Der EU AI Act ist ein umfassendes Gesetz zur Regulierung von Künstlicher Intelligenz auf globaler Ebene. Mit ihm möchte die Europäische Union sicherstellen, dass KI-Systeme in Europa sicher, transparent, ethisch und im Einklang mit europäischen Grundrechten eingesetzt werden. Seit dem zweiten Februar 2025 gelten die ersten regulierenden Maßnahmen. Sie und alle folgenden Maßnahmen betreffen dabei jedes Unternehmen, das Künstliche Intelligenz so einsetzt, dass Europäer:innen davon betroffen sind. Im Laufe der folgenden zweieinhalb Jahre werden dann sukzessive die restlichen Maßnahmen gültig. In diesem Beitrag geben wir einen Einblick in die wichtigsten Aspekte des EU AI Acts und was aus Sicht von Unternehmen zu beachten ist.

Bin ich betroffen? Was jetzt als KI gilt – und warum es auch Sie angeht!​

Der Geltungsbereich des EU AI Acts ist weit gefasst – und das mit Absicht. Betroffen sind nicht nur europäische Unternehmen, sondern auch Organisationen mit Sitz außerhalb der EU, sofern ihre KI-Systeme innerhalb des europäischen Binnenmarktes eingesetzt werden. Entscheidend ist also nicht der Standort des Unternehmens, sondern der Einsatzort der Technologie. Zu den Hauptadressaten des Gesetzes zählen Anbieter von KI-Systemen, also diejenigen, die KI-Modelle oder -Anwendungen entwickeln und in den Verkehr bringen. Daneben stehen die sogenannten „Anwender:innen“ – etwa Unternehmen, die KI-gestützte Systeme in ihrem Betrieb nutzen, zum Beispiel im Recruiting oder im Kundenservice. Auch Händler:innen, Importeur:innen und Betreibende von Plattformen, über die KI-Systeme bereitgestellt werden, unterliegen dem Gesetz. Damit entsteht ein umfassender Rahmen, der die gesamte Wertschöpfungskette der KI erfasst.

Die Definition von KI-Systemen orientiert sich im Wesentlichen an der Definition der OECD (RBC-and-artificial-intelligence.pdf und OECD Legal Instruments). Im Sinne des Gesetzes ist dabei ein KI-System jede Software, die mithilfe von maschinellem Lernen, statistischen Verfahren oder logikbasierten Ansätzen entwickelt wurde und auf dieser Basis Vorhersagen trifft, Entscheidungen vorbereitet oder Handlungen empfiehlt, die eine reale oder virtuelle Umgebung beeinflussen. Nicht nur neuronale Netze oder Deep Learning fallen darunter, sondern auch regelbasierte Systeme oder klassische Entscheidungsbäume, sofern sie eine gewisse Autonomie bei der Entscheidungsfindung aufweisen. Durch die bewusst technologieneutral gehaltene Definition soll sichergestellt sein, dass zukünftige Entwicklungen in der Welt der Künstlichen Intelligenz ebenfalls durch die Regulierung abgedeckt sind. 

Die Pyramide der KI-Systeme – Einstufung in Risikoklassen 

Das Herzstück der KI-Regulierung ist die Einteilung von Anwendungen in Risikokategorien. Dabei wird unterschieden in Anwendungen der folgenden Kategorien:

1. Verbotene Praktiken, z. B.:

• Social Credit Scoring
• Biometrische Kategorisierung nach sensiblen Kriterien, z. B. solche, die Rückschlüsse auf Ethnie, politische Meinung, religiöse Überzeugungen usw. einer natürlichen Person zulassen
• Echtzeit-Gesichtserkennung in der Öffentlichkeit
• Etc.

​
2. Anwendungen mit hohem Risiko, z. B. für

• Die Gesundheit natürlicher Personen
• Grundrechte, wie Zugang zu Bildungseinrichtungen, Gleichberechtigung, etc.
• Sicherheit
• Kritische Infrastrukturen

​
3. Anwendungen mit mittlerem und niedrigem Risiko

Zusätzliche Regeln gelten für

• Generative KI
• Allgemeine KI (GPAI – General Purpose Artificial Intelligence)
• Sehr große Systeme, die ein systemisches Risiko darstellen könnten

Nicht betroffen von der genannten Kategorisierung sind Anwendungen im Bereich der Forschung, bei Start-ups oder bei Polizeibehörden und für polizeiliche Ermittlungsarbeit. Hier können Sonderregelungen gelten. Verteidigung und nationale Sicherheit sind ausdrücklich ausgenommen.

Wer oder was bin ich eigentlich? Das Rollenverständnis im Kontext der Regulierung

In der KI-Regulierung wird zwischen verschiedenen Rollen unterschieden, um die Verantwortlichkeiten klar zu definieren. Die Rollen sind Entwickle:innen, Anbieter:innen und Anwender:innen von KI-Anwendungen.

Entwickler:innen und Anbieter:innen tragen die Hauptlast der regulatorischen Anforderungen. Sie müssen sicherstellen, dass ihre Systeme den Vorgaben entsprechen, die technische Dokumentation bereitstellen und für Transparenz sorgen. Anwender:innen hingegen sind Unternehmen oder Organisationen, die ein KI-System operativ nutzen. Ihre Hauptpflicht besteht darin, den rechtmäßigen Einsatz sicherzustellen, etwa durch Schulung des Personals und die Einrichtung geeigneter Kontrollmechanismen.

Einige Anforderungen an der Regulierung gelten für jegliche KI-Anwendung, unabhängig von der Rolle. Andere Anforderungen beziehen sich nur auf Anwendungen mit hohem Risiko oder für Benutzer:innen in besonders kritischen Bereichen, wie Schulen, Gesundheitswesen, etc.

Allgemein gilt: Anwender:innen haben die gleichen Pflichten wie Anbieter:innen. Zwar kann man Vieles an die Anbieter:innen delegieren, dennoch trägt man gegenüber den Regulierungsbehörden als Anwender:in direkt die volle Verantwortung. Zu den Pflichten gehören unter anderem:

• Bestimmungsgemäße Benutzung der Systeme
• Verwendung und Dokumentation angemessener Trainings-, Validierungs- und Testdatensätze
• Protokollierungspflichten für Vorgänge und Entscheidungen
• Auskunftspflicht an EU-Bürger auf Verlangen, einschließlich Erklärung der Gründe für Entscheidungen
• Registrierungspflicht für Anwendungen mit hohem Risiko
• Kennzeichnungs- und Informationspflichten für Betroffene
• Schulungspflichten für Mitarbeitende

Verstöße gegen Verpflichtungen und Anforderungen an das KI-System der jeweiligen Risiko-Kategorie werden mit hohen Bußgeldern geahndet. Beispielsweise drohen Bußgelder in Höhen von 7% des weltweiten Jahresumsatzes (bzw. mindestens 35 Mio. Euro) bei Verstößen gegen das Verbot verbotener KI-Systeme. 

Tick, tack – Der Zeitplan der EU-KI-Regulierung

Die EU-KI-Regulierung ist am 1. August 2024 in Kraft getreten, aber die verschiedenen Bestimmungen werden gestaffelt umgesetzt bzw. angewandt, um den Betroffenen ausreichend Zeit für die Anpassung der Systeme und Umsetzung der Anforderungen zu geben. Die wichtigsten Meilensteine sind

• 2. Februar 2025: Die Regelungen für verbotene KI-Praktiken treten in Kraft. Ab diesem Zeitpunkt dürfen KI-Systeme, die in diese Kategorie fallen, nicht mehr eingesetzt werden.
• 2. August 2025: Die Verpflichtungen für allgemeine KI-Systeme (insbesondere Transparenz-Pflichten) treten in Kraft.
• 2. August 2027: die Anforderungen für Hochrisiko-KI-Systeme treten in Kraft

Parallel arbeitet die EU an der Einrichtung zentraler Aufsichtsstrukturen und Datenbanken. Diese Infrastruktur soll es Behörden ermöglichen, KI-Systeme besser zu überwachen und grenzüberschreitend zu koordinieren.

Was müssen Sie als Unternehmen nun tun?

Ein erster wichtiger Schritt ist eine Bestandsaufnahme: Welche KI-Systeme werden derzeit verwendet oder entwickelt? Anschließend sollte geprüft werden, in welche Risikokategorie diese Systeme fallen. Darauf aufbauend sollten bestehende Prozesse, Datenpraktiken und Dokumentationen für KI-Anwendungen auf ihre Konformität mit der KI-Regulierung hin bewerten werden.

Da seit Februar 2025 die Maßnahmen für verbotene KI-Systeme gelten, sollten Unternehmen, sofern noch nicht geschehen, sicherstellen, dass keine der verbotenen Praktiken im Unternehmen verwendet werden.

In einigen Fällen kann es hilfreich sein, interne Zuständigkeiten neu zu regeln, Dokumentationspflichten umzusetzen und technische sowie organisatorische Maßnahmen zu treffen. Auch ein kontinuierliches Monitoring der regulatorischen Entwicklungen ist ratsam, da konkrete Ausführungsrichtlinien und technische Standards noch im Aufbau sind. 

Fazit

Die KI-Regulierung verfolgt das Ziel Technologie verantwortungsvoll einzusetzen. Sie schafft Rechtssicherheit und klare Erwartungen – für Unternehmen, Behörden und Bürger:innen gleichermaßen. Durch den risikobasierten Ansatz wird ein flexibler Rahmen geschaffen, der sowohl die Chancen als auch die Risiken von künstlicher Intelligenz im Blick hat.

Wer jetzt proaktiv handelt, kann nicht nur die Einhaltung der gesetzlichen Vorgaben sicherstellen, sondern auch das Vertrauen von Kund:innen, Mitarbeitenden und der Öffentlichkeit stärken. Denn vertrauenswürdige KI ist nicht nur ein politisches Ziel – sie wird zunehmend zu einem Wettbewerbsvorteil.

Weitere Informationen zum Thema bietet auch unser kostenloses Webinar zum Thema EU AI Act. 

Seminarempfehlung