The EU AI Act, explained.
The world's first comprehensive AI regulation — risk classes, obligations, deadlines, and how to get your organization compliant. Practical guide for deployers and providers.
Regulation (EU) 2024/1689 — in force since 1 August 2024
Key deadlines.
The four tiers of AI under the Act.
Prohibited AI
Government social scoring, manipulative AI, untargeted facial image scraping, real-time biometrics in public spaces (with exceptions)
High-Risk AI
Recruiting, credit scoring, education, critical infrastructure, law enforcement, medical devices, migration — Annex III
Transparency AI
Chatbots, deepfakes, emotion recognition — disclosure obligations
Minimal Risk
Spam filters, AI spellcheck, game mechanics — no specific obligations
What deployers must do.
AI inventory
Catalog every AI system in the organization.
Risk classification
Assign each system to one of the four risk tiers.
Deployer obligations (Art. 26)
Follow instructions, human oversight, logging.
AI literacy (Art. 4)
Demonstrable training for all AI operators.
Fundamental rights impact assessment
Required for public bodies and specific sectors.
Transparency
User notification, deepfake labeling, chatbot disclosure.
Data quality and bias testing
For high-risk AI: representative, quality-assured datasets.
Technical documentation
Annex IV documentation for high-risk systems.
Incident reporting
Serious incidents to national authority.
Continuous evidence
Record-keeping over the system lifecycle.
General-purpose AI models.
GPAI models like GPT-4, Claude, Gemini, and Llama have specific obligations under the AI Act. Providers must publish model cards, training data summaries, and copyright policies. GPAI with systemic risk (>10^25 FLOPs) face additional requirements: model evaluation, adversarial testing, incident reporting, cybersecurity. Deployers who use these models in the EU must operate within the provider's usage policy and maintain their own compliance documentation.
EU AI Act compliance, built-in.
- ✓Automated AI inventory via integrations (OpenAI, Anthropic, Azure OpenAI)
- ✓Pre-built risk classification workflows for Annex III scenarios
- ✓Foundation model cards tracked automatically per model version
- ✓GPAI compliance tracking with systemic risk flagging
- ✓Fundamental rights impact assessment templates
- ✓Cross-framework: DSGVO, DORA, NIS2 covered in parallel
Frequently asked questions
Was ist die KI-Verordnung?+
Die KI-Verordnung (EU AI Act, Verordnung 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Sie klassifiziert KI-Systeme in vier Risikoklassen: verbotene KI, Hochrisiko-KI, KI mit Transparenzpflichten und minimales Risiko. Die Verordnung trat am 1. August 2024 in Kraft. Verbotene Praktiken gelten ab 2. Februar 2025, GPAI-Pflichten ab 2. August 2025, Hochrisiko-Pflichten ab 2. August 2026 (harmonisierte Bereiche ab 2027). Die Verordnung ist unmittelbar in allen EU-Mitgliedstaaten anwendbar.
Welche Fristen gelten für die KI-Verordnung?+
Die Fristen sind gestaffelt: 2. Februar 2025 – Verbot bestimmter KI-Praktiken (z.B. Social Scoring, biometrische Echtzeit-Identifizierung mit Ausnahmen) und KI-Kompetenzpflicht nach Art. 4. 2. August 2025 – Verpflichtungen für General-Purpose AI-Modelle (GPAI) und Benennung nationaler Behörden. 2. August 2026 – volle Anwendung der Hochrisiko-Pflichten für KI-Systeme in Anhang III. 2. August 2027 – Hochrisiko-KI, die Sicherheitskomponenten regulierter Produkte ist (z.B. Medizintechnik).
Was ist Hochrisiko-KI?+
Hochrisiko-KI umfasst KI-Systeme, die erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte haben. Anhang III listet konkrete Bereiche: biometrische Identifizierung, kritische Infrastrukturen, Bildungszugang, Beschäftigung (Recruiting, Leistungsbewertung), Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (Kreditvergabe, Versicherung), Strafverfolgung, Migration, Justiz und demokratische Prozesse. Für diese Systeme gelten strenge Pflichten: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht, Robustheit und Cybersicherheit.
Wer ist von der KI-Verordnung betroffen?+
Betroffen sind Anbieter von KI-Systemen (Entwickler, Hersteller), Betreiber (Nutzer in einem Unternehmenskontext), Einführer (Importeure) und Händler. Die Pflichten unterscheiden sich nach Rolle. Auch Unternehmen außerhalb der EU fallen unter die Verordnung, sobald ihre KI-Systeme in der EU in Verkehr gebracht oder eingesetzt werden oder wenn die Ausgaben in der EU genutzt werden – ähnlich der DSGVO. Für die meisten Unternehmen bedeutet das: Wenn Sie OpenAI, Anthropic, Google Gemini oder eigene KI-Modelle in der EU einsetzen, sind Sie Betreiber und haben Transparenz-, Kompetenz- und Dokumentationspflichten.
Welche Strafen drohen bei Verstößen gegen die KI-Verordnung?+
Die Bußgelder sind höher als unter der DSGVO. Verstöße gegen Verbote (z.B. unzulässige KI-Praktiken) werden mit bis zu EUR 35 Mio. oder 7 % des weltweiten Jahresumsatzes sanktioniert. Verstöße gegen Hochrisiko-Pflichten können bis zu EUR 15 Mio. oder 3 % kosten. Bereitstellung irreführender Informationen gegenüber Behörden kostet bis zu EUR 7,5 Mio. oder 1,5 %. GPAI-Anbieter haften gesondert nach Art. 101.
Was sind General-Purpose AI-Modelle (GPAI)?+
GPAI sind KI-Modelle mit allgemeinem Verwendungszweck, die für eine Vielzahl unterschiedlicher Aufgaben eingesetzt werden können – z.B. GPT-4, Claude, Gemini, Llama. Die KI-Verordnung unterteilt GPAI in zwei Stufen: (1) Basis-GPAI mit Transparenzpflichten (Modellkarten, Schulungsdaten-Zusammenfassung, Copyright-Richtlinie, EU-Konformitätserklärung). (2) GPAI mit systemischem Risiko (Modelle mit >10^25 FLOPs Trainingsrechenleistung) mit zusätzlichen Pflichten: Modellevaluierung, adversariales Testen, Incident-Meldung, Cybersicherheit. Die Pflichten richten sich primär an Modellanbieter, betreffen aber auch Unternehmen als Betreiber beim Einsatz solcher Modelle.
Wie setze ich die KI-Verordnung im Unternehmen um?+
Schritt 1: KI-Inventar erstellen – welche KI-Systeme sind in der Organisation im Einsatz? Schritt 2: Risikoklassifizierung pro System (verboten, Hochrisiko, Transparenz, minimal). Schritt 3: Betreiberpflichten nach Art. 26 etablieren (Gebrauchsanweisung befolgen, Protokollierung, menschliche Aufsicht, Folgenabschätzung bei öffentlichen Akteuren). Schritt 4: KI-Kompetenz sicherstellen – nachweisbare Schulung aller Personen, die KI-Systeme bedienen (Art. 4). Schritt 5: Dokumentation und Nachweise. Schritt 6: Integration in das bestehende GRC/ISMS. Matproof bildet den kompletten EU-AI-Act-Katalog ab und automatisiert Risikoklassifizierung, Betreiberpflichten und Nachweise.
Was ist der Unterschied zwischen der KI-Verordnung und der DSGVO?+
Beide regeln unterschiedliche Aspekte. Die DSGVO schützt personenbezogene Daten – also das Was der Datenverarbeitung. Die KI-Verordnung reguliert KI-Systeme – also das Wie und Wofür, unabhängig davon, ob personenbezogene Daten verarbeitet werden. In der Praxis überlappen beide häufig: Ein KI-Recruiting-System fällt sowohl unter die DSGVO (automatisierte Entscheidungsfindung nach Art. 22) als auch unter die KI-Verordnung (Hochrisiko-KI nach Anhang III Nr. 4). Matproof bildet beide Frameworks an und erlaubt Cross-Framework-Mapping, sodass eine Nachweiseinheit beide Anforderungen erfüllt.
Ready to get your AI Act compliance in order?
30-minute demo. See how Matproof automates AI inventory, risk classification, and deployer obligations.