Alles, was Sie über Europas wegweisende KI-Verordnung wissen müssen. Von der Risikoklassifizierung bis zu den technischen Anforderungen erläutert dieser Leitfaden, was Ihre Organisation vor der Anwendungsfrist im August 2026 wissen muss.
Der EU Artificial Intelligence Act (Regulation (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Im Juni 2024 verabschiedet, legt er harmonisierte Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen innerhalb der Europäischen Union fest.
Die Verordnung verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in vier Risikostufen mit verhältnismäßigen Anforderungen ein. Das bedeutet, dass strengere Pflichten für KI-Systeme gelten, die höhere Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen.
Der AI Act gilt für:
Der extraterritoriale Geltungsbereich bedeutet, dass Organisationen außerhalb der EU die Vorgaben einhalten müssen, wenn ihre KI-Systeme Personen in EU-Mitgliedstaaten betreffen — ähnlich wie der GDPR auf die Datenverarbeitung Anwendung findet.
Der EU AI Act verfolgt einen stufenweisen Umsetzungsansatz, bei dem verschiedene Bestimmungen zu unterschiedlichen Zeitpunkten anwendbar werden, damit sich Organisationen vorbereiten können.
Der EU AI Act ist offiziell in Kraft getreten
Das Verbot von KI-Systemen mit inakzeptablem Risiko wird wirksam
Die Regeln für Allzweck-KI-Modelle werden anwendbar
Alle Bestimmungen werden anwendbar, einschließlich der Anforderungen für High-Risk-KI
Bestehende High-Risk-KI-Systeme müssen in Konformität gebracht werden
Der 2. August 2026 markiert den Beginn der vollständigen Durchsetzung für High-Risk-KI-Systeme. Organisationen sollten jetzt mit ihren Konformitätsbemühungen beginnen, um diese Frist einzuhalten. Die meisten Konformitätsprogramme benötigen 6-12 Monate für eine ordnungsgemäße Umsetzung.
Der EU AI Act etabliert eine Pyramide von Risikostufen mit Anforderungen, die im Verhältnis zum potenziellen Schaden stehen, den ein KI-System verursachen könnte. Die Einstufung Ihres Systems zu verstehen, ist der erste Schritt zur Konformität.
KI-Systeme, die eine klare Bedrohung für Sicherheit, Lebensgrundlagen oder Rechte darstellen
KI-Systeme, die in kritischen Bereichen eingesetzt werden und Menschen erheblich beeinflussen könnten
KI-Systeme mit spezifischen Transparenzpflichten
KI-Systeme ohne spezifische regulatorische Anforderungen
Der AI Act verbietet bestimmte KI-Praktiken vollständig, die als inakzeptables Risiko für die Grundrechte gelten. Diese Verbote sind am 2. Februar 2025 wirksam geworden.
Hinweis: Einige Verbote enthalten begrenzte Ausnahmen für die Strafverfolgung mit vorheriger richterlicher Genehmigung sowie für bestimmte Szenarien schwerer Straftaten. Organisationen sollten bei Grenzfällen Rechtsrat einholen.
High-Risk-KI-Systeme unterliegen den umfassendsten Anforderungen des AI Act. Sie sind in den Annexes I und III der Verordnung definiert.
Biometrische Fernidentifizierung, Kategorisierung
Energie, Verkehr, Wasser, digitale Infrastruktur
Beurteilung von Lernenden, Zugangsentscheidungen, Betrugserkennung
Personalbeschaffung, HR-Entscheidungen, Leistungsüberwachung
Kredit-Scoring, Notdienste, Leistungsberechtigung
Risikobewertung, Beweiswürdigung, Kriminalanalyse
Prüfung von Reisedokumenten, Visabearbeitung
Unterstützung bei der Rechtsrecherche, justizielle Unterstützung
KI-Systeme, die als Sicherheitskomponenten in Produkten eingesetzt werden, die unter die EU-Harmonisierungsrechtsvorschriften (Annex I) fallen, werden automatisch als high-risk eingestuft. Dazu gehört KI in Maschinen, Spielzeug, Medizinprodukten, Fahrzeugen, Luftfahrt, Schiffsausrüstung und mehr.
Der AI Act weist je nach Ihrer Rolle in der KI-Wertschöpfungskette unterschiedliche Pflichten zu. Die meisten Organisationen sind entweder Anbieter (die KI entwickeln) oder Betreiber (die KI einsetzen).
Organisationen, die KI-Systeme entwickeln oder auf dem Markt bereitstellen
Organisationen, die KI-Systeme im beruflichen Rahmen einsetzen
Organisationen, die Nicht-EU-KI-Systeme auf den Markt bringen
Organisationen in der Lieferkette (weder Anbieter noch Importeur)
High-Risk-KI-Systeme müssen während ihres gesamten Lebenszyklus spezifische technische Anforderungen erfüllen. Diese Anforderungen bilden den Kern dessen, was Anbieter umsetzen müssen.
Kontinuierlicher, iterativer Prozess über den gesamten Lebenszyklus des KI-Systems
Sicherstellen, dass Trainings-, Validierungs- und Testdatensätze Qualitätskriterien erfüllen
Umfassende Dokumentation zum Nachweis der Konformität
Automatische Protokollierung von Ereignissen während des Betriebs
Betreibern ermöglichen, Ergebnisse angemessen zu interpretieren und zu nutzen
Wirksame menschliche Eingriffe während des Betriebs ermöglichen
Angemessene Leistungsniveaus erreichen
Der EU AI Act sieht erhebliche Geldbußen bei Nichtkonformität vor, die einer gestuften Struktur ähnlich dem GDPR folgen.
Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Für Verstöße im Zusammenhang mit verbotenen KI-Praktiken (je nachdem, welcher Betrag höher ist)
Bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Für Verstöße gegen Anforderungen an High-Risk-KI oder GPAI-Pflichten (je nachdem, welcher Betrag höher ist)
Bis zu 7,5 Mio. € oder 1,5 % des weltweiten Jahresumsatzes
Für die Übermittlung unrichtiger oder irreführender Informationen an Behörden (je nachdem, welcher Betrag höher ist)
Die Verordnung enthält Bestimmungen für kleine und mittlere Unternehmen. Für KMU und Start-ups werden Geldbußen auf Basis des niedrigeren Werts aus Prozentsatz oder Festbetrag berechnet. Die Mitgliedstaaten sind außerdem verpflichtet, regulatorische Sandkästen und Unterstützungsmechanismen bereitzustellen.
Ein systematisches Vorgehen zur EU-AI-Act-Konformität folgt in der Regel diesen Phasen. Organisationen sollten jetzt beginnen, um bis August 2026 bereit zu sein.
Alle KI-Systeme über die Geschäftsbereiche hinweg inventarisieren
Risikostufen gemäß den Kategorien des Annex III bewerten
Konformitätslücken im Vergleich zu den Anforderungen identifizieren
Technische und Governance-Maßnahmen umsetzen
Die meisten Organisationen benötigen 6-12 Monate, um für High-Risk-KI-Systeme eine prüfungsbereite Konformität zu erreichen. Dazu gehört: