Was ist der EU AI Act?
Der EU AI Act (Verordnung über Künstliche Intelligenz) ist die weltweit erste umfassende KI-Regulierung. Er trat am 1. August 2024 in Kraft und wird ab August 2026 für die meisten Bestimmungen voll anwendbar. Unternehmen müssen jetzt handeln.
Der AI Act folgt einem risikobasierten Ansatz — je höher das Risiko einer KI-Anwendung, desto strenger die Anforderungen.
Die 4 Risikoklassen
1. Unannehmbares Risiko (Verboten)
Folgende KI-Systeme sind in der EU verboten:
- Social Scoring durch staatliche Stellen
- Manipulative KI, die menschliches Verhalten unterbewusst beeinflusst
- Biometrische Identifikation in Echtzeit an öffentlichen Orten (mit Ausnahmen)
- Emotionserkennung am Arbeitsplatz und in Schulen
2. Hohes Risiko (Strenge Pflichten)
High-Risk-KI unterliegt den strengsten Anforderungen. Dazu gehören:
- KI in kritischer Infrastruktur (Energie, Verkehr, Wasser)
- Bildungs- und Berufszugangssysteme
- Personalwesen (Bewertung, Beförderung, Kündigung)
- Essentielle private und öffentliche Dienstleistungen
- Law-Enforcement
- Migrations- und Asylsysteme
- Justizielle Systeme
Pflichten für High-Risk-KI:
- Risikomanagement-System implementieren
- Daten-Governance: Trainingsdaten müssen relevant, repräsentativ und fehlerfrei sein
- Technische Dokumentation führen
- Transparenz und Informationen für Nutzer
- Menschliche Aufsicht (Human Oversight)
- Genauigkeit, Robustheit und Cybersicherheit
- Konformitätsbewertung vor Inverkehrbringen
- Registrierung in EU-Datenbank
3. Begrenztes Risiko (Transparenzpflichten)
KI-Systeme, die mit Menschen interagieren, müssen als KI erkennbar sein. Dazu gehören:
- Chatbots und virtuelle Assistenten
- Deepfakes und KI-generierte Inhalte
- Emotionserkennung (nicht am Arbeitsplatz)
- Biometrische Kategorisierung
Pflicht: Nutzer müssen klar informiert werden, dass sie mit KI interagieren.
4. Minimales Risiko (Keine Pflichten)
Die meisten KI-Anwendungen fallen hierunter. Dazu gehören:
- Spam-Filter
- Empfehlungssysteme
- Übersetzungstools
- Inventarverwaltung
Keine zusätzlichen Pflichten. Freiwillige Verhaltenskodizes möglich.
Fristen und Zeitplan
| Datum | Was gilt |
|---|---|
| 1. Februar 2025 | Verbote für unannehmbare KI gelten |
| 2. August 2025 | General-Purpose AI Model (GPAI) Regeln gelten |
| 2. August 2026 | AI Act voll anwendbar — alle High-Risk-Pflichten gelten |
| 2. August 2027 | Regeln für High-Risk-KI in bestimmten Produkten gelten |
Strafen bei Nichtbeachtung
- Verbotene KI: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
- High-Risk-Pflichtverletzung: bis zu 15 Mio. € oder 3 % des Umsatzes
- Falsche Informationen: bis zu 7,5 Mio. € oder 1 % des Umsatzes
Umsetzungs-Checkliste für Unternehmen
- Inventarisierung: Welche KI-Systeme setzen Sie ein?
- Klassifizierung: Welcher Risikokategorie gehört jedes System an?
- Gap-Analyse: Welche Pflichten bestehen? Was fehlt?
- Dokumentation: Technische Dokumentation erstellen
- Risikomanagement: System etablieren und betreuen
- Transparenz: Nutzer informieren, wo KI eingesetzt wird
- Menschliche Aufsicht: Verantwortliche benennen und schulen
- Datenschutz: DSGVO + AI Act gemeinsam prüfen
- Lieferanten-Management: AI-Provider auf Konformität prüfen
- Mitarbeiter-Schulung: Team für KI-Ethik und Compliance sensibilisieren
Praxis-Tipps
1. Starten Sie jetzt. Die Frist rückt näher. Eine Konformitätsbewertung dauert 3 bis 6 Monate.
2. Der DSB ist Ihr Ansprechpartner. Der Datenschutzbeauftragte sollte auch KI-Compliance übernehmen.
3. Dokumentation ist alles. Jede KI-Entscheidung muss nachvollziehbar sein.
4. Nicht vergessen: DSGVO bleibt gelten. Der AI Act ergänzt, ersetzt aber nicht die DSGVO.