Der EU AI Act – Dein Rahmenwerk für den sicheren Umgang mit Künstlicher Intelligenz

Der EU AI Act wurde im Frühjahr 2024 final verabschiedet und wird ab 2026 in den Mitgliedstaaten verbindlich anwendbar sein – mit Übergangsfristen für bestimmte Teile bereits ab 2025. Es handelt sich um eine Verordnung, die unmittelbar in allen EU-Staaten gilt, ohne dass nationale Umsetzungsgesetze nötig sind.

Ziel der Verordnung ist es, einen klaren Rechtsrahmen für die Entwicklung, den Einsatz und die Kontrolle von KI-Systemen zu schaffen – mit Fokus auf:

• Sicherheit und Gesundheit

• Grundrechte- und Datenschutz

• Vertrauen und Transparenz

• Innovation und fairer Wettbewerb

Dabei folgt der AI Act einem risikobasierten Ansatz, der KI-Systeme in vier Risikoklassen einteilt.

2️⃣ Die vier Risikoklassen des AI Act – Wo steht Dein KI-System?

1. Verbotene KI-Anwendungen (Unacceptable Risk)

Diese KI-Systeme sind grundsätzlich verboten, weil sie mit europäischen Werten unvereinbar sind. Dazu gehören:

• Manipulative Systeme (z. B. Social Scoring durch den Staat)

• Echtzeit-Biometrie zur Überwachung im öffentlichen Raum (außer in Ausnahmen)

• Systeme, die Menschen aufgrund ihrer Herkunft, Religion oder sexuellen Orientierung benachteiligen

→ Für Dich gilt: Solche Systeme darfst Du weder entwickeln noch vertreiben noch einsetzen.

2. Hochrisiko-KI-Systeme (High Risk AI)

Hierzu zählen alle Systeme, die sicherheitskritisch sind oder grundlegende Rechte betreffen. Beispiele:

• KI in Medizinprodukten, Luftfahrt, Fahrzeugtechnik

• Bewerbermanagementsysteme oder KI im Kredit-Scoring

• Entscheidungsunterstützung in Gerichten oder Verwaltung

• KI in kritischer Infrastruktur oder bei Zugang zu Bildung

→ Als Anbieter, Betreiber oder Importeur unterliegst Du strengen Anforderungen:

• Risikomanagementsystem

• Technische Dokumentation

• Daten- und Datensatzanforderungen

• Protokollierung und Nachvollziehbarkeit

• Transparenzpflichten und Nutzerinformationen

• Human Oversight: Menschliche Aufsicht ist Pflicht!

• Cybersicherheit und Robustheit

3. Begrenztes Risiko (Limited Risk)

Hierunter fallen interaktive KI-Systeme, wie z. B.:

• Chatbots

• Emotionserkennungssoftware

• Empfehlungssysteme in sozialen Medien

→ Du musst sicherstellen, dass Nutzer über die KI-Komponente informiert sind („Diese Unterhaltung wird durch KI unterstützt“).

4. Minimales Risiko (Minimal Risk)

Dazu zählen KI-Anwendungen wie:

• Spam-Filter

• Übersetzungssoftware

• Videospiel-KI

→ Diese Systeme kannst Du ohne besondere Anforderungen nutzen – „KI ohne Reue“, solange kein Hochrisiko-Potenzial besteht.

3️⃣ Pflichten für Anbieter, Nutzer und Importeure – Was musst Du beachten?

Der EU AI Act unterscheidet zwischen verschiedenen Rollen:

Als Anbieter von Hochrisiko-KI-Systemen musst Du unter anderem:

• Ein QM-System nach ISO-Standards einführen

• Eine CE-Kennzeichnung sicherstellen

• Das System in eine EU-weite KI-Datenbank eintragen

• Eine Konformitätsbewertung durchführen (teils mit Notifizierter Stelle)

Als Nutzer musst Du vor allem:

• Den vorgesehenen Einsatzzweck einhalten

• Schulungen für Mitarbeitende sicherstellen

• Die menschliche Aufsicht gewährleisten

• Risiken und Fehlfunktionen melden

4️⃣ Spezialfall: General Purpose AI und Foundation Models

Der finale AI Act enthält auch Vorschriften für Generative KI-Systeme wie GPT, Claude oder LLaMA.

Wenn Du ein Unternehmen bist, das z. B. GPT-4 in Deine Software einbindet oder intern nutzt, musst Du:

• Herkunft der Trainingsdaten offenlegen, sofern Du eigene Modelle trainierst

• Copyrights berücksichtigen

• Deepfakes kennzeichnen, wenn Bilder, Stimmen oder Videos KI-generiert sind

• Bei besonders leistungsstarken Systemen („General Purpose AI mit systemischem Risiko“) gelten zusätzliche Berichtspflichten und Sicherheitsauflagen

5️⃣ Strafen bei Verstößen – Diese Sanktionen drohen

Der AI Act enthält einen eigenen Bußgeldkatalog – ähnlich wie die DSGVO. Verstöße gegen zentrale Vorgaben können mit Geldbußen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden.

→ Für Dich heißt das: Compliance ist kein „Nice-to-have“, sondern absolute Pflicht!

6️⃣ Was kannst Du jetzt tun? – 5 Schritte zur Vorbereitung

1. Klassifiziere Deine KI-Systeme

Welche Anwendungen nutzt Du bereits oder planst Du in Zukunft? Ordne sie einer Risikokategorie zu.

2. Erstelle ein KI-Verzeichnis

Führe ein zentrales Verzeichnis aller KI-Systeme, die in Deinem Unternehmen verwendet werden – inkl. Verantwortlicher, Einsatzzweck, Risiko und Update-Stand.

3. Baue ein AI Governance Framework auf

Definiere Prozesse, Richtlinien, Verantwortlichkeiten und Kontrollmechanismen für den gesamten KI-Lifecycle (Design, Entwicklung, Einsatz, Monitoring, Stilllegung).

4. Dokumentiere und kontrolliere

Insbesondere bei Hochrisiko-KI musst Du eine Technische Dokumentation, ein Risikomanagementsystem und Prüfprozesse etablieren.

5. Schaffe Bewusstsein und schule Deine Teams

Sensibilisiere Führungskräfte und Mitarbeitende für die Anforderungen des AI Acts – z. B. durch E-Learning, Inhouse-Schulungen oder Checklisten.

🧾 Fazit: Der EU AI Act ist Chance und Verpflichtung zugleich

Der EU AI Act ist ein Meilenstein in der Regulierung digitaler Technologien. Er schützt die Grundrechte, schafft Vertrauen in KI und fördert Innovation. Für Dich als Entscheider bedeutet er:

• Du kannst KI gezielt und sicher einsetzen, ohne in rechtliche Grauzonen zu geraten

• Du wirst zum verlässlichen Partner für Kunden und Behörden, weil Du nachvollziehbar regelkonform arbeitest

• Du kannst Transparenz und Governance als strategischen Wettbewerbsvorteil nutzen

Dein nächster Schritt mit S+P

Mit dem S+P Compliance Kit für den AI Act bieten wir Dir:

✅ Muster-Verzeichnis für KI-Systeme
✅ Vorlagen für Risiko- und Konformitätsbewertungen
✅ Schulungspakete für Fachbereiche und IT
✅ Audit-Checklisten auf Basis ISO 42001
✅ Beratung zur Governance-Struktur von AI-Projekten

👉 Jetzt Whitepaper anfordern: „AI Act konkret – Pflichten, Fristen, Fahrplan“
👉 Seminar buchen: AI Compliance für Unternehmen – Von der Theorie zur Umsetzung