TL;DR

Der EU AI Act gilt seit Februar 2025 und betrifft jedes Unternehmen, das KI-Systeme in der EU entwickelt, vertreibt oder einsetzt. Für Startups bedeutet das: Neue Compliance-Pflichten je nach Risikostufe, potenzielle Markteintrittsbarrieren – aber auch klare Wettbewerbsvorteile für Unternehmen, die frühzeitig regulierungskonform bauen. Für Investoren verschiebt sich die Due Diligence: AI-Compliance wird zur harten Bewertungsgröße.

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten. Er ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Die Verordnung verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen.

Die Umsetzung erfolgt schrittweise:

Meilenstein

Datum

Was passiert

Inkrafttreten

1. August 2024

Verordnung gilt formal

Verbotene Praktiken

2. Februar 2025

Bestimmte KI-Anwendungen sind verboten

GPAI-Regeln

2. August 2025

Pflichten für General-Purpose-AI-Modelle

Hochrisiko-Pflichten

2. August 2026

Volle Compliance-Pflichten für Hochrisiko-KI-Systeme

Vollständige Anwendung

2. August 2027

Alle Bestimmungen gelten uneingeschränkt

Die vier Risikokategorien

Der AI Act teilt KI-Systeme in vier Stufen ein:

1. Verbotene KI-Praktiken (unakzeptables Risiko)

Diese Systeme sind seit Februar 2025 in der EU verboten:

  • Social Scoring durch Behörden – Bewertung von Bürgern basierend auf Sozialverhalten
  • Biometrische Echtzeit-Überwachung im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
  • Manipulation durch unterschwellige Techniken – KI, die menschliches Verhalten unbewusst beeinflusst
  • Ausnutzung von Vulnerabilitäten – KI, die gezielt Schwächen bestimmter Gruppen ausnutzt
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

2. Hochrisiko-KI-Systeme

Die wichtigste Kategorie für Startups. Hier fallen Systeme hinein, die in sensiblen Bereichen eingesetzt werden:

  • Personalwesen: KI-gestützte Bewerberauswahl, Leistungsbewertung, automatisiertes Screening
  • Kreditwesen: Bonitätsbewertung, Kreditentscheidungen, Versicherungs-Scoring
  • Bildung: Automatisierte Prüfungsbewertung, Zulassungsentscheidungen
  • Kritische Infrastruktur: KI in Energienetzen, Wasserversorgung, Verkehrssteuerung
  • Medizinprodukte: KI-basierte Diagnostik, Behandlungsempfehlungen
  • Justiz und Migration: Risikobewertung in Strafverfahren, Asylverfahren

Pflichten für Hochrisiko-Anbieter:

  • Risikomanagementsystem einrichten und dokumentieren
  • Technische Dokumentation und Konformitätsbewertung
  • Daten-Governance: Qualitätsanforderungen an Trainingsdaten
  • Transparenzpflichten gegenüber Nutzern
  • Menschliche Aufsicht sicherstellen
  • Registrierung in der EU-Datenbank für Hochrisiko-KI

3. KI mit begrenztem Risiko (Transparenzpflichten)

Systeme, die mit Menschen interagieren, müssen offenlegen, dass sie KI-gesteuert sind:

  • Chatbots müssen als KI gekennzeichnet sein
  • Deepfakes müssen als künstlich erzeugt markiert werden
  • KI-generierte Texte in Medien müssen als solche erkennbar sein

4. Minimales Risiko

Die Mehrheit aller KI-Anwendungen fällt hierunter – keine spezifischen Pflichten:

  • Spamfilter, Empfehlungsalgorithmen, KI in Videospielen
  • Suchalgorithmen, Preisoptimierung, Bestandsmanagement
  • Die meisten SaaS-Produkte mit KI-Komponenten

General-Purpose AI: Sonderregeln für Foundation Models

Ab August 2025 gelten spezielle Regeln für Anbieter von General-Purpose-AI-Modellen (GPAI) – also Unternehmen, die Foundation Models entwickeln oder in der EU anbieten.

Basispflichten für alle GPAI-Anbieter:

  • Technische Dokumentation des Modells
  • Informationen für nachgelagerte Anbieter bereitstellen
  • Urheberrechts-Compliance und Transparenz über Trainingsdaten
  • Veröffentlichung einer Zusammenfassung der verwendeten Trainingsdaten

Zusätzliche Pflichten bei systemischem Risiko: Modelle mit besonders hoher Leistungsfähigkeit gelten als systemisch relevant:

  • Adversarial Testing und Red Teaming
  • Bewertung und Minderung systemischer Risiken
  • Meldepflicht bei schwerwiegenden Vorfällen
  • Cybersecurity-Anforderungen

Relevanz für deutsche Startups: Unternehmen wie Aleph Alpha, DeepL oder Helsing, die eigene Foundation Models entwickeln, müssen diese Anforderungen erfüllen. Startups, die bestehende Modelle per API nutzen, sind als Deployer weniger stark betroffen – es sei denn, sie setzen das Modell in einem Hochrisiko-Kontext ein.

Was bedeutet das konkret für Startups?

Startups mit Hochrisiko-KI

Wenn dein Produkt in eine der Hochrisiko-Kategorien fällt, musst du bis August 2026:

  • Ein dokumentiertes Risikomanagementsystem aufbauen
  • Technische Dokumentation erstellen und aktuell halten
  • Qualitätsstandards für Trainingsdaten nachweisen
  • Einen Konformitätsnachweis erbringen (teilweise durch Dritte)
  • Logs und Audit-Trails implementieren

Geschätzter Aufwand: Je nach Komplexität rechnen Branchenexperten mit 200.000 bis 400.000 EUR für die initiale Compliance-Herstellung bei einem typischen B2B-SaaS-Startup.

Startups mit Minimal- oder Transparenz-Risiko

Für die Mehrheit der KI-Startups ändert sich operativ wenig:

  • Chatbots und generative KI brauchen klare KI-Kennzeichnung
  • Deepfake-Tools brauchen Wasserzeichen-Systeme
  • Ansonsten: Freiwillige Verhaltenskodizes und Best Practices

Regulatory Sandboxes

Der AI Act verpflichtet jeden EU-Mitgliedstaat, mindestens eine Regulatory Sandbox einzurichten – kontrollierte Testumgebungen, in denen Startups KI-Systeme unter Aufsicht entwickeln und testen können.

In Deutschland: Die Bundesnetzagentur ist als nationale KI-Aufsichtsbehörde benannt. Erste Sandbox-Programme sind in Vorbereitung.

Was bedeutet das für Investoren?

Due Diligence erweitert sich

KI-Compliance wird zur Pflichtprüfung bei jeder VC-Due-Diligence:

Prüfpunkt

Frage

Risiko bei Nichterfüllung

Risikokategorie

In welche AI-Act-Kategorie fällt das Produkt?

Falsche Einordnung kann zu Compliance-Kosten oder Marktzugangsverlust führen

Datenbasis

Sind Trainingsdaten dokumentiert und rechtskonform beschafft?

Urheberrechtsklagen, DSGVO-Verstöße

Technische Dokumentation

Existiert eine Konformitätsdokumentation?

Verzögerte Markteinführung, regulatorische Blockade

Governance

Gibt es ein internes Risikomanagementsystem?

Bußgelder bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes

Neue Investmentchancen

Der AI Act schafft einen neuen Markt für Compliance-Infrastruktur:

  • AI Governance Plattformen – Tools für Risikomanagement, Dokumentation und Monitoring
  • Bias-Testing und Fairness-Tools – Automatisierte Prüfung von KI-Systemen auf Diskriminierung
  • Synthetische Daten – Datensätze, die Compliance-Anforderungen an Trainingsdaten vereinfachen
  • Erklärbare KI (XAI) – Technologien, die Black-Box-Modelle transparenter machen
  • Audit- und Zertifizierungsdienstleister – Unternehmen, die Konformitätsbewertungen durchführen

Bußgelder und Durchsetzung

Der AI Act sieht gestaffelte Bußgelder vor:

Verstoß

Maximales Bußgeld

Verbotene KI-Praktiken

35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes

Hochrisiko-Verstöße

15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes

Falsche Angaben an Behörden

7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes

Für KMU und Startups: Die Verordnung sieht verhältnismäßige Bußgelder vor. Bei Startups wird der niedrigere der beiden Werte angewendet.

Vergleich mit anderen Regulierungsrahmen

Aspekt

EU AI Act

USA

China

Ansatz

Horizontal, risikobasiert

Sektoral, fragmentiert

Nutzungsbasiert, zentral gesteuert

Verbote

Ja (Social Scoring, biometrische Überwachung)

Keine generellen Verbote

Inhaltliche Beschränkungen

Durchsetzung

Bußgelder bis 7 % Umsatz

Sektorale Aufsichtsbehörden

Staatliche Kontrolle

GPAI-Regeln

Ja, ab August 2025

Freiwillige Commitments

Registrierungspflicht

Sandbox

Pflicht für jeden Mitgliedstaat

Vereinzelt

Ja, in mehreren Städten

Handlungsempfehlungen für Gründer

  1. Risikokategorie bestimmen – Prüfe ehrlich, ob dein Produkt in die Hochrisiko-Kategorie fällt.
  2. Compliance-Roadmap erstellen – Nicht warten bis August 2026. Frühzeitig mit technischer Dokumentation beginnen.
  3. Compliance als Feature positionieren – Enterprise-Kunden werden AI-Act-Konformität als Einkaufskriterium nutzen.
  4. Regulatory Sandbox nutzen – Informiere dich bei der Bundesnetzagentur über Testumgebungen.
  5. Budget einplanen – 200.000–400.000 EUR initiale Kosten realistisch einplanen.
  6. Rechtsberatung frühzeitig einbinden – Der AI Act ist komplex und die Auslegung entwickelt sich noch.

Handlungsempfehlungen für Investoren

  1. AI-Act-Screening in die Due Diligence integrieren – Risikokategorie, Compliance-Status und Roadmap systematisch prüfen.
  2. RegTech als Investmentthese prüfen – Der Markt für AI-Governance-Tools wird signifikant wachsen.
  3. Compliance-Readiness als Differenzierungsmerkmal erkennen – Startups, die frühzeitig compliant sind, haben einen strukturellen Vorteil.
  4. Timing beachten – Die wichtigsten Fristen liegen in 2025 und 2026. Portfolio-Unternehmen jetzt prüfen.

Fazit

Der EU AI Act ist kein Innovationskiller – er ist ein Regulierungsrahmen, der Klarheit schafft. Für die Mehrheit deutscher KI-Startups ändert sich operativ wenig. Für Unternehmen in Hochrisiko-Bereichen ist der Compliance-Aufwand real, aber beherrschbar. Und für den gesamten Markt entsteht ein neues Segment: AI Governance und Compliance-Infrastruktur.

Wer frühzeitig handelt, baut einen Wettbewerbsvorteil auf. Wer wartet, riskiert Marktzugangsverlust und regulatorische Kosten unter Zeitdruck. Die kluge Strategie liegt – wie so oft in regulierten Märkten – in der proaktiven Umsetzung.