KI und AI

EU AI Act: Alles, was Unternehmen jetzt wissen müssen

Nico Nuss 0
EU AI Act

Der EU-AI-Act ist das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Ziel ist es, Innovation zu ermöglichen und gleichzeitig Sicherheit, Transparenz und Grundrechte zu schützen. Unternehmen, Behörden und Entwickler müssen sich an klare Regeln halten. Diese hängen stark vom Risiko der eingesetzten KI ab. Je größer die potenzielle Gefahr für Menschen, desto strenger sind die Vorschriften. Damit schafft die EU erstmals einen verbindlichen Rahmen für den verantwortungsvollen Einsatz moderner KI-Technologien.

Der EU AI Act auf einen Blick:

  • Ziel: Sicherstellung sicherer und ethischer KI-Systeme in der EU.

  • Risikobasiert: Einteilung in minimales, begrenztes, hohes und unannehmbares Risiko.

  • Strafen: Bis zu 35 Mio. € oder 7% des weltweiten Jahresumsatzes.

  • Zeitplan: Vollständige Anwendung bis Mitte 2026 geplant.

Grundprinzip: Risikobasierte Einteilung von KI

Der EU-AI-Act basiert auf einem klaren Prinzip: Risiko bestimmt Regulierung. KI-Systeme werden in vier Kategorien eingeteilt. Diese reichen von „inakzeptabel“ bis „minimal“. Jede Kategorie bringt unterschiedliche Anforderungen mit sich. Dadurch wird eine flexible Regulierung ermöglicht. Gleichzeitig wird Innovation nicht unnötig eingeschränkt. Ein einfacher Spamfilter wird kaum reguliert. Ein KI-System zur medizinischen Diagnose dagegen unterliegt strengen Regeln. Dieses abgestufte System sorgt für Klarheit. Unternehmen wissen genau, welche Anforderungen gelten. Behörden können gezielt kontrollieren. So entsteht ein ausgewogenes Verhältnis zwischen Fortschritt und Sicherheit.

Risikoklassen nach EU-AI-Act


Risikoklasse / Status Rechtlicher Status Typische Pflichten und Merkmale Beispiele
Inakzeptables Risiko Verboten Keine Nutzung erlaubt Social Scoring, manipulative KI
Hohes Risiko Streng reguliert Dokumentation, Kontrolle, Zertifizierung Medizin-KI, Bewerbungs-KI
Begrenztes Risiko Erlaubt mit Transparenz Kennzeichnungspflicht Chatbots, KI-Generatoren
Minimales Risiko Frei nutzbar Keine besonderen Pflichten Spamfilter

Verbotene KI: Was unter keinen Umständen erlaubt ist

Der EU-AI-Act zieht klare Grenzen. Bestimmte KI-Anwendungen sind vollständig verboten. Dazu gehören Systeme, die Menschen manipulieren. Besonders kritisch ist die Ausnutzung von Schutzbedürftigkeit. Kinder oder Menschen mit Behinderungen müssen besonders geschützt werden. Auch Social Scoring durch staatliche Stellen ist untersagt. Dieses System bewertet Menschen nach Verhalten oder Eigenschaften. Ebenso verboten ist Emotionserkennung am Arbeitsplatz.

Gleiches gilt für Bildungseinrichtungen. KI darf nicht allein Straftaten vorhersagen. Vor allem nicht auf Basis persönlicher Merkmale. Ein weiterer kritischer Punkt ist biometrische Überwachung. Ungezieltes Sammeln von Gesichtsdaten ist nicht erlaubt. Auch Echtzeit-Überwachung im öffentlichen Raum ist stark eingeschränkt. Diese Verbote schützen zentrale Grundrechte. Sie verhindern Missbrauch von Technologie. Gleichzeitig setzen sie klare ethische Grenzen.

Hochrisiko-KI: Compliance-Pflichten und CE-Kennzeichnung

KI-Systeme in kritischen Bereichen (z.B. Recruiting, Bildung, Kreditwürdigkeit) gelten als „Hochrisiko“. Anbieter müssen hier einen strikten Katalog abarbeiten, um Marktzugang in der EU zu erhalten:

  • Risikomanagement-System: Ein kontinuierlicher Prozess über den gesamten Lebenszyklus der KI.

  • Daten-Governance: Trainings-, Validierungs- und Testdaten müssen auf Bias (Voreingenommenheit) geprüft werden.

  • Technische Dokumentation: Nachweis der Konformität, bevor das System in Betrieb geht.

  • Menschliche Aufsicht: „Human-in-the-loop“ ist zwingend; die KI darf keine Letztentscheidung ohne Kontrollmöglichkeit treffen.

  • CE-Kennzeichnung: Erst nach erfolgreicher Konformitätsbewertung darf das CE-Siegel angebracht werden – ein entscheidendes Marktsignal.

Transparenzpflichten: Was Nutzer wissen müssen

Nutzer haben ein „Recht auf Information“. Der EU-AI-Act schreibt vor:

  1. KI-Interaktion: Wer mit einem Chatbot kommuniziert, muss darüber aufgeklärt werden.

  2. Deepfake-Labeling: KI-generierte Bilder, Audio- und Videodateien müssen maschinenlesbar als „manipuliert“ gekennzeichnet werden.

  3. GPAI-Transparenz: Anbieter von Modellen wie GPT-4 müssen Zusammenfassungen der Trainingsdaten (Urheberrecht!) veröffentlichen. Dies schützt nicht nur vor Desinformation, sondern stärkt auch das Vertrauen in legale KI-Anwendungen.

Bei generativer KI gelten zusätzliche Regeln. Anbieter müssen offenlegen, wie Modelle trainiert wurden. Auch Kriterien für Inhalte müssen klar sein. Das betrifft Urheberrechte und Desinformation. Diese Regeln verhindern Missbrauch. Sie fördern einen verantwortungsvollen Umgang mit KI. Unternehmen müssen ihre Systeme entsprechend anpassen.

Allgemeine KI-Modelle und neue Governance-Strukturen

Der AI Act unterscheidet bei Basismodellen zwischen zwei Leistungsklassen:

  • Standard-GPAI: Dokumentationspflichten und Einhaltung des EU-Urheberrechts.

  • GPAI mit systemischem Risiko: Modelle, die mit einer sehr hohen Rechenleistung  trainiert wurden (z.B. sehr große LLMs). Diese müssen zusätzlich Modell-Evaluationen durchführen, Cybersicherheit nachweisen und Energieverbräuche melden.

    Das neu geschaffene EU AI Office in Brüssel überwacht diese Schwergewichte direkt, während nationale Behörden für KMU zuständig sind.

Pflichten für Unternehmen: Wer muss was tun?

Die meisten Unternehmen in Deutschland sind keine Anbieter (Entwickler), sondern Betreiber (Deployer). Ihre Pflichten:

  • Nutzung nach Betriebsanleitung: Die KI darf nicht zweckentfremdet werden (z.B. eine HR-KI für Leistungsüberwachung nutzen).

  • Datenschutzfolgenabschätzung: Prüfung, welche personenbezogenen Daten in die KI fließen.

  • Überwachung im Betrieb: Treten Anomalien oder Diskriminierungen auf, muss der Betrieb gestoppt und der Anbieter informiert werden. Achtung: Modifizieren Sie ein bestehendes System erheblich, werden Sie rechtlich zum Anbieter und übernehmen alle Haftungsrisiken!

Auch eine menschliche Kontrolle ist Pflicht. Importeure prüfen, ob alle Anforderungen erfüllt sind. Händler dürfen nur konforme Systeme verkaufen. Bei verbotener KI gilt ein vollständiges Verbot für alle. Bei geringem Risiko sind die Pflichten minimal. Dennoch gelten allgemeine Sorgfaltspflichten. Diese klare Rollenverteilung sorgt für Verantwortung entlang der gesamten Lieferkette.

EU AI Act Infografik

Infografik: EU AI Act 2026: Zeitplan & Compliance-Checkliste

Pflichten je Akteur und Risikoklasse

Risikoklasse Anbieter Betreiber Importeur Händler
Verboten Keine Nutzung Verbot Kein Import Kein Vertrieb
Hohes Risiko Dokumentation, Prüfung Nutzung & Kontrolle Prüfung vor Import Prüfung vor Verkauf
Begrenzt Transparenz Hinweis an Nutzer Standardpflichten Standardpflichten
Minimal Keine Pflicht Keine Pflicht Keine Pflicht Keine Pflicht

Aktuelle Verbote seit April 2026: Was Unternehmen sofort stoppen müssen

Roadmap der Regulierung: Wichtige Fristen für Unternehmen

Der EU-AI-Act tritt nicht an einem Tag in Kraft, sondern stufenweise:

  • Februar 2025: Verbote für „inakzeptable Risiken“ greifen (z.B. Social Scoring).

  • August 2025: Regeln für GPAI-Modelle werden verbindlich.

  • August 2026: Die meisten Regeln für Hochrisiko-Systeme treten in Kraft.

  • August 2027: Volle Anwendung für KI-Systeme, die bereits in bestehende EU-Produktsicherheitsregeln integriert sind. Tipp: Starten Sie jetzt mit einem KI-Inventar, um Bußgelder von bis zu 7 % des weltweiten Umsatzes zu vermeiden.

Compliance-Kosten und staatliche Förderung für KMU

Die Umsetzung des EU-AI-Act stellt insbesondere mittelständische Unternehmen vor finanzielle Herausforderungen. Experten schätzen die initialen Compliance-Kosten für ein Unternehmen mit ca. 500 Mitarbeitern auf 80.000 bis 250.000 Euro, ergänzt durch jährliche Dokumentationskosten von bis zu 70.000 Euro. Um die Wettbewerbsfähigkeit zu erhalten, bietet der Bund spezielle Förderprogramme an, die bis zu 50 % dieser Ausgaben abdecken können. Eine frühzeitige Klassifizierung der genutzten Systeme ist entscheidend, um unnötige Kosten zu vermeiden und gezielt in die notwendigen technischen Dokumentationen für den EU-AI-Act zu investieren.

Pflichten für General-Purpose AI (GPAI) und Transparenz

Seit August 2025 gelten verschärfte Regeln für Anbieter von Allzweck-KI-Modellen, die im EU-AI-Act als GPAI (General-Purpose AI) definiert sind. Diese müssen detaillierte technische Dokumentationen vorlegen und Informationen über die für das Training verwendeten urheberrechtlich geschützten Inhalte offenlegen. Für Modelle mit systemischen Risiken kommen zusätzliche Sicherheitsprüfungen und Risikominderungsmaßnahmen hinzu. Nutzer solcher Systeme müssen zudem durch klare Kennzeichnungen (z. B. bei Deepfakes) sicherstellen, dass die Interaktion mit einer KI für den Endverbraucher stets erkennbar bleibt.

Neuer Blickwinkel: KI-Regulierung als Wettbewerbsvorteil

Ein oft unterschätzter Aspekt ist der wirtschaftliche Effekt. Viele sehen den EU-AI-Act als Einschränkung. Doch er kann auch ein Vorteil sein. Unternehmen, die früh compliant sind, gewinnen Vertrauen. Kunden achten zunehmend auf Datenschutz und Ethik. Transparente KI kann ein Verkaufsargument werden. Besonders im internationalen Wettbewerb. Europäische Standards könnten global zum Maßstab werden. Ähnlich wie bei der DSGVO.

Firmen mit klarer Governance sind stabiler. Sie vermeiden Skandale und Haftungsrisiken. Zudem schaffen klare Regeln Planungssicherheit. Innovation wird nicht verhindert, sondern gelenkt. Wer früh investiert, profitiert langfristig. Der EU-AI-Act ist daher nicht nur Regulierung. Er ist auch ein strategisches Instrument.

Fazit

Der EU-AI-Act verändert den Umgang mit künstlicher Intelligenz grundlegend. Er schafft klare Regeln, schützt Menschen und fördert Vertrauen. Gleichzeitig lässt er Raum für Innovation. Unternehmen müssen jetzt handeln und ihre Systeme prüfen. Wer vorbereitet ist, hat klare Vorteile. Die Zukunft der KI wird sicherer, transparenter und strukturierter. Genau darin liegt die Chance für Europa.

Quellen:

  • KI-Zertifizierung und Absicherung im Kontext des EU AI Act: Quelle
  • Der Artificial Intelligence Act – eine Praxisanalyse am Beispiel von Gesichtserkennungssoftware: Quelle
  • AI Act der Europäischen Union: Quelle

FAQ

Was ist der EU-AI-Act?

Der EU-AI-Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz, das Sicherheit und Grundrechte schützen soll. Er klassifiziert KI-Systeme in verschiedene Risikostufen, von minimalem bis zu inakzeptablem Risiko.

Welche KI-Systeme sind laut EU-AI-Act verboten?

Verboten sind Systeme mit „inakzeptablem Risiko“, wie etwa Social Scoring durch Behörden oder biometrische Fernidentifizierung in Echtzeit. Seit April 2026 ist zudem Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen untersagt.

Wie hoch sind die Strafen bei Verstößen gegen den EU-AI-Act?

Die Bußgelder sind gestaffelt und können bei schweren Verstößen gegen verbotene Praktiken bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen. Fehlerhafte Dokumentationen oder Transparenzmängel kosten bis zu 15 Millionen Euro oder 3 % des Umsatzes.

Wer muss den EU-AI-Act einhalten?

Die Verordnung betrifft sowohl Anbieter (Entwickler) als auch Betreiber (Nutzer innerhalb eines Unternehmens), die KI-Systeme in der EU in Verkehr bringen oder nutzen. Auch Unternehmen außerhalb der EU fallen darunter, wenn die Ergebnisse ihrer KI innerhalb der Union verwendet werden.

Was gilt als Hochrisiko-KI?

Hierzu zählen Systeme, die erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte haben, wie etwa Software zur Kreditwürdigkeitsprüfung oder zur Bewerberauswahl. Solche Anwendungen unterliegen strengen Transparenz-, Dokumentations- und menschlichen Aufsichtspflichten.

Wann treten die Regeln des EU-AI-Act vollständig in Kraft?

Das Gesetz trat am 2. August 2024 in Kraft, wird aber stufenweise umgesetzt. Während Verbote bereits seit April 2026 gelten, müssen Hochrisiko-Systeme bis August 2026 zertifiziert sein.

Was müssen Unternehmen bei der Nutzung von Chatbots beachten?

Für Chatbots gelten Transparenzanforderungen der Kategorie „begrenztes Risiko“, was bedeutet, dass Nutzer über die Interaktion mit einer KI informiert werden müssen. Zudem müssen KI-generierte Texte, die der öffentlichen Information dienen, klar als solche gekennzeichnet sein.

Wie definiert der EU-AI-Act eine General-Purpose AI (GPAI)?

GPAI-Modelle sind KI-Systeme, die für eine Vielzahl von Zwecken eingesetzt werden können, wie etwa große Sprachmodelle (LLMs). Diese unterliegen spezifischen Dokumentationspflichten und müssen Informationen über ihre Trainingsdaten offenlegen.

Gibt es Ausnahmen für Forschung und Entwicklung?

Ja, der EU-AI-Act gilt ausdrücklich nicht für KI-Systeme, die ausschließlich für Forschungs- und Entwicklungszwecke oder unter Open-Source-Lizenzen (mit Ausnahmen) entwickelt werden. Ziel ist es, Innovationen in Europa trotz strenger Regeln nicht zu ersticken.

Was ist ein KI-Reallabor (Regulatory Sandbox)?

Jeder EU-Mitgliedstaat muss bis August 2026 mindestens ein KI-Reallabor einrichten, um Unternehmen das Testen innovativer KI unter behördlicher Aufsicht zu ermöglichen. Dies soll besonders KMU dabei helfen, Compliance-Anforderungen frühzeitig und kosteneffizient zu erfüllen.

Bewerte den Beitrag hier!
[Total: 1 Average: 5]
Nico Nuss
Website

Der Autor Nico Nuss beschäftigt sich seit 2001 mit den Themen Mobile Computing und Automation Software. Auf Grund seiner Erfahrung und dem starken Interesse für Zukunftstechnologien gilt seine Aufmerksamkeit den Themen Robotik und AI.

Ähnliche Beiträge:

  1. Mit Kimi Claw keine eigene Server-Instanz für OpenClaw nötig?
  2. Seit wann gibt es KI? – Ein Rückblick bis in die Gegenwart
  3. Industrie 5.0: Fraunhofer treibt KI voran
Lesen Sie auch  Google DeepMind: KI-Zukunft von Alphabet
Weitere interessante Beiträge