Der EU AI Act verändert die Spielregeln für den Einsatz von Künstlicher Intelligenz in Europa – und betrifft nahezu jedes Unternehmen, das KI nutzt oder anbietet. Ziel ist es, den Einsatz von KI-Systemen sicher, vertrauenswürdig und grundrechtskonform zu gestalten. So soll das Vertrauen in KI gestärkt und Risiken wie Diskriminierung, Intransparenz oder Manipulation gezielt vermieden werden.

Mit dem AI Act schafft die EU klare Regeln für Unternehmen – und verpflichtet sie dazu, ihre KI-Anwendungen besser zu verstehen, zu bewerten und verantwortungsvoll einzusetzen.

Risikobasierter Ansatz: Einteilung in vier Stufen

Der AI Act folgt einem risikobasierten Regelungsmodell: Je höher das Risiko, desto strenger die Vorgaben. KI-Systeme werden in vier Risikokategorien unterteilt:

  • Unannehmbares Risiko: KI-Anwendungen, die laut Art. 5 Abs. 1 a–g verboten sind, etwa manipulative Techniken, soziale Punktesysteme, Predictive Policing, unerlaubte Emotionserkennung oder biometrische Kategorisierung nach sensiblen Merkmalen, dürfen weder in Testphase noch produktiv eingesetzt werden (Art. 5 Abs. 1 lit. a–g). Sie sind unabhängig vom Kontext und Betreiber grundsätzlich unzulässig. Ausnahmen existieren nur sehr eng für eng definierte, gesetzlich geregelte Sicherheits- oder Strafverfolgungszwecke mit strikten Auflagen (Art. 5 Abs. 2–6). Jeglicher Verstoß führt zu Untersagung und möglichen Sanktionen.
  • Hohes Risiko: KI-Systeme gelten als high-risk, wenn sie entweder als Sicherheitskomponente anderer Produkte fungieren oder in den in Anhang III gelisteten Bereichen eingesetzt werden (Art. 6 Abs. 1–3, Anhang III). Beispiele umfassen Biometrie, kritische Infrastrukturen, Medizin, Finanzwesen, Justiz/Migration u. a. Für solche Systeme sind umfangreiche Vorgaben zu Risikomanagement (Art. 9), Datenqualität (Art. 10), technischer Dokumentation (Art. 11), menschlicher Aufsicht (Art. 14), Robustheit und Sicherheit (Art. 15) sowie Post-Market-Monitoring, Incident-Reporting, Konformitätsbewertung (Art. 43 ff.), gegebenenfalls Durchführung einer Grundrechtsfolgen-abschätzung gemäß Artikel 29 für Hochrisiko-KI-Systeme im öffentlichen Sektor und Registrierung (Art. 49) zwingend (Kap. III). Die Anforderungen gelten ab dem festgelegten Inkrafttreten, Übergangsfristen sind zu beachten.
  • Begrenztes Risiko: KI-Systeme, die nicht als high-risk klassifiziert sind, aber direkt mit Nutzenden interagieren (z. B. Chatbots) oder künstliche Inhalte erzeugen, unterliegen Transparenzpflichten nach Art. 50 Abs. 1–4, d. h. Kennzeichnung, dass es sich um KI-Interaktion bzw. KI-generierte/manipulierte Inhalte handelt (Art. 50). Es bestehen keine weiteren Konformitätsanforderungen wie bei High-Risk-Systemen. Künftige Erweiterungen der Transparenzpflichten können durch Delegierte Akte ergänzt werden (Art. 112).
  • Minimales Risiko: KI-Anwendungen, die weder in Anhang III fallen noch Interaktion oder Content-Generierung im Sinne von Art. 50 auslösen, unterliegen keinen spezifischen Vorgaben des AI Act. Beispiele sind einfache Spam-Filter, Basis-Videospiel-Features oder nicht-interaktive Analyse-Tools. Allerdings kann derselbe technische Kern in risikoreichem Kontext nachklassifiziert werden (Art. 6 Abs. 3) oder durch Interaktion Transparenzpflichten auslösen. Ohne solche Umstände gelten für minimal-risk-Systeme keine AI Act-spezifischen Pflichten.

Warum Vorsicht wichtig ist: Bias als reales Risiko

Ein bekanntes Beispiel zeigt, wie schnell KI Diskriminierung fördern kann: Amazon testete ein KI-gestütztes Recruiting-Tool, das auf Basis historischer Daten Bewerber auswählte. Das Problem: Die Trainingsdaten waren überwiegend männlich geprägt – und so diskriminierte das System systematisch Frauen.

Solche Verzerrungen (Bias) können bei KI auch in anderen Bereichen auftreten – etwa bei Kreditvergabe, Versicherungen oder polizeilicher Risikobewertung – und zu erheblichen ethischen und rechtlichen Problemen führen.

Was Unternehmen jetzt tun müssen

Unternehmen stehen in der Pflicht, ihre eingesetzten KI-Systeme zu analysieren, korrekt zu klassifizieren und geeignete Maßnahmen umzusetzen – insbesondere bei Anwendungen die unter die Kategorie „Hohes Risiko“ fallen. High-Risk-KI-Systeme müssen künftig mit einer CE-Kennzeichnung versehen sein, die die Konformität mit den Anforderungen des AI Acts bestätigt.

Zu den wichtigsten Anforderungen gehören:

  • Einrichtung eines Risikomanagementsystems
  • Sicherstellung der Qualität der Trainingsdaten
  • Protokollierung und Dokumentation aller relevanten KI-Aktivitäten
  • Erfüllung von Transparenzpflichten, z. B. bei Chatbots

Unternehmen sollten ihre Governance, Prozesse und IT-Systeme frühzeitig auf die Anforderungen des AI Acts ausrichten – auch im Sinne langfristiger Compliance.

Strenge Sanktionen bei Verstößen

Die Nichteinhaltung des AI Acts kann teuer werden: Es drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Besonders kritisch: KI-Systeme mit unannehmbarem Risiko dürfen nach Inkrafttreten des AI Acts und Ablauf der Übergangsfrist nicht mehr verwendet werden. Der genaue Termin ist abhängig vom Zeitpunkt der Veröffentlichung im EU-Amtsblatt. Aktuell ist davon auszugehen, dass die Vorgaben zur Unzulässigkeit spätestens ab Mitte 2026 verbindlich werden. Unternehmen sollten also keine Zeit verlieren.

Handlungsempfehlungen für Ihr Unternehmen

✅ KI-Anwendungen identifizieren und der korrekten Risikokategorie zuordnen
Erfassen Sie alle im Unternehmen eingesetzten KI-Systeme und ordnen Sie sie der jeweiligen Risikostufe zu.

✅ KI-Tools in Einklang mit Risikomanagement bringen
Entwickeln Sie Prozesse für Risikoanalysen, Tests, Monitoring und Dokumentation.

Governance und IT anpassen
Schaffen Sie klare Zuständigkeiten für KI-Compliance, schulen Sie Mitarbeitende und passen Sie interne Richtlinien an.

Fristen im Blick behalten
Insbesondere KI-Systeme mit unannehmbarem Risiko hätten bis spätestens 2. Februar 2025 entfernt oder ersetzt werden müssen.

Fazit: Der AI Act bringt Klarheit – und Handlungsdruck

Der EU AI Act ist ein wichtiger Schritt in Richtung vertrauenswürdiger KI. Für Unternehmen bedeutet das allerdings nicht nur neue Pflichten, sondern auch die Chance, sich frühzeitig zukunftsfähig aufzustellen – mit mehr Transparenz, Verantwortung und digitaler Resilienz.

Sind Ihre KI-Systeme AI-Act-konform?

Jetzt ist der richtige Zeitpunkt, zu handeln. Wir unterstützen Sie bei der Analyse, Bewertung und Umsetzung der neuen Anforderungen – sprechen Sie uns gerne an.

Bildnachweis: (Y) Yvonne Oster, Glöckner & Schuhwerk, KI generiert