Was der EU AI Act Verlangt

Der EU AI Act bildet einen risikobasierten Rechtsrahmen und ordnet KI-Systeme von minimalem bis zu inakzeptablem Risiko ein. Je nach Einstufung gelten unterschiedliche Anforderungen an Entwicklung, Einsatz und Überwachung. Dabei unterscheidet die Verordnung vier Risikoklassen:

• Unvertretbares/inakzeptables Risiko
• Hohes Risiko
• Begrenztes Risiko
• Minimales Risiko

Stuft eine Behörde ein KI-System als unvertretbares oder inakzeptables Risiko ein, z. B. bei Verstößen gegen die ethischen Grundsätze der EU, gilt dafür in der Europäischen Union seit dem 2. Februar 2025 ein Verbot. Beispiele sind Social-Scoring-Praktiken oder Emotionserkennung von Personen.[1] Dabei erfassen Systeme biometrische Daten natürlicher Personen und ordnen sie Kategorien zu – etwa nach politischer oder religiöser Ausrichtung, sexueller Orientierung, Ethnie/Hautfarbe oder Verhalten.[2]

Allerdings gilt für die Strafverfolgung eine eng begrenzte Ausnahme: Behörden dürfen in der EU biometrische Daten aus öffentlich zugänglichen Räumen nutzen, um Personen zu identifizieren, die mit einer schweren Straftat in Verbindung stehen. Hierzu zählen beispielsweise Entführung oder Menschenhandel.[3]

Fällt ein System in die Klasse hohes Risiko, treffen Unternehmen besondere Pflichten: Sie müssen ein umfassendes Qualitäts- und Risikomanagement einrichten, Vorgänge und Datenqualität transparent dokumentieren und nachweisen können.[4] Typische Anwendungsfelder mit hoher Risikoeinstufung sind kritische Infrastruktur (z. B. Gesundheitswesen oder Verkehr), Personalmanagement, berufliche Bildung oder Bankwesen. In dieser Risikoeinstufung gelten umfangreiche Dokumentations- und Überwachungspflichten.

Die Einstufung begrenztes Risiko betrifft KI-Systeme in direkter Interaktion mit dem Nutzer. Dazu zählen Chatbots oder Sprachmodelle wie ChatGPT. Für diese Systeme informiert der Anbieter die Anwender vor der Nutzung ausdrücklich darüber, dass sie mit einer KI interagieren.

Als nicht hochriskant gelten KI-Systeme, die kein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen. Dazu zählen beispielsweise Systeme für eng verfahrenstechnische Aufgaben, zur Verbesserung zuvor menschlicher Tätigkeiten oder zur Erkennung von Entscheidungsmustern und Abweichungen.[5]

Mit dem EU AI Act treten ab 2025 verbindliche Vorgaben in Kraft, die Unternehmen beim Einsatz von Künstlicher Intelligenz einhalten müssen – von Verboten, Schulungspflichten bis hin zu umfassenden Transparenz- und Compliance-Anforderungen.

1. Verbot bestimmter KI-Praktiken
(ab 2. Februar 2025)

Seit dem 2. Februar 2025 verbietet die EU KI-Systeme mit inakzeptablem Risiko. Dazu zählen etwa Anwendungen, die menschliches Verhalten manipulativ beeinflussen, Systeme zur Echtzeit-Biometrie Erkennung in öffentlichen Räumen sowie Social-Scoring-Modell. Diese Praktiken gefährden die Grundrechte und die demokratischen Werte der Europäischen Union in besonderem Maße.

2. Pflicht zur Vermittlung von KI-Kompetenz
(ab 2. Februar 2025)

Unternehmen stellen sicher, dass Mitarbeitende – insbesondere in Entwicklung, Management und Compliance – über ausreichende KI-Kenntnisse verfügen. Kernkompetenzen sind:

• Technisches Verständnis: Grundkenntnisse über KI-Algorithmen, maschinellem Lernen, Datenverarbeitung und der Funktionsweise generativer Modelle.
• Regulatorisches und ethisches Wissen: Kenntnisse zu Rechtsrahmen, Datenschutz, Transparenzpflichten und ethische Prinzipien im Umgang mit KI.
• Anwendungsspezifische Fähigkeiten: Fähigkeit, KI sicher und effektiv im jeweiligen Fachbereich (z. B. HR, Marketing, Produktion) einzusetzen und Risiken zu erkennen

3. Kennzeichnungspflichten für KI-generierte Inhalte
(ab 2. August 2025)

Anbieter von KI-Systemen kennzeichnen Bild-, Audio-, Video- oder Textinhalte, die mithilfe von Künstlicher Intelligenz generiert oder manipuliert wurden, und legen ihren künstlichen Ursprung offen. So verhindert die Regelung, dass Deepfakes als authentische Inhalte erscheinen.[6]

4. Dokumentations- und Transparenzpflichten

Setzen Unternehmen Hochrisiko-KI ein, unterliegen laut EU-KI-Verordnung strenge Dokumentations- und Transparenzpflichten. Dazu gehören ein aktives Risikomanagement, umfassende technische Dokumentation, Protokollierung, menschliche Aufsicht sowie Maßnahmen zur Datenqualität und Cybersicherheit. Ziel ist es, Transparenz zu schaffen und Risiken für Menschen und Grundrechte zu minimieren.

5. Compliance-Management und Governance
(ab August 2025)

Ab August 2025 verpflichtet die EU-KI-Verordnung Unternehmen dazu, ein wirksames Compliance-Management und Governance-System für den Einsatz von KI zu etablieren. Sie benennen verantwortliche Personen, die Einführung von Prozessen zur Risikobewertung sowie regelmäßige interne Audits und Schulungen für Mitarbeitende.

Um sich rechtzeitig auf die Anforderungen der EU-KI-Verordnung vorzubereiten, gehen Unternehmen am besten strukturiert vor. Folgende Maßnahmen sind zu ergreifen, um ein KI-System rechtskonform und verantwortungsvoll zu gestalten:

1. KI-Systeme inventarisieren: Welche Systeme sind im Einsatz? Welche Risiken bestehen?
2. Risikobewertung durchführen: Einstufung gemäß EU AI Act vornehmen
3. Schulungsprogramme starten: Mitarbeitende gezielt weiterbilden
4. Compliance-Strukturen aufbauen: Verantwortlichkeiten und Prozesse definieren
5. Kennzeichnung und Transparenz sicherstellen: Inhalte und Systeme korrekt deklarieren

Die EU-KI-Verordnung markiert einen Wendepunkt im europäischen Umgang mit Künstlicher Intelligenz. Unternehmen sind nun gefordert, Verantwortung zu übernehmen und ihre KI-Systeme transparent, sicher und rechtskonform zu gestalten. Wer frühzeitig handelt – etwa durch Inventarisierung, Risikobewertung und robuste Compliance-Strukturen – sichert sich nicht nur Rechtssicherheit, sondern auch einen Wettbewerbsvorteil in einem zunehmend regulierten Markt.