Der EU AI Act schafft erstmals einen einheitlichen Rechtsrahmen für Künstliche Intelligenz in der EU. Für Unternehmen, Behörden und IT-Verantwortliche ist vor allem entscheidend, dass die Verordnung nicht pauschal alle KI-Systeme gleich behandelt, sondern nach Risikoklassen unterscheidet. Wer KI entwickelt, integriert oder produktiv einsetzt, muss deshalb prüfen, in welche Kategorie die eigene Lösung fällt und welche organisatorischen, technischen und rechtlichen Pflichten daraus folgen.
Begriffserklärung: Was ist der EU AI Act?
Der EU AI Act, formal die Verordnung (EU) 2024/1689, ist das zentrale europäische Regelwerk für vertrauenswürdige KI. Ziel ist es, Innovation zu ermöglichen und zugleich Sicherheit, Grundrechte und Transparenz zu schützen. Der Ansatz ist risikobasiert: Verbotene KI-Praktiken sind unzulässig, Hochrisiko-Systeme unterliegen strengen Anforderungen, bestimmte transparente Nutzungsszenarien erhalten Kennzeichnungspflichten, und KI mit minimalem Risiko bleibt weitgehend unreguliert.
Funktionsweise und technische Hintergründe
Im Kern verlangt der EU AI Act zunächst eine Klassifizierung des Systems. Verboten sind unter anderem bestimmte manipulative Praktiken, Social Scoring, ungezieltes Scraping von Gesichtsbilddatenbanken, Emotionserkennung in Arbeit und Bildung sowie bestimmte biometrische Echtzeitidentifikationen im öffentlichen Raum für Strafverfolgungszwecke. Diese Verbote gelten bereits seit dem 2. Februar 2025. Ebenfalls seit diesem Datum gilt die Pflicht zur AI Literacy, also zu angemessenen Kompetenzen bei Mitarbeitenden, die mit KI arbeiten.
Für Hochrisiko-KI fordert die Verordnung unter anderem ein Risikomanagement, hochwertige und nachvollziehbar verwaltete Datensätze, Logging zur Nachvollziehbarkeit, technische Dokumentation, klare Informationen für Betreiber, menschliche Aufsicht sowie Anforderungen an Genauigkeit, Robustheit und Cybersicherheit. Diese Pflichten gelten grundsätzlich ab dem 2. August 2026; für Hochrisiko-Systeme, die in bestimmten regulierten Produkten eingebettet sind, gilt eine verlängerte Übergangsfrist bis 2. August 2027.
Zusätzlich regelt der EU AI Act General-Purpose-AI-Modelle, also Basismodelle mit breitem Einsatzzweck. Deren Vorgaben gelten seit dem 2. August 2025 und umfassen insbesondere Transparenz-, Urheberrechts- sowie bei systemischem Risiko weitergehende Sicherheits- und Risikopflichten. Der von der EU unterstützte GPAI Code of Practice ist dafür ein freiwilliges Hilfsmittel, ersetzt aber nicht die gesetzliche Verantwortung.
Anwendungsbeispiele in der Praxis
Typische Hochrisiko-Szenarien sind KI in der Personalauswahl, Kreditwürdigkeitsprüfungen, Bildungsbewertungen, medizinischen Produkten, kritischen Infrastrukturen oder in Justiz- und Grenzkontexten. Ein CV-Screening-System muss daher nicht nur technisch funktionieren, sondern auch diskriminierungsarm, dokumentiert, überwachbar und auditierbar sein. Ein generativer Assistent im Kundenservice fällt dagegen oft eher unter Transparenzpflichten, etwa wenn Nutzende erkennen müssen, dass sie mit einer Maschine kommunizieren. Deepfakes oder KI-generierte Inhalte müssen je nach Kontext maschinenlesbar markiert oder sichtbar gekennzeichnet werden.
Nutzen und Herausforderungen
Der Nutzen des EU AI Act liegt in mehr Rechtssicherheit, besserer Nachvollziehbarkeit und höherem Vertrauen in produktive KI-Systeme. Technisch fördert er robuste Prozesse für Datenqualität, Sicherheitsmechanismen, Monitoring und Human Oversight. Organisatorisch zwingt er Unternehmen dazu, KI nicht nur experimentell, sondern kontrolliert und revisionsfähig einzusetzen.
Dem stehen höherer Compliance-Aufwand, zusätzlicher Dokumentationsbedarf und mögliche Reibungen bei Beschaffung, Integration und Betrieb gegenüber. Besonders relevant sind die Sanktionen: Bei Verstößen gegen verbotene Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, bei anderen wesentlichen Verstößen bis zu 15 Millionen Euro oder 3 Prozent.
Weitere Vorschrifen
Der EU AI Act ist verbindliches Recht und daher nicht durch ein anderes „Produkt“ ersetzbar. In der Praxis wird er aber oft durch Governance-Frameworks und Standards ergänzt:
| Ansatz | Typ | Stärke | Grenze |
|---|---|---|---|
| EU AI Act | Verbindliche Regulierung | Rechtliche Verbindlichkeit in der EU | Hoher Umsetzungsaufwand |
| ISO/IEC 42001 | Managementsystem-Standard | Struktur für KI-Governance | Kein Ersatz für Rechtskonformität |
| NIST AI RMF | Risikomanagement-Framework | Gute methodische Orientierung | Nicht rechtsverbindlich |
| Interne KI-Richtlinien | Unternehmens-Governance | Schnell anpassbar | Qualität hängt stark von der Umsetzung ab |
Fazit
Welche Anforderungen der EU AI Act stellt, hängt wesentlich von der Risikoklasse des jeweiligen Systems ab. Unternehmen sollten mindestens drei Dinge sofort etablieren: belastbare KI-Inventarisierung, klare Risikoklassifizierung und dokumentierte Governance-Prozesse. Gerade für Hochrisiko-KI und General-Purpose-Modelle ist der EU AI Act keine reine Rechtsfrage mehr, sondern ein Architektur-, Sicherheits- und Betriebsmodell für den produktiven KI-Einsatz.
FAQs
Ab wann gilt der EU AI Act praktisch?
Die Verordnung ist seit dem 1. August 2024 in Kraft. Verbote und AI-Literacy-Pflichten gelten seit dem 2. Februar 2025, GPAI-Pflichten seit dem 2. August 2025 und die meisten Hochrisiko-Pflichten ab dem 2. August 2026.
Betrifft der EU AI Act auch Anwender und nicht nur Hersteller?
Ja. Nicht nur Anbieter, sondern auch Betreiber beziehungsweise Deployers können Pflichten haben, etwa bei Transparenz, menschlicher Aufsicht, Monitoring und regelkonformem Einsatz.
Was sollten Unternehmen jetzt als Erstes tun?
Sinnvoll ist ein KI-Register aller eingesetzten Systeme, anschließend die Zuordnung zu Risikoklassen, die Prüfung bestehender Verträge und die Einführung von AI-Literacy- sowie Freigabeprozessen. Diese Schritte schaffen die Grundlage für spätere Konformität.
Autor
Florian Deinhard
Artikel erstellt: 19.02.2025
Artikel aktualisiert: 17.04.2026
