Zum Inhalt springen
Compliance

EU AI Act für SaaS

AI-Act-Pflichten für SaaS-Deployer und -Anbieter. Transparenzpflichten ab 2. August 2026; Hochrisiko-Deadline per Digital Omnibus auf 2. Dezember 2027 verschoben.

Zuletzt aktualisiert: 2026-06-23

Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende KI-Regulierung und betrifft jedes Unternehmen, das KI-Systeme entwickelt, bereitstellt oder einsetzt – auch wenn Sie ein KI-Modell nur per API einbinden. Die Verordnung trat am 1. August 2024 in Kraft und wird seit Februar 2025 schrittweise anwendbar. EU-Kommission: Regulatory Framework for AI Am 2. August 2026 werden die zentralen Transparenzanforderungen (Art. 50) vollständig anwendbar. Die Pflichten für eigenständige Hochrisiko-KI-Systeme nach Anhang III (Art. 6 Abs. 2) sollten ursprünglich ebenfalls ab dem 2. August 2026 gelten – durch den Digital Omnibus der EU (vom Europäischen Parlament am 16. Juni 2026 angenommen, formelle Annahme durch den Rat und Veröffentlichung im Amtsblatt im Sommer 2026 erwartet) wird dieser Geltungsbeginn jedoch auf den 2. Dezember 2027 verschoben (in regulierte Produkte eingebettete Hochrisiko-Systeme nach Anhang I: 2. August 2028). Rat der EU: Council and Parliament agree to simplify and streamline AI rules Für SaaS-Unternehmen im DACH-Raum bedeutet das: Wer KI-Features in seiner Plattform hat – Chatbots, Empfehlungsalgorithmen, Content-Generierung – muss jetzt handeln.

Das Risikoklassifizierungssystem

Der AI Act ordnet KI-Systeme in vier Risikostufen ein – und die Pflichten steigen mit dem Risiko: EU AI Act: High-Level Summary

  • Unannehmbares Risiko (verboten): Soziale Bewertungssysteme (Social Scoring), manipulative KI, biometrische Kategorisierung nach sensiblen Merkmalen – seit Februar 2025 verboten
  • Hohes Risiko: KI in Kreditwürdigkeitsprüfung, Personalauswahl, kritischer Infrastruktur, Strafverfolgung – strenge Compliance-Pflichten ab dem 2. Dezember 2027 (per Digital Omnibus von ursprünglich 2. August 2026 verschoben)
  • Begrenztes Risiko: KI-Systeme mit Manipulations- oder Täuschungspotential (Chatbots, Deepfakes) – Transparenzpflichten ab dem 2. August 2026
  • Minimales Risiko: Spamfilter, KI-gestützte Spiele – keine spezifischen Pflichten
GDPR Local: AI Risk Classification Guide
35 Mio.€
oder 7% des Umsatzes – Höchststrafe für verbotene KI-Praktiken
15 Mio.€
oder 3% des Umsatzes – Höchststrafe für Transparenzverstöße
2. Aug.
2026 – Deadline für Transparenzpflichten (Art. 50)
2. Dez.
2027 – verschobene Deadline für Hochrisiko-Pflichten (Digital Omnibus)
6 Monate
Mindestaufbewahrungspflicht für automatisch generierte Logs

Provider vs. Deployer: Welche Rolle hat Ihr SaaS-Unternehmen?

Der AI Act unterscheidet zwischen Providern (Anbietern) und Deployern (Betreibern). Ihre Rolle bestimmt Ihre Pflichten: MinnaLearn: Deployer oder Provider unter dem AI Act?

Sie sind Provider, wenn Sie:

  • Ein KI-System selbst entwickeln und unter eigenem Namen auf den Markt bringen
  • Ein bestehendes KI-Modell wesentlich modifizieren (Finetuning, Zweckänderung, Integration in ein größeres System)
  • Ein Third-Party-Modell unter eigenem Branding vertreiben

Sie sind Deployer, wenn Sie:

  • Ein KI-System eines Drittanbieters in Ihre Plattform einbinden (z.B. OpenAI API, Claude API)
  • Ein SaaS-Tool mit KI-Features nutzen, ohne das Modell selbst zu verändern
  • KI-gestützte Empfehlungen oder Automatisierungen in Ihrem Produkt einsetzen
EyreACT: AI Provider unter dem EU AI Act

Deployer-Pflichten für Hochrisiko-Systeme (Art. 26)

Die Mehrheit der SaaS-Unternehmen im Mittelstand sind Deployer. Artikel 26 definiert ihre Pflichten präzise: EU AI Act: Artikel 26 – Deployer-Pflichten

  • Nutzung gemäß Anweisungen: Hochrisiko-Systeme nur entsprechend der vom Provider bereitgestellten Gebrauchsanweisung einsetzen
  • Menschliche Aufsicht: Natürliche Personen mit der nötigen Kompetenz, Ausbildung und Befugnis für die Überwachung einsetzen – die Aufsicht muss real sein, nicht nur formal
  • Eingabedaten-Relevanz: Sicherstellen, dass die Eingabedaten für den Verwendungszweck relevant und hinreichend repräsentativ sind
  • Überwachungspflicht: Den Betrieb des KI-Systems aktiv überwachen und bei erkannten Risiken sofort Provider und Behörden informieren
  • Log-Aufbewahrung: Automatisch generierte Logs mindestens 6 Monate aufbewahren
  • Informationspflicht: Personen, die von Entscheidungen eines Hochrisiko-KI-Systems betroffen sind, müssen darüber informiert werden

Grundrechte-Folgenabschätzung (Art. 27)

Deployer von Hochrisiko-KI-Systemen im öffentlichen Sektor – sowie private Unternehmen, die KI für Kreditwürdigkeitsprüfung oder Versicherungs-Risikoeinschätzung einsetzen – müssen vor der Inbetriebnahme eine Fundamental Rights Impact Assessment (FRIA) durchführen. EU AI Act: Artikel 27 – FRIA Diese umfasst:

  • Beschreibung der Einsatzprozesse und des Verwendungszwecks
  • Identifikation betroffener Personengruppen
  • Bewertung spezifischer Schadensrisiken für Grundrechte
  • Dokumentation der Human-Oversight-Maßnahmen
  • Maßnahmenplan bei Risikorealisierung
  • Meldepflicht: Ergebnisse der FRIA an die zuständige Marktüberwachungsbehörde
Nemko: FRIA unter dem EU AI Act

Transparenzpflichten für alle KI-Systeme (Art. 50)

Auch wenn Ihre KI kein Hochrisiko-System ist – die Transparenzpflichten nach Artikel 50 gelten ab dem 2. August 2026 für fast alle KI-Systeme und sind von der Verschiebung des Digital Omnibus nicht betroffen: EU AI Act: Artikel 50 – Transparenzpflichten

  • Chatbots: Nutzer müssen erkennen können, dass sie mit einem KI-System interagieren – es sei denn, dies ist offensichtlich
  • Synthetische Inhalte: KI-generierte Texte, Bilder, Audio und Video müssen maschinenlesbar als KI-generiert gekennzeichnet werden
  • Deepfakes: Deployer müssen offenlegen, dass Inhalte künstlich erzeugt oder manipuliert wurden
  • Emotionserkennung/Biometrische Kategorisierung: Betroffene Personen müssen über den Einsatz informiert werden

Die EU-Kommission hat im Dezember 2025 über das AI Office einen ersten Entwurf des Code of Practice zur Kennzeichnung KI-generierter Inhalte veröffentlicht. EU-Kommission: Code of Practice – AI-Generated Content

KriteriumProvider-PflichtenDeployer-Pflichten
KonformitätsbewertungMuss vor Markteinführung durchgeführt werdenNicht erforderlich
Technische DokumentationUmfassend – Architektur, Daten, TestsNutzung gemäß Provider-Dokumentation
QualitätsmanagementsystemPflichtNicht erforderlich
Menschliche AufsichtSystem muss Oversight ermöglichenOversight muss aktiv durchgeführt werden
Log-AufbewahrungSystem muss Logs generierenLogs mind. 6 Monate aufbewahren
FRIANicht erforderlichPflicht für bestimmte Sektoren
Transparenz (Art. 50)System muss Kennzeichnung ermöglichenKennzeichnungspflicht gegenüber Nutzern

Bußgelder: Abgestuft nach Schwere

Der AI Act sieht ein dreistufiges Bußgeldsystem vor: EU AI Act: Artikel 99 – Sanktionen

  • Stufe 1 (verbotene KI): Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
  • Stufe 2 (sonstige Verstöße): Bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
  • Stufe 3 (falsche Angaben): Bis zu 7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes

Für KMU und Startups gilt eine Verhältnismäßigkeitsregel: Die Strafe ist auf den jeweils niedrigeren Betrag gedeckelt (Art. 99 Abs. 6 AI Act: „whichever thereof is lower"). Zur Illustration: Ein Startup mit 500.000 EUR Jahresumsatz riskiert bei einem Stufe-1-Verstoß maximal 35.000 EUR (eigene Rechnung: 7 % von 500.000 EUR) statt 35 Mio. EUR. EU AI Act Service Desk: Artikel 99 – Sanktionen

Vibe Coding und der AI Act: Ein doppeltes Risiko

Vibe-codierte Plattformen stehen vor einem doppelten Compliance-Problem – eine detaillierte Analyse der Risiken und des richtigen Umgangs mit KI-generiertem Code finden Sie in unserem Artikel Vibe Coding richtig gemacht: LegalNodes: EU AI Act 2026 – Compliance Requirements

  1. KI-generierter Code: Der Produktionscode selbst wurde von KI-Systemen geschrieben – ohne Dokumentation der KI-Beteiligung, Qualitätssicherung oder Conformity Assessment
  2. KI-Features im Produkt: Chatbots, Empfehlungsalgorithmen oder Content-Generierung, die über APIs eingebunden werden – oft ohne Transparenzkennzeichnung, Log-Aufbewahrung oder Human Oversight

Wenn ein Startup seine gesamte Plattform mit KI-Tools baut und KI-Features in das Produkt integriert, entsteht eine Compliance-Lücke, die weder automatisierte Tests noch Overlay-Lösungen schließen können. Die Dokumentationspflichten des AI Act verlangen eine nachvollziehbare Architektur – nicht nachträglich rekonstruierte Spezifikationen.

Wie AnvilStack KI-Compliance in SaaS-Plattformen einbaut

Wir setzen KI-Tools für schnelles Prototyping ein – aber jede KI-Integration wird von Engineers bewertet, dokumentiert und konform implementiert:

  • Risikoklassifizierung: Systematische Bewertung jeder KI-Komponente nach dem Risikoklassifizierungssystem des AI Act – einschließlich DSGVO-konformer Auftragsverarbeiter-Prüfung für alle eingebundenen KI-APIs
  • Transparenz by Design: Chatbot-Kennzeichnung, KI-Content-Markierung und Nutzerinformation als Architekturentscheidung
  • Log-Infrastruktur: Automatische Log-Generierung und -Aufbewahrung für alle KI-Interaktionen auf Hetzner (DE)
  • Human-Oversight-Architektur: Schnittstellen für menschliche Überprüfung, Korrektur und Eskalation – nicht als Checkbox, sondern als Workflow
  • Dokumentation: Technische Dokumentation der KI-Komponenten, Datenflüsse und Entscheidungsprozesse – bereit für behördliche Prüfung. Unser Security-Hardening-Service implementiert die technischen Schutzmaßnahmen
  • EU-souveräne Infrastruktur: Alle KI-Logs und Nutzerdaten auf Hetzner (Deutschland) – keine US-Jurisdiktion, keine CLOUD-Act-Exposition

Im kostenlosen Erstgespräch klären wir die AI-Act-Relevanz Ihrer SaaS-Plattform; die Analyse bewertet anschließend Risikoklassifizierung und Transparenzkennzeichnung. Für €6.000 pro Monat über 6 Monate (€36.000 gesamt) migrieren und härten wir Ihre Plattform vollständig: rechtzeitig für die Transparenzpflichten am 2. August 2026 und gut vorbereitet auf die Hochrisiko-Deadline am 2. Dezember 2027.

Häufig gestellte Fragen

Betrifft der EU AI Act mein SaaS-Unternehmen?
Wenn Sie KI-Systeme entwickeln, bereitstellen oder einsetzen – auch nur per API-Einbindung (z.B. OpenAI, Claude) – betrifft Sie der AI Act. Chatbots, Empfehlungsalgorithmen und Content-Generierung in Ihrer Plattform lösen mindestens Transparenzpflichten aus.
Bin ich Provider oder Deployer unter dem AI Act?
Sie sind Deployer, wenn Sie ein KI-System eines Drittanbieters einbinden, ohne es wesentlich zu verändern. Sie werden zum Provider, wenn Sie ein Modell durch Finetuning, eigene Trainingsdaten oder Zweckänderung wesentlich modifizieren (Art. 25 AI Act) – dann gelten alle Provider-Pflichten.
Welche Strafen drohen bei AI-Act-Verstößen?
Bis zu €35 Mio. oder 7% des Umsatzes für verbotene KI-Praktiken, €15 Mio. oder 3% für sonstige Verstöße, €7,5 Mio. oder 1% für falsche Angaben. Für KMU und Startups gilt eine Verhältnismäßigkeitsregel: Die Strafe ist auf den jeweils niedrigeren Betrag gedeckelt.
Ab wann gelten die AI-Act-Pflichten?
Seit Februar 2025 gelten die Verbote unannehmbarer KI-Praktiken und die KI-Kompetenzpflicht. Seit August 2025 gelten die GPAI-Regeln. Am 2. August 2026 greifen die Transparenzpflichten nach Art. 50. Die Pflichten für eigenständige Hochrisiko-Systeme nach Anhang III (ursprünglich ebenfalls 2. August 2026) werden durch den Digital Omnibus der EU auf den 2. Dezember 2027 verschoben (in Produkte eingebettete Hochrisiko-Systeme nach Anhang I: 2. August 2028).
Muss ich Chatbots auf meiner Plattform kennzeichnen?
Ja. Ab dem 2. August 2026 müssen Nutzer erkennen können, dass sie mit einem KI-System interagieren – die Transparenzpflichten nach Art. 50 bleiben auf diesem Datum. Auch KI-generierte Texte, Bilder und Videos müssen maschinenlesbar als KI-generiert gekennzeichnet werden.
Was bedeutet der AI Act für Vibe-Coded-Plattformen?
Ein doppeltes Compliance-Problem: Der Produktionscode wurde von KI geschrieben (ohne Dokumentation), und KI-Features im Produkt werden ohne Transparenzkennzeichnung, Log-Aufbewahrung oder Human Oversight betrieben. Beides muss adressiert werden – die Transparenzpflichten ab dem 2. August 2026, die Hochrisiko-Pflichten bis zum verschobenen Stichtag 2. Dezember 2027.

Quellen

Bereit loszulegen?

Buchen Sie ein kostenloses Erstgespräch. Wir hören zu und sagen Ihnen ehrlich, was Ihr Projekt braucht.