AI

AI Governance Schulung

Buchen
← Zur Wissens-Übersicht
AI Act nicht EU FirmenAI Act extraterritorialAI Act internationale UnternehmenEU AI Act UKEU AI Act Schweiz

AI Act für internationale Unternehmen: Was Nicht-EU-Firmen wissen müssen

Der EU AI Act gilt auch für Nicht-EU-Firmen mit EU-Bezug. Art. 2 Scope, UK/US/CH Szenarien, EU-Vertreter-Pflicht und praktische Compliance-Schritte.

Veröffentlicht: 22. März 2026Letzte Aktualisierung: 22. März 20266 Min. Lesezeit

Der EU AI Act gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Nicht-EU-Firmen mit EU-Bezug. Maßgeblich ist der Anwendungsbereich aus Art. 2: Er erfasst unter anderem Anbieter, Betreiber, Einführer und Händler, wenn KI-Systeme in der EU in Verkehr gebracht, in Betrieb genommen oder ihr Output in der EU verwendet wird. Für internationale Unternehmen ist deshalb nicht der Hauptsitz entscheidend, sondern die Frage, ob ein KI-System den EU-Markt oder Personen in der EU tatsächlich erreicht.

Letzte Aktualisierung: 22. März 2026

Für die Praxis heißt das: Ein US-Softwareanbieter mit deutschen Kunden, ein britischer Recruiter mit EU-Bewerbern oder ein Schweizer Konzern mit Tochter in Österreich können Compliance-Bedarf haben. Seit dem 2. Februar 2025 gilt zudem die Pflicht zur KI-Kompetenz nach Art. 4, während weitere Betreiber- und Hochrisiko-Pflichten ab dem 2. August 2026 greifen. Wenn Sie die Grundpflicht zuerst einordnen möchten, ist der Beitrag Artikel 4 EU AI Act: KI-Kompetenz praxisnah erklärt der richtige Einstieg.

Wann der AI Act Nicht-EU-Unternehmen erfasst

Nicht-EU-Unternehmen fallen in den Anwendungsbereich, sobald einer von drei typischen EU-Bezügen vorliegt. Erstens sind Sie betroffen, wenn Sie selbst Anbieter eines KI-Systems sind und es in der EU vermarkten oder bereitstellen. Zweitens kann der AI Act auch dann eingreifen, wenn der Output Ihres Systems in der EU verwendet wird, obwohl Entwicklung und Betrieb außerhalb der EU stattfinden. Drittens erzeugen EU-Tochtergesellschaften oder feste Niederlassungen regelmäßig einen direkten Regulierungsbezug, weil die operative Nutzung innerhalb der EU stattfindet.

Der entscheidende Punkt in Art. 2 ist nicht die Staatsangehörigkeit des Unternehmens, sondern die Marktwirkung in der EU. Ein KI-Tool, das nur intern in Kanada genutzt wird, ist anders zu bewerten als dieselbe Anwendung, wenn sie Entscheidungen über EU-Bewerber, EU-Kunden oder EU-Vertragspartner vorbereitet. Diese Logik ähnelt der DSGVO, ist aber stärker rollen- und systemspezifisch. Die Abgrenzung ist im Beitrag KI-Verordnung vs. DSGVO erklärt.

Für internationale Rechts- und Compliance-Teams empfiehlt sich deshalb ein einfacher Filter: Wo wird das System angeboten, wer nutzt seinen Output und welche juristische Einheit trägt die operative Verantwortung? Wer diese drei Fragen nicht belastbar beantworten kann, kann weder Art. 4 noch Pflichten aus Art. 26 oder Art. 50 sauber zuordnen.

UK, USA und Schweiz: drei typische Nicht-EU-Szenarien

Für UK-Unternehmen gilt der EU AI Act nach dem Brexit nicht automatisch. Das Vereinigte Königreich hat bis März 2026 kein eigenes, dem EU AI Act entsprechendes Vollregime, sondern verfolgt weiterhin einen sektoral geprägten Ansatz. Für britische Unternehmen mit EU-Aktivitäten ist das aber keine Entwarnung: Sobald KI-Produkte in die EU verkauft werden, EU-Kunden bedient werden oder eine EU-Niederlassung betroffen ist, entsteht faktisch derselbe Compliance-Druck wie bei einem Anbieter mit Sitz in Deutschland oder Frankreich.

Für US-Unternehmen ist die Lage meist noch klarer. Ein amerikanischer Anbieter, der ein Hochrisiko-KI-System auf dem EU-Markt anbietet, braucht gemäß Art. 22 einen in der EU ansässigen bevollmächtigten Vertreter. Diese Pflicht ist keine Formalität, sondern Teil der Governance-Struktur für den europäischen Markt. Wer aus den USA heraus Recruiting-, Kredit-, Versicherungs- oder sonstige sensible KI-Lösungen in die EU verkauft, muss deshalb nicht nur Produktfragen, sondern auch Vertretung, Dokumentation und Zuständigkeiten früh organisieren.

Auch für Schweizer Unternehmen ist der AI Act wirtschaftlich relevant, obwohl die Schweiz kein EU-Mitglied ist und derzeit kein eigenes KI-Gesetz auf dem Niveau des EU AI Act hat. Für viele Schweizer Firmen erzeugen der enge Marktzugang zur EU, vertragliche Beschaffungsanforderungen und der sogenannte Brussels Effect einen de-facto-Compliance-Druck, lange bevor eine Behörde aktiv wird; wirtschaftlich ist das naheliegend, weil rund 70 Prozent des Schweizer Außenhandels mit der EU verbunden sind. Sobald eine Schweizer Firma KI in die EU verkauft, KI-Output für EU-Kunden erzeugt oder über EU-Töchter arbeitet, wird Art. 2 praktisch relevant. Eine vertiefte Einordnung finden Sie im Beitrag Schweiz und der EU AI Act.

Gemeinsam ist allen drei Ländern: Nicht der nationale Regulierungsstil außerhalb der EU bestimmt das Ergebnis, sondern die operative Anbindung an den EU-Markt. Gerade international wachsende Unternehmen unterschätzen, dass Vertrieb, Procurement und Due Diligence den AI Act oft schon vor einer formellen Prüfung wirksam machen.

Die drei wichtigsten Anwendungsszenarien für internationale Unternehmen

Szenario 1 betrifft Anbieter, die ein KI-System auf dem EU-Markt bereitstellen. Wer als Nicht-EU-Unternehmen ein KI-Produkt oder KI-Feature aktiv in der EU anbietet, fällt in den Anwendungsbereich des AI Act. Das gilt nicht nur für klassische Softwareverkäufe, sondern auch für API-Dienste, eingebettete KI-Funktionen oder White-Label-Lösungen für EU-Kunden.

Szenario 2 betrifft Unternehmen außerhalb der EU, deren KI-Output in der EU genutzt wird. Dieses Szenario wird oft übersehen, weil das System technisch außerhalb der EU entwickelt und betrieben werden kann. Ein Beispiel wäre ein US-Backoffice-Dienstleister, der KI-basierte Risikobewertungen für deutsche Versicherungsnehmer vorbereitet, oder ein britischer Anbieter, dessen Bewerber-Scoring von einer EU-Tochter genutzt wird. Maßgeblich ist dann nicht nur der Serverstandort, sondern die Wirkung des Outputs im EU-Kontext. Gerade bei Standard-KI in HR, Vertrieb oder Support ist dieser Punkt zentral.

Szenario 3 betrifft internationale Konzerne mit EU-Töchtern oder festen Niederlassungen. Sobald eine deutsche, französische oder österreichische Gesellschaft ein KI-System einsetzt, liegt ein unmittelbarer EU-Bezug vor, selbst wenn Konzernmutter, Entwicklungsteam oder zentrale IT-Steuerung außerhalb der EU sitzen. Für solche Strukturen reicht eine globale KI-Richtlinie allein nicht aus; erforderlich sind zugeordnete Rollen, dokumentierte Schulungen und ein belastbarer Nachweis für die jeweilige EU-Einheit.

Alle drei Szenarien haben eine gemeinsame Konsequenz: Internationale Firmen brauchen eine belastbare Zuordnung von Anbieter-, Betreiber- und Konzernrollen. Ohne diese Zuordnung ist unklar, wer Schulungspflichten erfüllt, wer Transparenzpflichten umsetzt und wer bei Audits oder Vertragsfragen ansprechbar ist. Typische Rückfragen dazu greift unsere FAQ auf.

Welche Pflichten daraus praktisch folgen

Die erste Pflicht für viele internationale Unternehmen ist nicht die technische Konformitätsbewertung, sondern organisatorische Handlungsfähigkeit. Seit dem 2. Februar 2025 verlangt Art. 4, dass Anbieter und Betreiber ein ausreichendes Maß an KI-Kompetenz sicherstellen. Für Nicht-EU-Unternehmen mit EU-Bezug heißt das konkret: Mitarbeitende, die KI auswählen, konfigurieren, einsetzen, überwachen oder gegenüber Kunden verantworten, brauchen rollenbezogene Schulung und dokumentierte Leitplanken.

Bei Hochrisiko-KI steigt das Anforderungsniveau deutlich. Betreiber müssen dann unter anderem die Nutzung nach Anleitung, menschliche Aufsicht und interne Überwachung sicherstellen; Anbieter müssen zusätzlich Produkt- und Governance-Pflichten erfüllen. Ein US-Unternehmen, das KI für Bewerbervorauswahl an EU-Arbeitgeber verkauft, kann sich daher nicht auf eine allgemeine Awareness-Schulung beschränken. Es braucht Verantwortlichkeiten, Eskalationswege und Nachweise, die der Bedeutung des Systems entsprechen.

Hinzu kommen Transparenzfragen aus Art. 50, etwa wenn Nutzer mit KI-Systemen interagieren oder Inhalte künstlich erzeugt werden. Für internationale Unternehmen ist das besonders relevant bei Chatbots, Support-Systemen, Marketing-Automatisierung und generativer KI im Kundenkontakt.

Die Bußgeldlogik sollte sachlich eingeordnet werden. Art. 99 sieht je nach Verstoß hohe Sanktionen vor, insbesondere bei verbotenen Praktiken und materiellen Pflichten. Für Art. 4 gibt es zwar keinen isolierten unionsweiten Bußgeldtatbestand nur für fehlende KI-Kompetenz, aber fehlende Schulung verschlechtert die Verteidigungsposition bei Vorfällen, Vertragsstreitigkeiten und Untersuchungen erheblich. Wer die Risikoseite vertiefen möchte, findet eine Übersicht im Beitrag AI Act Compliance Fehler.

Welche Schritte internationale Firmen jetzt gehen sollten

Internationale Unternehmen sollten zuerst eine belastbare Scope-Prüfung aufsetzen. Listen Sie alle KI-Systeme, KI-Funktionen und KI-gestützten Prozesse auf und ordnen Sie jedem Einsatz eine juristische Einheit, einen Markt und einen Nutzungsort des Outputs zu. Ohne dieses Inventar bleibt unklar, welche Fälle unter Art. 2 fallen.

Im zweiten Schritt sollten Sie die drei oben genannten Szenarien ausdrücklich im Governance-Modell verankern: Anbieter auf dem EU-Markt, Output für EU-Personen und Einsatz durch EU-Töchter. Diese Kategorisierung ist deshalb nützlich, weil sie Vertrieb, Produkt, Recht, HR und Compliance auf dieselbe Begriffswelt bringt. Gerade bei internationalen Konzernen scheitert die Umsetzung weniger am Gesetzestext als an unklaren Zuständigkeiten zwischen Konzernmutter und EU-Einheiten.

Der dritte Schritt ist ein rollenbezogenes Schulungskonzept. Allgemeine Nutzer von Standard-KI brauchen andere Inhalte als Produktverantwortliche, lokale Geschäftsführer oder Teams mit Hochrisiko-Bezug. Ein wirksames Programm deckt Mindestwissen zu zulässiger Nutzung, Daten- und Freigabegrenzen, menschlicher Kontrolle, Dokumentation und Eskalation ab. Für viele Unternehmen ist Artikel 4 der pragmatische Startpunkt, weil die Pflicht bereits gilt.

Viertens sollten Nicht-EU-Unternehmen mit Hochrisiko-Bezug prüfen, ob ein EU-Vertreter nach Art. 22 erforderlich ist. Diese Frage darf nicht erst im Vertrieb oder bei Vertragsverhandlungen auftauchen, sondern gehört in die Markteintrittsplanung. Parallel sollten Vertragsunterlagen, interne Richtlinien und Nachweisdokumente auf Konsistenz geprüft werden, damit Vertriebsaussagen, Schulungsstatus und Governance-Modell zusammenpassen.

Fünftens gilt: Dokumentieren Sie vor dem ersten Audit, nicht danach. Ein belastbarer Nachweis umfasst mindestens betroffene Systeme, Rollen, Schulungsinhalte, Termine, Verantwortliche und Versionsstände. Internationale Unternehmen, die diesen Nachweis sauber führen, reduzieren Rechtsunsicherheit und beschleunigen Kundenprüfungen, Partner-Onboarding und interne Freigaben.

Nicht-EU-Unternehmen brauchen beim AI Act keine Alarmrhetorik, sondern eine präzise EU-Marktlogik. Wenn Sie sauber bestimmen, ob Sie Anbieter auf dem EU-Markt sind, ob Ihr Output in der EU genutzt wird oder ob EU-Töchter Systeme einsetzen, wird der Anwendungsbereich aus Art. 2 deutlich greifbarer. Darauf aufbauend lassen sich Art. 4, Art. 22 und weitere Pflichten pragmatisch umsetzen.

Wenn Sie diese Anforderungen in Teams, Richtlinien und Nachweisen verankern möchten, ist die EU AI Act Schulung der nächste Schritt.

Nächster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, starten Sie mit der Kursübersicht, klären offene Fragen in der FAQ und buchen danach das passende Erstgespräch.

Kursübersicht ansehen

Prüfen Sie Inhalte, Lernzeit, Preise und den passenden Rollout für Ihr Team.

FAQ aufrufen

Klären Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Erstgespräch buchenZur Startseite

Autor und fachlich verantwortlich

Steven Leutritz

Geschäftsführer & KI-Compliance-Experte

Steven Leutritz begleitet Unternehmen bei der Umsetzung des EU AI Act und übersetzt Regulierung in klare Handlungslogik für Geschäftsführung, HR und Compliance.