Der EU AI Act: Warum Kommunen jetzt handeln müssen

In vielen Verwaltungen ist Künstliche Intelligenz (KI) längst im Einsatz – leise, unspektakulär und oft unbemerkt. Ein Chatbot beantwortet Bürgerfragen, ein Dokumentenmanagement-System sortiert Anträge automatisch, ein Übersetzungstool hilft bei mehrsprachiger Kommunikation. All das funktioniert gut – bis die Frage auftaucht: Wer trägt eigentlich die Verantwortung dafür?

Mit dem EU AI Act ist diese Frage keine theoretische mehr. Sie ist rechtlich klar geregelt. Und sie betrifft Kommunen nicht irgendwann, sondern jetzt.

Am 2. August 2024 ist der EU AI Act in Kraft getreten - offiziell: Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz. Und: Der EU AI Act ist kein Spezialgesetz für Tech-Unternehmen. Er richtet sich an alle, die KI einsetzen oder integrieren – also auch an Städte, Gemeinden und kommunale Einrichtungen.

Für Verwaltungen gilt dabei ein besonderer Maßstab:

• Sie handeln nicht privatwirtschaftlich, sondern im Auftrag der Öffentlichkeit.
• Sie müssen Rechtsstaatlichkeit, Transparenz und Vertrauen sicherstellen.
• Bürgerinnen und Bürger haben Rechtsansprüche – und können sie einfordern.

Das bedeutet: Wenn KI in Verwaltungsprozessen eine Rolle spielt, liegt die Verantwortung bei der Kommune. Nicht beim Hersteller, nicht beim Dienstleister, sondern bei derjenigen Stelle, die das System einsetzt.

Der EU AI Act will keine Technologie verhindern – er will, dass Verantwortung klar geregelt ist.
Er stützt sich auf drei einfache Prinzipien:

1. Transparenz: Bürgerinnen und Bürger müssen erkennen können, wenn Künstliche Intelligenz beteiligt ist.
2. Risikomanagement: Die Kommune muss wissen, wo KI Entscheidungen beeinflusst.
3. Nachvollziehbarkeit: Entscheidungen müssen auch Jahre später erklärbar sein.

Das klingt nüchtern. Aber es bedeutet: Wer KI nutzt, muss sie regeln und steuern. Das ist genauso wie bei Finanzen, Bauvorhaben oder Personalfragen. Ohne klare Zuständigkeit entsteht ein Risiko – für Bürgerinnen und Bürger, für Beschäftigte und für die Kommune selbst.

Der EU AI Act unterscheidet zwischen vier Risikokategorien. Diese entscheiden, welche Pflichten greifen:

• Verbotene KI: Systeme, die Menschen manipulieren oder grundlegend diskriminieren (z.B. Social Scoring, verdeckte Emotionserkennung im Arbeitskontext).
• Hochrisiko-KI: Systeme, die wesentliche Lebensbereiche betreffen – etwa Bildung, Personal, Justiz, Kreditvergabe oder Gesundheitswesen.
• Begrenztes Risiko: Systeme mit potenziellen Risiken, die aber durch Transparenzpflichten ausreichend abgesichert werden können (z.B. KI-Chatbots).
• Minimales Risiko: Systeme mit sehr geringem Risiko, z.B. automatische Sortierfunktionen, Spamfilter, KI-Vorschläge in Texteditoren.

Für Kommunen sind begrenzt- und hochriskante Systeme besonders relevant – weil genau diese im Alltag längst genutzt werden. Und: Die Einstufung richtet sich nicht danach, wer die Software entwickelt hat, sondern wo und wie sie eingesetzt wird.

Der EU AI Act verlangt von Kommunen klare Regeln im Umgang mit Künstlicher Intelligenz (KI). Doch welche KI-Anwendungen sind heute schon in deutschen Städten wirklich im Einsatz? Und wie lassen sich diese in die vorgeschriebenen Risikoklassen einordnen?

Die folgenden Beispiele zeigen es:

• EMMA® in Gelsenkirchen:
  Die Stadt Gelsenkirchen führt aktuell eine digitale KI-Assistentin namens EMMA® ein. EMMA® beantwortet Bürgeranfragen rund um die Uhr per Telefon, E-Mail und Chat. Dadurch soll der Bürgerservice entlastet und schneller werden – ganz ohne zusätzlichen Personalbedarf. Das Projekt steht kurz vor dem Live-Betrieb ab 2026 und wird aktiv in der Verwaltung implementiert.
  Quelle: Gelsenkirchen und Evocenta

• Lumi in Heidelberg:
  Seit 2022 unterstützt der Chatbot Lumi das digitale Bürgeramt Heidelbergs. Die KI ist für den direkten Dialog mit Bürgerinnen und BÜrger konzipiert und beantwortet regelmäßig wiederkehrende Fragen der Verwaltung. Damit schafft Heidelberg ein digitales Serviceangebot, das den persönlichen Kontakt ergänzt.
  Quelle: Stadt Heidelberg

• F13 in Baden-Württemberg:
  Baden-Württemberg hat mit F13 ein KI-Assistenzsystem für Kommunalverwaltungen entwickelt. Es hilft Beschäftigten, ihre Arbeit effizienter zu machen und unterstützt die Digitalisierung der Verwaltungsprozesse.
  Quelle: Landesregierung Baden-Württemberg

• LLMoin in Hamburg:
  Hamburg betreibt mit LLMoin eine KI-basierte Textassistenz, die Dokumente automatisch analysiert und Mitarbeitende in der Bearbeitung von Anfragen entlastet. Das System läuft unter strengen Datenschutzvorgaben und ist offiziell im Regelbetrieb.
  Quelle: Dataport Hamburg

• München:
  Die Landeshauptstadt setzt KI-Systeme ein, um Dokumente schneller auffindbar zu machen und Arbeitsschritte zu automatisieren, etwa über Sprachmodelle und KI-Suchfunktionen.
  Quelle: München KI-Systeme

• Smart Parking in Aalen:
  Aalen nutzt Sensoren kombiniert mit KI-Algorithmen, um Parkplätze dynamisch zu steuern und Bürgerinnen und Bürger die Parkplatzsuche erheblich zu erleichtern. Dieses System ist Teil des offiziellen Smart City-Projekts.
  Quelle: Stadt Aalen

• KI zur Badeaufsicht in Köln:
  Köln setzt KI-Technologien zur Überwachung von Schwimmbädern ein, um Notfallsituationen frühzeitig zu erkennen und die Sicherheit für Besucherinnen und Bürger zu erhöhen. Das System analysiert Bewegungsmuster in Echtzeit.
  Quelle: Köln

• Leipzig:
  KI hilft in Leipzig bei der automatisierten Verarbeitung von Rechnungen – ein wichtiges Hilfsmittel, um Verwaltungsabläufe zu beschleunigen und Fehler zu vermeiden.
  Quelle: Leipzig

Diese Beispiele zeigen, dass Künstliche Intelligenz längst natürlicher Bestandteil kommunaler Prozesse ist – oft unauffällig, aber wirkungsvoll. Der EU AI Act macht klar: Kommunen tragen die Verantwortung, wenn Künstliche Intelligenz Entscheidungsprozesse beeinflusst. Die gezeigten Projekte sind daher nicht nur innovativ, sondern auch wegweisend für eine rechtssichere und bürgerorientierte Verwaltungsdigitalisierung.

Der EU AI Act entfaltet seine Wirkung nicht auf einen Schlag, sondern schrittweise. Für Kommunen bedeutet das, die Uhr tickt nicht erst 2027, sondern schon jetzt, da der Rechtsrahmen am 2. August 2024 in Kraft getreten ist.

Die wichtigsten Fristen, die unmittelbares Handeln erfordern, sind:
Es muss sauber geklärt werden, welches Risiko konkret besteht – damit keine Kommune versehentlich in ein Hochrisiko-Thema hineinrutscht, ohne es zu merken.

1. Seit dem 2. Februar 2025 (sechs Monate nach Inkrafttreten) gelten zwei zentrale Pflichten:

• Verbotene KI-Systeme dürfen ab diesem Datum nicht mehr eingesetzt werden.
• Die Pflicht zur Sicherstellung der KI-Kompetenz (Schulung) des Personals, das KI nutzt, tritt in Kraft. Kommunen müssen ihre Beschäftigten auf den Einsatz von KI vorbereiten.

2. Seit 2. August 2025 (zwölf Monate nach Inkrafttreten) greifen die Transparenzpflichten für KI mit begrenztem Risiko. Dies betrifft vor allem Bürgerinteraktionen, etwa bei Chatbots (z.B. Lumi oder EMMA®): Bürger müssen darüber informiert werden, dass sie mit einer KI kommunizieren. Ebenso treten die Regelungen für große KI-Modelle mit allgemeinem Verwendungszweck (GPAI) in Kraft.

3. Die umfassendsten Pflichten für Hochrisiko-KI-Systeme – die Kommunen etwa bei Sozialleistungen, Genehmigungsverfahren oder kritischer Infrastruktur betreffen können – werden am 2. August 2027 (36 Monate nach Inkrafttreten) voll anwendbar.

Diese Fristen sind angesichts der oft längeren Abstimmungswege und knappen Ressourcen in Verwaltungen nicht weit entfernt. Wer heute beginnt, kann das Thema ruhig und strategisch in bestehende Verwaltungsprozesse integrieren. Wer erst reagiert, wenn die Anforderungen unmittelbar gelten, wird unter Druck nachrüsten müssen.

In der kommunalen Praxis werden aufgrund fehlender eigener Kapazitäten nicht selten Leistungen und Anwendungen von externen Anbietern eingekauft. Aber: Die Verantwortung für den Einsatz bleibt bei der Kommune.

Das ist ein entscheidender Punkt des EU AI Act. Er adressiert nicht die Softwarehäuser – sondern die “Anwender”. Und bei Kommunen heißt das: Bürgermeisterin oder Bürgermeister, Amtsleitung, Verwaltungsführung. Führungskräfte stehen damit gleich doppelt in der Verantwortung:

Einerseits rechtlich – weil die Kommune als Betreiberin haftet. Andererseits politisch – weil Bürgerinnen und Bürger nachvollziehbare Entscheidungen erwarten und Vertrauen eine öffentliche Ressource ist.

Das bedeutet nicht, dass alles zentral gelöst werden muss. Aber die Spielregeln müssen von der Leitung gesetzt werden: Wer prüft neue Systeme? Wer dokumentiert? Wer trägt die letztendliche Verantwortung? Ohne diese Klarheit bleibt KI ein diffuses IT-Thema – und wird zum Risiko, sobald externe Kontrolle oder Bürgernachfragen kommen.

Viele Kommunen unterschätzen, dass sie bereits heute in Bereichen arbeiten, die nach EU AI Act potenziell als Hochrisiko gelten. Das hängt nicht von spektakulären Technologien ab – sondern vom Einsatzfeld: Sozialleistungen, Genehmigungen, Infrastruktur, Sicherheit. Genau dort entstehen Hochrisiko-Pflichten, sobald KI fachlich unterstützt oder Entscheidungen vorbereitet.

Daraus folgt: Ein pragmatischer Start darf nicht nur „KI-Tools sammeln“ sein. Es muss sauber geklärt werden – damit keine Kommune versehentlich in ein Hochrisiko-Thema hineinrutscht, ohne es zu merken.

Der Einstieg lässt sich trotzdem schlank organisieren. Entscheidend ist eine Struktur, die drei Ziele verbindet: Überblick herstellen – Risiken erkennen – Verantwortlichkeit klären.

Der EU AI Act definiert KI breiter, als viele vermuten. Auch unspektakuläre Funktionen in Standardsoftware können darunterfallen (z. B. automatische Zuordnung, Prognosen, Textanalysen).

So starten Sie:

• Jede Fachabteilung erhält eine kurze, klar verständliche Arbeitsanweisung: „Welche Systeme nutzen Sie, die Inhalte automatisch vorschlagen, entscheiden, klassifizieren oder vorhersagen?“
• Beispiele vorgeben: Dokumentenmanagement, Chatbots, Übersetzungstools, Fachverfahren mit automatischer Plausibilisierung, Bild-/Dokumentanalyse.
• Ergebnisse in einer einfachen Liste sammeln – ohne Bewertung, ohne Technik-Tiefe.

Ziel: Vollständiges Bild, auch wenn Details später geklärt werden.

Entscheidend ist nicht das Tool, sondern wo es eingesetzt wird. Hochrisiko entsteht in Bereichen wie Sozialleistungen, Genehmigungen, Förderung, Infrastruktur oder Sicherheit – weil diese Felder im EU AI Act als besonders sensibel gelten.

Die Amtsleitung prüft gemeinsam mit den Fachbereichen:

• Unterstützt Künstliche Intelligenz Entscheidungen in Sozial- oder Förderverfahren?
• Wird KI in Genehmigungen genutzt (Bau, Gewerbe, Umwelt)?
• Hat KI Einfluss auf sicherheitsrelevante Bereiche?
• Gibt es automatisierte Einstufungen mit Rechtswirkung?

Schon ein „Ja“ bedeutet: Hochrisiko ist möglich. Es geht dabei nicht um Technikdetails, sondern um den Verwendungskontext.

Was heißt das konkret?

Wenn ein Einsatz voraussichtlich unter Hochrisiko fällt, gelten später Pflichten wie:

• eine strukturierte Risiko- und Auswirkungsprüfung
• klare Daten- und Qualitätsanforderungen
• menschliche Aufsicht (keine vollautomatischen Entscheidungen)
• nachvollziehbare Dokumentation
• Protokollierung und Transparenz gegenüber Bürgerinnen und Bürger

Für den Start gilt: Kommunen müssen diese Pflichten nicht sofort erfüllen – aber sie müssen früh wissen, ob sie später gelten werden. Nur so lässt sich die Umsetzung rechtzeitig und ohne Druck planen.

Ziel: Eine kurze, belastbare Risikosichtung, die sensiblen Bereiche markiert und die Grundlage für einen geordneten Prozess schafft.

Kommunen müssen nicht sofort ein KI-Referat gründen. Aber sie brauchen fünf Klarheiten:

• Wer sammelt die Informationen?
• Wer bewertet neue Systeme (fachlich und rechtlich)?
• Wer dokumentiert Entscheidungen?
• Wer wacht über Schulungen und Transparenzpflichten?
• Wer ist Ansprechpartner:in für externe Stellen (Prüfbehörden, Datenschutz, Aufsicht)?

In vielen Kommunen reicht eine kleine Struktur:

• Eine benannte KI-Kontaktstelle (z.B. in der Amtsleitung oder zentralen Steuerung).
• Eine kleine KI-Prüfgruppe: IT, Rechtsamt, Datenschutz, ein Vertreter/ eine Vertreterin der Fachbereiche.
• Ein kurzer Prüfprozess: „Neues System? Vorab Checkliste ausfüllen. Dann Bewertung in der KI-Prüfgruppe. Erst danach Beschaffung.“

Ziel: Entscheidungen nachvollziehbar machen, ohne neue Bürokratie zu schaffen.

Die Kommune braucht zu Beginn nur drei funktionierende Abläufe, alles Weitere kann später wachsen:

1. Erfassung aller genutzten KI-Funktionen (laufend aktualisiert).
2. Risikosichtung für alte und neue Systeme (Nutzungskontext prüfen, keine Tiefenprüfung).
3. Dokumentation der Entscheidungen (2–3 Seiten pro System reichen am Anfang).

Wichtig: Diese Schritte sind AI-Act-konform, auch wenn sie bewusst schlank gehalten sind.

Wenn die Sichtung mögliche Hochrisiko-Bereiche ergibt:

• Das System wird nicht gestoppt.
• Es wird in eine „intensive Prüfung“ überführt: Bewertung, ob es wirklich unter Anhang III fällt.
• Die Fachbereiche erhalten klare Anweisung: Dokumente aufbewahren, Entscheidungen begründen, keine vollautomatisierten Abläufe ohne menschliche Kontrolle.
• Ein kurzes Dossier anlegen: Zweck, Daten, Entscheidungslogik, Fachverantwortung.

Ziel: Ruhe und Kontrolle in sensiblen Feldern.

Seit Februar 2025 gilt die Schulungspflicht.

Pragmatischer Ansatz:

• Kurze Basisschulung für alle, die mit KI arbeiten (2 Stunden reichen).
• Fachspezifische Vertiefung nur dort, wo potenzielles Hochrisiko besteht.
• Teilnahme dokumentieren.

Ziel: Rechtssicherheit und ein gemeinsames Verständnis.

Wenn dieser Ansatz konsequent umgesetzt wird, hat die Kommune:

• einen klaren Überblick, wo überall KI drinsteckt
• eine erste Einschätzung, wo Hochrisiko auftreten könnte
• eine benannte Verantwortlichkeit
• funktionierende Minimalprozesse
• Rechtssicherheit für den Umgang mit neuen Systemen
• belastbare Unterlagen für Aufsichtsbehörden
• Sicherheit in der Führung – statt blindem Vertrauen in externe Anbieter

Mit anderen Worten: Die Kommune ist handlungsfähig, ohne die Organisation zu überfordern.

Der EU AI Act bringt keine Revolution, sondern eine klare Erwartung: Künstliche Intelligenz wird in der eigenen Organisation umfassend bewertet, bewußt gesteuert und verantwortlich genutzt.

Für Kommunen heißt das:

• Sie stehen im Zentrum der Verantwortung, auch wenn sie Technologie einkaufen.
• Die meisten Systeme sind längst im Einsatz – die Pflichten gelten also nicht irgendwann, sondern heute.
• Wer die nächsten 18 Monate klug nutzt, kann Pflichten in ruhiger Hand umsetzen – statt unter Druck zu reagieren.

Und vor allem gilt:
KI in der Verwaltung ist kein Spezialthema für Technikaffine. Es ist eine Führungsfrage. Und wie bei jeder Führungsfrage gilt: Wer den Rahmen setzt, schützt die Organisation.

Die beigefügten Materialien ergänzen diesen Artikel und sollen Führungskräften einen schnellen Überblick zu den wichtigsten Fakten des EU AI Act geben:

• KI-Dossier „Der EU AI Act – Grundlagen“: Liefert einen klar gegliederten Überblick über Geltungsbereich, Risikoklassen, Umsetzungsfristen und Aufsichtsstrukturen des EU AI Act.
• KI-Dossier „Der EU AI Act – Konkrete Pflichten“: Übersetzt die gesetzlichen Anforderungen in praktische Schritte. Enthält Hinweise zu Schulungspflichten, Transparenzanforderungen, Verantwortlichkeiten und internen Prozessen.
• Originaltext (Deutsch) des EU AI Act (EU-Verordnung 2024/1689): Die konsolidierte Fassung der Verordnungstexte in deutscher Sprache.
• Referentenentwurf „Umsetzung des EU AI Act in Deutschland“: Offizieller Entwurf des Bundesministerium für Digitales und Staatsmodernisierung. Er beschreibt die geplante nationale Umsetzung, Zuständigkeiten und Aufsichtsstrukturen.
• Hinweispapier “KI-Kompetenzen nach Artikel 4 KI-Verordnung” der Bundesnetzagentur: Offizielle Informationen, welche Anforderungen in Bezug auf die Pflichtschulungen nach dem EU AI Act bestehen.

Wenn Sie zum Thema Fragen haben oder vertieftere Informationen erhalten möchten, melden Sie sich bitte bei der Autorin unter den angegebenen Kontaktdaten.