Was ist der EU AI Act?
Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Das Gesetz soll sicherstellen, dass in der EU eingesetzte KI-Systeme sicher, transparent, nachvollziehbar und nicht diskriminierend sind.
Fahrplan: Wann gilt was?
Der AI Act wird stufenweise über mehrere Jahre anwendbar, um Unternehmen ausreichend Zeit zur Anpassung zu geben. Die wichtigsten Meilensteine sind:
Inkrafttreten
Die KI-Verordnung tritt offiziell in Kraft.
Verbote greifen
Die Verbote von KI-Systemen mit unannehmbarem Risiko (z. B. Social Scoring, biometrisches Scraping) werden bindend.
Allgemeine KI-Modelle
Regeln zur Governance und Transparenz für Basismodelle (wie LLMs) und Mehrzweck-KI treten in Kraft.
Hochrisiko-KI (Anhang III)
Die meisten Pflichten für Hochrisiko-Systeme (HR-Tools, Bildung, Biometrie, kritische Infrastrukturen) greifen.
Hochrisiko-KI (Anhang I)
KI-Systeme, die in Produkte mit Pflicht zur Drittzertifizierung (Medizinprodukte, Luftfahrt, Fahrzeuge) integriert sind, müssen konform sein.
Find out if your company is in scope
Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?
Die vier Risikoklassen des AI Acts
Der AI Act folgt dem Prinzip: Gleiche Risiken erfordern gleiche Regeln. Je nach potenzieller Gefährdung für Bürgerinnen und Bürger werden KI-Systeme in vier Klassen unterteilt:
Verbotene Systeme
Komplett verboten. Dazu gehören Social Scoring, biometrische Kategorisierung nach sensiblen Daten, manipulative Verhaltensbeeinflussung und wahllose Überwachung.
Streng regulierte KI
Erlaubt, aber unter strengen Auflagen. Beispiele: CV-Vorauswahl, Bonitätsprüfung, biometrische Identifizierung, Steuerung kritischer Infrastrukturen, Medizinprodukte.
Transparenzpflicht
Unterliegt reinen Transparenzpflichten. Nutzer müssen wissen, dass sie mit einer KI interagieren (z. B. Chatbots, Deepfakes, generative KI-Texte/Bilder).
Keine Regulierung
Keine gesetzlichen Pflichten. Betrifft die große Mehrheit der heute genutzten KI-Anwendungen, wie Spam-Filter, Übersetzungs-Tools und KI-Videospiele.
Wer hat welche Pflichten?
Der AI Act unterscheidet strikt zwischen Anbietern (die ein KI-System entwickeln) und Betreibern (die ein KI-System im beruflichen Kontext einsetzen). Die Pflichten für Hochrisiko-Systeme umfassen:
Pflichten für Anbieter
- ✔Risikomanagement-System: Einrichtung eines kontinuierlichen, systematischen Risikomanagement-Zyklus.
- ✔Daten-Governance: Verwendung hochwertiger, repräsentativer und fehlerfreier Trainingsdaten zur Vermeidung von Biases.
- ✔Technische Dokumentation: Erstellung detaillierter Berichte zum Nachweis der Compliance vor dem Inverkehrbringen.
- ✔Automatische Protokollierung: Integration von Logs zur Rückverfolgbarkeit des Systembetriebs.
- ✔Menschliche Aufsicht: Einbau von Schnittstellen zur wirksamen menschlichen Kontrolle (Human-in-the-Loop).
Pflichten für Betreiber
- ✔Gebrauchsanweisung einhalten: Nutzung des Systems strictly gemäß der mitgelieferten Dokumentation.
- ✔Eingangsdaten überwachen: Sicherstellen, dass die Eingabedaten qualitativ hochwertig und für den Zweck relevant sind.
- ✔Protokolle aufbewahren: Aufbewahrung der vom System generierten Betriebsprotokolle für mindestens 6 Monate.
- ✔Grundrechte-Folgenabschätzung: Durchführung einer Grundrechte-Folgenabschätzung (für öffentliche Stellen und Banken).
- ✔Störungsmeldung: Sofortige Meldung schwerer Fehlfunktionen oder Diskriminierungen an den Anbieter.
Find out if your company is in scope
Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?
Praxistipps: So bereiten Sie sich vor
Obwohl viele Fristen in der Zukunft liegen, sollten Unternehmen jetzt handeln. Ein proaktiver Compliance-Ansatz vermeidet nicht nur Bußgelder, sondern schafft Vertrauen bei Kunden.
KI-Inventarisierung durchführen
Erfassen Sie alle im Unternehmen eingesetzten oder geplanten KI-Anwendungen (inklusive externer APIs, SaaS-Produkte und eigener Modelle).
Risikoklassifizierung vornehmen
Prüfen Sie, in welche Risikoklasse jede KI-Anwendung fällt. Identifizieren Sie Hochrisiko-Systeme frühzeitig.
Lieferantenverträge prüfen
Fordern Sie von Ihren Softwareanbietern Konformitätsnachweise und passen Sie Verträge bezüglich Haftungsregelungen an.
KI-Governance einführen
Setzen Sie interne Richtlinien für die Beschaffung, Nutzungsgrenzen, Überwachung und Verantwortlichkeiten bei KI auf.
Mitarbeiter schulen
Fördern Sie die KI-Kompetenz (AI Literacy) im gesamten Team, um Risikobewusstsein und korrekten Umgang zu verankern.
Praktische Compliance-Tools & Frameworks
Um den Übergang von der Theorie zur Praxis zu erleichtern, können Organisationen offizielle Leitlinien, Selbsteinschätzungen sowie technische Open-Source-Frameworks nutzen:
ALTAI-Selbsteinschätzung
Die Assessment List for Trustworthy AI (ALTAI) ist die offizielle praktische Checkliste der EU. Sie leitet Unternehmen durch strukturierte Fragen zu Ethik, Datenmanagement, Sicherheit und Transparenz.
AI Act Compliance-Checker
Interaktive Web-Tools von Rechtsexperten und Entwickler-Communitys zur Abbildung Ihrer KI-Architektur. Diese helfen Ihnen dabei, das Risiko (Verboten, Hoch, Begrenzt, Minimal) schnell zu bestimmen.
KI-Diskriminierungsprüfung (AIF360)
Open-Source-Toolkits wie IBMs AI Fairness 360 (AIF360) oder Fairlearn unterstützen Entwickler dabei, Vorurteile (Biases) in Trainingsdaten und Modellen zu erkennen und zu verringern, gemäß den Vorgaben aus Artikel 10.
InterpretML (Erklärbare KI)
Transparenz ist eine Kernanforderung der EU-Verordnung. InterpretML ist eine Open-Source-Bibliothek, mit der Entwickler verständliche Modelle trainieren und Entscheidungen komplexer Algorithmen erklären können.
Häufig gestellte Fragen (FAQ)
Was ist der EU AI Act?
Der EU AI Act (Verordnung EU 2024/1689) ist das weltweit erste umfassende Gesetz für Künstliche Intelligenz. Es führt ein risikobasiertes Klassifizierungssystem ein, das KI-Systemen je nach Bedrohungsgrad für Sicherheit, Gesundheit und Grundrechte strenge Pflichten auferlegt.
Gilt der AI Act auch für Unternehmen außerhalb der EU?
Ja. Der AI Act hat eine weitreichende extraterritoriale Wirkung. Er gilt für alle Anbieter, die KI-Systeme in der EU in Verkehr bringen, sowie für Betreiber in der EU. Zudem erfasst er Akteure in Drittländern, wenn die vom KI-System erzeugten Ergebnisse in der EU verwendet werden.
Welche Risikoklassen gibt es unter dem AI Act?
Der AI Act unterscheidet vier Risikostufen: 1) Unannehmbares Risiko (verboten, z.B. Social Scoring, biometrische Kategorisierung), 2) Hohes Risiko (streng reguliert, z.B. kritische Infrastruktur, Personalwesen, Strafverfolgung), 3) Begrenztes Risiko (Transparenzpflichten, z.B. Chatbots, Deepfakes) und 4) Minimales Risiko (unreguliert, z.B. Spam-Filter).
Wie hoch sind die Bußgelder bei Verstößen?
Die Strafen sind drakonisch. Verstöße gegen verbotene KI-Praktiken können Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes nach sich ziehen. Die Verletzung von Pflichten für Hochrisiko-Systeme kann mit bis zu 15 Mio. € oder 3 % des weltweiten Umsatzes geahndet werden.
Wie überschneidet sich der AI Act mit DSGVO und NIS2?
Der AI Act ergänzt beide Gesetze. Während die DSGVO den Schutz personenbezogener Daten in KI-Modellen regelt und NIS2 die Cybersicherheit der zugrundeliegenden IT-Infrastruktur sichert, regelt der AI Act die inhärente Sicherheit, Transparenz und ethischen Grenzen der KI-Systeme selbst.
Offizielle Quellen
Für detaillierte rechtliche Recherchen nutzen Sie die offiziellen EU-Publikationen:
- ↗Official AI Act Text (Regulation EU 2024/1689) — Vollständiger Verordnungstext im Amtsblatt der Europäischen Union (EUR-Lex).
- ↗European Commission AI Office — Die zentrale Anlaufstelle der EU-Kommission für Governance, Compliance und Leitlinien.
Sichern Sie auch Ihre Cybersicherheit (NIS2)
Die Absicherung von KI-Systemen erfordert auch den Schutz der zugrundeliegenden Netzwerke. Prüfen Sie mit unserem kostenfreien Scope-Checker, ob Ihr Unternehmen unter NIS2 fällt.
NIS2 Scope-Checker starten →