Zum Hauptinhalt springen
Zurück zu den Ressourcen
26. März 2026·7 Min. Lesezeit

AI Act in Luxemburg: Was KMU vor August 2026 wissen müssen

Luxemburg zeichnet sich in Europa durch eine der höchsten Adoptionsraten von künstlicher Intelligenz auf dem Kontinent aus. Laut Eurostat nutzen bereits 14,4 % der luxemburgischen Unternehmen KI-Systeme, womit das Großherzogtum unter den EU-Top-3 rangiert. Dieser technologische Vorsprung bringt eine Verantwortung mit sich: zu den Ersten zu gehören, die dem EU AI Act (Verordnung (EU) 2024/1689) entsprechen, dessen wichtigste Pflichten am 2. August 2026 in Kraft treten.

Für luxemburgische KMU stellt sich nicht mehr die Frage, ob der AI Act sie betrifft, sondern wie sie sich konkret darauf vorbereiten können. Dieser Artikel gibt einen Überblick über den für Luxemburg spezifischen Rechtsrahmen.

Gilt der EU AI Act für Luxemburg?

Ja. Der EU AI Act ist eine europäische Verordnung mit unmittelbarer Wirkung: Er gilt automatisch in allen Mitgliedstaaten, einschließlich Luxemburg, ohne dass eine Umsetzung für seine Hauptbestimmungen erforderlich ist. Jedes in Luxemburg ansässige Unternehmen, das in der Europäischen Union ein KI-System entwickelt, einsetzt oder verwendet, ist betroffen.

Konkret bedeutet das: Wenn Ihr KMU einen Chatbot für den Kundendienst, ein Scoring-Tool für die Kreditvergabe, ein CV-Sortiersystem oder ein Betrugserkennungsmodell einsetzt, fallen Sie in den Anwendungsbereich der Verordnung.

Gesetzentwurf 8476: Die luxemburgische Umsetzung

Obwohl die Verordnung unmittelbar anwendbar ist, muss jeder Mitgliedstaat seine zuständigen Behörden benennen und die Marktüberwachung organisieren. Luxemburg hat den Gesetzentwurf 8476 eingebracht, um diese nationale Umsetzung sicherzustellen.

Dieser Text sieht insbesondere die Benennung von drei Notifizierungsbehörden vor, die für die Überwachung der Konformitätsbewertungsstellen für Hochrisiko-KI-Systeme zuständig sind.

Die zuständigen Behörden in Luxemburg

Drei benannte Notifizierungsbehörden

Gesetzentwurf 8476 benennt drei Notifizierungsbehörden für Luxemburg:

  • OLAS (Organisme luxembourgeois d’accréditation et de surveillance): allgemeine Aufsicht über Konformitätsbewertungsstellen
  • ALMPS (Administration luxembourgeoise des mines, de la protection du sol): zuständig für Industrieprodukte und Sicherheit
  • CGPD (Commission de gestion des produits dangereux): zuständig für Produkte mit spezifischen Risiken

Die CNPD (Commission nationale pour la protection des données) spielt ebenfalls eine zentrale Rolle. Als Datenschutzbehörde ist sie die natürliche Anlaufstelle für Fragen an der Schnittstelle zwischen DSGVO und AI Act, insbesondere für KI-Systeme, die personenbezogene Daten verarbeiten.

Das Sandkëscht-Programm: Testen vor der Compliance

Luxemburg bietet Unternehmen, die ihre Compliance frühzeitig angehen möchten, einen einzigartigen Vorteil: das Sandkëscht-Programm der CNPD. Diese regulatorische Sandbox ermöglicht es Unternehmen jeder Größe, ihre KI-Lösungen in einem überwachten Rahmen zu testen, mit Begleitung durch die Regulierungsbehörde.

Der Nutzen für ein KMU ist doppelt: Es kann validieren, dass sein KI-System die regulatorischen Anforderungen vor der kommerziellen Einführung erfüllt, und dabei Expertenfeedback ohne Sanktionsrisiko erhalten. Dies ist eine Möglichkeit, die nur wenige europäische Länder mit diesem Maß an Zugänglichkeit anbieten.

Der Finanzsektor: Ein wichtiges Thema für Luxemburg

Luxemburg ist eines der führenden Finanzzentren Europas. Luxemburgische Banken, Investmentfonds und PSF (Fachleute des Finanzsektors) nutzen KI intensiv für Credit Scoring, Betrugserkennung, automatisiertes KYC/AML und Portfoliomanagement.

Mehrere dieser Anwendungsfälle fallen direkt in die Hochrisiko-Kategorie des AI Act (Anhang III, §5: Zugang zu wesentlichen Finanzdienstleistungen). Konkret:

  • Ein Credit-Scoring-Tool, das die Kreditwürdigkeit von Privatpersonen bewertet, wird als Hochrisiko eingestuft
  • Ein automatisiertes KYC/AML-System, das den Sorgfaltsgrad für einen Kunden bestimmt, ist potenziell hochriskant
  • Ein Robo-Advisor, der autonome Anlageentscheidungen trifft, ist betroffen
  • Ein Banking-Chatbot fällt unter begrenztes Risiko (Artikel 50: Transparenzpflicht)
KMU im Finanzsektor: Achten Sie auf die Fristen

Selbst wenn der Digital Omnibus bestimmte Pflichten für Hochrisiko-Systeme verschieben könnte, bleiben die Transparenzpflichten (Artikel 50) ab August 2026 anwendbar. Und die CSSF (Commission de Surveillance du Secteur Financier) könnte den von ihr beaufsichtigten Instituten zusätzliche Anforderungen auferlegen.

Das luxemburgische KI-Ökosystem: Ein günstiges Umfeld

Luxemburg beschränkt sich nicht auf die Regulierung von KI, sondern investiert massiv in ihre Entwicklung. Mehrere Initiativen schaffen ein günstiges Ökosystem für KMU:

  • AI Factory Luxembourg (MeluXina-AI): eine Investition von 112 Millionen Euro, um luxemburgischen Unternehmen modernste KI-Recheninfrastruktur zur Verfügung zu stellen
  • Europäisches KI-Büro: ein Teil der KI-Exzellenzeinheit der Europäischen Kommission hat seinen Sitz in Luxemburg, unter der Leitung von Cécile Huet
  • Luxinnovation und das Fit4Start-Programm: Unterstützung und Finanzierung (50 000 bis 150 000 Euro equity-free) für Startups, einschließlich solcher aus dem KI-Sektor
  • FEDIL (Fédération des Industriels Luxembourgeois): hat 8 Empfehlungen für eine pragmatische Umsetzung des AI Act veröffentlicht und plädiert für einen unternehmensfreundlichen Rahmen

Die Digitalisierungsministerin Elisabeth Margue hat angekündigt, eine „ganzheitliche Strategie“ für KI in Luxemburg verfolgen zu wollen, die Innovation und Compliance verbindet.

Die 4 wichtigsten Pflichten für luxemburgische KMU

Unabhängig vom Risikoniveau Ihrer KI-Systeme gelten vier Pflichten für alle Unternehmen:

  1. KI-Kompetenz (Artikel 4): Schulen Sie Ihre Teams im Verständnis der von ihnen verwendeten KI-Systeme. Anwendbar seit Februar 2025.

  2. Transparenz (Artikel 50): Informieren Sie Nutzer darüber, dass sie mit einer KI interagieren. Anwendbar ab August 2026. Dies betrifft insbesondere Chatbots, Inhaltsgenerierungssysteme und Deepfakes.

  3. Klassifizierung Ihrer Systeme: Ermitteln Sie, ob Ihre KI-Systeme dem verbotenen, hohen, begrenzten oder minimalen Risiko unterliegen. Dies ist der erste Schritt jedes Compliance-Prozesses.

  4. Dokumentation: Dokumentieren Sie je nach Risikoniveau Ihr Risikomanagementsystem, Ihre Datenverwaltungspraktiken und Ihre Verfahren zur menschlichen Aufsicht.

Wie AiCompliBot Ihnen hilft

AiCompliBot ist das einzige AI Act Compliance-Tool, das den für Luxemburg spezifischen Rechtsrahmen kennt. Unser intelligenter Fragebogen:

  • Identifiziert Ihre KI-Systeme und deren Risikoniveau in weniger als 5 Minuten
  • Nennt die luxemburgischen Behörden beim Namen (CNPD, OLAS, ALMPS, CGPD)
  • Referenziert Gesetzentwurf 8476 und das Sandkëscht-Programm
  • Erstellt einen personalisierten Bericht mit Empfehlungen, die auf den luxemburgischen Kontext zugeschnitten sind
  • Bietet konkrete Beispiele für den Finanzsektor (Credit Scoring, KYC/AML, Banking-Chatbot)
Kostenlose Diagnose für luxemburgische KMU

Führen Sie Ihre AI Act Compliance-Diagnose in weniger als 5 Minuten durch. Kostenlos, unverbindlich und auf den luxemburgischen Rechtsrahmen zugeschnitten.

Meine kostenlose Diagnose starten →

Bereit, Ihre Compliance zu bewerten?

Kostenlose Diagnose in 5 Minuten. Keine Kreditkarte erforderlich.

Meine kostenlose Diagnose starten →