Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung und betrifft jedes Unternehmen, das KI-Systeme entwickelt, bereitstellt oder einsetzt – auch wenn Sie ein KI-Modell nur per API einbinden. Die Verordnung trat am 1. August 2024 in Kraft und wird seit Februar 2025 schrittweise anwendbar. EU-Kommission: Regulatory Framework for AI Am 2. August 2026 werden die zentralen Transparenzanforderungen (Art. 50) vollständig anwendbar. Die Pflichten für eigenständige Hochrisiko-KI-Systeme nach Anhang III (Art. 6 Abs. 2) sollten ursprünglich ebenfalls ab dem 2. August 2026 gelten – durch den Digital Omnibus der EU (vom Europäischen Parlament am 16. Juni 2026 angenommen, formelle Annahme durch den Rat und Veröffentlichung im Amtsblatt im Sommer 2026 erwartet) wird dieser Geltungsbeginn jedoch auf den 2. Dezember 2027 verschoben (in regulierte Produkte eingebettete Hochrisiko-Systeme nach Anhang I: 2. August 2028). Rat der EU: Council and Parliament agree to simplify and streamline AI rules Für SaaS-Unternehmen im DACH-Raum bedeutet das: Wer KI-Features in seiner Plattform hat – Chatbots, Empfehlungsalgorithmen, Content-Generierung – muss jetzt handeln.
Das Risikoklassifizierungssystem
Der AI Act ordnet KI-Systeme in vier Risikostufen ein – und die Pflichten steigen mit dem Risiko: EU AI Act: High-Level Summary
- Unannehmbares Risiko (verboten): Soziale Bewertungssysteme (Social Scoring), manipulative KI, biometrische Kategorisierung nach sensiblen Merkmalen – seit Februar 2025 verboten
- Hohes Risiko: KI in Kreditwürdigkeitsprüfung, Personalauswahl, kritischer Infrastruktur, Strafverfolgung – strenge Compliance-Pflichten ab dem 2. Dezember 2027 (per Digital Omnibus von ursprünglich 2. August 2026 verschoben)
- Begrenztes Risiko: KI-Systeme mit Manipulations- oder Täuschungspotential (Chatbots, Deepfakes) – Transparenzpflichten ab dem 2. August 2026
- Minimales Risiko: Spamfilter, KI-gestützte Spiele – keine spezifischen Pflichten
Provider vs. Deployer: Welche Rolle hat Ihr SaaS-Unternehmen?
Der AI Act unterscheidet zwischen Providern (Anbietern) und Deployern (Betreibern). Ihre Rolle bestimmt Ihre Pflichten: MinnaLearn: Deployer oder Provider unter dem AI Act?
Sie sind Provider, wenn Sie:
- Ein KI-System selbst entwickeln und unter eigenem Namen auf den Markt bringen
- Ein bestehendes KI-Modell wesentlich modifizieren (Finetuning, Zweckänderung, Integration in ein größeres System)
- Ein Third-Party-Modell unter eigenem Branding vertreiben
Sie sind Deployer, wenn Sie:
- Ein KI-System eines Drittanbieters in Ihre Plattform einbinden (z.B. OpenAI API, Claude API)
- Ein SaaS-Tool mit KI-Features nutzen, ohne das Modell selbst zu verändern
- KI-gestützte Empfehlungen oder Automatisierungen in Ihrem Produkt einsetzen
Deployer-Pflichten für Hochrisiko-Systeme (Art. 26)
Die Mehrheit der SaaS-Unternehmen im Mittelstand sind Deployer. Artikel 26 definiert ihre Pflichten präzise: EU AI Act: Artikel 26 – Deployer-Pflichten
- Nutzung gemäß Anweisungen: Hochrisiko-Systeme nur entsprechend der vom Provider bereitgestellten Gebrauchsanweisung einsetzen
- Menschliche Aufsicht: Natürliche Personen mit der nötigen Kompetenz, Ausbildung und Befugnis für die Überwachung einsetzen – die Aufsicht muss real sein, nicht nur formal
- Eingabedaten-Relevanz: Sicherstellen, dass die Eingabedaten für den Verwendungszweck relevant und hinreichend repräsentativ sind
- Überwachungspflicht: Den Betrieb des KI-Systems aktiv überwachen und bei erkannten Risiken sofort Provider und Behörden informieren
- Log-Aufbewahrung: Automatisch generierte Logs mindestens 6 Monate aufbewahren
- Informationspflicht: Personen, die von Entscheidungen eines Hochrisiko-KI-Systems betroffen sind, müssen darüber informiert werden
Grundrechte-Folgenabschätzung (Art. 27)
Deployer von Hochrisiko-KI-Systemen im öffentlichen Sektor – sowie private Unternehmen, die KI für Kreditwürdigkeitsprüfung oder Versicherungs-Risikoeinschätzung einsetzen – müssen vor der Inbetriebnahme eine Fundamental Rights Impact Assessment (FRIA) durchführen. EU AI Act: Artikel 27 – FRIA Diese umfasst:
- Beschreibung der Einsatzprozesse und des Verwendungszwecks
- Identifikation betroffener Personengruppen
- Bewertung spezifischer Schadensrisiken für Grundrechte
- Dokumentation der Human-Oversight-Maßnahmen
- Maßnahmenplan bei Risikorealisierung
- Meldepflicht: Ergebnisse der FRIA an die zuständige Marktüberwachungsbehörde
Transparenzpflichten für alle KI-Systeme (Art. 50)
Auch wenn Ihre KI kein Hochrisiko-System ist – die Transparenzpflichten nach Artikel 50 gelten ab dem 2. August 2026 für fast alle KI-Systeme und sind von der Verschiebung des Digital Omnibus nicht betroffen: EU AI Act: Artikel 50 – Transparenzpflichten
- Chatbots: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren – es sei denn, dies ist offensichtlich
- Synthetische Inhalte: KI-generierte Texte, Bilder, Audio und Video müssen maschinenlesbar als KI-generiert gekennzeichnet werden
- Deepfakes: Deployer müssen offenlegen, dass Inhalte künstlich erzeugt oder manipuliert wurden
- Emotionserkennung/Biometrische Kategorisierung: Betroffene Personen müssen über den Einsatz informiert werden
Die EU-Kommission hat im Dezember 2025 über das AI Office einen ersten Entwurf des Code of Practice zur Kennzeichnung KI-generierter Inhalte veröffentlicht. EU-Kommission: Code of Practice – AI-Generated Content
| Kriterium | Provider-Pflichten | Deployer-Pflichten |
|---|---|---|
| Konformitätsbewertung | Muss vor Markteinführung durchgeführt werden | Nicht erforderlich |
| Technische Dokumentation | Umfassend – Architektur, Daten, Tests | Nutzung gemäß Provider-Dokumentation |
| Qualitätsmanagementsystem | Pflicht | Nicht erforderlich |
| Menschliche Aufsicht | System muss Oversight ermöglichen | Oversight muss aktiv durchgeführt werden |
| Log-Aufbewahrung | System muss Logs generieren | Logs mind. 6 Monate aufbewahren |
| FRIA | Nicht erforderlich | Pflicht für bestimmte Sektoren |
| Transparenz (Art. 50) | System muss Kennzeichnung ermöglichen | Kennzeichnungspflicht gegenüber Nutzern |
Bußgelder: Abgestuft nach Schwere
Der AI Act sieht ein dreistufiges Bußgeldsystem vor: EU AI Act: Artikel 99 – Sanktionen
- Stufe 1 (verbotene KI): Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
- Stufe 2 (sonstige Verstöße): Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
- Stufe 3 (falsche Angaben): Bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes
Für KMU und Startups gilt eine Verhältnismäßigkeitsregel: Die Strafe ist auf den jeweils niedrigeren Betrag gedeckelt (Art. 99 Abs. 6 AI Act: „whichever thereof is lower"). Zur Illustration: Ein Startup mit 500.000 EUR Jahresumsatz riskiert bei einem Stufe-1-Verstoß maximal 35.000 EUR (eigene Rechnung: 7 % von 500.000 EUR) statt 35 Mio. EUR. EU AI Act Service Desk: Artikel 99 – Sanktionen
Vibe Coding und der AI Act: Ein doppeltes Risiko
Vibe-codierte Plattformen stehen vor einem doppelten Compliance-Problem – eine detaillierte Analyse der Risiken und des richtigen Umgangs mit KI-generiertem Code finden Sie in unserem Artikel Vibe Coding richtig gemacht: LegalNodes: EU AI Act 2026 – Compliance Requirements
- KI-generierter Code: Der Produktionscode selbst wurde von KI-Systemen geschrieben – ohne Dokumentation der KI-Beteiligung, Qualitätssicherung oder Conformity Assessment
- KI-Features im Produkt: Chatbots, Empfehlungsalgorithmen oder Content-Generierung, die über APIs eingebunden werden – oft ohne Transparenzkennzeichnung, Log-Aufbewahrung oder Human Oversight
Wenn ein Startup seine gesamte Plattform mit KI-Tools baut und KI-Features in das Produkt integriert, entsteht eine Compliance-Lücke, die weder automatisierte Tests noch Overlay-Lösungen schließen können. Die Dokumentationspflichten des AI Act verlangen eine nachvollziehbare Architektur – nicht nachträglich rekonstruierte Spezifikationen.
Wie AnvilStack KI-Compliance in SaaS-Plattformen einbaut
Wir setzen KI-Tools für schnelles Prototyping ein – aber jede KI-Integration wird von Engineers bewertet, dokumentiert und konform implementiert:
- Risikoklassifizierung: Systematische Bewertung jeder KI-Komponente nach dem Risikoklassifizierungssystem des AI Act – einschließlich DSGVO-konformer Auftragsverarbeiter-Prüfung für alle eingebundenen KI-APIs
- Transparenz by Design: Chatbot-Kennzeichnung, KI-Content-Markierung und Nutzerinformation als Architekturentscheidung
- Log-Infrastruktur: Automatische Log-Generierung und -Aufbewahrung für alle KI-Interaktionen auf Hetzner (DE)
- Human-Oversight-Architektur: Schnittstellen für menschliche Überprüfung, Korrektur und Eskalation – nicht als Checkbox, sondern als Workflow
- Dokumentation: Technische Dokumentation der KI-Komponenten, Datenflüsse und Entscheidungsprozesse – bereit für behördliche Prüfung. Unser Security-Hardening-Service implementiert die technischen Schutzmaßnahmen
- EU-souveräne Infrastruktur: Alle KI-Logs und Nutzerdaten auf Hetzner (Deutschland) – keine US-Jurisdiktion, keine CLOUD-Act-Exposition
Im kostenlosen Erstgespräch klären wir die AI-Act-Relevanz Ihrer SaaS-Plattform; die Analyse bewertet anschließend Risikoklassifizierung und Transparenzkennzeichnung. Für €6.000 pro Monat über 6 Monate (€36.000 gesamt) migrieren und härten wir Ihre Plattform vollständig: rechtzeitig für die Transparenzpflichten am 2. August 2026 und gut vorbereitet auf die Hochrisiko-Deadline am 2. Dezember 2027.
Häufig gestellte Fragen
Betrifft der EU AI Act mein SaaS-Unternehmen?
Bin ich Provider oder Deployer unter dem AI Act?
Welche Strafen drohen bei AI-Act-Verstößen?
Ab wann gelten die AI-Act-Pflichten?
Muss ich Chatbots auf meiner Plattform kennzeichnen?
Was bedeutet der AI Act für Vibe-Coded-Plattformen?
Quellen
- EU-Kommission: Regulatory Framework for AI
- EU AI Act: High-Level Summary
- EU AI Act: Artikel 26 – Deployer-Pflichten
- EU AI Act: Artikel 27 – FRIA
- EU AI Act: Artikel 50 – Transparenzpflichten
- EU AI Act: Artikel 99 – Sanktionen
- EU AI Act Service Desk: Artikel 99 – Sanktionen
- Rat der EU: Council and Parliament agree to simplify and streamline AI rules
- MinnaLearn: Deployer oder Provider unter dem AI Act?
- EyreACT: AI Provider unter dem EU AI Act
- GDPR Local: AI Risk Classification Guide
- Nemko: FRIA unter dem EU AI Act
- EU-Kommission: Code of Practice – AI-Generated Content
- LegalNodes: EU AI Act 2026 – Compliance Requirements
- AiActo: AI Act und KMU – Compliance bis 2026