Mit dem Inkrafttreten des EU AI Act am 1. August 2024 hat die Europäische Union Geschichte geschrieben: Als weltweit erste Gesetzgebung setzt er einen verbindlichen Rechtsrahmen für den Einsatz von Künstlicher Intelligenz. Ziel ist es, Innovation zu ermöglichen, ohne die Sicherheit, Transparenz und Grundrechte der EU-Bürger:innen zu gefährden. Der Act ist ein bedeutender Schritt in der globalen Technologiepolitik – vergleichbar mit der DSGVO im Datenschutz.
Besonders hervorzuheben ist der risikobasierte Ansatz des Gesetzes: Je nach potenzieller Gefahr für Menschen und Gesellschaft gelten abgestufte Regeln – von einem vollständigen Verbot bis hin zu einfachen Transparenzanforderungen. Damit will die EU einen ausgewogenen Weg zwischen technologischem Fortschritt und gesellschaftlicher Verantwortung gehen.
Der AI Act ist also nicht nur Regulierung, sondern auch ein Innovationssignal an Unternehmen, Start-ups und Investoren in Europa.
©European Union of the Deaf
Die vier Risikoklassen für KI-Systeme
Der EU AI Act teilt KI-Systeme in vier Risikokategorien ein. Diese Einstufung ist entscheidend, denn je höher das Risiko, desto strenger die gesetzlichen Anforderungen. Ziel ist es, potenzielle Gefahren frühzeitig zu erkennen und entsprechende Maßnahmen verbindlich vorzuschreiben.
1. Unannehmbares Risiko: Verbotene KI-Anwendungen
KI-Systeme, die ein unannehmbares Risiko darstellen, sind im gesamten EU-Raum verboten. Dazu gehören:
- Social Scoring nach dem Vorbild autoritärer Staaten
- Echtzeit-Gesichtserkennung im öffentlichen Raum (mit wenigen Ausnahmen)
- Manipulative Systeme, die das Verhalten von Menschen gezielt beeinflussen sollen
Diese Technologien gelten als Verstoß gegen die Grundrechte und sind daher nicht zulässig – unabhängig von ihrem Nutzen.
2. Hohes Risiko: Stark regulierte Systeme
Hochrisiko-KI ist erlaubt, aber streng reguliert. Typische Anwendungsfelder sind:
- Gesundheitswesen (z. B. Diagnosetools)
- Bildung (z. B. Prüfungsbewertung)
- Justiz (z. B. Risikobewertung bei Bewährung)
- Kritische Infrastrukturen (z. B. Energieversorgung)
- Personalwesen (z. B. automatisierte Bewerberauswahl)
Für diese Systeme gelten u. a.:
- Risikomanagement- und Kontrollsysteme
- Hohe Anforderungen an Datenqualität und Fairness
- Menschliche Aufsicht
- Regelmäßige Konformitätsprüfungen
3. Begrenztes Risiko: Transparenz ist Pflicht
Hierunter fallen z. B. Chatbots oder Deepfakes. Sie sind grundsätzlich erlaubt, unterliegen aber Transparenzpflichten. Nutzer müssen klar erkennen können, dass sie mit einem KI-System interagieren – etwa durch Kennzeichnung oder Hinweise auf der Benutzeroberfläche.
4. Minimales Risiko: Freiraum für Innovation
Der Großteil aller KI-Anwendungen – z. B. Spamfilter, Produktvorschläge oder Videospiele – fällt in diese Kategorie. Für sie bestehen keine speziellen regulatorischen Anforderungen. Hier setzt die EU bewusst auf Innovationsfreiheit.
©NewTec GmbH
Was bedeutet der AI Act für General Purpose AI wie ChatGPT?
Eine Besonderheit des EU AI Acts ist die separate Regulierung sogenannter General Purpose AI (GPAI) – also KI-Modelle, die für eine Vielzahl von Anwendungen genutzt werden können. Darunter fallen große Sprachmodelle wie ChatGPT, Claude oder Gemini.
Diese Modelle zeichnen sich dadurch aus, dass sie nicht nur auf eine spezifische Aufgabe trainiert sind, sondern flexibel in verschiedenen Szenarien eingesetzt werden – von Kundenservice über Code-Generierung bis hin zur Content-Erstellung. Gerade weil sie so leistungsstark und vielseitig sind, sieht der Gesetzgeber hier besonderen Regelungsbedarf.
Für GPAI gelten folgende Anforderungen:
- Transparenzpflichten: Entwickler müssen offenlegen, mit welchen Daten das Modell trainiert wurde, welche Fähigkeiten es besitzt und welche Risiken es birgt.
- Kennzeichnungspflicht für KI-generierte Inhalte: Nutzer müssen erkennen können, dass Inhalte (Texte, Bilder, Videos) von einer KI stammen.
- Risikobewertung bei besonders leistungsfähigen Modellen: Systeme, die über eine Rechenleistung von mehr als 10²⁵ FLOPS verfügen (z. B. GPT-4 oder darüber hinaus), unterliegen zusätzlichen Risikoprüfungen und Sicherheitsauflagen.
Das bedeutet konkret: Auch Anbieter wie OpenAI oder Google müssen ihre Modelle auf EU-Standards ausrichten – unabhängig davon, wo sie entwickelt wurden.
Governance: Wer überwacht die Einhaltung?
Die EU hat im Rahmen des AI Acts eine mehrstufige Governance-Struktur geschaffen, um die wirksame, koordinierte und rechtskonforme Umsetzung sicherzustellen. Damit soll verhindert werden, dass das Gesetz reine Theorie bleibt – und stattdessen europaweit für Sicherheit, Transparenz und Innovationsklarheit sorgt.
Das AI Office – die zentrale Steuerstelle auf EU-Ebene
Das AI Office ist eine neu geschaffene Einrichtung innerhalb der Europäischen Kommission. Seine Hauptaufgabe: die übergreifende Koordination und Überwachung der Anwendung des AI Acts. Es entwickelt:
- Leitlinien und Auslegungshilfen für Unternehmen und Behörden
- Standards für Risikobewertungen und Compliance-Verfahren
- Empfehlungen für technologische Entwicklungen rund um KI
Zudem agiert das AI Office als zentrale Schnittstelle zu internationalen Partnern, etwa wenn es um die globale Angleichung von KI-Regeln geht. Bei grenzüberschreitenden Sachverhalten übernimmt es eine Schlichtungs- und Abstimmungsrolle.
Der European Artificial Intelligence Board (EAIB) – Koordination auf Fachebene
Der EAIB bringt Vertreter:innen aller Mitgliedstaaten zusammen. Seine Aufgabe ist es, die kohärente Umsetzung des AI Acts zu garantieren – ähnlich wie das European Data Protection Board (EDPB) bei der DSGVO.
Typische Aufgaben:
- Abstimmung nationaler Aufsichtsstrategien
- Bewertung von GPAI-Modellen
- Austausch zu technischen und ethischen Fragen
- Erstellung von Empfehlungen für harmonisierte Prüfverfahren
Durch diese Plattform soll verhindert werden, dass einzelne Staaten KI unterschiedlich bewerten oder regulieren – ein Risiko, das angesichts der technologischen Komplexität durchaus besteht.
Nationale Aufsichtsbehörden – Kontrolle vor Ort
Jeder EU-Mitgliedstaat bestimmt eine oder mehrere zuständige Behörden für die Umsetzung des AI Acts. Diese haben weitreichende Befugnisse:
- Durchführung von Audits und Inspektionen bei Unternehmen
- Bearbeitung von Beschwerden durch Verbraucher:innen
- Verhängung von Sanktionen bei Verstößen gegen die Verordnung
- Betreuung und Genehmigung der sogenannten AI Regulatory Sandboxes
Die genaue Ausgestaltung liegt in nationaler Hand – in Deutschland ist etwa zu erwarten, dass Institutionen wie die Bundesnetzagentur oder das BSI (Bundesamt für Sicherheit in der Informationstechnik) zentrale Rollen übernehmen.
Die Governance-Struktur des EU AI Acts ist mehrschichtig, international abgestimmt und praxisnah. Unternehmen müssen sich nicht nur mit EU-Regeln auseinandersetzen, sondern auch mit den spezifischen Anforderungen ihrer nationalen Aufsicht.
©KI.NRW
Zeitplan der Umsetzung: Diese Fristen gelten jetzt
Der EU AI Act wird nicht auf einen Schlag, sondern schrittweise umgesetzt. Der gestaffelte Zeitplan gibt Unternehmen, Behörden und Entwickler:innen die Möglichkeit, sich auf die neuen Vorgaben einzustellen und erforderliche Maßnahmen einzuleiten. Gleichzeitig setzt er klare Deadlines – mit jeweils verbindlicher Rechtswirkung.
Stichtage im Überblick
- Seit 1. August 2024:
Der AI Act ist offiziell in Kraft. Die Grundprinzipien gelten bereits, auch wenn noch keine direkten Pflichten greifen. - Ab Februar 2025:
Verbot von KI-Systemen mit unannehmbarem Risiko tritt in Kraft. Anwendungen wie Social Scoring oder manipulative Verhaltenssteuerung müssen zu diesem Zeitpunkt vom Markt genommen werden. - Ab August 2025:
Erste Pflichten für GPAI-Anbieter treten in Kraft. Dazu zählen insbesondere Transparenzverpflichtungen, Dokumentationspflichten und – bei besonders leistungsfähigen Modellen – zusätzliche Risikobewertungen. - Ab August 2026:
Die Vorgaben für Hochrisiko-KI-Systeme werden vollständig verbindlich. Unternehmen, die in Bereichen wie Medizin, Justiz oder Personalwesen KI einsetzen, müssen bis dahin alle Anforderungen erfüllt haben – inklusive Konformitätsbewertung und Risikomanagementsystemen. - Ab August 2027:
Letzte Übergangsfristen enden. Ab diesem Zeitpunkt ist der AI Act in vollem Umfang anzuwenden – auch für Bestandsmodelle und bereits eingeführte Systeme. Unternehmen müssen vollständig compliant sein.
Wichtig: Je nach Risikoklasse gelten unterschiedliche Übergangsfristen. Unternehmen sollten jetzt prüfen, in welche Kategorie ihre KI-Lösungen fallen – und mit der Umsetzung beginnen.
©ki.rtr.at
Sanktionen: So teuer kann ein Verstoß werden
Der EU AI Act sieht deutliche Strafen bei Verstößen vor – vergleichbar mit der DSGVO. Die Höhe der Sanktionen hängt von der Schwere des Vergehens und der Unternehmensgröße ab. Ziel ist es, echte Anreize zur Einhaltung zu schaffen – und nicht nur symbolische Drohkulissen.
Bußgelder im Überblick:
- Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes
Bei besonders schweren Verstößen, z. B.:- Einsatz verbotener KI-Systeme (z. B. Social Scoring, verdeckte Gesichtserkennung)
- Missachtung zentraler Transparenzpflichten bei GPAI
- Manipulation oder Behinderung von Audits und Inspektionen
- Bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes
Bei sonstigen Verstößen, z. B.:- Mangelhafte Risikobewertungen
- Fehlerhafte Kennzeichnung von KI-Inhalten
- Unzureichende Dokumentation oder unvollständige Berichte
- Bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes
Bei Falschangaben gegenüber Behörden oder bei der Mitwirkungspflicht
Die Bemessung erfolgt jeweils nach dem höheren Wert – also entweder dem absoluten Betrag oder dem prozentualen Anteil am weltweiten Umsatz.
Was bedeutet das für Unternehmen?
Die Strafen sind so konzipiert, dass sie auch für große Tech-Konzerne wirksam sind. Gleichzeitig sollen sie kleinere Unternehmen nicht unverhältnismäßig belasten – hier gelten oft abgestufte Schwellen. Dennoch gilt: Auch KMU müssen ihre Compliance ernst nehmen, um kein unnötiges Risiko einzugehen.
Konkrete Handlungsempfehlungen für Unternehmen
Der EU AI Act ist kein reines Juristenprojekt – er betrifft alle Unternehmensbereiche, die mit digitalen Produkten, Daten oder Automatisierung arbeiten. Gerade Unternehmen mit datengetriebenen Geschäftsmodellen sollten jetzt aktiv werden, um nicht in Rückstand zu geraten.
Hier ein praxisnaher Leitfaden für die wichtigsten Schritte:
1. Risikoanalyse & Kategorisierung
Was ist zu tun?
- Jedes KI-System im Unternehmen sollte auf seine Funktion, Datenbasis und Wirkung hin geprüft werden.
- Ziel ist die Einordnung in eine der vier Risikoklassen (unannehmbar, hoch, begrenzt, minimal).
Warum ist das wichtig?
- Die Risikoklasse bestimmt den gesamten weiteren Umsetzungsaufwand.
- Fehlklassifikationen können später zu Audits oder Bußgeldern führen.
Tools & Methoden:
- Checklisten der EU-Kommission
- Externe Legal Tech-Beratungen
- Interne Workshops mit interdisziplinären Teams (Recht, IT, Produktentwicklung)
2. Aufbau eines AI-Compliance-Frameworks
Was ist zu tun?
- Implementierung eines strukturierten Risikomanagement- und Dokumentationssystems
- Klare Zuständigkeiten definieren (z. B. „KI-Verantwortliche:r“ als Pendant zum Datenschutzbeauftragten)
- Einführung eines Lebenszyklus-Managements für KI-Systeme: von der Entwicklung bis zum Rollout
Pflichten umfassen z. B.:
- Technische und ethische Dokumentation
- Konformitätserklärungen und Prüfberichte
- Register über eingesetzte KI-Systeme
Tipp: Das Framework sollte kompatibel mit bestehenden Prozessen (z. B. ISO, TISAX, Datenschutz-Managementsystemen) aufgebaut werden.
3. Mitarbeiterschulung & Sensibilisierung
Was ist zu tun?
- Aufbau eines internen KI-Weiterbildungsprogramms
- Schulungen für:
- Entwickler:innen (z. B. zu Datenbias und Modelltransparenz)
- Jurist:innen (z. B. zu Haftungsfragen)
- Führungskräfte (z. B. zu strategischen Auswirkungen)
Warum ist das entscheidend?
- Die meisten Risiken entstehen nicht durch Technik, sondern durch Fehlanwendung.
- Ein geschultes Team erkennt Schwachstellen frühzeitig und kann mit Behörden kommunizieren.
Formate:
- Webinare, Microlearnings, interne KI-Guidelines, Best Practice Sessions
4. Nutzung von AI Regulatory Sandboxes (insb. für KMU)
Was ist das?
- In mehreren EU-Staaten werden sogenannte „AI Regulatory Sandboxes“ eingerichtet.
- Unternehmen können dort neue KI-Anwendungen unter Aufsicht der Behörden testen – ohne sofortige Regulierungsfolgen.
Vorteile für KMU:
- Zugang zu rechtlicher Beratung
- Testlauf unter realitätsnahen Bedingungen
- Frühzeitige Rückmeldung zur Compliance
©atvais.com
Chancen und Herausforderungen des AI Acts
Der EU AI Act markiert eine neue Ära in der Regulierung digitaler Technologien – mit enormer Tragweite für Wirtschaft, Gesellschaft und technologische Entwicklung. Er bringt klare Spielregeln in einen bisher weitgehend ungeregelten Bereich und schafft damit ein Fundament für vertrauenswürdige Künstliche Intelligenz „made in Europe“.
Die Chancen:
- Rechtssicherheit für Unternehmen: Statt regulatorischer Grauzonen gibt es nun eindeutige Vorgaben – das schafft Planungssicherheit.
- Vertrauensvorsprung bei Kund:innen: Wer KI nach EU-Standards entwickelt, positioniert sich als verantwortungsbewusster Anbieter.
- Innovationsimpuls: Die Förderung durch Sandboxes, Standards und Leitlinien unterstützt gerade KMU beim Markteintritt.
- Wettbewerbsvorteil: Frühzeitige Compliance kann zu einem echten USP werden – insbesondere in regulierten Märkten wie Gesundheit, Finanzen oder öffentlicher Sektor.
Die Herausforderungen:
- Komplexität der Umsetzung: Gerade kleinere Unternehmen stehen vor hohen Anforderungen an Dokumentation, Technik und Governance.
- Interpretationsspielräume: Manche Begriffe und Schwellenwerte (z. B. bei GPAI) sind noch nicht vollständig geklärt – hier ist laufende Beobachtung nötig.
- Internationale Konkurrenz: Unternehmen außerhalb der EU könnten kurzfristig flexibler agieren – langfristig könnte die EU-Vorbildfunktion aber zum globalen Standard werden.
Fazit für Unternehmen
Der AI Act ist kein reines Compliance-Thema, sondern ein strategisches Zukunftsthema. Wer sich jetzt vorbereitet, kann nicht nur Risiken minimieren – sondern sich als Pionier einer verantwortungsvollen KI-Nutzung positionieren.
Noch mehr Trends gibt's hier
Alle Beiträge