Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenz. Im März 2024 vom Europäischen Parlament angenommen und im August 2024 in Kraft getreten, gilt er für jeden Anbieter, Betreiber, Einführer oder Händler von KI-Systemen, die in der Europäischen Union eingesetzt werden, unabhängig davon, wo die Organisation ihren Sitz hat.
Die vier Risikostufen
Der Rechtsakt teilt KI-Systeme in vier Risikokategorien ein, die jeweils mit unterschiedlichen Pflichten verbunden sind.
Stufe 1, Unannehmbares Risiko (verboten): Bestimmte KI-Anwendungen sind grundsätzlich verboten, weil sie unannehmbare Gefahren für die Grundrechte darstellen. Beispiele sind von Regierungen oder Behörden betriebene Social-Scoring-Systeme, biometrische Echtzeitüberwachung im öffentlichen Raum (mit eng gefassten Ausnahmen für die Strafverfolgung), unterschwellige Manipulationstechniken, die darauf abzielen, Verhalten ohne Wahrnehmung der Betroffenen zu beeinflussen, sowie Systeme, die schutzbedürftige Gruppen ausnutzen.
Stufe 2, Hohes Risiko: KI-Systeme, die in kritischen Bereichen eingesetzt werden, unterliegen den strengsten Anforderungen. Zu den Hochrisikobereichen gehören kritische Infrastruktur (Energie, Wasser, Verkehr), Bildung und berufliche Ausbildung, Beschäftigungs- und HR-Entscheidungen (Lebenslauf-Screening, Leistungsüberwachung), wesentliche private und öffentliche Dienste (Kreditwürdigkeitsprüfung, Versicherung, Sozialleistungen), biometrische Identifizierung und Kategorisierung, Strafverfolgung, Migration und Grenzkontrolle sowie die Rechtspflege. Anbieter von Hochrisiko-KI müssen ein Risikomanagementsystem, Kontrollen zur Daten-Governance, eine umfassende technische Dokumentation, Protokollierung und Aufzeichnungen, Transparenzinformationen für Betreiber, Mechanismen für eine wirksame menschliche Aufsicht sowie Maßnahmen zu Genauigkeit, Robustheit und Cybersicherheit umsetzen. Vor dem Inverkehrbringen eines Hochrisikosystems ist eine EU-Konformitätsbewertung erforderlich.
Stufe 3, Begrenztes Risiko: Für Systeme wie Chatbots, Emotionserkennung und KI-generierte Deepfakes gelten Transparenzpflichten. Anbieter und Betreiber müssen sicherstellen, dass Nutzer darüber informiert werden, dass sie mit einem KI-System interagieren oder KI-generierte Inhalte betrachten.
Stufe 4, Minimales Risiko: Die überwiegende Mehrheit der KI-Anwendungen, etwa Spamfilter, KI in Videospielen und Empfehlungssysteme, fällt in diese Kategorie und unterliegt keinen besonderen Pflichten nach dem Rechtsakt, auch wenn freiwillige Verhaltenskodizes gefördert werden.
Zeitplan: schrittweise Durchsetzung
Die Verordnung gilt in Phasen. Verbotene KI-Systeme (Stufe 1) wurden sechs Monate nach Inkrafttreten verboten (Februar 2025). Pflichten für KI-Modelle mit allgemeinem Verwendungszweck gelten ab August 2025. Anforderungen an Hochrisiko-KI-Systeme gelten für die meisten Bereiche ab August 2026, wobei für einige in regulierten Produkten (Medizinprodukte, Maschinen) eingesetzte Hochrisiko-KI eine Frist bis August 2027 gilt. Mit der vollständigen Durchsetzung sämtlicher Bestimmungen wird bis 2026-2027 gerechnet.
Wesentliche Pflichten für Hochrisiko-KI
Organisationen, die Hochrisiko-KI einsetzen, müssen: ein Risikomanagementsystem einrichten, das vorhersehbare Risiken über den gesamten KI-Lebenszyklus hinweg identifiziert und mindert; Praktiken der Daten-Governance umsetzen, die sicherstellen, dass die Trainingsdaten relevant, repräsentativ und frei von erheblichen Fehlern sind; eine umfassende technische Dokumentation pflegen, die den Aufsichtsbehörden auf Anfrage vorgelegt werden kann; eine automatische Protokollierung von Ereignissen ermöglichen, um die Überwachung und Untersuchung nach dem Inverkehrbringen zu erleichtern; menschlichen Bedienern klare Anweisungen und Transparenzinformationen bereitstellen; eine wirksame menschliche Aufsicht gewährleisten, damit Bediener die KI-Ausgaben verstehen, eingreifen und sie außer Kraft setzen können; und definierte Schwellenwerte für Genauigkeit, Fehlerrobustheit und Cybersicherheitsresilienz erfüllen.
Sanktionen
Verstöße ziehen erhebliche finanzielle Sanktionen nach sich. Verstöße im Zusammenhang mit verbotenen KI-Anwendungen (Stufe 1) können zu Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Verstöße gegen andere Pflichten, einschließlich der Anforderungen an Hochrisiko-KI, sind mit Geldbußen von bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes bewehrt. Die Bereitstellung unrichtiger oder irreführender Informationen gegenüber Behörden kann zu Geldbußen von bis zu 7,5 Millionen Euro oder 1 % des weltweiten Umsatzes führen.
Wer betroffen ist
Der EU AI Act hat eine extraterritoriale Reichweite. Jede Organisation, die ein KI-System auf dem EU-Markt in Verkehr bringt, ein KI-System in der EU in Betrieb nimmt oder KI-Systeme in einer Weise nutzt, die Menschen in der EU betrifft, muss ihn einhalten, unabhängig davon, wo die Organisation ihren Hauptsitz hat. Das bedeutet, dass US-amerikanische, britische, australische und asiatische Unternehmen mit Kunden in der EU, Mitarbeitenden in der EU oder auf die EU ausgerichteten KI-Systemen allesamt in den Anwendungsbereich fallen.
Relevanz für Australien
Für australische Organisationen ist der EU AI Act in zweierlei Hinsicht relevant. Erstens muss jedes australische Unternehmen mit Geschäftstätigkeit in der EU, Kunden in der EU oder auf die EU ausgerichteten KI-Produkten den Rechtsakt unmittelbar einhalten, einschließlich australischer Fintechs, SaaS-Anbieter und Unternehmen mit europäischen Tochtergesellschaften oder Kundenstämmen. Zweitens signalisiert der EU AI Act die Richtung der KI-Regulierung weltweit. Australiens eigener AI Safety Standard (veröffentlicht im August 2024) und bevorstehende Gesetzesänderungen orientieren sich ausdrücklich an internationalen Rahmenwerken, darunter dem EU AI Act. Australische Organisationen, die jetzt Fähigkeiten zur Einhaltung des EU AI Act aufbauen, sind besser auf die nationalen regulatorischen Anforderungen vorbereitet, sobald diese entstehen.