EU AI Act

Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung kuenstlicher Intelligenz. Die Verordnung wurde im Juni 2024 vom Europaeischen Parlament verabschiedet, trat im August 2024 in Kraft und wird stufenweise bis 2027 vollstaendig anwendbar. Sie verfolgt einen risikobasierten Ansatz: Je hoeher das Risiko eines KI-Systems, desto strenger die Anforderungen. Fuer Unternehmen im europaeischen Markt ist der EU AI Act verbindlich — unabhaengig davon, ob der Anbieter in der EU sitzt.

Welchen Ansatz verfolgt der EU AI Act?

Der EU AI Act reguliert KI-Systeme nicht pauschal, sondern stuft sie nach ihrem Risikopotenzial ein. Diese risikobasierte Einstufung bestimmt, welche Pflichten fuer Anbieter und Betreiber gelten. Der Gesetzgeber unterscheidet vier Risikostufen:

• Unannehmbares Risiko (verboten): KI-Systeme, die als inakzeptable Bedrohung fuer Grundrechte gelten, sind vollstaendig verboten. Dazu gehoeren unter anderem: Social Scoring durch Behoerden, biometrische Echtzeit-Fernidentifikation im oeffentlichen Raum (mit eng definierten Ausnahmen fuer Strafverfolgung), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie manipulative KI-Techniken, die das Verhalten von Personen unterschwellig beeinflussen.
• Hohes Risiko: KI-Systeme, die in sicherheitskritischen Bereichen oder bei Entscheidungen ueber Menschen eingesetzt werden, unterliegen strengen Anforderungen. Beispiele: KI in der medizinischen Diagnostik, bei Kreditvergabeentscheidungen, in der Personalauswahl, in kritischer Infrastruktur oder in der Strafverfolgung.
• Begrenztes Risiko (Transparenzpflichten): KI-Systeme, die mit Menschen interagieren, muessen offenlegen, dass es sich um KI handelt. Das betrifft insbesondere Chatbots, KI-generierte Bilder und Videos (Deepfakes) sowie Systeme zur Emotionserkennung.
• Minimales Risiko: Die grosse Mehrheit der KI-Anwendungen — etwa Spamfilter, KI-gestuetzte Suchfunktionen oder automatische Textvervollstaendigung — faellt in diese Kategorie und unterliegt keinen spezifischen Pflichten.

Welche Pflichten gelten fuer Hochrisiko-KI?

Hochrisiko-KI-Systeme unterliegen den umfangreichsten Anforderungen des EU AI Act. Anbieter und Betreiber muessen unter anderem:

• Risikomanagementsystem: Ein dokumentiertes System zur Identifikation, Analyse und Minderung von Risiken ueber den gesamten Lebenszyklus des KI-Systems.
• Datenqualitaet: Trainingsdaten muessen relevant, repraesentativ und moeglichst fehlerfrei sein. Verzerrungen (Bias) in den Daten muessen erkannt und adressiert werden.
• Technische Dokumentation: Umfassende Dokumentation des Systems, seiner Funktionsweise, Leistungsgrenzen und Testmethoden.
• Menschliche Aufsicht: Hochrisiko-Systeme muessen so gestaltet sein, dass Menschen sie effektiv ueberwachen und bei Bedarf eingreifen koennen.
• Genauigkeit und Robustheit: Die Systeme muessen ein angemessenes Mass an Genauigkeit, Robustheit und Cybersicherheit gewaehrleisten.
• Protokollierung: Automatische Aufzeichnung relevanter Vorgaenge, um die Nachverfolgbarkeit sicherzustellen.
• Konformitaetsbewertung: Vor der Marktplatzierung muss eine Konformitaetsbewertung durchgefuehrt werden, bei bestimmten Systemen durch eine unabhaengige Pruefstelle.

Was muessen Unternehmen konkret tun?

Die praktischen Auswirkungen haengen davon ab, ob ein Unternehmen KI-Systeme entwickelt (Anbieter), einsetzt (Betreiber) oder beides:

Fuer alle Unternehmen, die KI einsetzen:

• Bestandsaufnahme: Welche KI-Systeme sind im Einsatz? In welche Risikokategorie fallen sie?
• Pruefen, ob verbotene Praktiken betroffen sind (muessen seit Februar 2025 eingestellt sein).
• Transparenzpflichten umsetzen: KI-generierte Inhalte kennzeichnen, Nutzer ueber KI-Interaktion informieren.
• Bei Hochrisiko-Systemen: Sicherstellen, dass der Anbieter die Anforderungen erfuellt, und eigene Betreiberpflichten umsetzen (menschliche Aufsicht, Ueberwachung, Meldepflichten).

Fuer KI-Anbieter:

• Risikoklassifizierung des eigenen Systems vornehmen.
• Bei Hochrisiko-Einstufung: Alle technischen und organisatorischen Anforderungen umsetzen, Konformitaetsbewertung durchfuehren, EU-Datenbank registrieren.
• Bei General-Purpose AI (GPAI, z. B. Sprachmodelle): Zusaetzliche Transparenzpflichten erfuellen, technische Dokumentation bereitstellen, Urheberrechtsregelungen einhalten.

Welcher Zeitplan gilt?

Der EU AI Act wird stufenweise anwendbar:

Welche Strafen drohen bei Verstoessen?

Der EU AI Act sieht erhebliche Bussgeldrahmen vor, die nach Schwere des Verstosses gestaffelt sind:

• Verbotene KI-Praktiken: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag hoeher ist).
• Verstoesse gegen Hochrisiko-Anforderungen: Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.
• Falsche Angaben gegenueber Behoerden: Bis zu 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes.

Fuer kleine und mittlere Unternehmen (KMU) gelten reduzierte Hoechstbetraege.

Fazit

Der EU AI Act schafft einen verbindlichen Rechtsrahmen fuer den KI-Einsatz in Europa. Sein risikobasierter Ansatz stellt sicher, dass die Regulierung dort greift, wo die groessten Risiken bestehen, waehrend risikoarme Anwendungen weitgehend unreguliert bleiben. Fuer Unternehmen ist der erste Schritt eine Bestandsaufnahme der eingesetzten KI-Systeme und deren Risikoeinstufung. Die stufenweise Einfuehrung bis 2027 gibt Zeit zur Vorbereitung — mit den Verboten unannehmbarer Praktiken und den GPAI-Pflichten greifen die ersten Regelungen aber bereits.