Zum Inhalt gehen
Unternehmensvorschriften & Gesetze

EU AI Act: Was bedeutet das erste KI-Gesetz für Unternehmen in Europa?

·
8 Minuten Lesezeit
Der globale KI-Report ist da!
Entdecken Sie das Potenzial von KI für Ihr Unternehmen – mit Insights, Interviews und & 100+ einsatzbereiten Prompts Hier entdecken

Inhaltsangabe

Verfasst von

Der EU AI Act wurde 2024 implementiert und wird schrittweise bis 2027 vollständig in den europäischen Mitgliedstaaten umgesetzt. Er soll dafür sorgen, dass KI-Systeme sicher, transparent und rechtskonform eingesetzt werden, Grundrechte geschützt sind und Risiken für Nutzer*innen minimiert werden.

Was die Verordnung konkret für Unternehmen in Europa und außerhalb bedeutet, erfahren Sie im folgenden Artikel.

Gesetzliche Grundlagen:

  1. Der EU AI Act ist die erste umfassende EU-Verordnung zur Regulierung von KI.
  2. Laut dem Gesetz werden KI-Systeme je nach potenziellem Risiko für Nutzer*innen und Gesellschaft unterschiedlich streng reguliert.
  3. Alle KI-Anwendungen müssen nachvollziehbar, transparent und so gestaltet sein, dass keine illegalen Inhalte entstehen.

Was ist der EU AI Act und was ist die KI-Verordnung?

Der EU AI Act, auf Deutsch KI-Verordnung, ist ein von den europäischen Mitgliedstaaten verabschiedetes Regelwerk zur Regulierung von Künstlicher Intelligenz (KI)/ Artificial Intelligence (AI). Es soll das Spannungsfeld zwischen dem Schutz der Grundrechte und gleichzeitigem Raum für Wissenschaft und KI-Innovation in Forschung und Wirtschaft ausbalancieren. So soll das Vertrauen in KI-Systeme gestärkt werden.

Dabei verfolgt das Gesetz einen sogenannten risikobasierten Ansatz, das bedeutet, dass KI-Systeme je nach ihrem potenziellen Risiko für Nutzer*innen und Gesellschaft unterschiedlich streng reguliert werden.

Die KI-Verordnung finden Sie hier:

Hinweis: KI-Verordnung ist der deutsche Name für den EU AI Act.

Wer wird durch die KI-Verordnung in die Pflicht genommen und was ist die zentrale Anforderung der KI-Verordnung?

Durch den EU AI Act werden Unternehmen in die Pflicht genommen, die KI-Anwendungen bereitstellen. Dabei ist in Art. 3 der KI-Verordnung ganz genau festgelegt, an wen sich das Gesetz richtet:

  • Anbieter: Natürliche oder juristische Personen, Behörden oder sonstige Stellen, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickeln oder entwickeln lassen und es unter ihrem eigenen Namen oder ihrer Marke in Verkehr bringen oder in Betrieb nehmen. Ob dies entgeltlich oder unentgeltlich geschieht, spielt dabei keine Rolle.
  • Betreiber: Eben solche Akteure, die ein KI-System in eigener Verantwortung im beruflichen oder geschäftlichen Kontext verwenden.
  • Bevollmächtigte: Akteure, die vom Anbieter schriftlich bevollmächtigt wurden, bestimmte Pflichten der KI-VO in dessen Namen zu erfüllen.
  • Einführer: In der EU ansässige natürliche oder juristische Personen, die ein KI-System, das den Namen oder die Marke einer außerhalb der EU niedergelassenen Person trägt, in der Union in Verkehr bringen.
  • Händler: Natürliche oder juristische Personen in der Lieferkette, die ein KI-System auf dem EU-Markt bereitstellen, mit Ausnahme der Anbieter oder Einführer.

Die Hauptidee der Verordnung, die von den genannten Akteuren befolgt und umgesetzt werden muss, besteht darin, dass KI-Systeme Risiken für die Grundrechte darstellen können. Daher werden KI-Modelle je nach dem Risiko, das sie für die Grundrechte bergen, eingestuft. Je höher das Risiko, desto strenger sind die Anforderungen, die die Akteure einhalten müssen – etwa in Bezug auf Transparenz, Dokumentation oder Aufsicht.

Was sind die wichtigsten Punkte des EU AI Acts und was bedeutet risikobasierter Ansatz?

Die wichtigsten Punkte des EU AI Act beinhalten:

Risikobasierte Einstufung von KI-Systemen

KI-Systeme werden von der EU je nach dem Risiko, das sie für Menschen und Gesellschaft darstellen, eingestuft. Das bedeutet: Je höher das Risiko, desto strenger sind die Anforderungen an Transparenz, Sicherheit und Überwachung.

  • Verbot von Anwendungen mit unannehmbarem Risiko:
    Bestimmte Anwendungen, die Menschen manipulieren oder diskriminieren, sind verboten. Dazu gehören z. B.:

    • Sprachgesteuerte Spielzeuge, die gefährliches Verhalten bei Kindern fördern
    • Social-Scoring-Systeme, die Menschen anhand bestimmter Merkmale klassifizieren (z. B. soziales Verhalten oder sozioökonomischer Status)
    • Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, wie Gesichtserkennung

    Diese Anwendungen gelten laut EU AI Act als unannehmbares Risiko für Menschen und Gesellschaft.

  • Hochrisiko-KI-Systeme:
    KI-Systeme, die ein sehr hohes Risiko darstellen, sind unter bestimmten Bedingungen erlaubt, z. B. nach Prüfung, Überwachung und Zertifizierung. Sie werden in zwei Hauptkategorien eingeteilt:

    1. KI-Systeme in Produkten (z. B. medizinische Geräte, Fahrzeuge, Spielzeug)
    2. KI-Systeme in bestimmten gesellschaftlichen Bereichen (z. B. kritische Infrastrukturen, Bildung, Strafverfolgung)

    Alle Hochrisiko-KI-Systeme werden während ihres gesamten Lebenszyklus bewertet. Zusätzlich sollen EU-Bürger*innen die Möglichkeit haben, Beschwerden über KI-Systeme einzureichen.

  • Weitere Risikoklassen sind:

    • Begrenztes Risiko: Ein Chatbot, der Kund*innen allgemeine Informationen zu Produkten gibt. Er stellt keine sicherheitskritischen Informationen bereit, doch Nutzer*innen müssen wissen, dass die Antworten KI-generiert sind.

    • Minimales Risiko: Eine KI-Anwendung zur Rechtschreib- und Grammatikprüfung in Textdokumenten. Sie unterstützt die Nutzer*innen, birgt aber praktisch kein Risiko für Gesundheit, Sicherheit oder Grundrechte.

risikoklassen

Transparenzanforderungen

Für alle KI-Systeme und -Anwendungen gelten Transparenzanforderungen. So werden beispielsweise Generative Foundation-Modelle wie ChatGPT nicht als Hochrisiko eingestuft, müssen aber trotzdem die Transparenzpflichten und das EU-Urheberrecht erfüllen.

Das bedeutet:

  • Offenlegung: Es muss klar angegeben werden, dass Inhalte mithilfe von KI erstellt wurden.
  • Vermeidung illegaler Inhalte: Die KI-Modelle müssen so gestaltet sein, dass keine illegalen Inhalte erzeugt werden können.
  • Urheberrechtliche Zusammenfassung: Bei der Nutzung von Trainingsdaten müssen Zusammenfassungen urheberrechtlich geschützter Inhalte erstellt und offengelegt werden.

Die nationalen Behörden sollen zudem Testumgebungen bereitstellen, in denen KI-Modelle kontrolliert getestet werden können, bevor sie breit eingesetzt werden.

Wann tritt der EU AI Act in Kraft? – EU AI Act Timeline

Nicht alle Regelungen der KI-Verordnung müssen sofort umgesetzt werden. Sie sind gestaffelt und unterscheiden sich zudem zwischen Unternehmen, die neue KI einsetzen, und solchen mit Bestandslösungen.

Die Frage ‚Wann tritt die KI-Verordnung in Kraft?‘ muss daher mit unterschiedlichen Terminen beantwortet werden.

KI-Verordnung – aktueller Stand:

  • 12. Juli 2024: Veröffentlichung der KI-Verordnung (EU AI Act) im Amtsblatt der EU. Das Gesetz ist jetzt offiziell und gültig.
  • 2. August 2024: Die Verordnung tritt in Kraft und eine 24-monatige Übergangsphase beginnt.
  • 2. Februar 2025:
  • 2. August 2025:
    • Inkrafttreten zentraler Governance-Regeln und der Pflichten für Anbieter von GPAI-Modellen (Allzweck-KI wie ChatGPT).
  • 2. August 2026:
    • Die meisten Pflichten für Hochrisiko-KI-Systeme treten in Kraft. Diese Systeme sind in Anhang III der Verordnung gelistet, zum Beispiel KI im Personalwesen oder in der Verwaltung kritischer Infrastrukturen.
    • Bestandsschutz: Hochrisiko-KI-Systeme, die vor diesem Datum in Betrieb genommen wurden, müssen die neuen Regeln nicht sofort umsetzen, solange keine wesentlichen Änderungen vorgenommen werden. Sobald eine wesentliche Änderung erfolgt, erlischt der Bestandsschutz.
  • 2. August 2027:
    • Vollständige Anwendung des Gesetzes für bestimmte Hochrisiko-KI-Systeme nach Anhang I, die als Sicherheitskomponenten in Produkten (z. B. in medizinischen Geräten) genutzt werden.
    • Auch für GPAI-Modelle, die vor dem 2. August 2025 auf den Markt kamen, endet der Bestandsschutz.
  • 31. Dezember 2030:
    • Längere Übergangsfrist für bestimmte große IT-Systeme von Behörden.

Die zuständigen Behörden und Regelungen zu Sanktionen und Bußgeldern müssen noch in nationales Recht umgesetzt werden.

Was bedeutet der EU AI Act für Unternehmen und wie wird die Risikobewertung von KI-Systemen im EU AI Act durchgeführt?

Bedeutung für Unternehmen

Der EU AI Act betrifft Unternehmen, die KI-Anwendungen entwickeln, betreiben oder vertreiben. Für Unternehmen bedeutet das:

  • Risikobewertung: Sie müssen prüfen, in welche Risikokategorie ihre KI-Systeme fallen (unannehmbares Risiko, Hochrisiko, begrenztes Risiko, minimales Risiko). Gilt für alle KI-Modell-Betreiber.
  • Compliance-Pflichten: Abhängig von der Risikokategorie müssen Vorgaben wie Transparenz, technische Dokumentation, Zertifizierung und Meldung schwerwiegender Vorfälle erfüllt werden. Betreiber von KI-Systemen mit begrenztem Risiko müssen beispielsweise lediglich kennzeichnen, dass es sich um ein KI-System handelt.
  • Schulungen: Mitarbeitende müssen gemäß AI Literacy im sicheren und gesetzeskonformen Umgang mit KI geschult werden. Dies gilt allerdings nur für Betreiber von Hochrisiko-Systemen.
  • Überwachung & Dokumentation: Hochrisiko-KI-Systeme müssen über ihren gesamten Lebenszyklus überwacht, dokumentiert und bewertet werden.

Eine praktische Checkliste, welche Punkte Hochrisiko-KI-Betreiber genau einhalten müssen, finden Sie auch auf der Seite der Anwaltskanzlei Latham & Watkins.

Wie wirkt sich der EU KI-Verordnung auf Unternehmen außerhalb der EU aus?

Die KI-Verordnung (KI VO) gilt unabhängig davon, ob Unternehmen in der EU ansässig sind oder nicht. Das bedeutet, dass auch Unternehmen außerhalb der EU die Vorgaben des EU AI Acts einhalten müssen, wenn sie KI-Systeme in der EU anbieten, vertreiben oder betreiben.

Factorial AI: KI-gestützte Arbeit effizient und rechtskonform

Viele Unternehmen nutzen mittlerweile diverse KI-Anwendungen im Arbeitsalltag. Die Verantwortung für die Einhaltung gesetzlicher Vorgaben liegt dabei nicht bei den Unternehmen selbst, sondern bei den Entwickler*innen der Systeme.

Mit Factorial AI gewinnen Unternehmen eine Lösung, die ihre Strukturen, Teams und Ziele wirklich versteht. Statt wertvolle Zeit mit manuellen Prozessen zu verschwenden, können Aufgaben bis zu dreimal schneller erledigt werden. Das Ergebnis: klare, datenbasierte Einblicke, die Wachstum ermöglichen. So steigern Sie Ihren Einfluss und senken gleichzeitig die Kosten – eine echte Unterstützung im Arbeitsalltag.

  • Engagement/Performance: Live-Transkripierung von 1:1-Meetings, strukturierte Recaps mit Kontext (Pulse-Signale, frühere Notizen, KPI-Änderungen) und automatische Erstellung eines bearbeitbaren Aktionsplans
  • Recruiting/Talent: Automatisierte Stellenbeschreibungen, smarte Kandidat*innen-Matches, CV-Zusammenfassungen und beschleunigter Recruiting-Prozess durch KI
  • Operations: Automatisierte Schichtplanung, einfache Regeldefinition, KI-gestützte Vorschläge und schnelle Veröffentlichung
  • Finanzmanagement: Mobiles Beleg-Scanning, KI-OCR-Datenerfassung, automatische Richtlinien- und Kostenstellenzuordnung, Erinnerungen zur fristgerechten Einreichung
  • Analysen/Berichte: Sofortige Antworten aus Echtzeitdaten, automatische Berichterstellung, präzise Analysen ohne Excel oder Analysten

Mit der KI-Business-Software von Factorial profitieren Teams von den Vorteilen der KI, ohne rechtliche Risiken einzugehen, und können sicher sein, dass alle Funktionen EU-konform umgesetzt sind.


Julia Lehmann
Julia Lehmann ist Schriftstellerin, Philosophin, Künstlerin und Übersetzerin. Seit über drei Jahren setzt sie sich intensiv mit aktuellen Entwicklungen im Bereich Human Resources und der Arbeitswelt auseinander. Mit ihrem interdisziplinären Hintergrund analysiert sie Themen wie Unternehmenskultur, Führung, Wandel in der Arbeitsorganisation und rechtliche Rahmenbedingungen – und liefert dabei Impulse, die sowohl in Fachkreisen als auch in der unternehmerischen Praxis Anklang finden.

Ähnliche Beiträge