Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen nach Risikoklassen. Er gilt seit August 2024 stufenweise und betrifft alle Organisationen, die KI-Systeme in der EU einsetzen oder anbieten — unabhängig vom Unternehmensstandort.
Grundprinzipien: Risikobasiert · EU-weit · Stufenweise Einführung
Die vier Risikoklassen
| Risikoklasse | Beispiele | Pflichten |
|---|---|---|
| Verboten | Social Scoring, manipulative KI | Vollständig untersagt |
| Hohes Risiko | Recruitingfilter, Kreditscoring, medizinische Diagnostik | Registrierung, Dokumentation, menschliche Aufsicht |
| Begrenzt | Chatbots, Deepfakes | Transparenzpflicht — Nutzer müssen wissen, dass sie mit KI interagieren |
| Minimales Risiko | Spam-Filter, Gaming-KI | Keine gesetzlichen Pflichten |
Zeitplan der Umsetzung
- Februar 2025 — Verbotene KI-Anwendungen müssen abgeschaltet werden
- August 2025 — Anforderungen für KI-Systeme mit allgemeinem Verwendungszweck treten in Kraft
- August 2026 — Hochrisiko-Systeme müssen dokumentiert und registriert sein, mit menschlicher Aufsicht
- August 2027 — Vollständige Anwendung des Gesetzes auf alle KI-Systeme in der EU
Bußgelder: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen.
Praktische Schritte für den Mittelstand
KI-Inventar erstellen: Alle eingesetzten Tools, APIs und automatisierten Entscheidungsprozesse dokumentieren.
Risikoklasse bestimmen: Für jedes System prüfen, welche Risikoklasse gilt und wer betroffen ist.
Transparenz sicherstellen: Datenschutzerklärungen aktualisieren; sicherstellen, dass Nutzer wissen, wenn sie mit KI interagieren.
Häufige Fragen
Bin ich als Mittelständler betroffen? Ja. Das Gesetz gilt für alle Organisationen, die KI in der EU einsetzen oder anbieten — einschließlich zugekaufter Tools wie ChatGPT oder Copilot.
Was passiert, wenn ich nichts tue? Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes — höchste Strafen für verbotene Verstöße.
Gilt der EU AI Act auch für zugekaufte KI-Tools? Ja. Sowohl Anbieter als auch Nutzer („Deployer”) haben Pflichten. Nutzer müssen sicherstellen, dass Hochrisiko-Systeme ordnungsgemäß überwacht werden.
Wie verhält sich EU AI Act zu DSGVO? Beide gelten. Die DSGVO regelt den Umgang mit personenbezogenen Daten; der EU AI Act reguliert den Einsatz von KI-Systemen. Wer KI zur Verarbeitung personenbezogener Daten nutzt, muss beides einhalten.
Verwandte Begriffe
- DSGVO-konforme KI — Datenschutz und KI im Einklang
- Guardrails — KI sicher in Grenzen halten
- Audit-Trail — Nachvollziehbarkeit von KI-Entscheidungen
- Compliance-Dashboard — KI-Compliance überwachen