Testen Sie alle Funktionen kostenlos — 3 Credits bei der Registrierung inklusiveKostenlos testen
Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
Regulierung · AI Act

Ihr SaaS integriert KI ohne es zu wissen? Die Pflichten, die gelten.

Ein SaaS, das eine KI-API für Empfehlungen oder Scoring nutzt, wird automatisch zum Anbieter im Sinne des AI Act. Hier sind die konkreten Schritte zur Compliance und wie Sie Ausschreibungen nicht verlieren.

Jérémy Pierre
Jérémy Pierre
Expert Compliance AI Act
18. Juni 2026 8 Minuten Lesezeit
Ihr SaaS integriert KI ohne es zu wissen? Die Pflichten, die gelten
Kurzfassung · 4 Zahlen, die Sie kennen sollten
85%
der B2B-SaaS integrieren KI, ohne es zu deklarieren
2. Nov. 2026
Frist für Transparenz nach Artikel 50
Anhang III
Bewertung von Bewerbern und HR-Management = Hochrisiko
30%
der RFPs 2026 enthalten AI-Act-Klauseln
01 - Regulierung

Warum Ihr SaaS vom AI Act betroffen ist - auch ohne eigene KI

Ein SaaS-Hersteller, der eine KI-API für Empfehlungen, Scoring oder Automatisierung integriert, wird automatisch zum Anbieter im Sinne des AI Act.

Artikel 3(3) der Verordnung ist eindeutig: Sobald ein KI-System in ein Produkt integriert und unter dem Namen oder der Marke des Herstellers vermarktet wird, wird dieser zum Anbieter. Unerheblich ist, ob das zugrundeliegende Modell von OpenAI, Mistral oder Anthropic stammt. Entscheidend ist die kommerzielle Nutzung im Endprodukt.

Konkrete Beispiele:

  • Ein Projektmanagement-SaaS, das die OpenAI-API für automatische Zusammenfassungen von Meetings nutzt.
  • Ein Marketing-Tool, das ein Scoring-Modell für Leads über eine Drittanbieter-Bibliothek integriert.
  • Eine HR-Plattform, die ein Modul zur Empfehlung von Schulungen auf Basis eines Sprachmodells anbietet.

In diesen Fällen muss der SaaS-Hersteller die Pflichten des Anbieters erfüllen, insbesondere die Klassifizierung des KI-Systems und die technische Dokumentation, falls das System als Hochrisiko-KI-System eingestuft wird.

Artikel 3(3) AI Act - Definition des Anbieters
Glossar AiActo - Anbieter vs. Betreiber
02 - Compliance

Die 3 Schritte zur Compliance mit dem AI Act

Die Compliance mit dem AI Act für ein B2B-SaaS basiert auf drei Säulen: Klassifizierung, Dokumentation und Transparenz.

1. Klassifizierung des KI-Systems

Der erste Schritt besteht darin zu prüfen, ob das integrierte KI-System als Hochrisiko-KI-System eingestuft wird. Anhang III der AI Act listet die betroffenen Fälle auf, darunter:

  • Personalwesen (Bewerber-Scoring, Leistungsbewertung).
  • Zugang zu wesentlichen Dienstleistungen (Kredit-Scoring, Versicherungen).
  • Bildung und berufliche Weiterbildung (automatische Bewertung).

Falls das System in eine dieser Kategorien fällt, muss der Hersteller eine technische Dokumentation gemäß Anhang IV erstellen.

2. Erstellung der technischen Dokumentation

Für Hochrisiko-KI-Systeme schreibt Anhang IV eine detaillierte Dokumentation vor, die Folgendes umfasst:

  • Eine Beschreibung der Funktionen des Systems und seiner Grenzen.
  • Die verwendeten Trainingsdaten und deren Herkunft.
  • Die umgesetzten Cybersicherheits- und Robustheitsmaßnahmen.
  • Die Verfahren zur Überwachung nach Inverkehrbringen.

Diese Dokumentation muss den zuständigen Behörden auf Anfrage zur Verfügung gestellt werden.

3. Einhaltung der Transparenzpflichten

Artikel 50 des AI Act verpflichtet Anbieter von KI-Systemen, Nutzer darüber zu informieren, dass sie mit einer KI interagieren. Für ein B2B-SaaS bedeutet dies:

  • Kunden darüber zu informieren, dass bestimmte Funktionen KI nutzen.
  • Die Fähigkeiten und Grenzen des Systems in der Informationsbroschüre (Artikel 13) zu beschreiben.
  • Anzugeben, ob das System als Hochrisiko-KI-System eingestuft wird.
Anhang III AI Act - Liste der Hochrisiko-KI-Systeme
Anhang IV AI Act - Technische Dokumentation
Pflichten nach Systemtyp - Leitfaden AiActo
03 - Fallstudie

Praktischer Fall: HR-SaaS mit Bewerber-Scoring

Ein HR-Software-Hersteller integriert eine KI-API zur Bewertung von Lebensläufen. So setzt er die Compliance um.

Szenario: Ein HR-SaaS bietet eine Funktion zum automatischen Scoring von Bewerbern, basierend auf der OpenAI-API. Diese Funktion wird als Premium-Modul vermarktet.

Schritt 1: Klassifizierung des Systems

Das Scoring von Bewerbern fällt unter Personalwesen und ist in Anhang III des AI Act aufgeführt. Das System wird daher als Hochrisiko-KI-System eingestuft.

Schritt 2: Technische Dokumentation

Der Hersteller muss eine Dokumentation gemäß Anhang IV erstellen, die Folgendes umfasst:

  • Eine Beschreibung der Scoring-Kriterien und ihrer Gewichtung.
  • Die für das Modell verwendeten Trainingsdaten (z.B. historische Lebensläufe, Stellenausschreibungen).
  • Maßnahmen zum Schutz vor diskriminierenden Verzerrungen.
  • Verfahren zur Überwachung nach Inbetriebnahme (z.B. regelmäßige Audits).

Schritt 3: Transparenz gegenüber Kunden

Der Hersteller muss:

  • Kunden darüber informieren, dass das Scoring KI nutzt.
  • Eine Informationsbroschüre mit Beschreibung der Fähigkeiten und Grenzen des Systems (Artikel 13) bereitstellen.
  • Angeben, dass das System als Hochrisiko-KI-System eingestuft wird.
« Ein HR-SaaS, der diese Dokumentation nicht bereitstellt, wird von Ausschreibungen großer Unternehmen ausgeschlossen, die zunehmend Compliance mit dem AI Act verlangen. »
CNIL - Leitfaden AI Act - Konkrete Beispiele
Diagnose AiActo - Prüfen, ob Ihr System Hochrisiko ist
04 - Transparenz

Artikel 50: Was Ihre Kunden wirklich erwarten

B2B-Kunden, insbesondere große Unternehmen, verlangen zunehmend Transparenz über die in SaaS genutzten KI-Systeme.

Artikel 50 des AI Act verpflichtet Anbieter, Nutzer darüber zu informieren, dass sie mit einer KI interagieren. Für ein B2B-SaaS bedeutet dies:

  • Eine klare Erwähnung in den Allgemeinen Geschäftsbedingungen oder der technischen Dokumentation.
  • Eine zugängliche Informationsbroschüre, die Folgendes beschreibt:
    • Die genutzten KI-Funktionen.
    • Die Grenzen des Systems (z.B. Fehlerquote, potenzielle Verzerrungen).
    • Die umgesetzten Schutzmaßnahmen.
  • Einen Kontaktkanal für Fragen im Zusammenhang mit KI.

Unternehmenskunden, insbesondere in regulierten Branchen (Banken, Versicherungen, Gesundheitswesen), bauen zunehmend AI-Act-Klauseln in ihre RFPs ein. Ein SaaS ohne AI-Act-Dokumentation wird systematisch ausgeschlossen.

AI Office - Transparenz - Praktischer Leitfaden
Artikel 50 AI Act - Transparenzpflichten
05 - GPAI

Pflichten bei Nutzung eines Basis-Modells (GPAI)

Falls Ihr SaaS ein Sprachmodell wie GPT-4 oder Mistral integriert, gelten zusätzliche Pflichten.

Artikel 25(4) des AI Act verpflichtet Anbieter von Systemen, die ein GPAI-Modell (General-Purpose AI) integrieren, zu Folgendem:

  • Betreiber nachgelagerter Stufen (Ihre Kunden) darüber zu informieren, dass das System ein GPAI-Modell nutzt.
  • Eine technische Dokumentation über das verwendete Modell bereitzustellen, die Folgendes umfasst:
    • Die Fähigkeiten und Grenzen des Modells.
    • Die Trainingsdaten (falls verfügbar).
    • Die Cybersicherheitsmaßnahmen.
  • Die Transparenzpflichten nach Artikel 50 einzuhalten.

Beispiel: Ein SaaS zur Inhaltserstellung, das die Mistral-API nutzt, muss seine Kunden darüber informieren, dass das System auf einem GPAI-Modell basiert, und eine Dokumentation über die Grenzen des Modells bereitstellen (z.B. Risiken von Verzerrungen, Halluzinationen).

Artikel 25(4) AI Act - GPAI-Pflichten
AI Act Explorer - Interaktiver Leitfaden
06 - Geschaeft

Compliance mit dem AI Act als Verkaufsargument

SaaS-Hersteller können die Compliance in einen Wettbewerbsvorteil verwandeln, insbesondere bei Ausschreibungen.

Laut mehreren Studien bauen große Unternehmen (CAC40, ETI) zunehmend AI-Act-Klauseln in ihre RFPs ein. SaaS-Hersteller ohne AI-Act-Dokumentation werden systematisch ausgeschlossen.

Strategien zur Wertschöpfung durch Compliance:

  • Premium-Option: Bereitstellung der AI-Act-Dokumentation als kostenpflichtige Option für Unternehmenskunden.
  • Enterprise-Tier: Reservierung der konformen Funktionen für Kunden im Premium-Segment.
  • Verkaufsargument: Hervorhebung der Compliance in Pitches und Marketingmaterialien (z.B. « Unser SaaS ist AI-Act-konform und garantiert Transparenz und Sicherheit für Ihre Daten »).
  • Zertifizierung: Erlangung einer Drittzertifizierung zur Stärkung der Glaubwürdigkeit (z.B. CNIL-Label, ISO-42001-Zertifizierung).

Beispiel: Ein SaaS zur Kreditbewertung kann die AI-Act-konforme Dokumentation als Premium-Option anbieten, die 20% teurer ist als der Standardpreis. Unternehmenskunden, die strengen regulatorischen Anforderungen unterliegen, werden diesen Aufpreis zahlen, um Risiken zu vermeiden.

Identifizieren Sie Ihre Pflichten in 3 Minuten

Unsere kostenlose Diagnose zeigt Ihnen, ob Ihr SaaS vom AI Act betroffen ist und welche Schritte Sie zur Compliance unternehmen müssen.

07 - FAQ

Häufige Fragen

Antworten auf die häufigsten Fragen von SaaS-Herstellern zum AI Act.

Ja. Sobald Sie eine KI-Funktion in Ihr SaaS integrieren und diese unter Ihrem Namen oder Ihrer Marke vermarkten, werden Sie zum Anbieter im Sinne des AI Act. Dies gilt auch, wenn Sie eine Drittanbieter-API wie OpenAI oder Mistral nutzen. Artikel 3(3) der Verordnung ist hier eindeutig.

Die Sanktionen können bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Für KMU sind die Bußgelder auf 15 Millionen Euro oder 3% des Umsatzes begrenzt. Die zuständigen Behörden können zudem den Rückruf des Systems vom Markt anordnen.

Konsultieren Sie Anhang III des AI Act, der die als Hochrisiko eingestuften Fälle auflistet. Die häufigsten Kategorien für SaaS sind Personalwesen, Zugang zu wesentlichen Dienstleistungen (Kredit, Versicherungen) und Bildung. Sie können auch unsere kostenlose Diagnose nutzen, um zu prüfen, ob Ihr System betroffen ist.

Ein Anbieter ist eine Einheit, die ein KI-System entwickelt oder unter ihrem Namen oder ihrer Marke vermarktet. Ein Betreiber ist eine Einheit, die ein KI-System im Rahmen ihrer Aktivitäten nutzt, ohne es zu vermarkten. Beispiel: Ein SaaS-Hersteller, der KI integriert, ist ein Anbieter, während ein Unternehmen, das dieses SaaS nutzt, ein Betreiber ist.

Ja. Artikel 50 des AI Act verpflichtet Anbieter, Nutzer darüber zu informieren, dass sie mit einer KI interagieren. Für ein B2B-SaaS bedeutet dies, Ihre Kunden darüber zu informieren, dass bestimmte Funktionen KI nutzen, und die Fähigkeiten und Grenzen des Systems in einer Informationsbroschüre (Artikel 13) zu beschreiben.

Falls Ihr SaaS ein GPAI-Modell (General-Purpose AI) integriert, müssen Sie Ihre Kunden darüber informieren, dass das System ein solches Modell nutzt, und eine technische Dokumentation über dessen Fähigkeiten und Grenzen bereitstellen. Artikel 25(4) des AI Act regelt diese Pflichten, die zusätzlich zu den Transparenzpflichten nach Artikel 50 gelten.

Sie können die AI-Act-Dokumentation als Premium-Option oder in einem Enterprise-Tier anbieten und diese gegen Aufpreis bereitstellen. Betonen Sie die Compliance in Ihren Verkaufsargumenten und Marketingmaterialien, um Unternehmenskunden zu überzeugen, die zunehmend Wert darauf legen. Eine Drittzertifizierung (z.B. CNIL-Label) kann Ihre Glaubwürdigkeit zusätzlich stärken.

Jérémy Pierre
Jérémy Pierre
Gründer aiacto.eu · Expert Compliance AI Act

Begleitet Anbieter und Betreiber von KI bei der regulatorischen Compliance.

Diesen Artikel teilen