MicroSenorit
MicroSenorit
AnmeldenKostenlos starten
Compliance9 Min. Lesezeit

EU AI Act 2026 — Was ändert sich für SaaS-Anbieter

Die EU-KI-Verordnung (EU) 2024/1689 tritt schrittweise in Kraft. Für SaaS-Unternehmen, die KI-Funktionen einsetzen oder anbieten, ergeben sich ab August 2026 konkrete Pflichten — von der Transparenzpflicht bis zum Risikoklassifizierungssystem.

Von Senorit
#eu-ai-act#ki#regulierung#saas#2026#transparenz

Der EU AI Act: Zeitplan und Geltungsbereich

Die EU-Verordnung (EU) 2024/1689 über künstliche Intelligenz trat am 1. August 2024 in Kraft. Die Pflichten werden schrittweise eingeführt:

  • 1. Februar 2025: Verbote für inakzeptable KI-Risiken (Social Scoring, biometrische Kategorisierung)
  • 2. August 2025: Pflichten für GPAI-Modelle (General Purpose AI wie GPT-4, Claude)
  • 2. August 2026: Kernpflichten für Hochrisiko-KI-Systeme und Transparenzpflichten
  • 2. August 2027: Hochrisiko-KI in regulierten Produkten (Maschinen, Medizinprodukte)

Für die meisten SaaS-Anbieter ist der 2. August 2026 der relevante Termin.

Risikoklassen verstehen

Inakzeptables Risiko (verboten seit 1. Februar 2025)

Verbotene KI-Systeme sind unter anderem:

  • Social-Scoring-Systeme staatlicher Behörden
  • Biometrische Echtzeit-Fernidentifikation im öffentlichen Raum
  • Subliminale Beeinflussung oder Ausnutzung von Schwächen
  • KI zur Vorhersage zukünftiger Straftaten

Für B2B-SaaS-Produkte ist dieses Verbot praktisch nicht relevant.

Hochrisiko (ab 2. August 2026)

Hochrisiko-KI-Systeme sind in Anhang III der Verordnung aufgelistet. Relevant für SaaS-Anbieter könnten sein:

  • Systeme zur Beurteilung von Kreditwürdigkeit (Finanzdienstleistungen)
  • Systeme im Personalmanagement (Recruiting, Leistungsbeurteilung)
  • KI in der Bildung (Bewertung, Prüfungen)
  • Systeme zur Strafverfolgungsunterstützung

Die meisten Business-SaaS-Produkte fallen nicht in diese Kategorien.

Geringes Risiko (Transparenzpflicht)

Chatbots, KI-generierte Texte, Deepfakes und ähnliche Systeme unterliegen einer Kennzeichnungspflicht. Das betrifft die meisten KI-Features in Business-SaaS.

Minimales Risiko

Spam-Filter, KI-gestützte Suche, Rechtschreibprüfung — keine spezifischen Pflichten.

Was für typische SaaS-Produkte gilt

Transparenzpflicht nach Art. 50

Wenn Ihr Produkt:

  • Einen Chatbot anbietet (Nutzer interagiert mit KI, die als Mensch erscheinen könnte)
  • KI-generierte Texte, Bilder oder Audio erzeugt, die nicht erkennbar KI-generiert sind

... müssen Sie den Nutzer informieren, dass er mit einem KI-System interagiert oder KI-generierte Inhalte erhält.

Praktische Umsetzung:

  • Chatbots müssen sich als KI identifizieren, wenn der Nutzer fragt
  • KI-generierte Rechnungstexte, Zusammenfassungen oder Entwürfe müssen als solche markiert sein (z.B. "Erstellt mit KI-Unterstützung")
  • Für professionelle Anwendungen (Rechnungssoftware, Juristentools) gelten vereinfachte Anforderungen — Kennzeichnung im UI reicht

GPAI-Deployer: Vereinfachte Pflichten

Wenn Sie ChatGPT, Claude, Gemini oder ein ähnliches GPAI-Modell über eine API einbinden, sind Sie Deployer (Anwender), nicht Anbieter des Modells. Ihre Pflichten:

  1. Zweckbindung: Verwenden Sie das Modell nur für die Zwecke, für die es bereitgestellt wurde
  2. Beaufsichtigung: Stellen Sie sicher, dass KI-Entscheidungen menschlich überprüfbar sind (Human Oversight)
  3. Transparenz gegenüber Nutzern: Bei Hochrisiko-Anwendungen
  4. Protokollierung: Prompts und KI-Ausgaben 6 Monate aufbewahren (für Hochrisiko-Anwendungen)

Für Nicht-Hochrisiko-Anwendungen sind die Pflichten erheblich reduziert.

Was Sie jetzt vorbereiten sollten

KI-Inventar erstellen

Dokumentieren Sie alle KI-Funktionen Ihrer Plattform:

  • Welches Modell wird eingesetzt (OpenAI GPT-4, Anthropic Claude, Google Gemini)?
  • Welchen Zweck erfüllt die Funktion?
  • Welche Daten werden verarbeitet (Prompts enthalten ggf. personenbezogene Daten)?
  • In welche Risikoklasse fällt die Funktion?

Transparenzhinweise einbauen

Für alle KI-generierten Inhalte, die an Nutzer ausgespielt werden:

  • Kennzeichnung im UI ("KI-generierter Vorschlag", "Erstellt mit KI")
  • Chatbots identifizieren sich als KI
  • Option für Nutzer, zu fragen ob sie mit Mensch oder KI kommunizieren

Prompt-Protokollierung einrichten

Für Hochrisiko-Anwendungen (falls zutreffend): Implementieren Sie ein Logging-System für Prompts und Antworten mit 6-Monats-Retention. Achten Sie auf DSGVO-Konformität — Prompts mit personenbezogenen Daten unterliegen der DSGVO.

Wasserzeichenkonzept prüfen

Art. 50 AI Act empfiehlt maschinenlesbare Wasserzeichen für synthetische Medien. Für Text ist das schwierig — für Bilder und Audio gibt es erste Tools (z.B. SynthID von Google).

Was noch unklar ist

Der EU AI Act enthält zahlreiche unklare Begriffe, die durch delegierte Rechtsakte der Europäischen Kommission konkretisiert werden. Insbesondere die Klassifizierung von GPAI-Modellen als "systemisch relevant" (Trainingsaufwand über 10^25 FLOP) und die genauen Hochrisiko-Definitionen werden bis 2026 noch präzisiert.

Beobachten Sie die Auslegungshinweise des EU AI Office (ai-office.ec.europa.eu).

Weiterführende Ressourcen

Häufige Fragen

Welche KI-Risikoklasse trifft SaaS-Produkte typischerweise?
Die meisten KI-Funktionen in Business-SaaS fallen in die Kategorien "Geringes Risiko" (z.B. Chatbots, Texterstellung, Vorhersageanalysen) oder "Minimales Risiko" (Spam-Filter, Rechtschreibprüfung). Hochrisikoklassen betreffen Bereiche wie Beschäftigung, Bildung, Kreditvergabe und kritische Infrastruktur.
Was muss ich bei der Verwendung von KI-generierten Inhalten kennzeichnen?
Nach Art. 50 AI Act müssen Texte, Bilder, Audio und Video, die von KI generiert wurden und für Menschen erkennbar als "real" erscheinen könnten, als KI-generiert gekennzeichnet werden. Für rein professionelle Werkzeuge (z.B. Rechercheassistenten) bestehen vereinfachte Anforderungen.
Ab wann gelten die Pflichten für GPAI-Modelle (General Purpose AI)?
Die Regeln für GPAI-Modelle (Art. 51-56 AI Act) gelten ab dem 2. August 2025. Wenn Sie OpenAI, Anthropic oder Google Gemini über eine API einbinden, sind Sie Deployer, nicht Anbieter des Modells — Ihre Pflichten sind weniger umfangreich.

Alles in einem Hub

ZUGFeRD-Rechnungen, DSGVO-Compliance, Credits-Wallet — MicroSenorit bündelt alles in vier modularen Produkten.

14 Tage kostenlos testenAlle Artikel