Das weltweit erste umfassende KI-Gesetz, das einen risikobasierten Rahmen für KI-Systeme im gesamten EU-Binnenmarkt schafft.
Der EU AI Act (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er wurde am 13. Juni 2024 angenommen und legt harmonisierte Vorschriften für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen innerhalb der Europäischen Union fest.
Die Verordnung verfolgt einen risikobasierten Ansatz und unterteilt KI-Systeme in vier Stufen: inakzeptables Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (weitgehend unreguliert). Dieser gestufte Rahmen stellt sicher, dass die strengsten Anforderungen für KI-Systeme gelten, die das größte potenzielle Schadenspotenzial für Gesundheit, Sicherheit und Grundrechte aufweisen.
Die Verordnung gilt für Anbieter von KI-Systemen, die auf dem EU-Markt in Verkehr gebracht werden, unabhängig davon, ob diese Anbieter in der EU oder in einem Drittland niedergelassen sind. Sie gilt auch für Betreiber von KI-Systemen mit Sitz in der EU sowie für Anbieter und Betreiber mit Sitz außerhalb der EU, sofern die vom KI-System erzeugten Ergebnisse in der EU verwendet werden.
Zu den wichtigsten Neuerungen gehören die Schaffung von KI-Reallaboren, verpflichtende Konformitätsbewertungen für KI-Systeme mit hohem Risiko, Anforderungen an Transparenz und menschliche Aufsicht sowie die Einrichtung des European AI Office zur Koordinierung der Durchsetzung. Die Verordnung führt zudem besondere Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) ein, einschließlich zusätzlicher Pflichten für GPAI-Modelle mit systemischem Risiko.
Die Sanktionen bei Nichteinhaltung sind erheblich: bis zu €35 million oder 7% des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, bis zu €15 million oder 3% bei Verstößen gegen andere Bestimmungen und bis zu €7.5 million oder 1% bei der Bereitstellung unrichtiger Informationen. Für KMU und Start-ups gilt jeweils der niedrigere der beiden Beträge.
Der EU AI Act stellt einen Paradigmenwechsel in der Technologieregulierung dar und geht von sektorspezifischen Vorschriften zu einem horizontalen Rahmen über, der KI in allen Branchen abdeckt. Compliance-Fachleute müssen verstehen, dass diese Verordnung eine extraterritoriale Reichweite ähnlich der DSGVO haben wird und Organisationen weltweit betrifft, die den EU-Markt bedienen.
Die Verordnung schreibt außerdem die Schaffung nationaler zuständiger Behörden in jedem Mitgliedstaat, die Einrichtung eines KI-Ausschusses zur Förderung einer einheitlichen Anwendung der Verordnung sowie die Einrichtung einer KI-Ombudsfunktion über das European AI Office vor.
Für Organisationen, die KI entwickeln oder einsetzen, erfordert der EU AI Act eine grundlegende Neubewertung der KI-Governance-Praktiken. Dazu gehören die Einführung von Risikomanagementsystemen, die Führung technischer Dokumentation, die Sicherstellung einer Daten-Governance für Trainingsdatensätze, die Einrichtung von Qualitätsmanagementsystemen und die Bereitstellung von Transparenz für die Nutzer hinsichtlich KI-generierter Inhalte.
Die Verordnung legt besonderen Wert auf Grundrechte-Folgenabschätzungen für KI-Systeme mit hohem Risiko, die von öffentlichen Stellen oder privaten Einrichtungen genutzt werden, die öffentliche Dienstleistungen erbringen. Betreiber von KI-Systemen mit hohem Risiko in Bereichen wie Strafverfolgung, Migrationsmanagement und kritischer Infrastruktur müssen diese Bewertungen durchführen, bevor sie die Systeme in Betrieb nehmen.
Verbotene KI-Praktiken: Social Scoring, biometrische Echtzeit-Identifizierung in öffentlichen Räumen (mit Ausnahmen), Manipulationstechniken, Ausnutzung von Schwachstellen
KI-Systeme mit hohem Risiko müssen vor dem Inverkehrbringen einer Konformitätsbewertung unterzogen werden
Verpflichtendes Risikomanagementsystem, das den gesamten Lebenszyklus des KI-Systems abdeckt
Anforderungen an die Daten-Governance für Trainings-, Validierungs- und Testdatensätze
Pflichten zur technischen Dokumentation und Aufzeichnung
Transparenzpflichten: Nutzer müssen informiert werden, wenn sie mit einer KI interagieren
Anforderungen an die menschliche Aufsicht für KI-Systeme mit hohem Risiko
Anforderungen an Genauigkeit, Robustheit und Cybersicherheit
Einführung eines Qualitätsmanagementsystems
Registrierung in der öffentlichen EU-Datenbank für KI-Systeme mit hohem Risiko
Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen technische Dokumentation führen und nachgelagerten Anbietern Informationen bereitstellen
GPAI-Modelle mit systemischem Risiko erfordern Modellbewertungen, adversariale Tests und die Meldung schwerwiegender Vorfälle
KI-generierte Inhalte müssen als solche gekennzeichnet werden (Deepfakes, synthetische Texte)
Grundrechte-Folgenabschätzung für bestimmte Einsätze mit hohem Risiko
Der EU AI Act ist am 1. August 2024 mit einer stufenweisen Umsetzung in Kraft getreten. Die Verbote verbotener Praktiken gelten ab Februar 2025, die GPAI-Pflichten ab August 2025 und die meisten anderen Bestimmungen einschließlich der Anforderungen an KI mit hohem Risiko ab August 2026.
Ja. Der EU AI Act hat einen extraterritorialen Anwendungsbereich. Er gilt für jeden Anbieter, der KI-Systeme auf dem EU-Markt in Verkehr bringt, und für jeden Betreiber mit Sitz in der EU, unabhängig davon, wo der Anbieter niedergelassen ist. Er gilt auch, wenn die KI-Ergebnisse in der EU verwendet werden.
Die Geldbußen können bis zu €35 million oder 7% des weltweiten Jahresumsatzes bei verbotenen KI-Praktiken, €15 million oder 3% bei anderen Verstößen und €7.5 million oder 1% bei der Bereitstellung unrichtiger Informationen betragen. Für KMU und Start-ups gelten niedrigere Obergrenzen.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.