Der EU AI Act: Ein praxisorientierter Leitfaden für Websitebetreiber

Die wichtigsten Änderungen auf einen Blick

Das europäische Gesetz über künstliche Intelligenz, bekannt als AI Act oder KI-Verordnung (Verordnung (EU) 2024/1689), stellt eine fundamentale Neuerung in der Technologieregulierung dar.¹ Für Websitebetreiber ist es kein abstraktes technisches Regelwerk, sondern eine unmittelbar praxisrelevante Verordnung, die ab 2026 direkte und weitreichende Auswirkungen auf den Betrieb nahezu jeder kommerziellen Website in der Europäischen Union haben wird. Der Kern des Gesetzes liegt nicht in einem Verbot von Technologie, sondern in der Etablierung von Transparenz, einem systematischen Risikomanagement und einer klaren Rechenschaftspflicht für diejenigen, die KI-Systeme einsetzen.

Für den Alltag von Websitebetreibern ergeben sich daraus mehrere zentrale Handlungsfelder. Erstens müssen interaktive Systeme wie Chatbots klar als solche erkennbar sein; Nutzer müssen unmissverständlich darüber informiert werden, dass sie mit einer Maschine und nicht mit einem Menschen kommunizieren.² Zweitens unterliegen sämtliche durch KI generierte oder maßgeblich bearbeitete Inhalte – seien es Blogartikel, Produktbeschreibungen, Bilder, Videos oder Audio-Dateien – einer Kennzeichnungspflicht.¹ Drittens, während einfache Personalisierungsalgorithmen oft als unproblematisch gelten, können komplexere Systeme, die beispielsweise für Jobempfehlungen oder personalisierte Preisgestaltung eingesetzt werden, in höhere Risikoklassen fallen und strengere Auflagen nach sich ziehen.

Eine der weitreichendsten, aber oft übersehenen Pflichten ist die universelle Anforderung, im Unternehmen eine grundlegende KI-Kompetenz aufzubauen.⁵ Unabhängig davon, ob die eingesetzte KI als risikoarm oder risikoreich eingestuft wird, müssen Betreiber sicherstellen, dass ihre Mitarbeiter die Funktionsweise, die potenziellen Risiken (wie Voreingenommenheit, sogenannte Halluzinationen oder Diskriminierung) und die rechtlichen Rahmenbedingungen verstehen.

Um sich auf diese Änderungen vorzubereiten, sollten Websitebetreiber umgehend mit den folgenden Schritten beginnen:

1. Inventarisierung: Erstellen einer umfassenden Liste aller KI-gestützten Werkzeuge, Plugins und Funktionen, die auf der eigenen Website und in den damit verbundenen Prozessen zum Einsatz kommen.⁵
2. Risikobewertung: Zuordnung jedes identifizierten KI-Tools zu einer der vier Risikoklassen des AI Acts (minimal, begrenzt, hoch, inakzeptabel) und sorgfältige Dokumentation dieser Einschätzung.
3. Anbieter-Prüfung: Aktives Einfordern von Informationen zur AI-Act-Konformität von den Anbietern der eingesetzten KI-Software. Dies umfasst Konformitätserklärungen, technische Dokumentationen und vertragliche Zusicherungen.
4. Umsetzungsplanung: Entwicklung eines technischen und organisatorischen Plans zur Implementierung der erforderlichen Kennzeichnungspflichten auf der Website.
5. Schulungsbedarf ermitteln: Planung und Konzeption von Schulungsmaßnahmen für Mitarbeiter, um die Anforderung der KI-Kompetenz gemäß Artikel 4 der Verordnung zu erfüllen.

Einführung in den AI Act: Was Sie als Unternehmer wissen müssen

Die Ziele und der Geltungsbereich der Verordnung (KI-VO)

Die am 21. Mai 2024 vom Rat der EU final verabschiedete KI-Verordnung ist der weltweit erste umfassende und horizontale Rechtsrahmen für künstliche Intelligenz.¹ Ihre Veröffentlichung im Amtsblatt der EU am 12. Juli 2024 markierte den offiziellen Startpunkt für die gestaffelte Implementierung.⁷ Die Verordnung verfolgt eine duale Zielsetzung: Einerseits soll sie die Gesundheit, die Sicherheit und die Grundrechte der Bürgerinnen und Bürger innerhalb der EU vor den potenziellen Risiken von KI-Systemen schützen.¹ Andererseits zielt sie darauf ab, einen klaren und verlässlichen Rechtsrahmen zu schaffen, der Innovation und Investitionen im Bereich der KI in Europa fördert und die Wettbewerbsfähigkeit des Binnenmarktes stärkt.¹

Der Anwendungsbereich des AI Acts ist bewusst weit gefasst. Er gilt für alle Akteure, die KI-Systeme innerhalb der Europäischen Union in Verkehr bringen, in Betrieb nehmen oder nutzen, unabhängig davon, ob sie ihren Sitz in der EU haben oder nicht.⁷ Dieses Prinzip der extraterritorialen Anwendung, bekannt aus der Datenschutz-Grundverordnung (DSGVO), bedeutet, dass auch ein US-amerikanischer Websitebetreiber den Regeln des AI Acts unterliegt, sobald sich seine Angebote an Nutzer in der EU richten oder die Ergebnisse seiner KI-Systeme (z.B. personalisierte Werbung) in der EU verwendet werden.

Das Kernprinzip: Der risikobasierte Ansatz

Das Fundament der gesamten Verordnung ist der risikobasierte Ansatz.¹ Anstatt alle KI-Anwendungen über einen Kamm zu scheren, differenziert das Gesetz die regulatorische Last direkt proportional zum potenziellen Risiko, das ein KI-System für die Gesellschaft, die Sicherheit oder die Grundrechte darstellt. Diese Klassifizierung erfolgt in vier Stufen, die sich wie eine Ampel verstehen lassen ²:

• Inakzeptables Risiko (Rot): KI-Praktiken, die den Werten der EU fundamental widersprechen, werden gänzlich verboten.
• Hohes Risiko (Orange): KI-Systeme in sensiblen Bereichen unterliegen strengen, präventiven Auflagen, bevor und während sie betrieben werden.
• Begrenztes Risiko (Gelb): Bei diesen Systemen steht das Risiko der Täuschung im Vordergrund, weshalb hier vor allem Transparenzpflichten greifen.
• Minimales oder kein Risiko (Grün): Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie und unterliegt keinen spezifischen Auflagen durch den AI Act.

Dieser Ansatz soll sicherstellen, dass die Regulierung dort ansetzt, wo sie am dringendsten benötigt wird, ohne die Entwicklung und Nutzung unproblematischer KI-Anwendungen unnötig zu behindern.⁴

Ihre Rolle im Ökosystem: Anbieter vs. Betreiber

Um die eigenen Pflichten korrekt einordnen zu können, ist die Unterscheidung zwischen den verschiedenen Akteuren in der KI-Wertschöpfungskette entscheidend. Der AI Act definiert hierfür mehrere Rollen, von denen zwei für Websitebetreiber zentral sind:

• Der Anbieter (Provider): Dies ist die natürliche oder juristische Person, die ein KI-System entwickelt (oder entwickeln lässt) und es unter eigenem Namen oder eigener Marke auf den Markt bringt oder in Betrieb nimmt.⁷ Der Anbieter trägt die Hauptlast der Konformitätspflichten, insbesondere bei Hochrisiko-Systemen.
• Der Betreiber (Deployer): Dies ist die natürliche oder juristische Person, die ein KI-System unter ihrer eigenen Verantwortung einsetzt, es sei denn, die Nutzung erfolgt im Rahmen einer rein persönlichen, nicht-beruflichen Tätigkeit.⁶ Ein Unternehmen, das auf seiner Website einen Chatbot eines Drittanbieters integriert, agiert als Betreiber dieses Chatbots.

Die Pflichten des Betreibers sind in der Regel weniger umfangreich als die des Anbieters, aber sie sind eigenständig und mit einer eigenen Haftung verbunden.⁹ Diese Abhängigkeitsstruktur führt zu einer kritischen Kausalkette für die Compliance. Die Pflichten des Betreibers, wie die Nutzung eines Systems gemäß der Gebrauchsanweisung oder die Gewährleistung einer angemessenen menschlichen Aufsicht (gemäß Artikel 26 KI-VO), können nur dann effektiv erfüllt werden, wenn der Anbieter seinerseits die dafür notwendigen Informationen, Dokumentationen und technischen Funktionalitäten bereitstellt (gemäß Artikel 13 KI-VO).⁹ Ein Websitebetreiber, der beispielsweise ein KI-gestütztes Recruiting-Tool auf seiner Karriereseite einsetzt, kann die geforderte menschliche Aufsicht nur dann gewährleisten, wenn das Tool ihm die dafür notwendigen Kontroll-, Überprüfungs- und Eingriffsmöglichkeiten bietet. Die Auswahl des KI-Anbieters und die sorgfältige vertragliche Ausgestaltung der Zusammenarbeit werden somit zu einem zentralen Hebel für die eigene Compliance. Die Nichteinhaltung der Pflichten durch den Anbieter wird zu einem direkten und unkalkulierbaren Risiko für den Betreiber. Es ist daher unerlässlich, von Anbietern proaktiv Konformitätsdokumentationen, CE-Kennzeichnungen (bei Hochrisiko-Systemen) und klare Anleitungen einzufordern.⁶

Die Risikoklassen des AI Acts: Eine Analyse für den Website-Kontext

Die korrekte Einordnung der auf einer Website eingesetzten KI-Systeme in die Risikoklassen des AI Acts ist der entscheidende erste Schritt zur Sicherstellung der Compliance. Jede Klasse ist mit spezifischen Pflichten für den Betreiber verbunden.

Minimales/Geringes Risiko (“Grüne Ampel”)

Die überwiegende Mehrheit der heute genutzten KI-Anwendungen fällt in diese Kategorie. Hierzu zählen Systeme, die kein oder nur ein sehr geringes Risiko für die Rechte oder die Sicherheit von Personen darstellen.²

• Typische Website-Anwendungen:

• Spamfilter in Kontaktformularen oder Kommentarbereichen.¹
• Einfache Empfehlungssysteme in Online-Shops, die nach dem Prinzip “Kunden, die Produkt A kauften, interessierten sich auch für Produkt B” funktionieren.²
• KI-gestützte Systeme zur vorausschauenden Wartung der Server-Infrastruktur.⁸
• Interne Analyse-Tools, die das Nutzerverhalten auf der Website anonymisiert auswerten, um das Design zu optimieren.
• Kernpflichten für den Websitebetreiber:
  Für Systeme dieser Kategorie sieht der AI Act keine direkten rechtlichen Auflagen vor. Die Verordnung ermutigt jedoch die freiwillige Anwendung von Verhaltenskodizes, um bewährte Praktiken zu etablieren.8 Wichtig ist jedoch, dass die universelle Pflicht zum Aufbau von KI-Kompetenz gemäß Artikel 4 auch für Unternehmen gilt, die ausschließlich KI-Systeme mit minimalem Risiko einsetzen.6

Begrenztes Risiko (“Gelbe Ampel”): Die wichtigste Kategorie für die meisten Websites

In diese Kategorie fallen KI-Systeme, bei denen das Hauptrisiko in der mangelnden Transparenz und der potenziellen Täuschung von Nutzern liegt. Die regulatorischen Maßnahmen zielen daher darauf ab, sicherzustellen, dass Menschen wissen, wann sie mit einer KI interagieren oder auf KI-generierte Inhalte stoßen.¹ Die entsprechenden Pflichten sind in Artikel 50 der KI-Verordnung festgelegt und werden für die meisten Websitebetreiber ab August 2026 zur zentralen Herausforderung.

• Typische Website-Anwendungen:

• Chatbots und Voicebots im Kundenservice oder als Verkaufsassistenten.¹²
• KI-Tools zur Erstellung von Inhalten, wie Blogartikel, Marketingtexte, Social-Media-Posts oder Produktbeschreibungen.¹⁴
• KI-Bildgeneratoren zur Erstellung von Grafiken, Illustrationen oder Produktbildern für die Website.¹⁴
• “Deepfakes” und andere synthetische Medien, z.B. ein KI-generierter Avatar als Sprecher in einem Erklärvideo.¹⁷
• Systeme zur Emotionserkennung oder biometrischen Kategorisierung, die beispielsweise die Tonalität von Kundenrezensionen analysieren oder Nutzer anhand ihres Schreibstils gruppieren.¹
• Kernpflichten für den Websitebetreiber (gemäß Art. 50 KI-VO):

1. Kennzeichnung der Interaktion mit KI: Nutzer müssen klar und rechtzeitig darüber informiert werden, dass sie mit einem KI-System interagieren. Dies kann durch einen permanenten Hinweis im Chatfenster (“Sie chatten mit einem KI-Assistenten”) oder eine vorgelagerte Information geschehen. Eine Ausnahme gilt nur, wenn die Interaktion mit einer KI für den Nutzer aus den Umständen heraus offensichtlich ist.¹
2. Kennzeichnung von KI-generierten Inhalten: Audio-, Bild-, Video- oder Textinhalte, die künstlich erzeugt oder manipuliert wurden, müssen in einer maschinenlesbaren Form als solche gekennzeichnet sein. Der Hinweis muss für den Nutzer klar erkennbar sein. Dies gilt auch für Inhalte, die nur teilweise KI-generiert sind.⁴
3. Informationspflicht bei Emotionserkennung: Setzt ein Betreiber ein System zur Emotionserkennung oder zur biometrischen Kategorisierung ein, müssen die betroffenen Personen über den Betrieb des Systems informiert werden.¹
4. Sonderfall “Texte von öffentlichem Interesse”: Werden KI-Systeme eingesetzt, um Texte zu generieren oder zu manipulieren, die die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse informieren sollen (z.B. Nachrichtenartikel), muss dies explizit offengelegt werden. Diese Pflicht entfällt, wenn eine natürliche oder juristische Person die redaktionelle Verantwortung für den Text trägt und eine menschliche Überprüfung stattgefunden hat.¹

Hohes Risiko (“Orange Ampel”)

Als hochriskant gelten KI-Systeme, die ein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte von Personen darstellen können.¹⁰ Diese Systeme sind entweder Teil von Produkten, die bereits strengen EU-Sicherheitsvorschriften unterliegen (gelistet in Anhang I), oder sie werden in einem der acht in Anhang III der Verordnung aufgeführten sensiblen Bereiche eingesetzt.⁹ Für Websitebetreiber sind vor allem die Anwendungsfälle aus Anhang III relevant, die oft als Software-as-a-Service (SaaS) von Drittanbietern bezogen und in die eigene Website integriert werden.

• Potenzielle Website-Anwendungen:

• Beschäftigung und Personalmanagement: KI-Systeme, die auf einer Karriere-Seite zur Vorauswahl von Bewerbern, zur Analyse von Lebensläufen oder zur Durchführung von automatisierten Interviews eingesetzt werden.²
• Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen: KI-Systeme, die zur automatisierten Prüfung der Kreditwürdigkeit bei einem Online-Kreditantrag, zur Risikobewertung bei einem Online-Abschluss einer Lebens- oder Krankenversicherung oder zur Entscheidung über den Anspruch auf Sozialleistungen verwendet werden.³
• Allgemeine und berufliche Bildung: KI-Systeme, die zur Bewertung von Online-Prüfungen, zur Überwachung von Prüflingen (Proctoring) oder zur Entscheidung über die Zulassung zu Bildungsangeboten eingesetzt werden.²
• Kernpflichten für den Websitebetreiber (gemäß Art. 26 KI-VO):
  Der Einsatz eines Hochrisiko-KI-Systems löst einen umfangreichen Pflichtenkatalog für den Betreiber aus 9:

• Sorgfaltspflichten: Das System darf nur gemäß der vom Anbieter bereitgestellten Gebrauchsanweisung und für den vorgesehenen Zweck genutzt werden.
• Menschliche Aufsicht: Der Betreiber muss sicherstellen, dass die vom Anbieter vorgesehenen Maßnahmen zur menschlichen Aufsicht wirksam umgesetzt werden. Das Personal, das diese Aufsicht durchführt, muss entsprechend kompetent und geschult sein.
• Datenqualität: Sofern der Betreiber die Eingabedaten kontrolliert, muss er deren Relevanz und Angemessenheit im Hinblick auf den Verwendungszweck des Systems sicherstellen.
• Überwachung und Meldung: Der Betrieb des Systems muss überwacht werden. Bei schwerwiegenden Vorfällen oder Funktionsstörungen müssen der Anbieter und ggf. die nationalen Behörden informiert werden.
• Aufbewahrung von Log-Dateien: Die vom System automatisch erzeugten Protokolldateien (Logs) müssen für einen bestimmten Zeitraum aufbewahrt werden.
• Grundrechte-Folgenabschätzung (FRIA): Vor der ersten Inbetriebnahme eines Hochrisiko-KI-Systems müssen Betreiber, die öffentliche Einrichtungen oder private Akteure sind, die öffentliche Dienstleistungen erbringen, eine Folgenabschätzung zu den Auswirkungen auf die Grundrechte durchführen.⁷

Inakzeptables Risiko (“Rote Ampel”)

Die Verordnung verbietet eine kleine, aber bedeutsame Anzahl von KI-Praktiken, die als klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen in der EU angesehen werden.¹ Diese Verbote treten bereits im Februar 2025 in Kraft.⁴

• Beispiele mit potenziellem Website-Bezug:

• Kognitive Verhaltensmanipulation: KI-Systeme, die darauf abzielen, das Verhalten einer Person in einer Weise zu verzerren, die ihr oder einer anderen Person einen erheblichen Schaden zufügt. Dies schließt manipulative Designs (“Dark Patterns”) ein, die KI nutzen, um Nutzer zu ungewollten Käufen oder Entscheidungen zu drängen.¹⁷
• Ausnutzung von Schwachstellen: KI, die gezielt die Verletzlichkeit bestimmter Gruppen aufgrund von Alter, Behinderung oder sozialer Lage ausnutzt, um deren Verhalten zu manipulieren.²⁰
• “Social Scoring”: Die Bewertung oder Klassifizierung der Vertrauenswürdigkeit von Personen auf der Grundlage ihres sozialen Verhaltens oder persönlicher Merkmale, wenn dies zu einer Benachteiligung führt.¹
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: Der Einsatz von KI zur Ableitung von Emotionen von Mitarbeitern oder Schülern ist verboten.¹
• Kernpflichten für den Websitebetreiber:
  Diese Systeme dürfen unter keinen Umständen entwickelt, in Verkehr gebracht oder betrieben werden. Websitebetreiber müssen sicherstellen, dass keine der von ihnen eingesetzten oder in ihre Website integrierten Tools unter diese Verbote fallen.

Die folgende Tabelle fasst die Risikoklassen und die damit verbundenen Kernpflichten für Websitebetreiber zusammen:

Risikoklasse	Definition & Kernrisiko	Typische Website-Anwendungen	Kernpflichten für den Websitebetreiber
Minimal / Gering	KI-Systeme ohne oder mit sehr geringem Risiko für Rechte oder Sicherheit.	Spamfilter, einfache Produktempfehlungen, interne Analyse-Tools.	Keine spezifischen Pflichten aus dem AI Act, aber die universelle Pflicht zur KI-Kompetenz (Art. 4) gilt.
Begrenzt	Risiko der Täuschung oder mangelnden Transparenz für den Nutzer.	Chatbots, KI-generierte Texte & Bilder, Deepfakes, Emotionserkennung.	Transparenzpflichten (Art. 50): Kennzeichnung der KI-Interaktion, Kennzeichnung von KI-generierten Inhalten, Information über Emotionserkennung.
Hoch	Erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte.	KI-Recruiting-Tools, KI-Systeme zur Kreditwürdigkeitsprüfung oder Versicherungsbewertung.	Umfangreiche Betreiberpflichten (Art. 26): Nutzung gemäß Anleitung, menschliche Aufsicht, Datenqualitätskontrolle, Überwachung, Meldepflichten, Führen von Log-Dateien, ggf. Grundrechte-Folgenabschätzung.
Inakzeptabel	KI-Praktiken, die als klare Bedrohung für EU-Werte und -Rechte gelten.	Manipulative Systeme (“Dark Patterns”), Social Scoring, Emotionserkennung am Arbeitsplatz.	Absolutes Verbot: Diese Systeme dürfen nicht eingesetzt werden. Das Verbot ist bereits ab Februar 2025 wirksam.

Ihre konkreten Pflichten als Websitebetreiber

Über die spezifischen Anforderungen der einzelnen Risikoklassen hinaus etabliert der AI Act übergreifende Pflichten und klärt das Verhältnis zu bestehenden Gesetzen. Für Websitebetreiber sind insbesondere die universelle Anforderung zur KI-Kompetenz, das Zusammenspiel mit der DSGVO und der Umgang mit Basismodellen von zentraler Bedeutung.

Die universelle Pflicht: Aufbau von KI-Kompetenz (Art. 4 KI-VO)

Eine der fundamentalsten, aber leicht zu übersehenden Anforderungen des AI Acts ist die in Artikel 4 verankerte Pflicht zum Aufbau von KI-Kompetenz, oft als “AI Literacy” bezeichnet. Diese Verpflichtung gilt für alle Akteure entlang der KI-Wertschöpfungskette – Anbieter, Betreiber, Importeure und Händler – und ist bemerkenswerterweise unabhängig von der Risikostufe der eingesetzten KI-Systeme.⁵ Sie wird bereits ab Februar 2025 anwendbar sein.²¹

In der Praxis bedeutet dies, dass Unternehmen, die KI einsetzen, sicherstellen müssen, dass ihre Mitarbeiter über ein ausreichendes Maß an Wissen verfügen, um die eingesetzten Systeme zu verstehen, ihre Ergebnisse kritisch zu hinterfragen und die damit verbundenen Risiken zu managen. Die Schulungsinhalte sollten dabei auf die jeweilige Rolle und den eingesetzten KI-Typ zugeschnitten sein und könnten folgende Aspekte umfassen ⁵:

• Grundlagenwissen: Ein grundlegendes Verständnis der Funktionsweise von KI, insbesondere der Unterschiede zwischen verschiedenen Ansätzen (z.B. maschinelles Lernen, generative KI).
• Risikobewusstsein: Kenntnisse über die typischen Risiken von KI, wie algorithmische Voreingenommenheit (Bias), mangelnde Erklärbarkeit (“Black Box”-Problem), das Generieren falscher Informationen (“Halluzinationen”) und die Bedeutung von qualitativ hochwertigen Trainingsdaten.
• Anwendungsspezifisches Wissen: Konkrete Anleitungen und Workshops zur Nutzung der im Unternehmen eingesetzten KI-Systeme, beispielsweise “Prompting”-Schulungen für den Umgang mit Textgeneratoren.
• Rechtliche Aspekte: Ein Überblick über die relevanten rechtlichen Rahmenbedingungen, insbesondere die Pflichten aus dem AI Act, der DSGVO und dem Urheberrecht.

Diese Pflicht sollte nicht als bloße formale Anforderung verstanden werden. Sie ist vielmehr eine der wichtigsten präventiven Maßnahmen zur Risikominimierung. Ein Marketing-Mitarbeiter, der die Grenzen und potenziellen Fehlerquellen eines KI-Textgenerators nicht kennt, könnte unbemerkt falsche, irreführende oder urheberrechtlich geschützte Inhalte auf der Website veröffentlichen. Ein Kundendienstmitarbeiter, der die Funktionsweise eines Chatbots nicht versteht, kann dessen Fehler nicht korrekt eskalieren oder beheben. Die Investition in KI-Kompetenz ist somit nicht nur die Erfüllung einer gesetzlichen Pflicht, sondern eine fundamentale Kontrollmaßnahme. Sie reduziert direkt das Risiko von Verstößen gegen andere, “harte” Vorschriften der Verordnung – wie die Transparenzpflichten oder die Diskriminierungsverbote bei Hochrisiko-Systemen – und minimiert damit die Gefahr, mit den empfindlichen Bußgeldern des AI Acts konfrontiert zu werden.⁸ Sie bildet die unverzichtbare menschliche Komponente des gesamten Risikomanagementsystems.

Das Zusammenspiel mit der DSGVO

Der AI Act ersetzt nicht die Datenschutz-Grundverordnung (DSGVO), sondern ergänzt sie.⁵ Sobald ein KI-System personenbezogene Daten verarbeitet – was bei den meisten relevanten Anwendungen auf einer Website, von der Personalisierung über Chatbots bis hin zu Analyse-Tools, der Fall ist – müssen die Anforderungen beider Verordnungen kumulativ erfüllt werden. Die DSGVO verfolgt einen technologieneutralen Ansatz und regelt die Verarbeitung personenbezogener Daten, während der AI Act spezifische Anforderungen an das KI-System als solches stellt.⁵

Ein konkretes Beispiel verdeutlicht das Zusammenspiel: Ein Online-Shop nutzt ein KI-System, um Kunden basierend auf ihrem bisherigen Kauf- und Klickverhalten personalisierte Produktempfehlungen per E-Mail zu senden.

• Anforderungen nach DSGVO: Für das Sammeln und Analysieren des Nutzerverhaltens sowie für den Versand der E-Mails ist eine gültige Rechtsgrundlage erforderlich (in der Regel eine Einwilligung). Die Grundsätze der Datensparsamkeit, Zweckbindung und Transparenz müssen eingehalten werden. Die Nutzer müssen in der Datenschutzerklärung umfassend über dieses Profiling informiert werden.
• Anforderungen nach AI Act: Wenn das Empfehlungssystem als “minimales Risiko” eingestuft wird, gibt es keine direkten Pflichten. Würde es jedoch als System mit “begrenztem Risiko” gelten (z.B. weil es hochentwickelte psychologische Profile erstellt), könnten Transparenzpflichten greifen. Würde es gar als “Hochrisiko-System” eingestuft (z.B. wenn es den Zugang zu exklusiven Angeboten oder Finanzierungsoptionen steuert), kämen die strengen Pflichten für Betreiber hinzu.

Websitebetreiber müssen daher ihre Compliance-Prozesse integrieren und sicherstellen, dass sowohl die datenschutzrechtlichen als auch die KI-spezifischen Anforderungen erfüllt sind.

Umgang mit General-Purpose AI (GPAI)

Eine besondere Kategorie von KI-Systemen sind die sogenannten “General-Purpose AI Models” (GPAI-Modelle) oder Basismodelle. Dies sind sehr große, vielseitig einsetzbare Modelle wie GPT-4 (das u.a. ChatGPT antreibt) oder Google Gemini, die als Grundlage für eine Vielzahl von spezifischen Anwendungen dienen.⁴ Der AI Act sieht für die Anbieter dieser Basismodelle eigene, spezifische Pflichten vor. Dazu gehören unter anderem die Erstellung einer umfassenden technischen Dokumentation, die Einhaltung des EU-Urheberrechts und die Bereitstellung von Informationen für nachgelagerte Anbieter, die auf diesem Modell aufbauen.⁴

Für Websitebetreiber, die Tools zur Content-Erstellung, Bildgenerierung oder Analyse nutzen, die auf solchen GPAI-Modellen basieren, entsteht eine Kaskade der Verantwortung. Der Anbieter des Basismodells (z.B. OpenAI) ist gegenüber dem Anbieter des spezifischen Tools (z.B. ein SEO-Textgenerator-Plugin) informationspflichtig.¹⁹ Dieser Tool-Anbieter ist wiederum gegenüber seinem Kunden – dem Websitebetreiber – informationspflichtig. Der Websitebetreiber schließlich muss seine eigenen Pflichten gegenüber dem Endnutzer, also dem Besucher der Website, erfüllen, indem er beispielsweise die generierten Inhalte als KI-erstellt kennzeichnet.⁴

Ein Bruch in dieser Informationskette gefährdet die Compliance aller nachfolgenden Akteure. Für den Websitebetreiber bedeutet dies in der Praxis, dass er bei der Auswahl von KI-gestützten Tools eine neue Form der Sorgfalt an den Tag legen muss. Es reicht nicht mehr aus, nur die Funktionalität und den Preis zu bewerten. Es muss explizit nachgefragt werden, auf welchen Basismodellen die Tools beruhen und wie der Anbieter die Einhaltung der GPAI-Vorschriften sicherstellt. Diese Informationen sollten idealerweise vertraglich zugesichert werden. Ohne diese Transparenz in der Lieferkette läuft der Websitebetreiber Gefahr, seine eigenen Transparenz- und Kennzeichnungspflichten nicht korrekt erfüllen zu können.

Strategischer Fahrplan zur Compliance: Zeitplan und Checkliste

Die Implementierung des AI Acts erfolgt nicht an einem einzigen Stichtag, sondern in einem gestaffelten Prozess über mehrere Jahre. Dies gibt Unternehmen Zeit zur Vorbereitung, erfordert aber auch eine vorausschauende Planung.

Der gestaffelte Zeitplan des AI Acts

Der AI Act trat am 1. August 2024 in Kraft, doch die Anwendbarkeit der einzelnen Regelungen ist gestaffelt, um den Akteuren eine angemessene Übergangszeit zu gewähren.⁷ Die wichtigsten Meilensteine für Websitebetreiber sind:

• 2. Februar 2025: Ab diesem Datum gelten die Verbote für KI-Systeme mit inakzeptablem Risiko (Art. 5). Gleichzeitig wird die universelle Verpflichtung zum Aufbau von KI-Kompetenz (Art. 4) anwendbar.⁴
• 2. August 2025: Die Regelungen für General-Purpose AI (GPAI) Modelle treten in Kraft. Ebenso werden die Vorschriften zur Governance (z.B. die Benennung der nationalen Aufsichtsbehörden) und zu den Sanktionen anwendbar.¹⁹
• 2. August 2026: Dies ist der zentrale Stichtag, ab dem die Verordnung grundsätzlich vollständig anwendbar wird. Insbesondere die umfassenden Pflichten für Hochrisiko-KI-Systeme gemäß Anhang III und die wichtigen Transparenzpflichten für Systeme mit begrenztem Risiko (Art. 50) müssen ab diesem Zeitpunkt erfüllt sein.¹⁹
• 2. August 2027: Für bestimmte Hochrisiko-KI-Systeme, die Sicherheitskomponenten von bereits nach EU-Recht regulierten Produkten sind (z.B. in der Medizintechnik oder im Maschinenbau), gilt eine verlängerte Übergangsfrist von 36 Monaten.¹⁸

Ihre schrittweise Anleitung zur Vorbereitung

Um am 2. August 2026 konform zu sein, ist ein strukturierter Ansatz erforderlich. Die Vorbereitung lässt sich in drei Phasen unterteilen:

Phase 1 (Sofort – Q2 2025): Inventarisierung & Sensibilisierung

1. Systematische Erfassung: Der erste und wichtigste Schritt ist die Erstellung eines umfassenden Verzeichnisses aller KI-Anwendungen, die im Unternehmen genutzt werden. Dies betrifft nicht nur offensichtliche Tools wie Chatbots, sondern auch eingebettete KI-Funktionen in Standardsoftware (z.B. in CRM-, Marketing-Automation- oder SEO-Tools).⁵ Eine Befragung der Fachabteilungen (Marketing, IT, Personal, Kundenservice) ist hierfür unerlässlich.
2. Sensibilisierung: Die Geschäftsführung und die relevanten Entscheidungsträger müssen über die bevorstehenden rechtlichen Änderungen, die damit verbundenen Pflichten und die potenziellen finanziellen Risiken informiert werden, um die notwendigen Ressourcen für das Compliance-Projekt freizugeben.

Phase 2 (Q3 2025 – Q1 2026): Risikobewertung & Anbieter-Dialog

1. Risikoklassifizierung: Jedes im Inventar erfasste KI-System muss anhand der Kriterien des AI Acts einer der vier Risikoklassen zugeordnet werden. Diese Einschätzung, inklusive der Begründung, muss sorgfältig dokumentiert werden.
2. Anbieter-Dialog: Nehmen Sie proaktiv Kontakt zu den Anbietern Ihrer KI-Tools auf. Fordern Sie konkrete Informationen und Roadmaps zur AI-Act-Konformität an. Bei kritischen Systemen, insbesondere im Hochrisiko-Bereich, sollten vertragliche Zusicherungen (z.B. zur Bereitstellung notwendiger Dokumentationen und Funktionen) eingeholt werden. Evaluieren Sie, ob ein Anbieterwechsel notwendig ist, falls ein Anbieter keine zufriedenstellenden Antworten liefert.

Phase 3 (Q2 2026 – Q3 2026): Implementierung & Anpassung

1. Technische Umsetzung: Implementieren Sie die notwendigen technischen Maßnahmen zur Erfüllung der Transparenzpflichten. Dies umfasst beispielsweise die Integration von Hinweistexten in Chatbot-Fenstern oder die automatische Kennzeichnung von KI-generierten Bildern und Texten.
2. Rechtliche Anpassungen: Überarbeiten Sie Ihre Datenschutzerklärung und gegebenenfalls Ihre Allgemeinen Geschäftsbedingungen (AGB), um transparent über den Einsatz von KI-Systemen, deren Zweck und die Funktionsweise zu informieren.
3. Schulung und Dokumentation: Führen Sie die geplanten Schulungen zur KI-Kompetenz für die relevanten Mitarbeiter durch. Dokumentieren Sie die Teilnahme und die Inhalte der Schulungen, um die Erfüllung von Art. 4 nachweisen zu können.
4. Prozesse etablieren: Falls Hochrisiko-Systeme eingesetzt werden, müssen die entsprechenden internen Prozesse für die menschliche Aufsicht, die Überwachung und die Meldung von Vorfällen etabliert und dokumentiert werden.

Die folgende Tabelle bietet eine chronologische Übersicht über die wichtigsten Stichtage und die daraus resultierenden Maßnahmen für Websitebetreiber.

Stichtag	Anwendbare Regelung (inkl. Artikel)	Betroffene KI-Systeme	Konkrete Maßnahmen für Websitebetreiber
2. Feb. 2025	Verbot inakzeptabler KI-Praktiken (Art. 5) & Pflicht zur KI-Kompetenz (Art. 4)	Alle KI-Systeme	Überprüfung des KI-Inventars auf verbotene Praktiken. Beginn der Planung und Durchführung von Mitarbeiterschulungen zur KI-Kompetenz.
2. Aug. 2025	Regeln für GPAI-Modelle (Kap. V) & Sanktionen (Kap. XII)	KI-Systeme, die auf GPAI basieren (z.B. Textgeneratoren)	Überprüfung der Anbieter von GPAI-basierten Tools auf Konformität. Finalisierung der internen Compliance-Strukturen.
2. Aug. 2026	Allgemeine Anwendbarkeit, insb. für Hochrisiko-Systeme (Anhang III) & Transparenzpflichten (Art. 50)	Hochrisiko-Systeme (z.B. Recruiting) & Systeme mit begrenztem Risiko (z.B. Chatbots, KI-Content)	Alle technischen und organisatorischen Maßnahmen müssen implementiert sein: Kennzeichnungen sind live, Prozesse für Hochrisiko-Systeme sind etabliert, rechtliche Dokumente sind angepasst.
2. Aug. 2027	Pflichten für bestimmte Hochrisiko-Systeme (Anhang I)	KI-Systeme, die Sicherheitskomponenten von regulierten Produkten sind.	Für die meisten reinen Websitebetreiber weniger relevant, aber bei Anbindung an physische Produkte (z.B. IoT) zu prüfen.

Durchsetzung und Sanktionen: Die finanziellen Risiken bei Nichteinhaltung

Der AI Act wird nicht zahnlos sein. Um die Einhaltung der Vorschriften sicherzustellen, sieht die Verordnung einen robusten Durchsetzungsmechanismus und empfindliche Bußgelder vor, die in ihrer Höhe teilweise sogar die der DSGVO übertreffen.

Die Bußgeldstruktur – eine ernstzunehmende Drohung

Die Verordnung etabliert eine gestaffelte Bußgeldstruktur, die die Schwere des Verstoßes widerspiegelt ⁷:

• Stufe 1 (Höchststrafe): Verstöße gegen das Verbot von KI-Praktiken mit inakzeptablem Risiko (Art. 5) können mit Geldbußen von bis zu 35 Millionen Euro oder, im Falle eines Unternehmens, bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist.
• Stufe 2: Die Nichteinhaltung der meisten anderen zentralen Verpflichtungen wird mit Geldbußen von bis zu 15 Millionen Euro oder bis zu 3 % des weltweiten Jahresumsatzes sanktioniert. Dies betrifft eine Vielzahl für Websitebetreiber relevanter Vorschriften, darunter die Pflichten für Anbieter und Betreiber von Hochrisiko-Systemen sowie die entscheidenden Transparenzpflichten nach Artikel 50.¹¹
• Stufe 3: Die Bereitstellung falscher, unvollständiger oder irreführender Informationen gegenüber den zuständigen Behörden kann mit Geldbußen von bis zu 7,5 Millionen Euro oder bis zu 1 % des weltweiten Jahresumsatzes geahndet werden.

Für kleine und mittlere Unternehmen (KMU) sowie Start-ups sehen die Regelungen eine gewisse Milderung vor: Bei ihnen wird der jeweils niedrigere Betrag (also der absolute Euro-Betrag oder der prozentuale Umsatzanteil) als Obergrenze angesetzt.¹¹

Durchsetzungsmechanismen

Die primäre Verantwortung für die Überwachung und Durchsetzung des AI Acts liegt bei den EU-Mitgliedstaaten. Jeder Mitgliedstaat muss hierfür zuständige nationale Marktüberwachungsbehörden benennen oder einrichten.²⁰ Diese Behörden werden mit Untersuchungs- und Abhilfebefugnissen ausgestattet, die es ihnen ermöglichen, die Konformität von KI-Systemen zu prüfen und bei Verstößen Maßnahmen zu ergreifen, die von der Aufforderung zur Herstellung der Konformität über die Marktrücknahme bis hin zur Verhängung von Bußgeldern reichen.

Auf europäischer Ebene wird ein neues Europäisches KI-Büro (AI Office) innerhalb der Europäischen Kommission eingerichtet. Dieses Gremium wird eine zentrale koordinierende Rolle spielen, Leitlinien entwickeln und die einheitliche Anwendung der Verordnung in der gesamten EU fördern. Eine besondere und exklusive Zuständigkeit hat das AI Office bei der Überwachung und Durchsetzung der Regeln für GPAI-Modelle.¹⁹

Die Höhe der verhängten Bußgelder ist zwar potenziell existenzbedrohend, ihre Festsetzung im Einzelfall unterliegt jedoch dem Ermessen der Behörden und dem Grundsatz der Verhältnismäßigkeit. Artikel 99 der Verordnung listet eine Reihe von Kriterien auf, die bei der Bemessung der Geldbuße zu berücksichtigen sind.¹¹ Dazu gehören unter anderem die Art, Schwere und Dauer des Verstoßes, ob er vorsätzlich oder fahrlässig begangen wurde, die Anzahl der betroffenen Personen, der Grad der Kooperation mit der Aufsichtsbehörde und alle Maßnahmen, die der Betreiber ergriffen hat, um den entstandenen Schaden zu mindern.

Dies bedeutet, dass ein rein reaktiver Ansatz zur Compliance riskant ist. Unternehmen, die hingegen proaktiv handeln, ein nachvollziehbares Compliance-Management-System aufbauen, ihre Entscheidungen (wie die Risikoklassifizierung) sorgfältig dokumentieren und im Falle eines Verstoßes transparent und kooperativ mit den Behörden zusammenarbeiten, können mit milderen Sanktionen rechnen. Die Dokumentation der durchgeführten KI-Inventur, der Risikobewertung, der Anbieterprüfungen und der Mitarbeiterschulungen wird im Ernstfall zu einem wertvollen Beweismittel, um einen “Good-Faith”-Ansatz und die gebotene Sorgfalt nachzuweisen.

Fazit und Ausblick

Der EU AI Act markiert einen Wendepunkt in der Regulierung digitaler Technologien. Für Websitebetreiber ist er keine ferne Zukunftsmusik, sondern eine konkrete unternehmerische Herausforderung, deren Vorbereitung umgehend beginnen muss. Die gestaffelten Fristen, insbesondere der zentrale Stichtag im August 2026, bieten ein Zeitfenster für eine strukturierte und überlegte Umsetzung.

Die zentralen Handlungsempfehlungen lassen sich wie folgt zusammenfassen:

1. Schaffen Sie Transparenz: Der erste und wichtigste Schritt ist die vollständige Erfassung und Inventarisierung aller KI-Systeme, die auf Ihrer Website und in Ihren Geschäftsprozessen zum Einsatz kommen. Ohne diese Grundlage ist eine Risikobewertung und damit eine zielgerichtete Compliance unmöglich.
2. Fokussieren Sie auf das Wesentliche: Konzentrieren Sie Ihre anfänglichen Bemühungen auf die universellen Pflichten, wie den Aufbau von KI-Kompetenz im Unternehmen, und auf die häufigsten Anwendungsfälle, die unter die Transparenzpflichten fallen, insbesondere Chatbots und KI-generierte Inhalte.
3. Betrachten Sie Anbieter als Partner in der Pflicht: Die Auswahl von KI-Anbietern ist fortan eine strategische Compliance-Entscheidung. Fordern Sie von Ihren Partnern klare Zusicherungen und Dokumentationen zur AI-Act-Konformität und verankern Sie diese im Vertrag.
4. Dokumentieren Sie Ihre Bemühungen: Ein sorgfältig dokumentierter Compliance-Prozess – von der ersten Inventur über die Risikobewertung bis hin zu den Mitarbeiterschulungen – ist der beste Schutz, um im Falle einer behördlichen Prüfung die gebotene Sorgfalt nachweisen zu können.

Der AI Act ist als ein “lebendes” Gesetz konzipiert. Die Europäische Kommission ist ermächtigt, die Liste der Hochrisiko-Anwendungen in Anhang III durch delegierte Rechtsakte zu aktualisieren, um auf technologische Entwicklungen zu reagieren.²³ Zudem werden in den kommenden Jahren Leitlinien des Europäischen KI-Büros und branchenspezifische Verhaltenskodizes entstehen, die viele der noch offenen Auslegungsfragen konkretisieren werden.⁴ Für Websitebetreiber bedeutet dies, dass die AI-Act-Compliance kein einmaliges Projekt ist, sondern einen kontinuierlichen Prozess der Beobachtung, Bewertung und Anpassung erfordert. Die Regulierung von künstlicher Intelligenz in Europa steht erst am Anfang. Unternehmen, die sich jetzt proaktiv und strategisch mit den Anforderungen auseinandersetzen, sichern sich nicht nur rechtlich ab, sondern schaffen auch Vertrauen bei ihren Kunden und legen den Grundstein für einen verantwortungsvollen und nachhaltigen Einsatz von KI.

Referenzen

1. EU AI-Act/KI-Verordnung – Universität Tübingen, Zugriff am September 19, 2025, https://uni-tuebingen.de/lehrende/generative-ki-in-lehre-und-forschung/eu-ai-actki-verordnung/
2. Risikoklassen laut KI Verordnung: So regelt der EU AI Act die Risiken Künstlicher Intelligenz, Zugriff am September 19, 2025, https://ai-compact.com/risikoklassen-laut-ki-verordnung
3. AI Act | Shaping Europe’s digital future – European Union, Zugriff am September 19, 2025, https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
4. KI-Gesetz: erste Regulierung der künstlichen Intelligenz | Themen | Europäisches Parlament, Zugriff am September 19, 2025, https://www.europarl.europa.eu/topics/de/article/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz
5. Die neue KI-Verordnung der EU: Was der AI Act für den Handel bedeutet – WKO, Zugriff am September 19, 2025, https://www.wko.at/oe/handeldigital/ki-verordnung-was-der-ai-act-fuer-den-handel-bedeutet
6. Der AI-Act ist da – diese Risikoklassen sollte man kennen – statworx, Zugriff am September 19, 2025, https://www.statworx.com/content-hub/blog/der-ai-act-kommt-diese-risikoklassen-sollte-man-kennen
7. AI Act bzw. KI-Verordnung (erklärt für Unternehmen) – activeMind.legal, Zugriff am September 19, 2025, https://www.activemind.legal/de/guides/ai-act/
8. AI-Act: Die EU reguliert künstliche Intelligenz (KI) – IHK Darmstadt, Zugriff am September 19, 2025, https://www.ihk.de/darmstadt/produktmarken/digitalisierung/ai-act-die-eu-reguliert-ki-6261116
9. KI-Verordnung: Hochrisiko-KI-Systemen – was gilt, was ist bis wann umzusetzen?, Zugriff am September 19, 2025, https://www.taylorwessing.com/de/insights-and-events/insights/2024/11/high-risk-ai-systems
10. KI-Gesetz | Gestaltung der digitalen Zukunft Europas, Zugriff am September 19, 2025, https://digital-strategy.ec.europa.eu/de/policies/regulatory-framework-ai
11. Artikel 99: Sanktionen | EU-Gesetz über künstliche Intelligenz – EU AI Act, Zugriff am September 19, 2025, https://artificialintelligenceact.eu/de/article/99/
12. Anwendungsbereiche der KI – Künstliche Intelligenz – Technische Hochschule Würzburg-Schweinfurt, Zugriff am September 19, 2025, https://ki.thws.de/thematik/anwendungsbereiche-der-ki/
13. KI im Alltag: 12 Praktische Anwendungen, die Sie kennen sollten – itPortal24, Zugriff am September 19, 2025, https://www.itportal24.de/ratgeber/ki-im-alltag
14. 12 Anwendungsfälle für generative KI im Marketing – Atelier GoLive GmbH, Zugriff am September 19, 2025, https://ateliergolive.ch/12-anwendungsfaelle-fuer-generative-ki-im-marketing/
15. Die besten KI-Tools: So nutzt du künstliche Intelligenz im Beruf | Accountable, Zugriff am September 19, 2025, https://www.accountable.de/blog/ki-tools/
16. 21 spannende KI-Tools für Beruf, Uni und Freizeit – ingenieur.de, Zugriff am September 19, 2025, https://www.ingenieur.de/technik/fachbereiche/kuenstliche-intelligenz/diese-ki-tools-lohnen-sich-wirklich/
17. Risikoklassifizierung nach der KI-Verordnung | HÄRTING Rechtsanwälte, Zugriff am September 19, 2025, https://haerting.de/wissen/risikoklassifizierung-nach-der-ki-verordnung/
18. EU AI Act: first regulation on artificial intelligence | Topics – European Parliament, Zugriff am September 19, 2025, https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence
19. The roadmap to the EU AI Act: a detailed guide – Alexander Thamm, Zugriff am September 19, 2025, https://www.alexanderthamm.com/en/blog/eu-ai-act-timeline/
20. EU AI Act: Das KI-Gesetz der Europäischen Union – Deloitte, Zugriff am September 19, 2025, https://www.deloitte.com/de/de/issues/innovation-ai/european-ai-act.html
21. EU AI Act – Updates, Compliance, Training, Zugriff am September 19, 2025, https://www.artificial-intelligence-act.com/
22. AI Act – Die KI-Verordnung der EU – WKO, Zugriff am September 19, 2025, https://www.wko.at/digitalisierung/ai-act-eu
23. Zeitplan für die Umsetzung | EU-Gesetz über künstliche Intelligenz – EU AI Act, Zugriff am September 19, 2025, https://artificialintelligenceact.eu/de/implementation-timeline/
24. EU AI Act Timeline: Key Dates For Compliance| Insights & Resources – Goodwin, Zugriff am September 19, 2025, https://www.goodwinlaw.com/en/insights/publications/2024/10/insights-technology-aiml-eu-ai-act-implementation-timeline
25. The EU AI Act: Oversight and Enforcement – Orrick, Zugriff am September 19, 2025, https://www.orrick.com/en/Insights/2024/09/The-EU-AI-Act-Oversight-and-Enforcement
26. Bußgelder nach der KI-Verordnung – Ein Fass ohne Boden?, Zugriff am September 19, 2025, https://www.taylorwessing.com/de/interface/2021/ai-act/fines-under-the-ai-act—a-bottomless-pit
27. Article 99: Penalties | EU Artificial Intelligence Act, Zugriff am September 19, 2025, https://artificialintelligenceact.eu/article/99/
28. Penalties of the EU AI Act: The High Cost of Non-Compliance – Holistic AI, Zugriff am September 19, 2025, https://www.holisticai.com/blog/penalties-of-the-eu-ai-act
29. Überblick über alle nationalen Umsetzungspläne zum KI-Gesetz – EU AI Act, Zugriff am September 19, 2025, https://artificialintelligenceact.eu/de/national-implementation-plans/