Die KI-Verordnung (nach Artikel 4 EU AI Act) ist seit dem 1. August 2024 in Kraft und regelt KI-Systeme risikobasiert auf EU-Ebene. Für Unternehmen bedeutet dies: Es ist höchste Zeit zu handeln und sich umfassend vorzubereiten. Die Verordnung sieht strenge Vorgaben vor, insbesondere für Hochrisiko-Anwendungen, und hat das Ziel, sichere und vertrauenswürdige KI zu fördern. Wer die neuen Regeln ignoriert oder nicht rechtzeitig umsetzt, riskiert nicht nur rechtliche Konsequenzen, sondern auch empfindliche finanzielle Strafen. Verstöße können teuer sein, mit Bußgeldern, die bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes erreichen können. Unternehmen müssen sich jetzt aktiv mit den Anforderungen auseinandersetzen, um Compliance sicherzustellen und kostspielige Fehler zu vermeiden.
- Alles Wichtige auf einen Blick
- Kurz erklärt: Was ist der EU AI Act?
- Für wen gilt die Verordnung? Anbieter:innen vs. Nutzer:innen
- Risikoklassen und was sie bedeuten (Tabelle)
- Pflichten Schritt für Schritt (Checkliste)
- Fristen & Timeline (Tabelle)
- Sanktionen & Durchsetzung
- Praxis: Was Unternehmen jetzt tun sollten
- FAQ zum EU AI Act
- Quellen
- Weitere Artikel
Alles Wichtige auf einen Blick
Die EU-KI-Verordnung schafft einen einheitlichen Rechtsrahmen für KI in allen EU-Mitgliedstaaten. Die wichtigsten Fakten:
| Aspekt | Beschreibung |
|---|---|
| Geltungsbereich | Gilt für alle Anbieter:innen (Hersteller:innen, Entwickler:innen, Importeure) und Betreiber:innen von KI-Systemen im EU-Markt. Auch Unternehmen außerhalb der EU müssen Vorschriften beachten, wenn sie KI in der EU anbieten. |
| Risikoklassen | Vier Stufen: Minimales Risiko (z. B. Spamfilter) und Transparenzpflichten (z. B. Chatbots, KI-Inhalte) – hier nur Informationspflicht, Hochrisiko (z. B. Medizin, Personalwesen, Verkehr) – strenge Anforderungen, und unannehmbares Risiko (z. B. Social Scoring, Verhaltensmanipulation) – verboten. |
| Hochrisiko-Pflichten | Für Hochrisiko-KI sind z. B. Risikomanagement, hochwertige Datensätze, technische Dokumentation, Protokollierung (Logging), klare Nutzerinformation und menschliche Aufsicht vorgeschrieben. Vor dem Inverkehrbringen ist eine Konformitätsbewertung erforderlich, nach deren Abschluss ein CE-Kennzeichen angebracht wird. |
| Sanktionen | Bei Verstößen drohen Bußgelder bis zu 15 Mio. € oder 3 % des Jahresumsatzes (7,5 Mio. € bzw. 1,5 % bei falschen Angaben). |
| Zeitplan | Vorstellung im April 2021; Einigung von Parlament und Rat im Dez. 2023; Inkrafttreten 1. Aug. 2024; Verbotene Systeme & Schulungen ab Feb. 2025; Hochrisiko-Regeln ab Aug. 2025. |
Kurz erklärt: Was ist der EU AI Act?
Der EU AI Act ist eine neue Verordnung der EU, die erstmals einheitliche Regeln für KI-Systeme schafft. Seit August 2024 müssen KI-Anwendungen je nach Gefährlichkeit (Risiko) bestimmte Anforderungen erfüllen. Ziel ist der Schutz von Gesundheit, Sicherheit und Grundrechten bei gleichzeitiger Förderung von Innovation.
Für wen gilt die Verordnung? Anbieter:innen vs. Nutzer:innen
Die Verordnung richtet sich an alle Anbieter:innen (Entwickler:innen, Hersteller:innen, Importeure, Händler:innen) von KI-Systemen im EU-Markt. Auch wenn Unternehmen außerhalb der EU ansässig sind, gelten die Regeln, sobald ihre KI hierzulande angeboten wird. Zudem betrifft sie Nutzer:innen wie Unternehmen oder Behörden, die KI einsetzen – vor allem beim Betrieb von Hochrisiko-Systemen müssen sie die Vorgaben einhalten.
Risikoklassen und was sie bedeuten
Die KI-Verordnung unterscheidet vier Risikogruppen:
| Risikoklasse | Beispiele | Pflichten |
|---|---|---|
| Minimales Risiko | Spamfilter, Unterhaltungsspiele keine zusätzlichen Pflichten | – |
| Transparenzpflichten | Chatbots, generierter Content, Stimmensynthese Müssen Nutzende informieren (z. B. „Chatbot“) | Kennzeichnung der KI-Nutzung, Labeling synthetischer Inhalte ([luxembourg.representation.ec.europa.eu] |
| Hochrisiko | Zulassungs- und Kontrollsysteme in Gesundheit, Verkehr, Personal, Finanzen | Risikomanagement, hochwertige Trainingsdaten, technische Dokumentation, Logging, Nutzerinfo, menschliche Aufsicht; CE-Kennzeichnung nach Konformitätsbewertung |
| Unannehmbares Risiko | Social Scoring, biometrische Massenüberwachung, Verhaltenserkennung, Manipulation | Völliges Verbot (darf in der EU weder angeboten noch eingesetzt werden) |
Checkliste für Unternehmen: Pflichten Schritt für Schritt:
Unternehmen sollten die KI-Verordnung systematisch umsetzen:
- KI-Systeme inventarisieren und einstufen: Welche KI-Anwendungen nutzt Ihr Unternehmen? Ermitteln Sie die Risikoklasse jedes Systems (siehe Tabelle).
- Hochrisiko-Check: Für hochrisikante KI (z. B. im Gesundheitswesen, Verkehr, Strafjustiz, Personalwesen) sind umfassende Maßnahmen nötig: Erstellen Sie Risikomanagementpläne, sorgen Sie für hochwertige Datensätze, führen Sie die technische Dokumentation und das System-Logging und implementieren Sie menschliche Aufsicht.
- Mitarbeiter:innen schulen: Stellen Sie sicher, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen, um Risiken richtig einschätzen zu können.
- Konformitätsbewertung abschließen: Durchlaufen Sie für jedes Hochrisiko-System das vorgeschriebene Konformitätsbewertungsverfahren (intern oder über Notifizierungsstellen) und bringen Sie danach das CE-Kennzeichen an.
- Transparenzpflichten erfüllen: Weisen Sie bei Chatbots und anderen KI-gestützten Systemen darauf hin, dass es sich um KI handelt, und kennzeichnen Sie synthetische Inhalte (z. B. Deepfakes).
- Monitoring und Updates: Überwachen Sie KI-Systeme kontinuierlich, protokollieren Sie wichtige Betriebsdaten und aktualisieren Sie die Risikoanalysen, wenn sich das System weiterentwickelt. Nutzen Sie Leitfäden und Normen (z. B. ISO/IEC) als Orientierung.
EU AI Act: Artikel 4 – Fristen & Timeline
Wichtige Termine zur Einführung der KI-Verordnung:
| Datum | Meilenstein |
|---|---|
| 21. Apr. 2021 | Vorstellung des KI-Verordnungsvorschlags durch die Europäische Kommission |
| 9. Dez. 2023 | Vorläufige Einigung von Europäischem Parlament und Rat über das KI-Gesetz |
| 1. Aug. 2024 | Inkrafttreten der Verordnung in der EU |
| 2. Feb. 2025 | Verbotene KI-Systeme und Schulpflichten (KI-Kompetenz) treten schrittweise in Kraft |
| 2. Aug. 2025 | Hochrisiko-Regeln (u. a. Konformitätsbewertung, CE-Auszeichnung) werden vollanwendbar |
| 2. Aug. 2027 | Ende der Übergangsfrist für General-Purpose-KI, die vor August 2025 in Umlauf kam |
Sanktionen & Durchsetzung
Jeder Verstoß gegen die KI-Verordnung kann streng geahndet werden. Die Mitgliedstaaten müssen Marktüberwachungsbehörden benennen und Sanktionen festlegen. Bei Verstößen drohen hohe Bußgelder: etwa bis zu 15 Mio. € oder 3 % des weltweit erzielten Jahresumsatzes (7,5 Mio. € bzw. 1,5 % bei falschen Angaben). Zusätzliche Strafen (Geld- oder Haftstrafen) liegen im Ermessen der nationalen Gesetzgeber.
Praxis: Was Unternehmen jetzt tun sollten
Unternehmen sollten unverzüglich mit einer Bestandsaufnahme starten: Welche KI-Systeme setzen wir aktuell ein, und welche Risiken bringen sie mit? Danach folgt die Einstufung nach Risikoklassen und die Priorisierung der Maßnahmen. Für Hochrisiko-KI empfiehlt sich frühzeitiger Kontakt zu Notifizierungsstellen (für Zertifizierung) und externen Expert:innen. Das Einholen rechtlicher und technischer Expertise, z. B. durch Workshops oder Audits, hilft, die komplexen Anforderungen umzusetzen.
FAQ – Häufige Fragen zum EU AI Act
Was ist der EU AI Act?
Die EU-KI-Verordnung ist ein seit August 2024 geltendes EU-Gesetz, das den Einsatz von KI nach Risikoklassen regelt. Sie stellt sicher, dass KI-Systeme in Europa sicher sind und die Grundrechte respektieren.
Für wen gilt der EU AI Act?
Für alle Anbieter:innen (Entwickler:innen, Hersteller:innen, Importeure, Händler:innen) und Betreiber:innen von KI-Systemen im EU-Markt, also auch ausländische Anbieter:innen, die KI in der EU bereitstellen. Außerdem betrifft sie Behörden und Unternehmen, die KI einsetzen, insbesondere bei Hochrisiko-Anwendungen.
Welche Pflichten haben Hochrisiko-KI-Systeme?
Sie müssen u. a. Risikomanagement betreiben, hohe Anforderungen an Datenqualität und Robustheit erfüllen, detaillierte technische Dokumentation und Logging bereitstellen, ihre Nutzer:innen informieren und menschliche Aufsicht sicherstellen. Vor dem Inverkehrbringen ist eine Konformitätsbewertung vorgeschrieben; nach erfolgreichem Abschluss wird eine CE-Kennzeichnung angebracht.
Quellen
- Europäische Kommission (Vertretung Luxembourg): „Europäische Verordnung über künstliche Intelligenz tritt in Kraft“ (Pressemitteilung, 1. Aug. 2024)
- Europäische Kommission: „KI-Verordnung tritt in Kraft“ (Pressemitteilung, 1. Aug. 2024)
- Rat der EU – Pressemitteilung: „Gesetz über künstliche Intelligenz – Rat und Parlament einigen sich“ (9. Dez. 2023)
- Verordnung (EU) 2021/206 über künstliche Intelligenz (KI-Verordnung) im Amtsblatt der EU
Weitere Artikel
- Datenschutz & DSGVO – Grundlagen zum KI-Einsatz
- IT-Sicherheit im Unternehmen – Grundlagen
- Compliance Management: Richtlinien und Prozesse