź: tak — ale prawdopodobnie mniej, niż się obawiają Państwo. I zdecydowanie więcej niż „nic".
Ten artykuł nie jest poradą prawną. W celu uzyskania wiążącej oceny swojej konkretnej sytuacji należy skontaktować się ze specjalizowanymi prawnikami. Oferuję tu strukturalną orientację dla dyrektorów zarządzających, którzy chcą zrozumieć, gdzie stoją — i jakie są kolejne rozsądne kroki.
Ten artykuł nie zastępuje porady prawnej. Daje orientacyjną ocenę na podstawie przyjętego Aktu o SI UE (obowiązuje od sierpnia 2024 r.). Konkretne obowiązki zależą od rodzaju i klasyfikacji ryzyka stosowanej przez Państwa SI. W razie wątpliwości skonsultuj się z prawnikiem.
Czym jest Akt o SI UE — w 3 zdaniach
Akt o SI UE to pierwsze kompleksowe rozporządzenie dotyczące SI na świecie. Klasyfikuje systemy SI według poziomów ryzyka (zakazane, wysokiego ryzyka, ograniczonego ryzyka, minimalnego ryzyka) i przypisuje każdemu poziomowi różne obowiązki. Obowiązuje wszystkich, którzy w UE stosują, rozwijają lub wprowadzają do obrotu systemy SI — w tym MŚP korzystające z narzędzi SI od podmiotów trzecich.
Harmonogram — gdzie jesteśmy?
Akt o SI UE wchodzi w życie
Ustawa jest przyjęta i obowiązuje. Od tego czasu trwają okresy przejściowe.
Zakazy dla niedopuszczalnego ryzyka
Social scoring przez organy publiczne, biometryczna inwigilacja w czasie rzeczywistym i inne zakazane praktyki są niedopuszczalne. Dla większości MŚP nieistotne — ale warto wiedzieć.
Modele GPAI podlegają zasadom
Dostawcy dużych modeli SI mają obowiązki w zakresie przejrzystości i dokumentacji. Jako użytkownicy tych modeli jesteście Państwo pośrednio dotknięci — przez wymagania dotyczące umów z tymi dostawcami.
Systemy wysokiego ryzyka: pełna zgodność wymagana
Dla SI w obszarach takich jak decyzje personalne, przyznawanie kredytów, infrastruktura krytyczna obowiązują rygorystyczne wymagania: zarządzanie ryzykiem, dokumentacja danych, nadzór ludzki, przejrzystość wobec osób objętych decyzją.
Co prezesi zarządu powinni teraz konkretnie zrobić
Presja regulacyjna często przychodzi pośrednio: od zleceniodawców wymagających łańcucha dostaw zgodnego z Aktem o SI UE. Banki i ubezpieczyciele coraz częściej pytają o dokumentację zarządzania SI. Kto jest wcześnie przygotowany, ma przewagę konkurencyjną — nie tylko „odfajkowaną" zgodność.
Akt o SI UE nie jest powodem do paniki — ale okazją do jasności. Kto wie, jaką SI stosuje, w jakim celu i kto za to odpowiada, spełnił już 80% praktycznych wymagań. Resztą jest dokumentacja.
I get this question regularly: "Do we need to do anything now because of the EU AI Act?" My honest answer: yes — but probably less than you fear. And significantly more than "nothing".
This article is not legal advice. For binding assessments of your specific situation, consult specialised lawyers. What I offer here: structured orientation for managing directors who want to understand where they stand — and what the next sensible steps are.
This article does not replace legal advice. It provides an orienting assessment based on the adopted EU AI Act (in force since August 2024). Your specific obligations depend on the type and risk classification of your AI use. Seek legal advice when in doubt.
What is the EU AI Act — in 3 sentences
The EU AI Act is the world's first comprehensive AI regulation. It classifies AI systems by risk level (prohibited, high-risk, limited risk, minimal risk) and ties different obligations to each level. It applies to everyone who deploys, develops, or places AI systems on the market in the EU — including SMEs that use third-party AI tools.
The timeline — where are we?
EU AI Act enters into force
The law is adopted and in effect. Transition periods have been running since then.
Prohibitions for unacceptable risk apply
Social scoring by public authorities, real-time biometric surveillance in public spaces, and other prohibited practices are impermissible. Not relevant for most SMEs — but important to know.
GPAI models subject to rules
Providers of large AI models (e.g. OpenAI, Google, Anthropic) have transparency and documentation obligations. As users of these models, you are indirectly affected — through requirements on your contracts with these providers.
High-risk AI systems: full compliance required
For AI in areas such as HR decisions, credit scoring, critical infrastructure: strict requirements apply — risk management, data documentation, human oversight, transparency towards affected persons.
What managing directors should concretely do now
Regulatory pressure often comes indirectly: from clients requiring an EU AI Act-compliant supply chain. Banks and insurers are increasingly asking for AI governance documentation. Those prepared early gain a competitive advantage — not just a compliance tick.
The EU AI Act is not a reason for panic — but an occasion for clarity. Whoever knows which AI they use, for what purpose, and who is responsible for it, has already met 80% of the practical requirements. The rest is documentation.
Whoever wants to know how their company concretely stands: our EU AI Act orientation page provides a structured overview. Or we can look at it together — in the Quick Scan.
Cet article est régulièrement mis à jour. Prochaine échéance importante : août 2026 (entrée en vigueur complète du Règlement IA de l’UE pour les systèmes d’IA à haut risque).
On me pose régulièrement cette question : « Devons-nous faire quelque chose maintenant à cause du Règlement IA de l’UE ? » Ma réponse honnête : oui — mais probablement moins que vous ne le craignez. Et nettement plus que « rien ».
Cet article ne constitue pas un conseil juridique. Pour des évaluations contraignantes de votre situation spécifique, adressez-vous à des avocats spécialisés. Ce que je propose ici : une orientation structurée pour les dirigeants qui souhaitent comprendre où ils en sont — et quelles sont les prochaines étapes raisonnables.
Cet article ne remplace pas un conseil juridique. Il fournit une évaluation d’orientation fondée sur le Règlement IA de l’UE adopté (en vigueur depuis août 2024). Vos obligations spécifiques dépendent du type et de la classification de risque de votre utilisation de l’IA. En cas de doute, faites-vous conseiller par un avocat.
Qu’est-ce que le Règlement IA de l’UE — en 3 phrases
Le Règlement IA de l’UE est la première réglementation complète en matière d’IA au monde. Il classe les systèmes d’IA par niveau de risque (interdit, à haut risque, à risque limité, à risque minimal) et associe à chaque niveau des obligations différentes. Il s’applique à tous ceux qui déploient, développent ou mettent sur le marché des systèmes d’IA dans l’UE — y compris les PME qui utilisent des outils d’IA tiers.
Le calendrier — où en sommes-nous ?
Le Règlement IA de l’UE entre en vigueur
La loi est adoptée et en vigueur. Les périodes de transition sont en cours depuis lors.
Interdictions pour les risques inacceptables
Le scoring social par les autorités publiques, la surveillance biométrique en temps réel dans l’espace public et d’autres pratiques interdites deviennent illicites. Non pertinent pour la plupart des PME — mais important à connaître.
Les modèles d’IA à usage général soumis aux règles
Les fournisseurs de grands modèles d’IA (par ex. OpenAI, Google, Anthropic) sont soumis à des obligations de transparence et de documentation. En tant qu’utilisateur de ces modèles, vous êtes indirectement concerné — via les exigences imposées à vos contrats avec ces fournisseurs.
Systèmes d’IA à haut risque : conformité complète requise
Pour l’IA dans des domaines tels que les décisions RH, l’octroi de crédit ou les infrastructures critiques : des exigences strictes s’appliquent — gestion des risques, documentation des données, supervision humaine, transparence envers les personnes concernées.
Ce que les dirigeants devraient concrètement faire maintenant
La pression réglementaire vient souvent indirectement : de clients exigeant une chaîne d’approvisionnement conforme au Règlement IA de l’UE. Les banques et assureurs demandent de plus en plus une documentation de gouvernance de l’IA. Ceux qui se préparent tôt obtiennent un avantage concurrentiel — pas seulement une case cochée.
Le Règlement IA de l’UE n’est pas un motif de panique — mais une occasion de clarté. Celui qui sait quelle IA il utilise, dans quel but et qui en est responsable, a déjà rempli 80 % des exigences pratiques. Le reste est de la documentation.
Vous souhaitez savoir où en est concrètement votre entreprise ? Notre page d’orientation sur le Règlement IA de l’UE offre un aperçu structuré. Ou nous pouvons l’examiner ensemble — lors d’un Quick Scan.