Press "Enter" to skip to content

Der EU AI Act: Was die neue KI-Verordnung für Unternehmen bedeutet

Hermanns Hermanns
19. January 2025
Leave a Comment
EU AI Act

Mit dem EU AI Act – offiziell „Verordnung (EU) 2024/1689 über Künstliche Intelligenz“ – hat die Europäische Union im Jahr 2024 den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen. In Deutschland spricht man häufig von der „KI-Verordnung“. Sie ist seit August 2024 in Kraft und wird schrittweise angewendet.

Was regelt die KI-Verordnung?

Die Verordnung basiert auf einem risikobasierten Ansatz. KI-Systeme werden je nach Risikopotenzial in Kategorien eingeteilt:

  • Unzulässige KI (z. B. Social Scoring) ist verboten.
  • Hochrisiko-KI (u. a. im Gesundheitswesen, bei kritischer Infrastruktur oder HR-Prozessen) unterliegt strengen Auflagen.
  • KI mit Transparenzpflichten (z. B. Chatbots, Deepfakes) muss klar als KI erkennbar sein.
  • Minimal-Risiko-KI bleibt weitgehend frei reguliert.

Für Anbieter und Nutzer von Hochrisiko-KI gelten umfangreiche Pflichten: Qualitätsmanagement, technische Dokumentation, Protokollierung, Risikobewertungen, CE-Kennzeichnung sowie ein Post-Market-Monitoring. Auch allgemeine KI-Modelle (sogenannte General-Purpose AI) sind erfasst und müssen u. a. Trainingsdatenquellen dokumentieren. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes sanktioniert werden.

Welche Aufgaben entstehen für Unternehmen?

Unternehmen müssen ihre KI-Aktivitäten jetzt aktiv steuern und dokumentieren. Zentrale Aufgaben sind:

  1. Bestandsaufnahme: Alle eingesetzten KI-Systeme erfassen und einer Risikokategorie zuordnen.
  2. Governance: Verantwortlichkeiten für KI-Compliance benennen und Richtlinien anpassen.
  3. High-Risk-Management: Technische Dokumentation, Risikomanagement, Protokollierung und Konformitätsbewertung einführen.
  4. Daten-Governance: Herkunft, Qualität und Verarbeitung von Trainingsdaten belegen.
  5. Transparenz sicherstellen: Nutzer über KI-Einsatz informieren, KI-generierte Inhalte kennzeichnen.
  6. Post-Market-Monitoring: Vorfälle dokumentieren und bei Bedarf an Behörden melden.
  7. Vertragsmanagement: Anforderungen an KI-Lieferanten und -Dienstleister in Verträgen absichern.
  8. Schulung & Audits: Mitarbeiter schulen, Bias-Tests und interne Audits regelmäßig durchführen.

Zeitlicher Fahrplan

DatumWas wird wirksam / was muss ab dann geltenFür wen / was gilt es besonders
12. Juli 2024Veröffentlichung des Gesetzestextes im Amtsblatt der EUGesetz existiert ab dann offiziell.
1. August 2024Inkrafttreten des AI Act (Verordnung gilt rechtlich)Alle EU-Mitgliedstaaten müssen das Gesetz als verbindliche Regelung übernehmen.
2. Februar 2025Erste Pflichten: Verbot von KI-Systemen mit unannehmbarem Risiko; Pflicht zur KI-Kompetenz („AI literacy“) für Personen, die mit KI-Systemen arbeiten. Anbieter und Nutzer, auch Entwicklungsverantwortliche; alle, die solche riskanten KI-Systeme einsetzen oder entwickeln.
2. August 2025Viele zentrale Vorschriften werden verbindlich: z. B. Regeln für General-Purpose AI (GPAI), Governance, Transparenzpflichten, Sanktionen, Konformitätsbewertungsstellen (notifizierte Stellen). Anbieter, Verteiler und Betreiber von KI-Systemen, besonders GPAI-Modelle und Hochrisiko-KI.
2. August 2026Vollere Anwendung der Anforderungen für Hochrisiko-KI: z. B. Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht, technische Dokumentation. Viele der High-Risk-Pflichten werden dann vollständig wirksam. Vor allem Anbieter/Besitzer von Hochrisiko-KI-Systemen, aber auch Nutzer, bei denen die Systeme eingesetzt werden.
2. August 2027Übergangsfristen für gewisse besondere Fälle laufen aus: z. B. für Hochrisiko-KI, die als Produktbestandteil vor dem Stichtag in Verkehr gebracht wurden; vollständige Konformität von GPAI-Modellen, die vor dem 2. August 2025 in Betrieb genommen wurden. Ebenso gelten bestimmte spezifische Vorschriften (Artikel 6 Abs. 1, bestimmte Sicherheits-/Produktvorschriften) ab dann.Anbieter dieser älteren Systeme / Geräte; Systeme, die vor den Stichtagen eingeführt wurden; Hersteller von Komponenten und High-Risk Systemen mit eingebetteter KI.
2. August 2030Für öffentliche Stellen (Behörden etc.) zusätzliche Fristen und Übergangsregelungen gelten, z. B. in manchen Mitgliedstaaten bei Hochrisiko-Systemen; konforme Anpassung spätestens bis zu diesem Datum in manchen Fällen erforderlich.

Kontext & weiterführende Details:

  • Es gibt Übergangsfristen: Systeme, die vor bestimmten Stichtagen eingeführt eller in Betrieb genommen wurden, haben längere Zeiträume, um konform zu werden. Beispielsweise GPAI-Modelle, die vor dem 2. August 2025 in Betrieb waren, müssen bis zum 2. August 2027 vollständig konform sein.
  • Nicht alle Bestimmungen gelten sofort; manche Kapitel und Artikel treten gestaffelt in Kraft, je nach Risiko und Rolle (Anbieter, Nutzer, Modifizierer etc.).
  • Forschungs- und Entwicklungsaktivitäten sind nicht in vollem Umfang erfasst bis zur Markteinführung / Inbetriebnahme eines KI-Systems, aber bestimmte Tests unter Realbedingungen können bereits unter die Verordnung fallen.

Positive Wirkungen der Regulierung

Die KI-Verordnung schafft Rechtsklarheit und Harmonisierung innerhalb der EU. Sie stärkt den Verbraucherschutz und die Grundrechte, indem riskante Anwendungen untersagt oder klar geregelt werden. Zudem gilt sie international als Signal für verantwortungsvolle KI-Entwicklung.

Kritik und Herausforderungen

Gleichzeitig gibt es Kritik: Der hohe Aufwand für KMU und Start-ups wird als Hemmnis für Innovation gesehen. Manche Vorgaben – etwa zur Kennzeichnung von KI-generierten Inhalten – gelten als technisch schwer umsetzbar. Zudem sorgt die gestaffelte Anwendung für Unsicherheit in der Übergangsphase, während nationale Ergänzungen eine zusätzliche Fragmentierung des Regelwerks befürchten lassen.

Fazit

Die KI-Verordnung markiert einen Meilenstein: Sie will Innovation fördern und zugleich Risiken eindämmen. Für Unternehmen bedeutet dies vor allem, den Einsatz von KI systematisch zu inventarisieren, Compliance-Strukturen aufzubauen und Transparenz sicherzustellen. Wer frühzeitig handelt, kann Risiken minimieren – und gleichzeitig Wettbewerbsvorteile durch vertrauenswürdige KI-Lösungen sichern.

Referenzen

[1] Offizieller Text / EUR-Lex: Regulation – EU – 2024/1689 – EN – EUR-Lex

Categories:reflect IT

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *