Glossar · EU-KI-Regulierung EU AI Act
Der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Risikobasierte Klassifizierung, in Kraft seit August 2024, mit wesentlichen Durchsetzungsbestimmungen, die zwischen 2025 und 2026 in Phasen wirksam werden.
## Was der EU AI Act tatsächlich bewirkt
Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen zur Regulierung künstlicher Intelligenz. Im August 2024 verabschiedet, etabliert er risikobasierte Anforderungen an KI-Systeme basierend auf ihren möglichen Auswirkungen auf Sicherheit, Grundrechte und Gesellschaft.
Die Verordnung gilt für:
- **KI-Anbieter** — Unternehmen, die KI-Systeme auf den EU-Markt bringen
- **KI-Anwender** — Organisationen, die KI-Systeme in der EU nutzen
- **Importeure und Händler** — Akteure, die KI-Systeme in der EU verfügbar machen
Wie die DSGVO hat auch der AI Act extraterritoriale Wirkung. Jedes KI-System, dessen Ausgabe in der EU verwendet wird, fällt unter die Verordnung, unabhängig davon, wo die KI entwickelt wurde.
## Die vier Risikokategorien
Der AI Act klassifiziert KI-Systeme in vier Risikostufen:
### Inakzeptables Risiko (verboten)
KI-Systeme, die Grundrechte verletzen oder inakzeptable Bedrohungen darstellen, sind vollständig verboten:
- Soziale Bewertung durch Regierungen
- Echtzeit-biometrische Identifikation im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
- Manipulation gefährdeter Gruppen
- Emotionserkennung am Arbeitsplatz und in Schulen
- Ungezieltes Scraping von Gesichtsbildern für Gesichtserkennungsdatenbanken
### Hohes Risiko
KI-Systeme, die in kritischen Kontexten eingesetzt werden, müssen strenge Anforderungen erfüllen:
- Kritische Infrastruktur (Wasser, Gas, Strom, Verkehr)
- Bildung und berufliche Bildung
- Beschäftigung und Personalmanagement
- Wesentliche private und öffentliche Dienstleistungen (Kreditbewertung, Sozialleistungen)
- Strafverfolgung
- Migration, Asyl, Grenzkontrolle
- Justiz und demokratische Prozesse
Hochrisikosysteme müssen Konformitätsbewertungen durchlaufen, Risikomanagementsysteme unterhalten, Datenqualität sicherstellen, Transparenz für Nutzer bieten und menschliche Aufsicht ermöglichen.
### Begrenztes Risiko
Systeme mit Transparenzpflichten:
- Chatbots — Nutzer müssen informiert werden, dass sie mit KI interagieren
- Deepfakes — KI-generierte Inhalte müssen gekennzeichnet werden
- Emotionserkennungssysteme (wo erlaubt) — Nutzer müssen informiert werden
### Minimales Risiko
Die überwiegende Mehrheit der KI-Anwendungen — Spamfilter, KI in Videospielen, Lagerverwaltung. Keine zusätzlichen regulatorischen Anforderungen.
## Bußgeldstruktur
Die Durchsetzungskraft des AI Act ist erheblich:
- **Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes** (je nachdem, welcher Betrag höher ist) für verbotene KI-Praktiken
- **Bis zu 15 Millionen Euro oder 3% des Umsatzes** für Nichteinhaltung der Hochrisikoanforderungen
- **Bis zu 7,5 Millionen Euro oder 1% des Umsatzes** für falsche Angaben gegenüber Behörden
Für KMU und Startups sind Bußgelder auf proportional niedrigere Schwellen begrenzt.
## Compliance-Zeitplan
Die Bestimmungen des AI Act treten phasenweise über mehrere Jahre in Kraft:
- **August 2024**: Verordnung tritt in Kraft
- **Februar 2025**: Verbot verbotener KI-Praktiken wird wirksam
- **August 2025**: Anforderungen an Allzweck-KI-Modelle gelten
- **August 2026**: Die meisten weiteren Bestimmungen werden wirksam, einschließlich der Anforderungen an Hochrisikosysteme
- **August 2027**: Volle Anwendbarkeit für eingebettete KI in regulierten Produkten
Wir befinden uns derzeit in der zweiten Phase. Die wesentlichen Durchsetzungsmaßnahmen werden für Ende 2026 und 2027 erwartet.
## Was das für europäische Unternehmen bedeutet
Für Organisationen, die 2026 KI einsetzen:
1. **Bestand der KI-Systeme aufnehmen.** Sie können Regeln nicht einhalten, von denen Sie nicht wissen, dass sie für Sie gelten.
2. **Nach Risikostufe klassifizieren.** Die meiste KI ist minimales Risiko; die wesentliche Arbeit besteht darin zu identifizieren, welche Systeme in die Kategorien hohes oder begrenztes Risiko fallen.
3. **Alles dokumentieren.** Compliance unter dem AI Act ist stark dokumentationsgetrieben — Risikomanagement, Datenverwaltung, technische Spezifikationen.
4. **Für Hochrisikosysteme** Konformitätsbewertung und CE-Kennzeichnungsprozesse planen.
5. **Für Anbieter von Allzweck-KI** Pflichten zu Transparenz, Urheberrechtskonformität und systemischer Risikobewertung prüfen.
## Warum europäische KI-Anbieter gut positioniert sind
Europäische KI-Unternehmen (Mistral, Aleph Alpha) haben ihre Produkte von Anfang an mit Blick auf AI-Act-Compliance entwickelt. US-ansässige KI-Anbieter (OpenAI, Anthropic, Google) rüsten Compliance nach, oft mit Reibung.
Dies schafft eine strukturelle Marktöffnung ähnlich der Wirkung der DSGVO auf europäische Cloud-Anbieter. EU-ansässige KI-Tools können glaubhaft mit „AI-Act-Compliance durch Architektur, nicht durch Konfiguration" werben — ein bedeutsames Verkaufsmerkmal für europäische Unternehmen, die die Verordnung navigieren.
## Open Weights und Souveränität
Eine spezifische Bestimmung, die hervorzuheben ist: KI-Modelle mit offenen Gewichten (Mistral 7B, Pharia, Llama usw.) haben etwas geringere regulatorische Pflichten als geschlossene Modelle, insbesondere für akademische Forschung und nicht-kommerzielle Nutzung.
Für europäische Organisationen, die echte souveräne KI-Bereitstellung benötigen, ermöglichen die Open-Weights-Optionen von Mistral und Aleph Alpha On-Premise-Hosting auf EU-Infrastruktur (Hetzner, Scaleway) — ein Bereitstellungsmuster, das US-Anbieter geschlossener Modelle strukturell nicht bieten können.
## Was zu beobachten ist
- **Erste größere Durchsetzungsmaßnahmen** werden für Ende 2026 / 2027 erwartet — sie werden praktische Compliance-Erwartungen prägen
- **Code of Practice für Allzweck-KI** — derzeit verhandelter freiwilliger Rahmen
- **Variationen bei der Mitgliedstaatsumsetzung** — jeder EU-Staat muss nationale Behörden benennen
- **EU AI Office** — zentrale Koordinierungsstelle, die die Auslegung in den Mitgliedstaaten prägt
Der AI Act ist die bedeutendste Tech-Regulierung seit der DSGVO. Behandeln Sie ihn entsprechend.
War das hilfreich?
Danke für Ihr Feedback!