Der EU AI Act wurde im Frühjahr 2024 final verabschiedet und wird ab 2026 in den Mitgliedstaaten verbindlich anwendbar sein – mit Übergangsfristen für bestimmte Teile bereits ab 2025. Es handelt sich um eine Verordnung, die unmittelbar in allen EU-Staaten gilt, ohne dass nationale Umsetzungsgesetze nötig sind.
Ziel der Verordnung ist es, einen klaren Rechtsrahmen für die Entwicklung, den Einsatz und die Kontrolle von KI-Systemen zu schaffen – mit Fokus auf:
-
Sicherheit und Gesundheit
-
Grundrechte- und Datenschutz
-
Vertrauen und Transparenz
-
Innovation und fairer Wettbewerb
Dabei folgt der AI Act einem risikobasierten Ansatz, der KI-Systeme in vier Risikoklassen einteilt.
1. Verbotene KI-Anwendungen (Unacceptable Risk)
Diese KI-Systeme sind grundsätzlich verboten, weil sie mit europäischen Werten unvereinbar sind. Dazu gehören:
-
Manipulative Systeme (z. B. Social Scoring durch den Staat)
-
Echtzeit-Biometrie zur Überwachung im öffentlichen Raum (außer in Ausnahmen)
-
Systeme, die Menschen aufgrund ihrer Herkunft, Religion oder sexuellen Orientierung benachteiligen
→ Für Dich gilt: Solche Systeme darfst Du weder entwickeln noch vertreiben noch einsetzen.
2. Hochrisiko-KI-Systeme (High Risk AI)
Hierzu zählen alle Systeme, die sicherheitskritisch sind oder grundlegende Rechte betreffen. Beispiele:
-
KI in Medizinprodukten, Luftfahrt, Fahrzeugtechnik
-
Bewerbermanagementsysteme oder KI im Kredit-Scoring
-
Entscheidungsunterstützung in Gerichten oder Verwaltung
-
KI in kritischer Infrastruktur oder bei Zugang zu Bildung
→ Als Anbieter, Betreiber oder Importeur unterliegst Du strengen Anforderungen:
-
Risikomanagementsystem
-
Technische Dokumentation
-
Daten- und Datensatzanforderungen
-
Protokollierung und Nachvollziehbarkeit
-
Transparenzpflichten und Nutzerinformationen
-
Human Oversight: Menschliche Aufsicht ist Pflicht!
-
Cybersicherheit und Robustheit
3. Begrenztes Risiko (Limited Risk)
Hierunter fallen interaktive KI-Systeme, wie z. B.:
→ Du musst sicherstellen, dass Nutzer über die KI-Komponente informiert sind („Diese Unterhaltung wird durch KI unterstützt“).
4. Minimales Risiko (Minimal Risk)
Dazu zählen KI-Anwendungen wie:
-
Spam-Filter
-
Übersetzungssoftware
-
Videospiel-KI
→ Diese Systeme kannst Du ohne besondere Anforderungen nutzen – „KI ohne Reue“, solange kein Hochrisiko-Potenzial besteht.
Als Anbieter von Hochrisiko-KI-Systemen musst Du unter anderem:
-
Ein QM-System nach ISO-Standards einführen
-
Eine CE-Kennzeichnung sicherstellen
-
Das System in eine EU-weite KI-Datenbank eintragen
-
Eine Konformitätsbewertung durchführen (teils mit Notifizierter Stelle)
Als Nutzer musst Du vor allem:
-
Den vorgesehenen Einsatzzweck einhalten
-
Schulungen für Mitarbeitende sicherstellen
-
Die menschliche Aufsicht gewährleisten
-
Risiken und Fehlfunktionen melden
Der finale AI Act enthält auch Vorschriften für Generative KI-Systeme wie GPT, Claude oder LLaMA.
Wenn Du ein Unternehmen bist, das z. B. GPT-4 in Deine Software einbindet oder intern nutzt, musst Du:
-
Herkunft der Trainingsdaten offenlegen, sofern Du eigene Modelle trainierst
-
Copyrights berücksichtigen
-
Deepfakes kennzeichnen, wenn Bilder, Stimmen oder Videos KI-generiert sind
-
Bei besonders leistungsstarken Systemen („General Purpose AI mit systemischem Risiko“) gelten zusätzliche Berichtspflichten und Sicherheitsauflagen
Der AI Act enthält einen eigenen Bußgeldkatalog – ähnlich wie die DSGVO. Verstöße gegen zentrale Vorgaben können mit Geldbußen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.
→ Für Dich heißt das: Compliance ist kein „Nice-to-have“, sondern absolute Pflicht!
1. Klassifiziere Deine KI-Systeme
Welche Anwendungen nutzt Du bereits oder planst Du in Zukunft? Ordne sie einer Risikokategorie zu.
2. Erstelle ein KI-Verzeichnis
Führe ein zentrales Verzeichnis aller KI-Systeme, die in Deinem Unternehmen verwendet werden – inkl. Verantwortlicher, Einsatzzweck, Risiko und Update-Stand.
3. Baue ein AI Governance Framework auf
Definiere Prozesse, Richtlinien, Verantwortlichkeiten und Kontrollmechanismen für den gesamten KI-Lifecycle (Design, Entwicklung, Einsatz, Monitoring, Stilllegung).
4. Dokumentiere und kontrolliere
Insbesondere bei Hochrisiko-KI musst Du eine Technische Dokumentation, ein Risikomanagementsystem und Prüfprozesse etablieren.
5. Schaffe Bewusstsein und schule Deine Teams
Sensibilisiere Führungskräfte und Mitarbeitende für die Anforderungen des AI Acts – z. B. durch E-Learning, Inhouse-Schulungen oder Checklisten.
Fazit: Der EU AI Act ist Chance und Verpflichtung zugleich
Der EU AI Act ist ein Meilenstein in der Regulierung digitaler Technologien. Er schützt die Grundrechte, schafft Vertrauen in KI und fördert Innovation. Für Dich als Entscheider bedeutet er:
-
Du kannst KI gezielt und sicher einsetzen, ohne in rechtliche Grauzonen zu geraten
-
Du wirst zum verlässlichen Partner für Kunden und Behörden, weil Du nachvollziehbar regelkonform arbeitest
-
Du kannst Transparenz und Governance als strategischen Wettbewerbsvorteil nutzen
Dein nächster Schritt mit S+P
Mit dem S+P Compliance Kit für den AI Act bieten wir Dir:
✅ Muster-Verzeichnis für KI-Systeme
✅ Vorlagen für Risiko- und Konformitätsbewertungen
✅ Schulungspakete für Fachbereiche und IT
✅ Audit-Checklisten auf Basis ISO 42001
✅ Beratung zur Governance-Struktur von AI-Projekten
👉 Jetzt Whitepaper anfordern: „AI Act konkret – Pflichten, Fristen, Fahrplan“
👉 Seminar buchen: AI Compliance für Unternehmen – Von der Theorie zur Umsetzung
