Mit dem EU AI Act hat die Europäische Union am 21.März 2024 die erste rechtlich verbindliche Grundlage verabschiedet, um den Einsatz von Künstlicher Intelligenz (KI) zu regulieren. Die Verordnung betrifft nicht nur Entwickler von KI-Systemen, sondern auch Unternehmen, die KI-Lösungen nutzen – etwa im Kundenservice, der IT-Sicherheit oder der Personalabteilung.
Nun liegt es an den EU-Mitgliedsstaaten den AI Act in nationales Recht umzusetzen.
In diesem Beitrag erklären wir die wichtigsten Inhalte, weisen darauf hin, welche Pflichten auf Unternehmen zukommen, und geben praktische Hinweise zur Umsetzung.
Was regelt der EU AI Act?
Der EU AI Act (Verordnung über Künstliche Intelligenz) legt EU-weit einheitliche Regeln für den Einsatz von KI fest. Dabei verfolgt die Verordnung einen risikobasierten Ansatz, der dennoch Innovation in der EU ermöglichen soll.
Nach diesem Ansatz werden KI-Anwendungen gemessen an Ihrem Risiko reglementiert. Je höher das Risiko für ein KI-System eingeschätzt wird, desto stärker wird es also reglementiert. KI-Systeme werden in vier Stufen eingeordnet:
1. Verbotene KI-Systeme
Anwendungen, die gegen Grundrechte verstoßen (z. B. manipulative Verhaltenssteuerung oder „Social Scoring“), sind vollständig untersagt.
2. Hochrisiko-KI-Systeme
Dazu zählen bspw. KI-Sicherheitskomponenten in Produkten (z.B. Medizingeräte) KI in sicherheitskritischen Infrastrukturen oder Bewerberauswahl. Hier gelten strenge Anforderungen an Dokumentation, menschliche Überwachung, Cybersicherheit und Qualitätssicherung.
3. Systeme mit begrenztem Risiko
Etwa Chatbots oder automatische Empfehlungssysteme. Für sie gelten Transparenzpflichten (z. B. KI-generierte Inhalte müssen gekennzeichnet werden).
4. Systeme mit minimalem Risiko
Dazu gehören z. B. Spamfilter. Für diese bestehen aktuell kaum spezifische Auflagen. Dennoch sollten diese Systeme bewertet werden, um Fehlklassifizierungen zu vermeiden.
Wer ist betroffen?
Die Verordnung unterscheidet folgende Rollen mit jeweils spezifischen Verantwortlichkeiten:
-
-
- Anbieter (Provider): Entwickeln oder lassen KI-Systeme entwickeln und bringen sie unter eigenem Namen auf den Markt.
- Betreiber (Deployer): Nutzen ein KI-System unter ihrer Autorität (relevant für viele Unternehmer).
- Importeur: Bringt ein KI-System aus einem Drittland in die EU.
- Händler (Distributor): Stellt ein KI-System auf dem EU-Markt bereit, außer Anbieter oder Importeur.
-
Auch kleine und mittelständische Unternehmen sollten prüfen, ob sie Systeme verwenden, die unter die Verordnung fallen.
Welche Pflichten gelten für Betreiber von Hochrisiko-KI-Systemen?
Wir haben für Betreiber von KI-Systemen übersichtlich zusammengefasst, welche konkreten Anforderungen bei der Nutzung von Hochrisiko-KI zu beachten sind. Denn diese Klassifizierung bringt umfassende rechtliche Pflichten mit sich. Unternehmen in der Betreiberrolle sind gefordert, solche Systeme besonders verantwortungsvoll und regelkonform einzusetzen.
-
-
- Nutzungshinweise: Systeme gemäß Gebrauchsanweisungen verwenden und überwachen.
- Grundrechtsfolgenabschätzung (FRIA): Für bestimmte Betreiber (z.B. öffentliche Stellen, Kreditwürdigkeitsprüfung) vor Inbetriebnahme erforderlich.
- Menschliche Aufsicht: Kompetentes, geschultes Personal zuweisen.
- Protokollierung: Automatisch generierte Protokolle mind. 6 Monate aufbewahren.
- Vorfallmeldung: Anbieter und Behörden unverzüglich bei Risiken oder schwerwiegenden Vorfällen informieren.
- Informationspflichten für Arbeitgeber: Arbeitnehmer über Nutzung von Hochrisiko-KI am Arbeitsplatz informieren.
- Hinweis: Öffentliche Stellen sollten zusätzlich prüfen, ob das System in der EU-Datenbank registriert ist, bevor sie es nutzen.
-
Zeitplan: Wann gilt was?
Der EU AI Act ist seit Mitte 2024 offiziell veröffentlicht. Die Umsetzung erfolgt stufenweise:
KI-Systeme mit inakzeptablem Risiko
Verbot ab Februar 2025
Ende der Übergangsphase, Inkrafttreten von Verpflichtungen für Hochrisiko-KI-Systeme
ab August 2026
Pflichten für Hochrisiko-KI-Systeme als Sicherheitskomponente in Produkten und Anwendung der gesamten Verordnung
ab August 2027
Die folgenden Überlegungen dienen als praxisorientierte Hinweise; sie ersetzten keine Rechtsberatung.
Was sollten Unternehmen konkret tun?
Für Unternehmer ergeben sich daraus folgende konkrete Handlungsempfehlungen:
Alle KI-Systeme sollten nach den Risikostufen des AI Act klassifiziert werden.
Die eigene Rolle (Anbieter, Betreiber etc.) sollte identifiziert und interne Verantwortlichkeiten zugewiesen werden.
Sie sollten prüfen, ob die bestehenden Datenpraktiken Fairness, Bias-Minderung und Datenschutz tatsächlich gewährleisteten.
Sie sollten sicherstellen, dass beim Einsatz von Hochrisiko-KI-Systemen menschliche Kontrolle und Eingriffsmöglichkeiten bestehen.
Technische Dokumentationen und Protokolle sollten erstellt und Transparenzpflichten erfüllt werden (z.B. Kennzeichnung von KI-Interaktionen).
Mitarbeiter sollten in Ihrer KI-Kompetenz geschult und gefördert werden.
KMU’s sollten Unterstützungs-angebote annehmen und sich über Regulierungs-Sandboxes, vereinfachte Dokumentation und Beratungs-angebote informieren.
Drittanbieter sollten auf Compliance zu geprüft und Verantwortlich-keiten vertraglich geklärt werden.
Unsere Unterstützung als IT-Dienstleister
Der EU AI Act ist komplex. Wenn Sie unsicher sind, inwieweit Ihr Unternehmen vom EU AI Act betroffen ist, sprechen Sie uns gerne an. Frühzeitig zu handeln, reduziert den Aufwand später erheblich. Wir haben schon jetzt einige Lösungen an der Hand, um Sie bei der Umsetzung technisch zu unterstützen, u.a. bei der:
- Umsetzung technischer Anforderungen
- Digitalisierung und Strukturierung des Prüfung- und Freigabeprozesses
- Schulungen für Mitarbeitende
Quellenverzeichnis:
EU verabschiedet erstes KI-Gesetz weltweit | Bundesregierung
Regulation – EU – 2024/1689 – DE – EUR-Lex
AI Act | Shaping Europe’s digital future
Key Issue 5: Transparency Obligations – EU AI Act
EU AI Act: first regulation on artificial intelligence | Topics | European Parliament
Der Fahrplan zum EU AI Act: Ein detaillierter Leitfaden – Alexander Thamm
EU AI Act in der Praxis – Überblick und was ab August 2025 gilt
