Europe Alternatives

2026-04-01

EU AI Act: Was er für SaaS-Käufer bedeutet

Am 2. August 2026 treten die Vorschriften des EU AI Act für Hochrisiko-KI-Systeme in Kraft. Wenn Sie SaaS mit KI-Funktionen kaufen, haben Sie bereits Pflichten.

Der EU AI Act ist seit August 2024 in Kraft. Das meiste davon verlief bisher unbemerkt. Das ändert sich am 2. August 2026, wenn die Vorschriften für Hochrisiko-KI-Systeme gemäß Anhang III durchsetzbar werden. Wenn Sie ein Unternehmen sind, das SaaS-Produkte einkauft, betrifft Sie das -- auch wenn Sie nie eine Zeile KI-Code geschrieben haben.

Der Zeitplan im Überblick

Die Verordnung wurde schrittweise eingeführt:

  • 2. Februar 2025 -- Verbotene KI-Praktiken untersagt (z. B. Social Scoring, unterschwellige Manipulation). Zu diesem Zeitpunkt traten auch die Pflichten zur KI-Kompetenz in Kraft.
  • 2. August 2025 -- Regeln für allgemeine KI-Modelle (GPAI) wurden anwendbar.
  • 2. August 2026 -- Hochrisiko-KI-Systeme gemäß Anhang III müssen konform sein. Dies ist die Frist, die die meisten B2B-Software-Käufer beachten müssen.
  • 2. August 2027 -- Verlängerte Frist für Hochrisiko-KI in regulierten Produkten (Medizinprodukte, Maschinen, Fahrzeuge).

Anbieter vs. Betreiber: Welche Rolle haben Sie?

Die Verordnung weist Pflichten basierend auf Ihrer Rolle zu.

Ein Anbieter ist ein Unternehmen, das ein KI-System unter eigenem Namen auf den Markt bringt -- Ihr CRM-Anbieter mit integriertem Lead-Scoring-Modell, Ihre Recruiting-Plattform mit automatisiertem Lebenslauf-Screening, Ihr Kredit-Tool. Sie haben es entwickelt. Sie sind verantwortlich für Konformitätsbewertungen, CE-Kennzeichnung, Registrierung in der EU-Datenbank und Bereitstellung der technischen Dokumentation.

Ein Betreiber ist ein Unternehmen, das ein KI-System in einem beruflichen Kontext nutzt. Das sind die meisten SaaS-Käufer. Sie haben das Modell nicht entwickelt, aber Sie setzen es in Ihrem Geschäftsbetrieb ein.

Betreiber zu sein bedeutet nicht, dass Sie keine Pflichten haben. Es bedeutet, dass Ihre Pflichten geringer sind -- aber nicht null.

Was Betreiber bei Hochrisiko-Systemen tun müssen

Wenn ein SaaS-Tool, das Sie nutzen, gemäß Anhang III als Hochrisiko eingestuft wird, haben Sie Pflichten gemäß Artikel 26:

  • Den Anweisungen des Anbieters für die Nutzung folgen
  • Protokolle über den Betrieb des KI-Systems mindestens 6 Monate aufbewahren
  • Mitarbeitende, die mit dem System interagieren, informieren und schulen
  • Eine sinnvolle menschliche Aufsicht aufrechterhalten -- eine Person muss in der Lage sein, Entscheidungen zu überprüfen, zu korrigieren oder zu stoppen
  • Das System nicht für Zwecke einsetzen, die über die vom Anbieter vorgesehene Nutzung hinausgehen

Öffentliche Stellen und private Unternehmen, die kritische Infrastruktur oder wesentliche Dienste betreiben, müssen vor dem Einsatz eines Hochrisiko-Systems auch eine Grundrechte-Folgenabschätzung durchführen (Artikel 27). Diese umfasst, wie das System die Rechte von Personen beeinflussen könnte, wer betroffen ist und wie die Aufsicht funktioniert.

Welche Anhang-III-Kategorien SaaS-Käufer betreffen

Anhang III listet acht Bereiche auf, in denen KI als Hochrisiko eingestuft wird. Mehrere davon decken sich direkt mit gängigen SaaS-Tools:

Beschäftigung und Personalwesen -- KI zur Sichtung von Bewerbungen, Bewertung von Kandidaten in Vorstellungsgesprächen oder Tests, Entscheidungen über Beförderungen oder Kündigungen. Wenn Ihre HR-Plattform automatisiertes Scoring nutzt, ist sie hochriskant.

Wesentliche private Dienstleistungen -- KI, die Kreditwürdigkeit bewertet oder Kredit-Scores berechnet. Wenn Ihre Fintech- oder Kredit-Software KI zur Risikobewertung nutzt, fällt sie in den Anwendungsbereich.

Bildung und Berufsausbildung -- KI, die den Zugang zu Bildung bestimmt, Schülerleistungen bewertet oder Verhalten während Prüfungen überwacht.

Biometrie -- Fernbiometrische Identifizierungssysteme und KI, die Personen nach sensiblen Merkmalen kategorisiert. Ausnahmen bestehen für reine Identitätsverifizierung.

Wenn Sie unsicher sind, ob ein Tool in den Geltungsbereich fällt, ist der AI Act Service Desk der Europäischen Kommission die richtige Anlaufstelle.

Artikel 50: Transparenz für alle KI-Tools

Auch wenn keines Ihrer Tools als Hochrisiko eingestuft wird, gilt Artikel 50 ab dem 2. August 2026 für jede KI, die mit Nutzern interagiert oder Inhalte generiert:

  • Chatbots auf Ihrer Website müssen Nutzer darüber informieren, dass sie mit einer KI sprechen
  • KI-generierte Texte, Bilder oder Videos müssen als KI-generiert gekennzeichnet werden
  • Sprachsynthese, die eine echte menschliche Stimme imitiert, muss als synthetisch gekennzeichnet werden

Wenn Sie Chatbots von Drittanbietern einbetten oder KI-Content-Tools nutzen, prüfen Sie, welche Offenlegungsfunktionen der Anbieter bereitstellt.

Was Sie Ihre SaaS-Anbieter jetzt fragen sollten

Gehen Sie vor August 2026 Ihre KI-gestützten Tools durch und stellen Sie jedem Anbieter folgende Fragen:

  1. Ist dieses System gemäß Anhang III als Hochrisiko eingestuft? Das sollte der Anbieter wissen.
  2. Haben Sie eine Konformitätsbewertung durchgeführt? Für Hochrisiko-Anbieter ist dies verpflichtend.
  3. Ist das System CE-gekennzeichnet und in der EU-KI-Datenbank registriert? Für Hochrisiko-Systeme vorgeschrieben.
  4. Können Sie technische Dokumentation gemäß Anhang IV bereitstellen? Sie haben Anspruch auf Dokumentation, die Ihre eigene Compliance unterstützt.
  5. Welche Nutzungsanweisungen haben Sie veröffentlicht? Artikel 13 verpflichtet Anbieter, den vorgesehenen Verwendungszweck und Einschränkungen zu dokumentieren.
  6. Erfüllen Sie die GPAI-Pflichten? Wenn der Anbieter ein zugrunde liegendes Modell (GPT-4, Claude, Mistral usw.) nutzt und es wesentlich angepasst hat, hat er möglicherweise GPAI-Anbieterpflichten übernommen.

Wenn ein Anbieter diese Fragen nicht beantworten kann, ist das eine nützliche Information.

Die Sanktionsstruktur

Die Bußgelder bei Nichteinhaltung übersteigen das DSGVO-Niveau:

  • Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für Verstöße gegen verbotene KI-Praktiken
  • Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes für Nichteinhaltung der Hochrisiko-Pflichten
  • Bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes für die Bereitstellung falscher Informationen an Behörden

Die Durchsetzung erfolgt durch nationale Marktüberwachungsbehörden in jedem EU-Mitgliedstaat, wobei das KI-Büro der Europäischen Kommission GPAI-Modelle direkt beaufsichtigt.

Europäische KI-Anbieter und die Verordnung

Europäische KI-Unternehmen -- Mistral (Frankreich), Aleph Alpha (Deutschland), SambaNova mit europäischen Niederlassungen -- entwickeln ihre Produkte von Anfang an unter Berücksichtigung der Verordnung. Das ist keine automatische Compliance-Garantie, bedeutet aber, dass Produktentscheidungen rund um Dokumentation, Aufsicht und Transparenz von Beginn an durch den regulatorischen Kontext geprägt werden, anstatt nachträglich angepasst zu werden.

Für Käufer, die KI-gestützte SaaS-Produkte evaluieren, führt die Anfrage an europäische Anbieter zu diesen Compliance-Fragen oft zu klareren Antworten als bei US-amerikanischen Anbietern, die sich an EU-Recht als sekundäre Anforderung anpassen.

Der vollständige Text der Verordnung befindet sich auf artificialintelligenceact.eu -- die lesbarste Version der offiziellen Gesetzgebung.