EU AI Act einfach erklärt: Was Sie jetzt wissen müssen

Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er wurde von der Europäischen Union entwickelt, um KI-Systeme sicher, transparent und grundrechtskonform zu gestalten.

Der EU AI Act trat am 1. August 2024 in Kraft. Er gilt direkt in allen 27 EU-Mitgliedstaaten – wie die DSGVO, ohne nationalen Umsetzungsakt. Und wie die DSGVO hat er auch weltweite Auswirkungen: Unternehmen außerhalb der EU, die Produkte oder Dienste in die EU anbieten, müssen ihn ebenfalls einhalten.

Der EU AI Act klassifiziert KI-Systeme nach dem Risiko, das sie für Menschen, Gesellschaft und Demokratie darstellen. Es gibt vier Stufen:

1. Unakzeptables Risiko – Verboten: KI-Systeme, die Grundrechte so schwerwiegend verletzen, dass ihr Einsatz ohne Ausnahme verboten ist. Dazu gehören Social Scoring, Emotionserkennung am Arbeitsplatz und biometrische Massenüberwachung. Diese Verbote gelten seit dem 2. Februar 2025.

2. Hochrisiko: KI-Systeme in kritischen Bereichen wie HR, Bildung, Gesundheit, Kreditvergabe und Strafverfolgung. Sie sind nicht verboten, müssen aber strenge Anforderungen erfüllen. Die Hauptdeadline ist der 2. August 2026.

3. Begrenztes Risiko: Systeme wie Chatbots und Deepfakes müssen transparent gekennzeichnet werden. Nutzer müssen wissen, dass sie mit KI interagieren.

4. Minimales Risiko: Die meisten KI-Anwendungen. Kaum reguliert. Freiwillige Maßnahmen werden empfohlen.

Der EU AI Act unterscheidet drei Hauptrollen:

Anbieter (Providers) sind Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen. Sie tragen die größten Pflichten.

Betreiber (Deployers) sind Unternehmen, die KI-Systeme von Drittanbietern in ihrer eigenen Geschäftstätigkeit einsetzen. Das betrifft die meisten Unternehmen, die KI-Tools nutzen.

Nutzer sind Endverbraucher, die KI privat nutzen. Für sie entstehen kaum direkte Pflichten.

Wichtig: Der EU AI Act gilt für Unternehmen innerhalb und außerhalb der EU, sofern ihre KI-Systeme in der EU eingesetzt werden oder deren Outputs die EU betreffen.

2. Februar 2025: Verbote in Kraft (Art. 5). Ab jetzt sind verbotene KI-Praktiken strafbar.

2. August 2025: GPAI-Pflichten gelten. Anbieter von Large Language Models und anderen Foundation Models müssen die Anforderungen erfüllen.

2. August 2026: Die Hauptdeadline. Alle Hochrisiko-KI-Systeme nach Anhang III müssen konform sein. Das betrifft den Großteil der regulierten KI-Anwendungen in der Wirtschaft.

2. August 2027: Hochrisiko-KI in Produkten nach Anhang I (z. B. Medizinprodukte mit KI-Komponente).

Auch wenn August 2026 noch vor Ihnen liegt: Die Vorbereitung braucht Zeit. Hier die wichtigsten ersten Schritte:

1. KI-Inventar anlegen: Welche KI-Systeme setzen Sie ein oder entwickeln Sie?
2. Klassifizieren: Fallen diese unter Hochrisiko, begrenztes Risiko oder minimales Risiko?
3. Maßnahmen planen: Je nach Klassifizierung unterschiedliche Anforderungen umsetzen.
4. Verantwortlichkeiten klären: Wer in Ihrem Unternehmen ist für KI-Compliance zuständig?
5. Dokumentation starten: Technische Dokumentation und interne Prozesse aufbauen.

Nutzen Sie unser kostenloses KI-Risiko-Check-Tool für eine schnelle erste Einschätzung Ihrer KI-Systeme.