IT & Tech

EU AI Act in der Praxis — Compliance-Checkliste für SaaS-Unternehmen 2026

Die Verordnung (EU) 2024/1689 — bekannt als EU AI Act — trat am 1. August 2024 in Kraft und führt […]

Die Verordnung (EU) 2024/1689 — bekannt als EU AI Act — trat am 1. August 2024 in Kraft und führt eine gestufte Regulierung von KI-Systemen je nach Risikoniveau ein. Für SaaS-Unternehmen, die KI-Funktionen integrieren oder entwickeln, stellt sich nicht die Frage, ob Verpflichtungen entstehen, sondern welche konkret und ab wann. Dieser Text hat informativen Charakter und ersetzt keine individuelle Rechtsberatung.

Risikoklassifizierung: vier Stufen

Der AI Act unterteilt KI-Systeme in vier Kategorien:

Unannehmbares Risiko — verbotene Systeme (Verbote gelten ab dem 2. Februar 2025): – Kognitive Manipulation von Nutzern, die den freien Willen umgeht – Massenhafte biometrische Überwachung im öffentlichen Raum (mit engen Ausnahmen für Sicherheitsbehörden) – Social Scoring durch staatliche Behörden – KI, die Schwachstellen ausnutzt (Alter, Behinderung)

Hohes Risiko — strenge Anforderungen (Anwendung ab August 2026 für neue Systeme): – Systeme im Bereich Beschäftigung (Lebenslaufauswahl, Bewertung der Arbeitsleistung) – Kritische Infrastruktur (Energie, Wasserversorgung) – Bildung und Berufsausbildung – Zugang zu öffentlichen Diensten und Leistungen – Migration, Asyl und Grenzkontrolle – Strafverfolgung

Begrenztes Risiko — Transparenzpflichten: – Chatbots müssen Nutzer darüber informieren, dass sie mit einer KI kommunizieren – Deep-Fake-Inhalte müssen gekennzeichnet werden – KI-generierte Texte, die in großem Maßstab verbreitet werden

Minimales Risiko — keine besonderen Pflichten nach dem AI Act (Spamfilter, Empfehlungssysteme ohne hohes Risiko).

Was der AI Act von Anbietern mit hohem Risiko verlangt

Fällt Ihr SaaS-System unter „hohes Risiko”, sind die Verpflichtungen substanziell:

1. Risikomanagementsystem (Artikel 9) — Kontinuierlicher Prozess zur Identifizierung, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus des Systems.

2. Datenverwaltung (Artikel 10) — Trainings- und Testdatensätze müssen relevant, repräsentativ und frei von Fehlern sein, die zu Diskriminierung führen könnten.

3. Technische Dokumentation (Artikel 11 + Anhang IV) — Detaillierte Beschreibung des Systems: Zweck, Architektur, Datenflüsse, Leistungsmetriken, Einschränkungen.

4. Automatische Protokollierung (Artikel 12) — Hochrisikosysteme müssen Aktivitäten automatisch in einem Umfang aufzeichnen, der eine nachträgliche Rekonstruktion von Entscheidungen ermöglicht (Post-Market-Monitoring).

5. Transparenz gegenüber Nutzern (Artikel 13) — Klare Gebrauchsanweisungen, Einschränkungen und menschliche Aufsicht.

6. Menschliche Aufsicht (Artikel 14) — Maßnahmen, die es Betreibern ermöglichen, die Kontrolle zu übernehmen, das System zu pausieren oder abzuschalten.

7. Genauigkeit, Robustheit, Sicherheit (Artikel 15)

8. Konformitätsbewertung (Artikel 43) — Eigenbewertung (für die meisten Hochrisikosysteme) oder unabhängige Bewertung (für bestimmte Kategorien). CE-Kennzeichnung. Registrierung in der EU-Datenbank.

GPAI-Modelle — Sonderregelung

Die Verordnung führt besondere Regeln für Modelle mit allgemeinem Verwendungszweck (GPAI — General Purpose AI) ein, wie etwa große Sprachmodelle. Anbieter von GPAI-Modellen müssen:

  • Technische Dokumentation veröffentlichen
  • Eine Zusammenfassung der für das Training verwendeten Daten veröffentlichen
  • Eine Richtlinie zur Einhaltung des Urheberrechts einführen
  • Hochrisikosysteme, die auf GPAI aufgebaut sind, übernehmen die Hochrisikopflichten.

Compliance-Checkliste für SaaS-Unternehmen (2025–2026)

Sofort (Verbote aktiv ab dem 2. Februar 2025): – [ ] Überprüfen Sie, ob keine KI-Funktionalität in die Kategorie verbotener Systeme fällt – [ ] Dokumentieren Sie die Analyse für den internen Gebrauch

Bis August 2026 (hohes Risiko — neue Systeme): – [ ] Klassifizieren Sie jedes KI-System, das Sie entwickeln oder verwenden – [ ] Für hohes Risiko: Starten Sie das Risikomanagementsystem – [ ] Bereiten Sie die technische Dokumentation gemäß Anhang IV vor – [ ] Implementieren Sie die automatische Protokollierung von Aktivitäten – [ ] Stellen Sie einen Human-in-the-Loop-Mechanismus sicher – [ ] Führen Sie die Konformitätsbewertung durch und registrieren Sie sich in der EU-Datenbank

Transparenz (sofort für Chatbots und Deep-Fakes): – [ ] Stellen Sie die Benachrichtigung der Nutzer sicher, dass sie mit einer KI kommunizieren – [ ] Kennzeichnen Sie KI-generierte Inhalte, wo zutreffend

Serbien und der EU AI Act

Der AI Act gilt für Anbieter von KI-Systemen, die Systeme auf dem EU-Markt bereitstellen oder in der EU einsetzen — unabhängig vom Sitz des Unternehmens. Ein serbisches SaaS-Unternehmen, das EU-Kunden beliefert, unterliegt dem AI Act. Serbien ist als Kandidatenland nicht zur unmittelbaren Anwendung verpflichtet, eine Harmonisierung der Rechtsvorschriften ist jedoch in absehbarer Zeit wahrscheinlich.

Häufig gestellte Fragen (Q&A)

Gilt der AI Act für ein serbisches Unternehmen, das SaaS in der EU verkauft? Ja. Der AI Act hat extraterritoriale Wirkung — er gilt für Anbieter unabhängig von ihrem Sitz, wenn sie KI-Systeme auf dem EU-Markt bereitstellen oder wenn ihre Systeme in der EU eingesetzt werden.

Welche SaaS-Systeme gelten als „hohes Risiko”? Hohes Risiko umfasst Systeme zur Mitarbeiterauswahl (CV-Screening), Kreditrisikobewertung sowie Systeme im Bildungsbereich und im öffentlichen Dienst. Empfehlungssysteme im E-Commerce-Bereich sind in der Regel kein hohes Risiko.

Was ist eine Konformitätsbewertung, und muss ich eine dritte Partei einbeziehen? Für die meisten Hochrisikosysteme genügt eine Eigenbewertung mit entsprechender Dokumentation. Eine unabhängige dritte Partei ist für biometrische Systeme und Systeme in der kritischen Infrastruktur verpflichtend.

Welche Sanktionen drohen bei Verstößen gegen den AI Act? Bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes für verbotene Systeme; bis zu 15 Millionen EUR oder 3 % für sonstige Hochrisiko-Verstöße; bis zu 7,5 Millionen EUR oder 1 % für unrichtige Angaben gegenüber der Aufsichtsbehörde.

Fazit

Der EU AI Act ist in Kraft. Die Frage ist nicht, ob Ihr SaaS unter Beobachtung stehen wird — sondern wann. Klassifizierung der Systeme, Dokumentation und Vorbereitung auf die Konformitätsbewertung sind schrittweise aufbaubare Prozesse, wenn rechtzeitig begonnen wird. Wer wartet, bis der Regulierer Kontakt aufnimmt, hat deutlich weniger Spielraum.

Quellen: – Verordnung (EU) 2024/1689 (EU AI Act), ABl. L, 12.7.2024 – EU AI Office: https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence – AI Office — Leitlinien und Stellungnahmen

Die Inhalte dieser Website dienen ausschließlich Informationszwecken und stellen keine Rechtsberatung dar. Für konkrete rechtliche Beratung wenden Sie sich bitte direkt an einen Rechtsanwalt. Die Kanzlei handelt im Einklang mit dem Gesetz über die Rechtsanwaltschaft und dem Kodex der Berufsethik der Rechtsanwälte.

Scroll to Top