EU AI Act: Was Kreativ-Unternehmen jetzt konkret tun müssen

EU AI Act: Was Kreativ-Unternehmen jetzt konkret tun müssen Es gibt Gesetze, die man ignorieren kann, bis sie einen einholen. Und es gibt Gesetze, bei denen das eine schlechte Idee ist. Der EU AI Act gehört zur zweiten Kategorie – auch wenn er in vielen Kreativbüros und Produktionsfirmen noch nicht wirklich angekommen ist. Dabei ist die Uhr schon längst gelaufen. Der EU AI Act (Verordnung 2024/1689) ist am 1. August 2024 in Kraft getreten und gilt seitdem schrittweise. Erste Verbote – etwa gegen Social Scoring oder Emotionserkennung am Arbeitsplatz – wurden bereits im Februar 2025 wirksam. Weitere Pflichten kommen in den nächsten Monaten. Wer jetzt noch "da müssen wir uns mal einlesen" denkt, hat tatsächlich nicht mehr viel Zeit. Ich will hier nicht den Juristen spielen – ich bin keiner. Aber als jemand, der Jahre in der Kreativ- und Produktionsbranche gearbeitet hat und GenAI heute in Software implementiert, musste ich mich natürlich damit auseinander setzten. Und was ich dabei gelernt habe: Es ist weniger kompliziert als es klingt, solange man weiß, wo man hinschauen muss. Was gilt schon jetzt – und was kommt noch? Der EU AI Act arbeitet mit einem Risikomodell. Vier Stufen: verbotene Praktiken, Hochrisiko-KI, Transparenzpflichten, minimales Risiko. Für die meisten Kreativunternehmen sind die extremen Enden – also das Verbotene und das Hochrisiko-Segment – wenig relevant. Video-Editing-KI, Musik-Generatoren, Bildbearbeitung: Das ist nicht das, worum es bei Hochrisiko geht. Was aber für die Kreativbranche definitiv gilt: die Transparenzpflichten. Laut EU AI Act werden diese zum 2. August 2026 verbindlich. Konkret heißt das: Wer KI-Systeme einsetzt, die mit Menschen interagieren – also etwa KI-Chatbots auf der eigenen Website, KI-gestützte Kundenkommunikation – muss sicherstellen, dass die Nutzer wissen, dass sie mit einer Maschine sprechen. Das klingt trivial, ist aber ein rechtlicher Standard, der dokumentiert werden muss. Noch relevanter für Kreativunternehmen: KI-generierte Inhalte müssen als solche erkennbar sein. Besonders Deepfakes und KI-generierte Texte, die zur öffentlichen Information gedacht sind, müssen klar und sichtbar gekennzeichnet werden. Das betrifft Werbeagenturen genauso wie Filmproduktionen, die synthetische Elemente einsetzen. Die GPAI-Regeln – für Anbieter sogenannter General Purpose AI Models – sind laut AI Act ab August 2025 anwendbar. Wer also selbst ein KI-Modell entwickelt oder auf Basis solcher Modelle eigene Produkte baut, ist hier direkt in der Pflicht: Transparenz über Trainingsdaten, Copyright-Compliance, und für Modelle mit systemischen Risiken auch Risikobewertungen. Die Hochrisiko-Regeln gelten gestaffelt ab August 2026 und August 2027. Was das für die Praxis bedeutet Ich mach das mal konkret. Ein Filmproduktionsunternehmen, das GenAI in der Postproduktion einsetzt – für Color Grading, Sound Design, VFX-Assists – muss sich wahrscheinlich weniger Sorgen machen als gedacht. Diese Anwendungen fallen größtenteils in die "minimales Risiko"-Kategorie, für die der AI Act keine spezifischen Regeln vorschreibt. Was aber geprüft werden sollte: 1. Transparenz bei KI-generierten Inhalten Wenn ihr Output nach außen geht – Werbematerial, Social-Media-Beiträge, Kampagnen – und KI dabei eine wesentliche Rolle gespielt hat, sollte intern geklärt sein: Haben wir eine Kennzeichnungspflicht? Ab wann ist Content "KI-generiert" im Sinne des Gesetzes? Das ist noch nicht vollständig ausgeurteilt, aber eine interne Policy ist ein guter Anfang. 2. Copyright-Compliance bei KI-Tools Welche Trainingsdaten haben die Tools verwendet, die ihr einsetzt? Das ist eine unbequeme Frage, weil viele Anbieter hier wenig transparent sind. Für Unternehmen, die professionell KI-generierte Inhalte produzieren, empfiehlt es sich, diese Frage schriftlich mit den Tool-Anbietern zu klären. Nicht aus Paranoia, sondern weil es ein legitimes Risiko ist. 3. Dokumentation der KI-Nutzung Klingt bürokratisch, ist aber vernünftig: festhalten, welche KI-Systeme im Unternehmen für welche Zwecke genutzt werden. Das erleichtert zukünftige Compliance-Prüfungen erheblich – und hilft auch intern beim strukturierten Einsatz. 4. Hochrisiko-Check für spezifische Anwendungen Wenn ein Kreativunternehmen KI für HR-Entscheidungen (Recruiting-Software mit KI), für Zugangsprüfungen oder für Leistungsbewertungen einsetzt, dann ist der Hochrisiko-Pfad relevant. Denn das sind Anwendungen, bei denen der AI Act sehr spezifische Anforderungen stellt – die ab August 2026 bzw. August 2027 greifen. Was mich etwas irritiert an der aktuellen Debatte: Viele Unternehmen warten auf absolute Rechtssicherheit, bevor sie irgendetwas tun. Die werden lange warten. Gesetze werden immer erst durch Anwendung und Urteile präzisiert. Was stattdessen sinnvoll ist: eine einfache interne AI Policy, die den aktuellen Kenntnisstand festhält. Nicht als juristisches Meisterstück, sondern als praktisches Dokument, das zeigt, dass das Unternehmen das Thema ernst nimmt. Und dann – alle sechs Monate aktualisieren. Das reicht fürs Erste. Und es ist besser als nichts. Hinweis: Dies ist kein juristischer Ratschlag.