AI Act (EU): Erste umfassende KI-Regulierung weltweit

ERKLÄRUNG

Einfach erklärt

Der AI Act ist die weltweit erste umfassende KI-Regulierung. Er trat 2024 in Kraft und wird stufenweise bis 2026 vollständig anwendbar.

Die Grundidee: Nicht jede KI braucht gleich viel Regulierung. Ein Spam-Filter ist harmlos, eine KI für Kreditentscheidungen kann Leben verändern. Deshalb: risikobasierter Ansatz.

Die vier Risikokategorien:

🔴 Unannehmbares Risiko → VERBOTEN
   Social Scoring, manipulative KI, Echtzeit-Biometrie

🟠 Hohes Risiko → STRENGE AUFLAGEN
   Medizin-KI, Personalauswahl, Kreditvergabe, autonome Fahrzeuge

🟡 Begrenztes Risiko → TRANSPARENZPFLICHTEN
   Chatbots, Deepfakes, Emotion Recognition

🟢 Minimales Risiko → KEINE AUFLAGEN
   Spam-Filter, KI in Videospielen, Empfehlungssysteme

Was bedeutet das für dich? Wenn du KI-Systeme entwickelst oder einsetzt, musst du wissen, in welche Kategorie sie fallen – und die entsprechenden Anforderungen erfüllen.

Technischer Deep Dive

Anforderungen für Hochrisiko-KI

Risikomanagement: Dokumentiertes Risikomanagement-System
Datenqualität: Anforderungen an Trainingsdaten (Bias, Repräsentativität)
Dokumentation: Technische Dokumentation und Gebrauchsanweisung
Logging: Automatische Aufzeichnung von Entscheidungen
Transparenz: Nutzer müssen wissen dass sie mit KI interagieren
Menschliche Aufsicht: Human-in-the-Loop bei kritischen Entscheidungen
Genauigkeit & Robustheit: Nachgewiesene Zuverlässigkeit

Pflichten für Foundation Models (GPAI)

Technische Dokumentation
Urheberrechts-Compliance
Zusammenfassung der Trainingsdaten
Systemische Risiken bewerten (bei sehr großen Modellen)

Zeitplan der Umsetzung

Datum	Was tritt in Kraft
Feb 2025	Verbote (Social Scoring, manipulative KI)
Aug 2025	Pflichten für GPAI / Foundation Models
Aug 2026	Hochrisiko-KI Anforderungen
Aug 2027	Vollständige Anwendung

Praktische Auswirkungen für Unternehmen

Sofortiger Handlungsbedarf:

Inventar aller eingesetzten KI-Systeme erstellen
Risikokategorie für jedes System bestimmen
Bei Hochrisiko-KI: Compliance-Roadmap aufsetzen

Häufige Missverständnisse:

Der AI Act reguliert Anwendungen, nicht Modelle an sich
Auch Nutzer von Hochrisiko-KI (nicht nur Anbieter) haben Pflichten
Open-Source-Modelle sind nicht generell befreit – die Anwendung entscheidet

AI Act vs. DSGVO

Beide Regelwerke ergänzen sich: Die DSGVO schützt personenbezogene Daten, der AI Act reguliert das Verhalten von KI-Systemen. Bei KI-Anwendungen mit Personenbezug (z. B. Recruiting-KI, Kredit-Scoring) gelten beide gleichzeitig.

ANALOGIE

Der AI Act ist wie die Lebensmittelverordnung: Nicht jedes Lebensmittel wird gleich reguliert. Wasser braucht wenig Kontrolle, Medikamente viel. Genauso werden KI-Systeme nach Risiko eingestuft.

WICHTIGSTE PUNKTE

Risikobasierter Ansatz: Unannehmbares, hohes, begrenztes und minimales Risiko

Verbote: Social Scoring, Echtzeit-Biometrie in öffentlichen Räumen (mit Ausnahmen)

Transparenzpflichten: KI-generierte Inhalte müssen als solche gekennzeichnet werden

ANWENDUNGSFÄLLE

Compliance

Unternehmen müssen ihre KI-Systeme klassifizieren und Anforderungen erfüllen

Hochrisiko-KI

Medizin, Personalauswahl, Kreditvergabe – strenge Anforderungen an Dokumentation und Testing

Generative KI

LLM-Anbieter müssen Transparenzpflichten erfüllen (Trainingsdaten, Capabilities)

KI-Kennzeichnung

Deepfakes und KI-generierte Inhalte müssen als solche erkennbar sein

HÄUFIGE FRAGEN

Ab wann gilt der AI Act?

Stufenweise: Verbote ab Februar 2025, Hochrisiko-Anforderungen ab August 2026. Unternehmen sollten jetzt mit der Vorbereitung beginnen.

Gilt der AI Act auch für Open-Source-Modelle?

Teilweise. Open-Source-Modelle haben Erleichterungen, aber bei Hochrisiko-Anwendungen gelten die Anforderungen unabhängig davon ob das Modell Open Source ist.

Wie wird die Risikoklassifizierung im AI Act durchgeführt?

Die Risikoklassifizierung im AI Act erfolgt anhand von Kriterien wie der potenziellen Gefährdung für die öffentliche Sicherheit und die Grundrechte. KI-Systeme werden in Kategorien wie niedrig, mittel und hoch eingeteilt, was unterschiedliche Anforderungen an Transparenz und Aufsicht mit sich bringt.

Welche Strafen drohen bei Nichteinhaltung des AI Acts?

Unternehmen, die gegen den AI Act verstoßen, können mit erheblichen Geldstrafen belegt werden, die bis zu 6% des weltweiten Jahresumsatzes betragen können. Zudem können rechtliche Schritte und der Verlust von Marktanteilen drohen.

TOOLS & RESSOURCEN

EU AI Act Text

Der vollständige Gesetzestext mit Erläuterungen

AI Act Compliance Checker

Tool zur Einschätzung der Risikokategorie eines KI-Systems

VERWANDTE BEGRIFFE

Sicherheit Grundlagen

Responsible AI

Ein übergreifendes Framework für die ethische, faire und transparente Entwicklung und Nutzung von KI-Systemen – von Bias-Erkennung bis Umweltauswirkungen.

Sicherheit Grundlagen

Datenschutz (DSGVO-Kontext)

Der Schutz personenbezogener Daten bei der Entwicklung und dem Einsatz von KI-Systemen – mit besonderem Fokus auf die europäische Datenschutz-Grundverordnung.

Sicherheit Grundlagen

Bias (Verzerrung)

Systematische Verzerrungen in KI-Systemen, die zu unfairen oder diskriminierenden Ergebnissen führen – verursacht durch einseitige Trainingsdaten, Algorithmen oder Designentscheidungen.

Sicherheit Grundlagen

Fairness

Das Prinzip, dass KI-Systeme alle Personen und Gruppen gleich und gerecht behandeln sollten – ohne systematische Bevorzugung oder Benachteiligung.

Sicherheit Grundlagen

Explainability (XAI)

Die Fähigkeit, Entscheidungen und Vorhersagen von KI-Systemen für Menschen nachvollziehbar und verständlich zu machen.

Sicherheit DevOps

Model Governance

Richtlinien, Prozesse und Kontrollen für die verantwortungsvolle Entwicklung, Bereitstellung und Überwachung von KI-Modellen über ihren gesamten Lebenszyklus.