Was Art. 5 EU AI Act bedeutet — und warum er jetzt gilt

Seit dem 2. August 2025 sind die Verbote aus Artikel 5 der EU-KI-Verordnung (2024/1689) in Kraft. Das ist kein Planungshorizont mehr. Das ist geltendes Recht.

Artikel 5 listet KI-Praktiken auf, die in der EU vollständig verboten sind. Nicht eingeschränkt. Nicht genehmigungspflichtig. Verboten.

Die Bußgelder liegen bei bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Das trifft auch Mittelständler.

Die vier Verbotskategorien, die du kennen musst

1. Manipulative und täuschende KI-Systeme

Verboten sind KI-Systeme, die unterschwellige Techniken einsetzen, um das Verhalten von Personen zu beeinflussen — ohne dass diese es merken oder steuern können. Gemeint ist damit gezielte Manipulation unterhalb der Bewusstseinsschwelle.

Auch verboten: Systeme, die gezielt Schwächen oder Vulnerabilitäten bestimmter Gruppen ausnutzen — etwa von Kindern, älteren Menschen oder Personen mit psychischen Erkrankungen.

Was das für dich bedeutet: Wenn du ein Empfehlungs- oder Targeting-System einkaufst, frag den Anbieter schriftlich, wie es Nutzerverhalten beeinflusst. “Personalisierung” und “Manipulation” liegen technisch manchmal sehr nah beieinander.

2. Social Scoring durch öffentliche Stellen

Behörden und staatliche Stellen dürfen keine KI-Systeme einsetzen, die Menschen anhand ihres sozialen Verhaltens oder persönlicher Merkmale über längere Zeiträume bewerten und daraus Nachteile ableiten — in Lebensbereichen, die mit dem ursprünglichen Datenerhebungskontext nichts zu tun haben.

Das klassische Bild ist das chinesische Sozialkreditsystem. Das ist der Referenzpunkt im Gesetz.

Was das für dich als Mittelständler bedeutet: Dieser Punkt trifft primär öffentliche Stellen. Aber: Wenn du Software an Kommunen, Behörden oder öffentliche Einrichtungen verkaufst oder entwickelst, musst du prüfen, ob dein System in diese Kategorie fällt.

3. Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

KI-Systeme, die Emotionen von Personen am Arbeitsplatz oder in Bildungseinrichtungen erkennen und auswerten, sind verboten. Ausnahmen gelten nur für medizinische oder sicherheitsrelevante Zwecke.

Das betrifft:

  • Software, die Mitarbeiterstimmung über Videoanalyse auswertet
  • Tools, die aus Stimme oder Mimik Rückschlüsse auf emotionale Zustände ziehen
  • “Wellbeing”-Monitoring-Lösungen, die Emotionsdaten erfassen

Dieser Punkt ist besonders kritisch, weil entsprechende Tools auf dem HR-Tech-Markt aktiv vermarktet werden — oft unter Labels wie “Employee Engagement Analytics” oder “Productivity Insights”.

Was du jetzt tun solltest: Geh durch deine HR-Software-Stack. Frag bei jedem Tool nach, ob Emotionsdaten oder biometrische Verhaltensdaten verarbeitet werden. Hol dir das schriftlich.

4. Biometrische Echtzeit-Identifizierung im öffentlichen Raum

Der Einsatz von KI zur biometrischen Identifizierung von Personen in Echtzeit im öffentlichen Raum durch Strafverfolgungsbehörden ist grundsätzlich verboten. Es gibt eng begrenzte Ausnahmen für extreme Szenarien — Suche nach vermissten Kindern, unmittelbare Terrorbedrohung.

Für private Unternehmen gilt: Biometrische Kategorisierungssysteme, die Personen anhand sensibler Merkmale wie politischer Überzeugung, Religion, Sexualität oder Rasse einordnen, sind ebenfalls verboten.

Was das heißt: Kamera-Systeme mit Gesichtserkennung in Ladengeschäften, auf Firmengeländen oder in öffentlich zugänglichen Bereichen müssen sehr genau geprüft werden. “Zugangskontrolle per Gesicht” ist etwas anderes als “Identifizierung und Kategorisierung in Echtzeit” — aber die Grenze ist fließend.

Die häufigste Falle im Mittelstand: Drittanbieter

Die meisten mittelständischen Unternehmen entwickeln keine eigene KI. Sie kaufen sie ein — als SaaS-Lösung, als Plugin, als integriertes Feature in bestehender Software.

Das schützt dich nicht automatisch vor Haftung.

Wer ein verbotenes System einsetzt, haftet — unabhängig davon, ob er es selbst gebaut hat. Der Anbieter haftet ebenfalls. Aber das läuft parallel, nicht stattdessen.

Konkrete Handlungsschritte:

  1. Erstell eine Liste aller KI-Funktionen in deiner Software-Landschaft — auch wenn KI nur ein Feature von vielen ist.
  2. Frag Anbieter schriftlich, ob ihre Systeme unter Art. 5 relevante Funktionen enthalten. Dokumentiere die Antworten.
  3. Prüfe Verträge auf Haftungsklauseln. Viele Standardverträge wälzen Compliance-Risiken auf den Kunden ab.
  4. Ziehe bei Unsicherheit juristischen Rat hinzu — kein Blog-Artikel ersetzt eine Rechtsberatung.

Was jetzt zu tun ist

Art. 5 ist nicht das komplexeste Kapitel des EU AI Act. Es ist das klarste. Verboten ist verboten.

Für den Mittelstand bedeutet das: Kein Verständnisproblem, sondern ein Umsetzungsproblem. Die meisten Unternehmen haben noch keinen systematischen Überblick darüber, welche KI-Funktionen sie überhaupt einsetzen.

Genau dort fangen wir an.

Olga Reyes-Busch
Sonnige Grüße, Olga

Fragen? Einfach melden — oder direkt ein kurzes Gespräch buchen.

Kurzes Gespräch buchen →