Beratungstermin

Was ist der EU AI Act

  • Datenschutz

Die Europäische Union führt mit dem EU AI Act erstmals eine umfassende KI-Verordnung ein. Diese EU-Verordnung zu künstlicher Intelligenz definiert neue gesetzliche Anforderungen an KI und enthält strenge Transparenzpflichten für KI-Einsätze – insbesondere für Hochrisiko-KI-Systeme. Informieren Sie sich, was die KI-Gesetzgebung der EU für Ihr Unternehmen bedeutet und wie Sie sich darauf vorbereiten können.

Was regelt die EU-KI-Verordnung (AI Act)?

Der EU AI Act (deutsch: KI-Verordnung) ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz. Die Verordnung trat am 1. August 2024 in Kraft und schafft einen einheitlichen rechtlichen Rahmen für die Entwicklung und Nutzung von KI-Systemen in der EU. Im Mittelpunkt stehen die Klassifizierung von KI-Systemen nach Risikostufen und Vorgaben zur Sicherheit und Transparenz, um Risiken durch KI zu begegnen, ohne Innovation abzuwürgen. Aspekte wie Urheberrechte bei KI bleiben hingegen außerhalb des AI Act und werden separat geregelt. Für Unternehmen aller Branchen bedeutet dies, dass der Einsatz von KI nun verbindlichen Regeln unterliegt. KI ist vermutlich auch aus Ihrem Unternehmensalltag nicht mehr wegzudenken – sei es durch Chatbots im Kundendienst, KI-Tools in der Qualitätssicherung oder im Personalwesen. Entsprechend sollten Sie sich frühzeitig mit den neuen Regelungen befassen, um rechtlich auf der sicheren Seite zu sein und hohe Bußgelder zu vermeiden. Der AI Act sieht bei Verstößen empfindliche Strafen vor, die ähnlich wie bei der DSGVO in die Millionen gehen können.

Inkrafttreten und Zeitplan

Die KI-Verordnung wird stufenweise eingeführt. Einige Vorgaben gelten bereits, weitere treten in den kommenden Jahren in Kraft:

  • Seit 2. Februar 2025: Erste Regeln gelten, darunter das Verbot unzulässiger KI-Praktiken und die Pflicht, Mitarbeiter in KI-Kompetenz zu schulen. Unternehmen dürfen bestimmte hochriskante KI-Anwendungen mit unannehmbarem Risiko ab diesem Datum nicht mehr einsetzen.
  • Ab 2. August 2025: Zusätzliche Vorgaben treten in Kraft, z. B. spezielle Regeln für KI-Systeme mit allgemeinem Verwendungszweck (Generative KI wie ChatGPT) sowie neue Governance-Strukturen und Aufsichtsbehörden in den Mitgliedstaaten.
  • Ab 2. August 2026: Die meisten AI-Act-Regeln gelten EU-weit verbindlich. Unter anderem greifen dann umfassende Dokumentations- und Kennzeichnungspflichten – etwa eine Pflicht, KI-generierte Inhalte deutlich zu kennzeichnen.
  • Ab 2. August 2027: Spezielle Vorschriften für Hochrisiko-KI-Systeme werden endgültig wirksam. Insbesondere Hochrisiko-KI, die in bereits anderweitig regulierten Produkten verbaut ist (z. B. Medizinprodukte mit KI), hat einen verlängerten Übergangszeitraum bis 2027.

Tipp: Nutzen Sie die Übergangsfristen, um Ihr Unternehmen auf die kommenden Pflichten vorzubereiten. Viele Pflichten gelten bereits ab 2025, und eine Schonfrist darüber hinaus wird es nicht geben.

Risikoklassen von KI-Systemen

Ein zentrales Prinzip des AI Act ist der risikobasierte Ansatz: KI-Systeme werden in vier Risikostufen eingeteilt – unannehmbar (verboten), hoch, begrenzt und minimal. Je höher das Risiko, desto strenger sind die Auflagen, bis hin zum vollständigen Verbot bestimmter KI-Anwendungen.

  • Verbotene KI-Praktiken (unannehmbares Risiko): KI-Systeme, die eine klare Bedrohung für Sicherheit, Grundrechte oder europäische Werte darstellen, dürfen nicht betrieben werden. Verboten sind z. B. KI zur manipulativen Verhaltensbeeinflussung, automatisierte Emotionserkennung am Arbeitsplatz oder Social Scoring-Systeme.
  • Hochrisiko-KI-Systeme: Beispiele sind KI für Personalentscheidungen, Kreditwürdigkeitsprüfungen oder in sicherheitskritischer Infrastruktur. Sie unterliegen strengen Auflagen, darunter Risikobewertungen, menschliche Überwachung, Dokumentation und weitere Compliance-Maßnahmen.
  • Begrenztes Risiko: Hier schreibt der AI Act vor allem Transparenzpflichten vor. Nutzer müssen informiert werden, dass sie mit einer KI interagieren, und KI-generierte Inhalte müssen als solche erkennbar sein.
  • Minimales Risiko: Alltägliche KI-Anwendungen wie Spamfilter oder Rechtschreibprüfungen gelten als geringfügig. Für diese Systeme schreibt die Verordnung keine neuen Auflagen vor.

Neue Pflichten für Unternehmen beim KI-Einsatz

Bereits seit Anfang 2025 gelten erste Pflichten, die für viele Unternehmen relevant sind. Dazu gehören:

  • Schulungspflichten: Unternehmen müssen sicherstellen, dass Beschäftigte über ausreichende Kenntnisse im Umgang mit KI verfügen.
  • Transparenzpflichten: Der Einsatz von KI im Kundenkontakt (z. B. Chatbots) muss offengelegt werden. KI-generierte Inhalte sind deutlich zu kennzeichnen.
  • Compliance-Anforderungen bei Hochrisiko-KI: Hierzu zählen ein Risikomanagement, interne Kontrollprozesse, Datenqualitätssicherung, menschliche Überwachung sowie lückenlose Dokumentation. In bestimmten Fällen ist eine Meldung an Behörden oder eine Registrierung in einer EU-KI-Datenbank vorgeschrieben.

Auch Anbieter von KI-Systemen sind verpflichtet, Nachweisdokumentationen zu führen, Konformitätsbewertungen vorzunehmen und CE-Kennzeichnungen einzuhalten.

Auswirkungen auf Unternehmen

Für Unternehmen bedeutet der EU AI Act vor allem: frühzeitig handeln. Führen Sie eine Bestandsaufnahme durch, welche KI-Systeme im Unternehmen genutzt werden, und ordnen Sie diese den Risikokategorien zu. Besonders Anwendungen mit potenziell hohem Risiko sollten frühzeitig auf Compliance geprüft werden. Dazu gehören Prozesse im Personalwesen, bei Finanzentscheidungen oder im Einsatz sicherheitskritischer Technologien. Erfahrung aus der DSGVO zeigt, dass rechtzeitige Vorbereitung entscheidend ist. Compliance für KI wird ein fester Bestandteil der Unternehmensführung werden – vergleichbar mit Datenschutz-Compliance. Dazu zählen interne Richtlinien, Schulungen und technische Maßnahmen, um Transparenz, Datenqualität und Überwachung sicherzustellen. Unternehmen, die diese Pflichten ignorieren, riskieren hohe Bußgelder und Reputationsverluste. Deshalb ist es empfehlenswert, frühzeitig Prozesse anzupassen und gegebenenfalls externe Unterstützung in Anspruch zu nehmen.

Zurück

Sichern Sie Ihr Unternehmen ab!

Sie haben Fragen zum Thema Datenschutz? Dann kontaktieren Sie uns oder machen Sie direkt online unseren Datenschutz Check für Ihr Unternehmen

Das könnte Sie auch interessieren:

Was ist die NIS2-Richtlinie?

  • Datenschutz

Die neue EU-Richtlinie NIS2 verpflichtet ab 2024 deutlich mehr Unternehmen zu erhöhter Cyber- und Informationssicherheit. Kritische Branchen sowie…

Weiterlesen

Opt-In- und Opt-Out-Verfahren im Datenschutz

  • Datenschutz

Heutzutage sind klare Opt-In- und Opt-Out-Verfahren unverzichtbar, um datenschutzkonform zu handeln und das Vertrauen Ihrer Kunden zu erhalten. Dieser…

Weiterlesen

Was ist ein AV-Vertrag?

  • Datenschutz

Der Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein zentrales Instrument der DSGVO. Er regelt, wie Dienstleister mit personenbezogenen Daten…

Weiterlesen

Löschkonzept nach DSGVO in Unternehmen

  • Datenschutz

Ein wirksames Löschkonzept nach DSGVO ist mehr als nur eine gesetzliche Pflicht. Es unterstützt Unternehmen dabei, Datenbestände transparent zu…

Weiterlesen
Cookie Extension Logo