Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Seit dem 1. August 2024 in Kraft, werden die Regelungen schrittweise bis 2027 wirksam. Ziel ist es, Innovation zu fördern und gleichzeitig Grundrechte, Sicherheit und Datenschutz zu schützen.
Der risikobasierte Ansatz
Die KI-Verordnung klassifiziert KI-Systeme nach ihrem Risikopotenzial. Je höher das Risiko für Grundrechte und Sicherheit, desto strenger sind die Anforderungen:
| Risikoklasse | Beispiele | Regelung |
|---|---|---|
| Unannehmbares Risiko | Social Scoring, Massenüberwachung, Manipulation | VERBOTEN seit Februar 2025 |
| Hohes Risiko | Medizin-Diagnose, Personalauswahl, Kreditvergabe, Justiz | Strenge Anforderungen, Konformitätsbewertung, CE-Kennzeichnung |
| Begrenztes Risiko | Chatbots, Deepfakes, generative KI | Transparenzpflichten (Kennzeichnung) |
| Minimales Risiko | Spam-Filter, Videospiel-KI | Keine besonderen Auflagen |
Zeitplan der Umsetzung
| Datum | Regelungen in Kraft |
| 02.02.2025 | Verbotene KI-Praktiken, KI-Kompetenz-Anforderungen |
| 02.08.2025 | Regelungen für GPAI-Modelle (z.B. ChatGPT), Governance-Strukturen |
| 02.08.2026 | Vollständige Anwendung, Hochrisiko-KI-Anforderungen, Transparenzpflichten |
| 02.08.2027 | Hochrisiko-KI in regulierten Produkten (z.B. Medizinprodukte) |
EU AI Act – Die KI-Verordnung
Pflichten für Unternehmen
Die Pflichten variieren je nach Rolle in der KI-Wertschöpfungskette:
Für alle Unternehmen (ab August 2025)
- Vollständiges KI-Inventar mit Risikoklassifizierung führen
- Ausschluss verbotener KI-Anwendungen sicherstellen
- KI-Kompetenz bei Mitarbeitenden sicherstellen und nachweisen
Für Anbieter von Hochrisiko-KI (ab August 2026)
- Qualitäts- und Risikomanagementsystem einrichten
- Technische Dokumentation erstellen
- Konformitätsbewertung durchführen
- CE-Kennzeichnung anbringen
- Registrierung in EU-Datenbank
Sanktionen
Bei Verstößen drohen erhebliche Bußgelder: bis zu 35 Mio. Euro oder 7% des weltweiten Jahresumsatzes (je nachdem, was höher ist). Die Sanktionsbefugnis greift ab August 2026 vollständig. In Deutschland wird voraussichtlich die Bundesnetzagentur mit der Überwachung betraut.
| Wichtig für Unternehmen Der 2. August 2025 ist ein verbindlicher Stichtag. Unternehmen sollten jetzt mit der Bestandsaufnahme ihrer KI-Systeme, der Rollenklärung und Systembewertung beginnen. Der ‘KI-Service Desk’ der Bundesnetzagentur dient als erste Anlaufstelle für Fragen zur praktischen Umsetzung. |