30 Tage Risikoerkennung für generative KI:Jetzt starten
Demo buchen
ActiveEuropean UnionLawIn Kraft: 2024-08-01

Verordnung der Europäischen Union über künstliche Intelligenz

Das weltweit erste umfassende KI-Gesetz, das einen risikobasierten Rahmen für KI-Systeme im gesamten EU-Binnenmarkt schafft.

Überblick

Der EU AI Act (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er wurde am 13. Juni 2024 angenommen und legt harmonisierte Vorschriften für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen innerhalb der Europäischen Union fest.

Die Verordnung verfolgt einen risikobasierten Ansatz und unterteilt KI-Systeme in vier Stufen: inakzeptables Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (weitgehend unreguliert). Dieser gestufte Rahmen stellt sicher, dass die strengsten Anforderungen für KI-Systeme gelten, die das größte potenzielle Schadenspotenzial für Gesundheit, Sicherheit und Grundrechte aufweisen.

Die Verordnung gilt für Anbieter von KI-Systemen, die auf dem EU-Markt in Verkehr gebracht werden, unabhängig davon, ob diese Anbieter in der EU oder in einem Drittland niedergelassen sind. Sie gilt auch für Betreiber von KI-Systemen mit Sitz in der EU sowie für Anbieter und Betreiber mit Sitz außerhalb der EU, sofern die vom KI-System erzeugten Ergebnisse in der EU verwendet werden.

Zu den wichtigsten Neuerungen gehören die Schaffung von KI-Reallaboren, verpflichtende Konformitätsbewertungen für KI-Systeme mit hohem Risiko, Anforderungen an Transparenz und menschliche Aufsicht sowie die Einrichtung des European AI Office zur Koordinierung der Durchsetzung. Die Verordnung führt zudem besondere Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) ein, einschließlich zusätzlicher Pflichten für GPAI-Modelle mit systemischem Risiko.

Die Sanktionen bei Nichteinhaltung sind erheblich: bis zu €35 million oder 7% des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, bis zu €15 million oder 3% bei Verstößen gegen andere Bestimmungen und bis zu €7.5 million oder 1% bei der Bereitstellung unrichtiger Informationen. Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge.

Der EU AI Act stellt einen Paradigmenwechsel in der Technologieregulierung dar und geht von sektorspezifischen Vorschriften zu einem horizontalen Rahmen über, der KI in allen Branchen abdeckt. Compliance-Fachleute müssen verstehen, dass diese Verordnung eine extraterritoriale Reichweite ähnlich der DSGVO haben wird und Organisationen weltweit betrifft, die den EU-Markt bedienen.

Die Verordnung schreibt außerdem die Schaffung nationaler zuständiger Behörden in jedem Mitgliedstaat, die Einrichtung eines KI-Ausschusses zur Förderung einer einheitlichen Anwendung der Verordnung sowie die Einrichtung einer KI-Ombudsfunktion über das European AI Office vor.

Für Organisationen, die KI entwickeln oder einsetzen, erfordert der EU AI Act eine grundlegende Neubewertung der KI-Governance-Praktiken. Dazu gehören die Einführung von Risikomanagementsystemen, die Führung technischer Dokumentation, die Sicherstellung einer Daten-Governance für Trainingsdatensätze, die Einrichtung von Qualitätsmanagementsystemen und die Bereitstellung von Transparenz für die Nutzer hinsichtlich KI-generierter Inhalte.

Die Verordnung legt besonderen Wert auf Grundrechte-Folgenabschätzungen für KI-Systeme mit hohem Risiko, die von öffentlichen Stellen oder privaten Einrichtungen genutzt werden, die öffentliche Dienstleistungen erbringen. Betreiber von KI-Systemen mit hohem Risiko in Bereichen wie Strafverfolgung, Migrationsmanagement und kritischer Infrastruktur müssen diese Bewertungen durchführen, bevor sie die Systeme in Betrieb nehmen.

Zentrale Anforderungen

1

Verbotene KI-Praktiken: Social Scoring, biometrische Echtzeit-Identifizierung in öffentlichen Räumen (mit Ausnahmen), Manipulationstechniken, Ausnutzung von Schwachstellen

2

KI-Systeme mit hohem Risiko müssen vor dem Inverkehrbringen einer Konformitätsbewertung unterzogen werden

3

Verpflichtendes Risikomanagementsystem, das den gesamten Lebenszyklus des KI-Systems abdeckt

4

Anforderungen an die Daten-Governance für Trainings-, Validierungs- und Testdatensätze

5

Pflichten zur technischen Dokumentation und Aufzeichnung

6

Transparenzpflichten: Nutzer müssen informiert werden, wenn sie mit einer KI interagieren

7

Anforderungen an die menschliche Aufsicht für KI-Systeme mit hohem Risiko

8

Anforderungen an Genauigkeit, Robustheit und Cybersicherheit

9

Einführung eines Qualitätsmanagementsystems

10

Registrierung in der öffentlichen EU-Datenbank für KI-Systeme mit hohem Risiko

11

Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen technische Dokumentation führen und nachgelagerten Anbietern Informationen bereitstellen

12

GPAI-Modelle mit systemischem Risiko erfordern Modellbewertungen, adversariale Tests und die Meldung schwerwiegender Vorfälle

13

KI-generierte Inhalte müssen als solche gekennzeichnet werden (Deepfakes, synthetische Texte)

14

Grundrechte-Folgenabschätzung für bestimmte Einsätze mit hohem Risiko

Wichtige Termine & Zeitplan

April 2021
Die Europäische Kommission veröffentlicht den ersten Vorschlag
December 2023
Politische Einigung zwischen den EU-Institutionen erzielt
March 2024
Das Europäische Parlament verabschiedet den AI Act
May 2024
Der Rat der EU genehmigt förmlich
1 August 2024
Der AI Act tritt in Kraft
2 February 2025
Das Verbot verbotener KI-Praktiken gilt
2 August 2025
Die Pflichten für GPAI-Modelle gelten; die Governance-Bestimmungen treten in Kraft
July 2025
Der vom European AI Office veröffentlichte GPAI-Verhaltenskodex stellt einen Compliance-Rahmen für Anbieter von GPAI-Modellen bereit. Die Einhaltung ist freiwillig, begründet jedoch eine Konformitätsvermutung hinsichtlich der Pflichten aus Kapitel V.
18 July 2025
Die Europäische Kommission veröffentlicht einen Entwurf von Leitlinien für GPAI-Modelle, der einen Rechenleistungsschwellenwert von 10²³ FLOPs für die Einstufung von GPAI-Modellen festlegt und den Anwendungsbereich, die Pflichten im Lebenszyklus sowie die Kriterien für systemisches Risiko präzisiert.
November 2025
Die Europäische Kommission schlägt das Digital-Omnibus-Paket mit Änderungen zur Vereinfachung der Umsetzung vor; sie schlägt vor, die Anforderungen an KI mit hohem Risiko (Anhang III) auf den 2. Dezember 2027 zu verschieben (vorbehaltlich des Gesetzgebungsverfahrens)
2 August 2026
Die meisten Bestimmungen gelten, einschließlich der Pflichten für KI mit hohem Risiko
2 August 2027
Die Pflichten für KI-Systeme mit hohem Risiko in Anhang I (regulierte Produkte) gelten

Wen es betrifft

  • Anbieter von KI-Systemen, die Produkte auf dem EU-Markt in Verkehr bringen (unabhängig vom Standort)
  • Betreiber (Nutzer) von KI-Systemen innerhalb der EU
  • Einführer und Händler von KI-Systemen in der EU
  • Produkthersteller, die KI-integrierte Produkte auf dem EU-Markt in Verkehr bringen
  • Bevollmächtigte von Anbietern außerhalb der EU
  • Jede Organisation, deren KI-Ergebnisse innerhalb der EU verwendet werden

Häufige Fragen

Wann wird der EU AI Act vollständig wirksam?

Der EU AI Act ist am 1. August 2024 mit einer stufenweisen Umsetzung in Kraft getreten. Die Verbote verbotener Praktiken gelten ab Februar 2025, die GPAI-Pflichten ab August 2025 und die meisten anderen Bestimmungen einschließlich der Anforderungen an KI mit hohem Risiko ab August 2026.

Gilt der EU AI Act für Unternehmen außerhalb der EU?

Ja. Der EU AI Act hat einen extraterritorialen Anwendungsbereich. Er gilt für jeden Anbieter, der KI-Systeme auf dem EU-Markt in Verkehr bringt, und für jeden Betreiber mit Sitz in der EU, unabhängig davon, wo der Anbieter niedergelassen ist. Er gilt auch, wenn die KI-Ergebnisse in der EU verwendet werden.

Welche Sanktionen gibt es bei Nichteinhaltung?

Die Geldbußen können bis zu €35 million oder 7% des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, €15 million oder 3% bei anderen Verstößen und €7.5 million oder 1% bei der Bereitstellung unrichtiger Informationen betragen. Für KMU und Start-ups gelten niedrigere Obergrenzen.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.