Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung und betrifft jedes Unternehmen, das KI-Systeme entwickelt, bereitstellt oder einsetzt — auch wenn Sie ein KI-Modell nur per API einbinden. Die Verordnung trat am 1. August 2024 in Kraft und wird seit Februar 2025 schrittweise anwendbar. EU-Kommission: Regulatory Framework for AI Am 2. August 2026 werden die Pflichten für Hochrisiko-KI-Systeme und die zentralen Transparenzanforderungen vollständig anwendbar. Für SaaS-Unternehmen im DACH-Raum bedeutet das: Wer KI-Features in seiner Plattform hat — Chatbots, Empfehlungsalgorithmen, Content-Generierung — muss jetzt handeln.
Das Risikoklassifizierungssystem
Der AI Act ordnet KI-Systeme in vier Risikostufen ein — und die Pflichten steigen mit dem Risiko: EU AI Act: High-Level Summary
- Unannehmbares Risiko (verboten): Soziale Bewertungssysteme (Social Scoring), manipulative KI, biometrische Kategorisierung nach sensiblen Merkmalen — seit Februar 2025 verboten
- Hohes Risiko: KI in Kreditwürdigkeitsprüfung, Personalauswahl, kritischer Infrastruktur, Strafverfolgung — strenge Compliance-Pflichten ab August 2026
- Begrenztes Risiko: KI-Systeme mit Manipulations- oder Täuschungspotential (Chatbots, Deepfakes) — Transparenzpflichten ab August 2026
- Minimales Risiko: Spamfilter, KI-gestützte Spiele — keine spezifischen Pflichten
Provider vs. Deployer: Welche Rolle hat Ihr SaaS-Unternehmen?
Der AI Act unterscheidet zwischen Providern (Anbietern) und Deployern (Betreibern). Ihre Rolle bestimmt Ihre Pflichten: MinnaLearn: Deployer oder Provider unter dem AI Act?
Sie sind Provider, wenn Sie:
- Ein KI-System selbst entwickeln und unter eigenem Namen auf den Markt bringen
- Ein bestehendes KI-Modell wesentlich modifizieren (Finetuning, Zweckänderung, Integration in ein größeres System)
- Ein Third-Party-Modell unter eigenem Branding vertreiben
Sie sind Deployer, wenn Sie:
- Ein KI-System eines Drittanbieters in Ihre Plattform einbinden (z.B. OpenAI API, Claude API)
- Ein SaaS-Tool mit KI-Features nutzen, ohne das Modell selbst zu verändern
- KI-gestützte Empfehlungen oder Automatisierungen in Ihrem Produkt einsetzen
Deployer-Pflichten für Hochrisiko-Systeme (Art. 26)
Die Mehrheit der SaaS-Unternehmen im Mittelstand sind Deployer. Artikel 26 definiert ihre Pflichten präzise: EU AI Act: Artikel 26 — Deployer-Pflichten
- Nutzung gemäß Anweisungen: Hochrisiko-Systeme nur entsprechend der vom Provider bereitgestellten Gebrauchsanweisung einsetzen
- Menschliche Aufsicht: Natürliche Personen mit der nötigen Kompetenz, Ausbildung und Befugnis für die Überwachung einsetzen — die Aufsicht muss real sein, nicht nur formal
- Eingabedaten-Relevanz: Sicherstellen, dass die Eingabedaten für den Verwendungszweck relevant und hinreichend repräsentativ sind
- Überwachungspflicht: Den Betrieb des KI-Systems aktiv überwachen und bei erkannten Risiken sofort Provider und Behörden informieren
- Log-Aufbewahrung: Automatisch generierte Logs mindestens 6 Monate aufbewahren
- Informationspflicht: Personen, die von Entscheidungen eines Hochrisiko-KI-Systems betroffen sind, müssen darüber informiert werden
Grundrechte-Folgenabschätzung (Art. 27)
Deployer von Hochrisiko-KI-Systemen im öffentlichen Sektor — sowie private Unternehmen, die KI für Kreditwürdigkeitsprüfung oder Versicherungs-Risikoeinschätzung einsetzen — müssen vor der Inbetriebnahme eine Fundamental Rights Impact Assessment (FRIA) durchführen. EU AI Act: Artikel 27 — FRIA Diese umfasst:
- Beschreibung der Einsatzprozesse und des Verwendungszwecks
- Identifikation betroffener Personengruppen
- Bewertung spezifischer Schadensrisiken für Grundrechte
- Dokumentation der Human-Oversight-Maßnahmen
- Maßnahmenplan bei Risikorealisierung
- Meldepflicht: Ergebnisse der FRIA an die zuständige Marktüberwachungsbehörde
Transparenzpflichten für alle KI-Systeme (Art. 50)
Auch wenn Ihre KI kein Hochrisiko-System ist — die Transparenzpflichten nach Artikel 50 gelten ab August 2026 für fast alle KI-Systeme: EU AI Act: Artikel 50 — Transparenzpflichten
- Chatbots: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren — es sei denn, dies ist offensichtlich
- Synthetische Inhalte: KI-generierte Texte, Bilder, Audio und Video müssen maschinenlesbar als KI-generiert gekennzeichnet werden
- Deepfakes: Deployer müssen offenlegen, dass Inhalte künstlich erzeugt oder manipuliert wurden
- Emotionserkennung/Biometrische Kategorisierung: Betroffene Personen müssen über den Einsatz informiert werden
Die EU-Kommission hat im Dezember 2025 über das AI Office einen ersten Entwurf des Code of Practice zur Kennzeichnung KI-generierter Inhalte veröffentlicht. EU-Kommission: Code of Practice — AI-Generated Content
| Kriterium | Provider-Pflichten | Deployer-Pflichten |
|---|---|---|
| Konformitätsbewertung | Muss vor Markteinführung durchgeführt werden | Nicht erforderlich |
| Technische Dokumentation | Umfassend — Architektur, Daten, Tests | Nutzung gemäß Provider-Dokumentation |
| Qualitätsmanagementsystem | Pflicht | Nicht erforderlich |
| Menschliche Aufsicht | System muss Oversight ermöglichen | Oversight muss aktiv durchgeführt werden |
| Log-Aufbewahrung | System muss Logs generieren | Logs mind. 6 Monate aufbewahren |
| FRIA | Nicht erforderlich | Pflicht für bestimmte Sektoren |
| Transparenz (Art. 50) | System muss Kennzeichnung ermöglichen | Kennzeichnungspflicht gegenüber Nutzern |
Bußgelder: Abgestuft nach Schwere
Der AI Act sieht ein dreistufiges Bußgeldsystem vor: EU AI Act: Artikel 99 — Sanktionen
- Stufe 1 (verbotene KI): Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
- Stufe 2 (sonstige Verstöße): Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
- Stufe 3 (falsche Angaben): Bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes
Für KMU und Startups gilt eine Verhältnismäßigkeitsregel: Die Strafe ist auf den jeweils niedrigeren Betrag gedeckelt. Ein Startup mit 500.000 EUR Jahresumsatz riskiert bei einem Stufe-1-Verstoß maximal 35.000 EUR (7 % von 500.000 EUR) statt 35 Mio. EUR. ComplianceRadar: EU AI Act Fines Explained 2026
Vibe Coding und der AI Act: Ein doppeltes Risiko
Vibe-codierte Plattformen stehen vor einem doppelten Compliance-Problem — eine detaillierte Analyse der Risiken und des richtigen Umgangs mit KI-generiertem Code finden Sie in unserem Artikel Vibe Coding richtig gemacht: LegalNodes: EU AI Act 2026 — Compliance Requirements
- KI-generierter Code: Der Produktionscode selbst wurde von KI-Systemen geschrieben — ohne Dokumentation der KI-Beteiligung, Qualitätssicherung oder Conformity Assessment
- KI-Features im Produkt: Chatbots, Empfehlungsalgorithmen oder Content-Generierung, die über APIs eingebunden werden — oft ohne Transparenzkennzeichnung, Log-Aufbewahrung oder Human Oversight
Wenn ein Startup seine gesamte Plattform mit KI-Tools baut und KI-Features in das Produkt integriert, entsteht eine Compliance-Lücke, die weder automatisierte Tests noch Overlay-Lösungen schließen können. Die Dokumentationspflichten des AI Act verlangen eine nachvollziehbare Architektur — nicht nachträglich rekonstruierte Spezifikationen.
Wie AnvilStack KI-Compliance in SaaS-Plattformen einbaut
Wir setzen KI-Tools für schnelles Prototyping ein — aber jede KI-Integration wird von Engineers bewertet, dokumentiert und konform implementiert:
- Risikoklassifizierung: Systematische Bewertung jeder KI-Komponente nach dem Risikoklassifizierungssystem des AI Act — einschließlich DSGVO-konformer Auftragsverarbeiter-Prüfung für alle eingebundenen KI-APIs
- Transparenz by Design: Chatbot-Kennzeichnung, KI-Content-Markierung und Nutzerinformation als Architekturentscheidung
- Log-Infrastruktur: Automatische Log-Generierung und -Aufbewahrung für alle KI-Interaktionen auf Hetzner (DE)
- Human-Oversight-Architektur: Schnittstellen für menschliche Überprüfung, Korrektur und Eskalation — nicht als Checkbox, sondern als Workflow
- Dokumentation: Technische Dokumentation der KI-Komponenten, Datenflüsse und Entscheidungsprozesse — bereit für behördliche Prüfung. Unser Security-Hardening-Service implementiert die technischen Schutzmaßnahmen
- EU-souveräne Infrastruktur: Alle KI-Logs und Nutzerdaten auf Hetzner (Deutschland) — keine US-Jurisdiktion, keine CLOUD-Act-Exposition
In einem kostenlosen Erstgespräch bewerten wir Ihre SaaS-Plattform auf AI-Act-Relevanz — von der Risikoklassifizierung bis zur Transparenzkennzeichnung. Ab €5.000+ migrieren und härten wir Ihre Plattform für die Deadline am 2. August 2026.
Quellen
- EU-Kommission: Regulatory Framework for AI
- EU AI Act: High-Level Summary
- EU AI Act: Artikel 26 — Deployer-Pflichten
- EU AI Act: Artikel 27 — FRIA
- EU AI Act: Artikel 50 — Transparenzpflichten
- EU AI Act: Artikel 99 — Sanktionen
- MinnaLearn: Deployer oder Provider unter dem AI Act?
- EyreACT: AI Provider unter dem EU AI Act
- GDPR Local: AI Risk Classification Guide
- Nemko: FRIA unter dem EU AI Act
- EU-Kommission: Code of Practice — AI-Generated Content
- ComplianceRadar: EU AI Act Fines Explained 2026
- LegalNodes: EU AI Act 2026 — Compliance Requirements
- AiActo: AI Act und KMU — Compliance bis 2026