EU KI-Verordnung: Was der neue AI Act für Betriebe bedeutet
KI-generiert mit DALL·E

EU KI-Verordnung: Was der neue AI Act für Betriebe bedeutet

26. November 2024

Mit dem EU AI Act (Verordnung (EU) 2024/1689) hat die Europäische Union am 1. August 2024 das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz (KI) in Kraft gesetzt. Seit dem 2. Februar 2025 sind erste Regelungen – wie das Verbot bestimmter KI-Anwendungen und die Pflicht zur Kennzeichnung von KI-Inhalten – verbindlich. Nachfolgend ein Überblick.

Update: 24. März 2025

Hintergrund

Die rasant fortschreitende Entwicklung von KI-Technologien bietet enorme Potenziale – etwa zur Optimierung von Prozessen oder zur Steigerung der Effizienz. Der AI Act soll sicherstellen, dass der Einsatz von KI sicher, transparent und ethisch erfolgt. Wichtig dabei: Die Verpflichtungen gelten nicht nur für Entwickler von KI-Systemen (Anbieter), sondern auch für gewerbliche Nutzer (Betreiber) – also auch für viele mittelständische Unternehmen, die KI bereits einsetzen oder planen.

Das risikobasierte System

Der AI Act stuft KI-Systeme nach ihrem Risikograd ein:

  • Minimales Risiko: Gängige Anwendungen wie Übersetzungssoftware oder einfache Chatbots unterliegen nur sehr eingeschränkten Pflichten.
  • Begrenztes Risiko: Systeme wie generative KI (z. B. ChatGPT, Midjourney) unterliegen Transparenzpflichten, etwa zur Kennzeichnung von Inhalten.
  • Hohes Risiko: Anwendungen im Personalwesen, der Bildung oder Produktsicherheit gelten häufig als hochriskant und unterliegen strengen Auflagen.
  • Unannehmbares Risiko: Bestimmte KI-Systeme mit besonders hohem Gefahrenpotenzial sind verboten.

KI mit ‚unannehmbarem Risiko‘ ist verboten

Seit dem 2. Februar 2025 sind folgende KI-Anwendungen in der EU untersagt:

  • Systeme zur Manipulation menschlichen Verhaltens, die physischen oder psychischen Schaden verursachen könnten (z. B. manipulative Werbung).
  • KI-gestütztes „Social Scoring“, das Menschen aufgrund ihres Verhaltens oder sozialer Merkmale bewertet.
  • Biometrische Echtzeit-Überwachung im öffentlichen Raum (z. B. Gesichtserkennung), außer in gesetzlich geregelten Ausnahmefällen, etwa zur Strafverfolgung.

Vorsicht bei Hochrisiko-KI-Systemen

Hochrisikosysteme betreffen häufig kritische Bereiche, etwa:

  • Im Personalbereich: Recruiting-Software zur automatischen Bewerberauswahl, KI-gestützte Leistungs- oder Verhaltensüberwachung (z. B. Zeiterfassung mit Analyse), Tools zur Personalplanung.
  • In der Aus- und Weiterbildung: Automatische Bewertungssysteme für Schulungen oder Prüfungen, KI zur Lernfortschrittskontrolle.
  • In der Produktsicherheit: KI in Maschinensteuerungen oder Qualitätskontrollen, Predictive Maintenance (vorausschauende Wartung).

Für diese Systeme gelten ab dem 2. August 2026 umfassende Pflichten.

Pflichten für Hochrisikosysteme

Der Einsatz von Hochrisiko-KI bringt folgende Anforderungen:

  • Risikomanagement: Kontinuierliche Risikoanalyse und -minderung (z. B. Datenschutz, Diskriminierung).
  • Dokumentation: Lückenlose Nachweise über Systemprozesse und Entscheidungen.
  • Transparenz: Betroffene (z. B. Bewerber) müssen über den KI-Einsatz informiert werden.
  • Menschliche Kontrolle: Entscheidungen dürfen nicht vollautomatisch sein; menschliche Eingriffe müssen möglich bleiben.
  • Qualitätssicherung: Regelmäßige Überprüfung auf Genauigkeit und Verzerrungen (Bias).

Generative KI und Standardanwendungen

Für generative KI (z. B. ChatGPT, Midjourney) oder Standardtools gelten ab dem 2. August 2025 Transparenzpflichten:

  • Kennzeichnung: KI-generierte Inhalte (Texte, Bilder, Videos) müssen als solche markiert werden (z. B. „KI-generiert“).
  • Urheberrecht: Einhaltung von Copyright-Regeln, z. B. bei der Nutzung geschützter Daten für KI-Training.

Zeitplan und Übergangsfristen

  • Seit 2. Februar 2025: Verbot bestimmter KI-Anwendungen mit unannehmbarem Risiko.
  • Ab 2. August 2025: Transparenzpflichten für generative KI.
  • Ab 2. August 2026: Vollständige Anwendung der Pflichten für Hochrisiko-KI-Systeme.
  • Ab 2. August 2027: Anforderungen an besonders leistungsstarke KI-Modelle (z. B. General Purpose AI).

Konsequenzen bei Verstößen

  • Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes: Bei Einsatz verbotener KI.
  • Bis zu 15 Mio. Euro oder 3 %: Bei Verstößen gegen Transparenz- oder Hochrisiko-Pflichten.
  • Bis zu 7,5 Mio. Euro oder 1,5 %: Bei falschen Angaben gegenüber Behörden.

Beispiele: Gängige KI-Tools und ihre Regulierung im EU AI Act

KI-Tool Beschreibung AI Act Kategorie Folgen
ChatGPT Generative KI für Textgenerierung, Kundensupport, Übersetzungen etc. Begrenztes Risiko Kennzeichnungspflicht: KI-generierte Inhalte müssen als solche gekennzeichnet sein (z. B. „KI-generiert“). Transparenz: Nutzer müssen über den KI-Einsatz informiert werden (Art. 50 Abs. 1-2).
DALL-E / Midjourney Generative KI zur Erstellung von Bildern aus Textbeschreibungen Begrenztes Risiko Kennzeichnungspflicht: Bilder müssen als KI-generiert markiert werden (z. B. maschinenlesbare Metadaten). Transparenz: Nutzer müssen über die KI-Ursprung informiert werden (Art. 50 Abs. 2). Bei Deepfake-ähnlicher Nutzung strengere Auflagen möglich.
SAP AI Core KI zur Optimierung von Geschäftsprozessen (z. B. Lieferkettenmanagement) Minimales Risiko Keine spezifischen Auflagen. Freie Nutzung möglich.
IBM Watson KI für Datenanalyse, Entscheidungsunterstützung in HR oder Gesundheit Hohes Risiko (kontextabhängig) Bei Einsatz in sensiblen Bereichen (z. B. HR, Gesundheit): Risikobewertung, Dokumentation, menschliche Aufsicht, hohe Datenqualität (Art. 6, Annex III). Keine Kennzeichnung, aber strenge Compliance.
Microsoft Copilot Unterstützung bei Programmierung, Dokumentenerstellung Begrenztes Risiko Kennzeichnungspflicht für generierte Inhalte, Transparenz (Art. 50).
Rekrutierungs-KI (z. B. HireVue) KI zur Bewertung von Bewerbern anhand von Videointerviews oder Lebensläufen Hohes Risiko Strenge Auflagen: Risikomanagement, Transparenz, Nichtdiskriminierung, menschliche Kontrolle (Art. 9-15). Keine Kennzeichnung, aber hohe Compliance-Anforderungen.
Google Translate KI-basierte Übersetzungssoftware Minimales Risiko Keine spezifischen regulatorischen Anforderungen, da keine Risiken für Sicherheit oder Rechte entstehen.
Facial Recognition (z. B. Clearview AI) Gesichtserkennung für Sicherheitszwecke oder Zugangskontrolle Hohes Risiko (oder inakzeptabel) Bei Einsatz in öffentlicher Überwachung verboten (inakzeptables Risiko, Art. 5). In privaten Kontexten (z. B. Zugangskontrolle): strenge Auflagen wie Datensicherheit und Zustimmung (Art. 6).

Hinweis: Die obige Tabelle dient der allgemeinen Orientierung und stellt keine Rechtsberatung dar. Die Einstufung von KI-Systemen nach dem EU AI Act kann je nach Anwendungskontext variieren. Für eine verbindliche Einschätzung sollte fachlicher Rat eingeholt werden.

Ausblick

Der EU AI Act mag auf den ersten Blick komplex erscheinen, bietet aber einen klaren Rahmen für den sicheren Einsatz von KI. Für Unternehmen ist jetzt der Moment, den Überblick zu gewinnen: Welche KI-Systeme sind im Einsatz und welche Regeln gelten dafür? Nutzen Sie die Übergangsfristen, um Ihre Systeme und Prozesse anzupassen, Ihre Mitarbeiterinnen und Mitarbeiter zu schulen und sich bei Bedarf zu konkreten Rechtsfragen beraten zu lassen.

Ansprechpartner

Andreas Bachmeier
Andreas Bachmeier
Unternehmensberater in München, Dingolfing, Nürnberg
Tel.: +49 89-58 98 138

Berater in Ihrer Region gesucht?

Beratersuche

Newsletter für Unternehmer

Sie wollten keine Neuigkeiten mehr verpassen? Alles, was aktuell wichtig ist, stellen die ECOVIS Unternehmensberater für Sie im monatlichen Newsletter kompakt zusammen.

zur Anmeldung

FAQ zum EU AI Act

Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz (KI). Er trat am 1. August 2024 in Kraft und soll den Einsatz von KI sicher, transparent und ethisch gestalten. Seit dem 2. Februar 2025 gelten erste Regelungen.

Wen betrifft der AI Act?

Den AI Act müssen sowohl Anbieter (Entwickler von KI-Systemen) als auch Betreiber (gewerbliche Nutzer) einhalten. Das betrifft viele Unternehmen, die KI in Bereichen wie Personalwesen, Produktion oder Marketing einsetzen – egal ob sie die KI selbst entwickeln oder nur nutzen.

Welche KI-Systeme sind seit Februar 2025 verboten?

Seit dem 2. Februar 2025 sind KI-Systeme mit „unannehmbarem Risiko“ verboten, z. B.:

  • Manipulative Systeme, die Schaden verursachen könnten (z. B. aggressive Werbung).
  • „Social Scoring“-Systeme zur Bewertung von Menschen.
  • Biometrische Echtzeit-Identifikation im öffentlichen Raum (außer bei Strafverfolgung).

Wenn Sie solche Tools nutzen, prüfen Sie diese dringend.

Was ist die Kennzeichnungspflicht und ab wann gilt sie?

Ab dem 2. August 2025 müssen KI-generierte Inhalte (z. B. Texte, Bilder, Videos von Tools wie ChatGPT oder Midjourney) als „KI-generiert“ gekennzeichnet werden. Das gilt für alle Unternehmen, die solche Inhalte im beruflichen Kontext veröffentlichen, um Transparenz zu gewährleisten.

Muss ich meine Mitarbeitenden schulen?

Der AI Act fordert keine explizite Schulung, aber seit dem 2. Februar 2025 gilt die Empfehlung zur „KI-Kompetenz“ (Artikel 4). Unternehmen sollten ihre Teams schulen – z. B. zur Kennzeichnung oder zum Umgang mit Hochrisiko-KI –, um Regelverstöße zu vermeiden.

Wie finde ich heraus, ob meine KI-Systeme betroffen sind?

Um zu prüfen, ob Ihre KI-Systeme vom EU AI Act betroffen sind, gehen Sie systematisch vor:

  • Schritt 1: Inventur machen – Listen Sie alle KI-Tools auf, die Sie nutzen, z. B. ChatGPT für Texte, Recruiting-Software für Bewerbungen oder Predictive Maintenance in der Produktion.
  • Schritt 2: Einsatz prüfen – Fragen Sie: Erzeugen sie Inhalte (z. B. Texte, Bilder), die gekennzeichnet werden müssen? Treffen sie Entscheidungen (z. B. Bewerberauswahl), die als hochriskant gelten könnten? Analysieren sie Daten wie Verhalten oder Biometrie?
  • Schritt 3: Risikokategorie bestimmen – Vergleichen Sie mit dem AI Act:
    • Verboten: Manipulation, Social Scoring, Echtzeit-Gesichtserkennung (Artikel 5).
    • Hochrisiko: Personalwesen, Bildung, Produktsicherheit (Anhang III).
    • Begrenztes Risiko: Generative KI wie Midjourney (Artikel 50).
    • Minimales Risiko: Einfache Tools wie Übersetzungssoftware.
  • Schritt 4: Dokumentation checken – Haben Sie Nachweise über Funktionsweise und Datenquellen? Das ist bei Hochrisikosystemen Pflicht.
  • Tipp: Ziehen Sie im Zweifelsfall einen Digitalisierungsexperten oder Rechtsberater hinzu.

Muss der AI Act in nationales Recht umgesetzt werden?

Nein, als EU-Verordnung gilt er direkt in allen Mitgliedstaaten. Länder müssen jedoch Behörden einrichten, um die Einhaltung zu überwachen.

Weiterführende Informationen

Sie suchen professionelle Unterstützung?

Rufen Sie an oder schreiben Sie uns eine Nachricht per Kontaktformular. Wir melden uns so schnell wie möglich bei Ihnen.
Felder mit einem * sind Pflichtfelder

Sie suchen professionelle Unterstützung?

Rufen Sie an oder schreiben Sie uns eine Nachricht per Kontaktformular. Wir melden uns so schnell wie möglich bei Ihnen.
Sind Sie damit einverstanden, dass die ECOVIS Unternehmensberatung GmbH Kontakt mit mir aufnimmt?
Datenschutzhinweis: Die angegebenen Daten werden nur zum Zweck der Bearbeitung Ihres Anliegens verarbeitet. Die im Kontaktformular abgefragten Daten sind für die Erstellung eines Beratungsangebots bzw. -vertrags notwendig. Weitere Informationen finden Sie in unserer Datenschutzerklärung in der Fußzeile.

Ähnliche Beiträge

002_20120614_Landwirtschaftsshooting_JBM5838.jpeg

KfW-Analyse: Digitale Modelle, Netzwerke und Förderungen als Erfolgsfaktoren für die grüne Transformation

Deutschland hat sich das ambitionierte Ziel gesetzt, bis 2045 klimaneutral zu werden. Eine aktuelle Studie im Auftrag von KfW Research hat anhand ausgewählter Projektbeispiele in Deutschland Erfolgsfaktoren identifiziert, die die grüne Transformation nachhaltig unterstützen können. Die Analyse liefert interessante Denkanstöße, die auch für mittelständische Betriebe interessant sind. Nachfolgend ein Überblick. Potenziale digitaler Modelle ausschöpfen Der […]
EU-AI-Act_Ecovis-Unternehmensberatung_311304622.jpg

EU AI Act: Kennzeichnungspflicht für KI-generierte Inhalte ab August 2025

Seit dem 1. August 2024 gilt in Europa der EU AI Act (Verordnung (EU) 2024/1689) – die erste umfassende Regelung für Künstliche Intelligenz (KI). Für Unternehmen bedeutet das neue Vorgaben, unter anderem eine Pflicht, KI-generierte Inhalte zu kennzeichnen. Doch was steckt dahinter, und wie wirkt sich das konkret aus? Was ist der EU AI Act? […]
023_20180910_Feinkost_Barlu_JB59080.jpeg

Fachkräftegewinnung und -bindung: Was wirklich zählt in Zeiten des Arbeitskräftemangels

Qualifizierte Arbeitskräfte sind nach wie vor hart umkämpft. Nach den Erschütterungen durch die Pandemie und der anschließenden „Great Resignation“ stehen Unternehmen nun vor der Herausforderung, nicht nur neue Talente zu gewinnen, sondern vor allem ihre bestehenden Mitarbeiterinnen und Mitarbeiter zu halten. Die aktuellen Ergebnisse der Randstad-ifo-Personalleiterbefragung aus dem ersten Quartal 2025 zeigen dabei deutlich: Klassische […]
Direkt zu
    X