AI Act: Was die KI-Verordnung für Unternehmen bedeutet
- Die KI-Verordnung der EU reguliert KI-Systeme basierend auf ihrem Risikopotenzial.
- KI-Systeme mit "inakzeptablem Risiko" wie Social Scoring sind seit Februar 2025 verboten.
- Hochrisiko-KI-Systeme unterliegen strengen Anforderungen und Konformitätsprüfungen.
- Unternehmen müssen Risikobewertungen, Transparenz und lückenlose Dokumentation sicherstellen.
- Verstöße können Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen
- Item A
- Item B
- Item C
Was ist die KI-Verordnung?
Die Verordnung über künstliche Intelligenz (KI-VO), auch AI Act genannt, ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen. Sie gilt unmittelbar in allen EU-Mitgliedstaaten – eine Umsetzung in nationales Recht ist nicht erforderlich.
Die KI-Verordnung verfolgt vier zentrale Ziele:
- Schutz der Grundrechte und der Sicherheit von EU-Bürgern
- Überwachung und Regulierung des KI-Einsatzes in Unternehmen
- Schaffung eines sicheren Innovationsrahmens für europäische KI-Entwicklungen
- Stärkung des Vertrauens von Verbrauchern und Unternehmen in KI-Technologien
Welche KI-Systeme betrifft die Verordnung?
Die KI-VO definiert ein KI-System als „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein. Es leitet aus erhaltenen Eingaben ab, wie Ausgaben (Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen) erstellt werden“.
Risikobasierte Klassifizierung von KI-Systemen
Die Strenge der Regulierung hängt vom Risikopotenzial des KI-Systems ab. Die Verordnung unterteilt KI in vier Kategorien:
1. KI mit inakzeptablem Risiko: Verboten
KI-Systeme, die eine klare Gefahr für Grundrechte darstellen, sind seit Februar 2025 in der EU verboten. Dazu gehören:
- Social Scoring durch Behörden
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit wenigen Ausnahmen)
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
2. Hochrisiko-KI-Systeme: Strenge Regulierung
Hochrisiko-KI-Systeme werden in kritischen Bereichen eingesetzt, etwa:
- Personalwesen: KI-gestützte Bewerbermanagementsysteme
- Gesundheitswesen: KI-Diagnostik
- Kritische Infrastruktur: Steuerung von Energie- oder Verkehrsnetzen
- Strafverfolgung & Justiz: Risikobewertung bei Gerichtsverfahren
Beispiel: Ein Softwareunternehmen, das ein KI-basiertes Recruiting-Tool entwickelt, muss Konformitätsbewertungen durchführen und technische Dokumentationen erstellen.
3. KI mit begrenztem Risiko: Transparenzpflichten
KI-Systeme wie Chatbots oder Deepfake-Generatoren dürfen verwendet werden, sofern Nutzer klar darüber informiert werden, dass sie mit einer KI interagieren.
4. KI mit minimalem Risiko: Keine spezifischen Anforderungen
KI-Systeme wie Spam-Filter oder KI-gestützte Videospiele unterliegen keinen besonderen Vorgaben.
AI Act der EU: Hintergrund und Entwicklung
Die Europäische Union beschäftigt sich bereits seit 2018 mit KI-Regulierungen und gründete die KI-Allianz. 2021 legten die KI-Experten der EU-Kommission den ersten Entwurf des AI Acts vor. Nach mehreren Überarbeitungen und Beratungen verabschiedete das Europäische Parlament den Act schließlich am 21. Mai 2024. Am 12. Juli 2024 wurde er im Amtsblatt der EU verkündet.
Wann tritt die KI-Verordnung in Kraft?
Die KI-Verordnung trat am 1. August 2024 in Kraft. Allerdings gelten gestaffelte Übergangsfristen:
Welche Anforderungen stellt der AI Act an Unternehmen?
Die KI-VO richtet sich vor allem an Anbieter (Entwickler von KI-Systemen), Betreiber (Unternehmen, die KI-Systeme einsetzen) und Importeure von KI-Systemen.
Zentrale Anforderungen:
1. Risikobewertung und Risikomanagement
Risikobewertung und -management: Unternehmen müssen eine umfassende Risikobewertung ihrer KI-Systeme durchführen und sicherstellen, dass diese sicher und vertrauenswürdig sind.
Unternehmen müssen eine umfassende Risikobewertung durchführen und dokumentieren:
- Welche Risiken entstehen durch den Einsatz des KI-Systems?
- Welche Maßnahmen werden ergriffen, um diese Risiken zu minimieren?
- Wie wird das System überwacht und aktualisiert?
2. Transparenzanforderungen
Transparenzanforderungen: Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren, insbesondere bei Systemen, die Emotionen erkennen oder biometrische Daten verwenden.
Nutzer müssen klar darüber informiert werden, wenn sie mit einem KI-System interagieren – insbesondere bei Chatbots, Emotionserkennungssystemen oder KI-generierten Inhalten.
3. Dokumentation und Aufzeichnungen
Dokumentation und Aufzeichnungen: Unternehmen müssen detaillierte Aufzeichnungen über die Entwicklung, das Training und den Einsatz von KI-Systemen führen.
Unternehmen müssen detaillierte Aufzeichnungen führen über Entwicklung, Training, Datenquellen, Änderungen und Vorfälle.
Spezielle Regelungen für Hochrisiko-KI-Systeme
Hochrisiko-KI-Systeme unterliegen besonders strengen Anforderungen. Unternehmen müssen sicherstellen, dass diese Systeme robust und sicher sind und die Grundrechte der Nutzer nicht verletzen. Dazu gehört auch, dass diese Systeme:
✅ Robust und sicher sind
✅ Die Grundrechte der Nutzer nicht verletzen
✅ Einer strengen Konformitätsbewertung unterzogen werden
✅ Menschliche Aufsicht ermöglichen (Human-in-the-Loop)
Konformität nach dem AI Act
Die Konformitätsbewertung ist ein zentraler Bestandteil der KI-VO. Anbieter oder Betreiber von Hochrisiko-KI-Systemen müssen nachweisen, dass ihre Systeme den Anforderungen entsprechen.
Schritte zur Konformität:
1. Risikoklassifizierung: Ist Ihr KI-System als Hochrisiko einzustufen?
2. Technische Dokumentation erstellen
3. Qualitätsmanagementsystem implementieren
4. Externe Prüfung (falls erforderlich)
5. CE-Kennzeichnung anbringen
6. Registrierung in EU-Datenbank
Wie hängen die KI-Verordnung und der Datenschutz zusammen?
Die KI-Verordnung und die Datenschutzgrundverordnung verfolgen ein gemeinsames Ziel: den Schutz der Rechte von EU-Bürgern. Beide Regelwerke müssen parallel eingehalten werden.
Wichtige Überschneidungen:
Durchsetzung der Verordnung und drohende Strafen
Für die Überwachung und Durchsetzung der KI-VO muss jeder EU-Mitgliedstaat, darunter auch Deutschland, eine nationale Aufsichtsbehörde einrichten oder benennen. In Deutschland steht die Benennung noch aus – Kandidaten sind die Bundesnetzagentur oder Datenschutzbehörden.
Welche Strafen drohen Unternehmen, die gegen die KI-VO verstoßen?
Die Bußgelder orientieren sich an der DSGVO:
Herausforderungen und Kritik an der KI-Verordnung
Die KI-Verordnung soll einen sicheren Rahmen schaffen. Dennoch gibt es Kritikpunkte:
1. Unklare Risikoklassifizierung: Viele Unternehmen sind unsicher, ob ihre KI-Systeme als Hochrisiko gelten.
2. Hoher bürokratischer Aufwand: Insbesondere KMU fürchten den Dokumentations- und Prüfaufwand.
3. Hemmung von Innovationen: Strenge Vorschriften könnten europäische Unternehmen im globalen Wettbewerb benachteiligen.
Ausblick: So geht es mit KI-VO und KI-Gesetz weiter
Mit dem AI Act hat die Europäische Union einen wichtigen Schritt getan, um den Einsatz von KI sicherer und verantwortungsvoller zu gestalten.
Für Unternehmen bedeutet das:
✅ Handeln Sie jetzt: Warten Sie nicht bis 2026
✅ Setzen Sie auf Experten: KI-Compliance ist komplex
✅ Nutzen Sie Synergien: DSGVO, NIS2, KI-VO integriert denken
✅ Dokumentieren Sie zentral: Compliance-Plattformen sparen bis zu 70 % Zeit
Sie haben noch Fragen? Wir haben die Antworten
Die KI-Verordnung trat am 1. August 2024 in Kraft. Die volle Anwendbarkeit für Hochrisiko-KI-Systeme gilt ab dem 2. August 2026. Das Verbot von KI mit inakzeptablem Risiko gilt bereits seit 2. Februar 2025.
Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
