EU KI-Verordnung: Was der neue AI Act für Betriebe bedeutet
Mit dem EU AI Act (Verordnung (EU) 2024/1689) hat die Europäische Union am 1. August 2024 das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz (KI) in Kraft gesetzt. Seit dem 2. Februar 2025 sind erste Regelungen – wie das Verbot bestimmter KI-Anwendungen und die Pflicht zur Förderung von KI-Kompetenz – verbindlich. Weitere Pflichten, etwa zur Kennzeichnung von KI-generierten Inhalten, folgen stufenweise.
Update: 24. März 2025
Hintergrund
Die rasant fortschreitende Entwicklung von KI-Technologien bietet enorme Potenziale – etwa zur Optimierung von Prozessen oder zur Steigerung der Effizienz. Der AI Act soll sicherstellen, dass der Einsatz von KI sicher, transparent und ethisch erfolgt. Wichtig dabei: Die Verpflichtungen gelten nicht nur für Entwickler von KI-Systemen (Anbieter), sondern auch für gewerbliche Nutzer (Betreiber) – also auch für viele mittelständische Unternehmen, die KI bereits einsetzen oder planen.
Das risikobasierte System
Der EU AI Act stuft KI-Systeme nach ihrem Risikograd ein:
- Minimales Risiko: Gängige Tools wie Übersetzungssoftware oder einfache Chatbots unterliegen kaum Pflichten.
- Begrenztes Risiko: Generative KI (z. B. ChatGPT, Midjourney) unterliegt bestimmten Transparenzanforderungen.
- Hohes Risiko: Anwendungen im Personalwesen, der Bildung oder Produktsicherheit erfordern umfangreiche Kontrollen.
- Unannehmbares Risiko: KI-Systeme mit besonders hohem Gefahrenpotenzial (z. B. Social Scoring) sind verboten.
Verbotene KI-Systeme seit Februar 2025
Seit dem 2. Februar 2025 sind folgende KI-Anwendungen in der EU untersagt (Art. 5):
- Systeme zur Verhaltensmanipulation, die physischen oder psychischen Schaden verursachen können
- Social Scoring von Menschen basierend auf ihrem Verhalten oder sozialen Merkmalen
- Biometrische Echtzeitüberwachung im öffentlichen Raum (Ausnahmen nur für Strafverfolgung u. Ä.)
Hochrisiko-KI: Pflicht zur Compliance ab August 2026
Hochrisiko-KI-Systeme betreffen häufig kritische Bereiche, etwa:
- Personalbereich: Automatisierte Bewerberauswahl, Leistungsüberwachung, Personalplanung
- Bildung: KI-basierte Prüfungsbewertung oder Lernanalyse
- Produktsicherheit: Qualitätskontrolle, Maschinensteuerung, Predictive Maintenance
Für diese Systeme gelten ab dem 2. August 2026 u. a. folgende Anforderungen:
- Risikomanagement: Kontinuierliche Analyse und Minimierung von Risiken (z. B. Datenschutz, Diskriminierung)
- Dokumentation: Nachvollziehbarkeit von Prozessen und Entscheidungen
- Transparenz: Betroffene Personen (z. B. Bewerber) müssen über den KI-Einsatz informiert werden
- Menschliche Kontrolle: Entscheidungen dürfen nicht vollautomatisch erfolgen; menschliche Eingriffe müssen möglich bleiben
- Qualitätssicherung: Regelmäßige Überprüfung auf Genauigkeit und Verzerrungen (Bias)
Generative KI und Standardanwendungen: Transparenzpflichten
Für generative KI (z. B. ChatGPT, Midjourney) gelten ab dem 2. August 2025 erste Pflichten – jedoch zunächst nur für Anbieter solcher Systeme:
- Transparenz über Trainingsdaten und Funktionsweise
- Dokumentationspflichten gegenüber Behörden
- Kennzeichnungspflichten für erzeugte Inhalte folgen erst ab dem 2. August 2026 (Art. 50)
Nutzer von generativer KI (z. B. Unternehmen) müssen ab August 2026 sicherstellen, dass KI-generierte Inhalte wie Texte, Bilder oder Videos klar erkennbar gekennzeichnet sind (z. B. „KI-generiert“). Mehr dazu hier: Kennzeichnungspflicht für KI-generierte Inhalte (ecovis.com)
Zeitplan und Übergangsfristen
- 2. Februar 2025 Verbot bestimmter Hochrisiko-KI (Art. 5), Pflicht zur KI-Kompetenzförderung (Art. 4)
- 2. August 2025 Transparenzpflichten für Anbieter von generativer KI
- 2. August 2026 Kennzeichnungspflicht für KI-generierte Inhalte (Art. 50), vollständige Anwendung für Hochrisiko-KI
- 2. August 2027 Anforderungen an besonders leistungsstarke Modelle (z. B. General Purpose AI, GPAI)
Konsequenzen bei Verstößen
Die Höhe möglicher Sanktionen richtet sich nach Art und Schwere des Verstoßes (Art. 99):
- Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes: Bei Einsatz verbotener KI-Systeme
- Bis zu 15 Mio. € oder 3 %: Bei Verstößen gegen zentrale Pflichten – z. B. bei Hochrisiko-KI
- Bis zu 7,5 Mio. € oder 1,5 %: Bei unvollständigen oder irreführenden Angaben gegenüber Behörden
Hinweis: Verstöße gegen die Kennzeichnungspflicht (Art. 50) sind nicht direkt bußgeldbewehrt, können aber im Zusammenspiel mit Täuschung oder Verbraucherschutzverletzungen aufsichtsrechtliche Konsequenzen nach sich ziehen.
Beispiele: Gängige KI-Tools und ihre Regulierung im EU AI Act
| KI-Tool | Beschreibung | AI Act Kategorie | Folgen |
|---|---|---|---|
| ChatGPT | Textgenerierung, Übersetzung, Chat | Begrenztes Risiko | Ab 2026: Kennzeichnungspflicht für Inhalte, Transparenz (Art. 50) |
| DALL·E / Midjourney | KI-Bildgenerierung aus Text | Begrenztes Risiko | Inhalte müssen ab 2026 als KI-generiert gekennzeichnet sein |
| SAP AI Core | Geschäftsprozessoptimierung (z. B. Lieferkettenmanagement) | Minimales Risiko | Keine spezifischen Pflichten |
| IBM Watson | Datenanalyse in HR/Gesundheit | Hohes Risiko (kontextabhängig) | Dokumentations- und Transparenzpflichten, menschliche Aufsicht |
| Microsoft Copilot | KI-Hilfe für Office-Anwendungen | Begrenztes Risiko | Kennzeichnungspflicht bei Veröffentlichung von KI-Inhalten |
| HireVue o. Ä. | Videoanalyse zur Bewerberbewertung | Hohes Risiko | Risikomanagement, Transparenz, Nichtdiskriminierung, menschliche Kontrolle |
| Google Translate | Übersetzung | Minimales Risiko | Keine regulatorischen Vorgaben |
| Clearview AI o. Ä. | Gesichtserkennung | Hohes Risiko (oder unannehmbares Risiko) | Einsatz in öffentlicher Überwachung verboten (Art. 5); privat: strenge Vorgaben |
Hinweis: Die obige Tabelle dient der allgemeinen Orientierung und stellt keine Rechtsberatung dar. Die Einstufung von KI-Systemen nach dem EU AI Act kann je nach Anwendungskontext variieren. Für eine verbindliche Einschätzung sollte fachlicher Rat eingeholt werden.
Ausblick
Der EU AI Act mag auf den ersten Blick komplex erscheinen, bietet aber einen klaren Rahmen für den sicheren Einsatz von KI. Für Unternehmen ist jetzt der Moment, den Überblick zu gewinnen: Welche KI-Systeme sind im Einsatz und welche Regeln gelten dafür? Nutzen Sie die Übergangsfristen, um Ihre Systeme und Prozesse anzupassen, Ihre Mitarbeiterinnen und Mitarbeiter zu schulen und sich bei Bedarf zu konkreten Rechtsfragen beraten zu lassen.
Ansprechpartner
Berater in Ihrer Region gesucht?
BeratersucheNewsletter für Unternehmer
FAQ zum EU AI Act
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz (KI). Er trat am 1. August 2024 in Kraft und wird bis 2027 stufenweise umgesetzt. Seit dem 2. Februar 2025 gelten erste Regelungen.
Wen betrifft der AI Act?
Die Regelungen gelten sowohl für Anbieter (Unternehmen, die KI-Systeme entwickeln oder auf den Markt bringen) als auch für Betreiber (Organisationen, die KI gewerblich einsetzen). Das betrifft viele Unternehmen, die KI in Bereichen wie Personalwesen, Produktion oder Marketing einsetzen – egal ob sie die KI selbst entwickeln oder nur nutzen.
Welche KI-Systeme sind seit Februar 2025 verboten?
Seit dem 2. Februar 2025 sind KI-Systeme mit einem „unannehmbaren Risiko“ in der EU verboten (Art. 5). Dazu gehören:
- Manipulative KI-Systeme, die Menschen zu schädlichem Verhalten verleiten können (z. B. aggressive Werbung)
- Social Scoring: Bewertung von Personen anhand ihres Verhaltens oder ihrer sozialen Merkmale
- Biometrische Echtzeit-Überwachung im öffentlichen Raum (z. B. Gesichtserkennung), mit Ausnahme gesetzlich geregelter Einzelfälle wie Strafverfolgung
Wenn Sie solche Tools nutzen, prüfen Sie diese dringend.
Was ist die Kennzeichnungspflicht und ab wann gilt sie?
Ab dem 2. August 2026 gilt gemäß Artikel 50 die Kennzeichnungspflicht für KI-generierte Inhalte. Das betrifft Unternehmen, die Inhalte wie Texte, Bilder, Videos oder Audio mit generativer KI erstellen und öffentlich verwenden – etwa auf Websites, in Social Media oder in der Werbung.
Diese Inhalte müssen klar erkennbar als „KI-generiert“ gekennzeichnet werden – sowohl für Menschen sichtbar als auch maschinenlesbar über Metadaten.
Muss ich meine Mitarbeitenden schulen?
Der AI Act schreibt keine explizite Schulungspflicht vor, enthält aber seit dem 2. Februar 2025 in Artikel 4 eine verbindliche Maßgabe, dass Organisationen die KI-Kompetenz ihrer Mitarbeitenden sicherstellen sollen. Mehr dazu hier: EU AI Act: Ab Februar 2025 müssen Unternehmen KI-Know-how fördern (ecovis.com)
Wie finde ich heraus, ob meine KI-Systeme betroffen sind?
Um zu prüfen, ob Ihre KI-Systeme vom EU AI Act betroffen sind, gehen Sie systematisch vor:
- Schritt 1: Inventur machen – Listen Sie alle KI-Tools auf, die Sie nutzen, z. B. ChatGPT für Texte, Recruiting-Software für Bewerbungen oder Predictive Maintenance in der Produktion.
- Schritt 2: Einsatz prüfen – Fragen Sie: Erzeugen sie Inhalte (z. B. Texte, Bilder), die gekennzeichnet werden müssen? Treffen sie Entscheidungen (z. B. Bewerberauswahl), die als hochriskant gelten könnten? Analysieren sie Daten wie Verhalten oder Biometrie?
- Schritt 3: Risikokategorie bestimmen – Vergleichen Sie mit dem AI Act:
- Verboten: Manipulation, Social Scoring, Echtzeit-Gesichtserkennung (Artikel 5).
- Hochrisiko: Personalwesen, Bildung, Produktsicherheit (Anhang III).
- Begrenztes Risiko: Generative KI wie Midjourney (Artikel 50).
- Minimales Risiko: Einfache Tools wie Übersetzungssoftware.
- Schritt 4: Dokumentation checken – Haben Sie Nachweise über Funktionsweise und Datenquellen? Das ist bei Hochrisikosystemen Pflicht.
- Tipp: Ziehen Sie im Zweifelsfall einen Digitalisierungsexperten oder Rechtsberater hinzu.
Muss der AI Act in nationales Recht umgesetzt werden?
Nein. Als EU-Verordnung gilt der AI Act unmittelbar in allen EU-Mitgliedstaaten und muss nicht in nationales Recht übertragen werden. Die Mitgliedstaaten sind aber verpflichtet, zuständige Aufsichtsbehörden zu benennen und für die Durchsetzung und Kontrolle der Vorschriften zu sorgen.
