EU AI Act: Der Rechtsrahmen für künstliche Intelligenz in der EU

Die EU hat mit dem AI Act ein umfassendes Regelwerk geschaffen, das die Entwicklung, Bereitstellung und Nutzung von Künstlicher Intelligenz in Europa reguliert. Betroffen sind nicht nur Tech-Giganten wie Google, Microsoft oder OpenAI, sondern auch europäische Start-ups, kleine und mittlere Unternehmen (KMUs), öffentliche Institutionen und Organisationen, die KI-Systeme einsetzen oder entwickeln. Gerade für junge Unternehmen könnten die neuen Vorschriften zur Herausforderung werden. Um dem entgegenzuwirken, plant die Europäische Kommission derzeit Massnahmen zur Entlastung von Startups im Rahmen des "AI Continent Action Plans". So soll der Innovationsstandort Europa trotz Regulierung gestärkt werden und mit den Wettbewerbern in den Ring treten können. Daran zeigt sich: Die Debatte um die Balance zwischen Innovation und Kontrolle im Bereich künstliche Intelligenz ist aktueller denn je.

Die Entstehung des EU AI Acts belief sich auf einen mehrjährigen, intensiven aber auch politischen Prozess. Erste Diskussionen zur Regulierung von Künstlicher Intelligenz begannen 2018 mit dem "AI White Paper" der EU-Kommission. Die Idee: Europa soll ein globaler Vorreiter für vertrauenswürdige KI werden. Aufbauend auf ethischen Leitlinien aus dem Jahr 2019 legte die Kommission im April 2021 einen ersten Gesetzesentwurf vor. Dieser wurde im Dialog mit dem Europäischen Parlament, den Mitgliedstaaten und zahlreichen Stakeholdern mehrfach überarbeitet.

Besonderes Gewicht lag dabei auf dem Schutz von Grundrechten, Transparenz sowie der Innovationsförderung – ein Balanceakt, der oft kontrovers diskutiert wurde. Nach einer Vielzahl von Trilog-Verhandlungen erzielten Rat, Parlament und Kommission Ende 2023 eine politische Einigung. Der finale Text wurde im März 2024 vom Parlament verabschiedet und tritt schrittweise in Kraft. Die ersten Vorschriften für verbotene KI-Systeme gelten bereits ab Mitte 2025. Die meisten Vorgaben – insbesondere für Hochrisiko-Systeme – greifen dann ab 2026. Das KI-Gesetz gilt damit als Meilenstein europäischer Technologiepolitik und dient vielen Ländern weltweit als Referenzmodell für eine verantwortungsvolle KI-Gesetzgebung.

Laut Europäischem Parlament stellt das Gesetz sicher, dass KI-Systeme unter menschlicher Kontrolle bleiben, Diskriminierung verhindert wird und Transparenz sowie Rückverfolgbarkeit gewährleistet sind. Auch innovative KI-Modelle wie generative KI und sogenannte "foundation models" (z. B. GPT-4) werden im Gesetz berücksichtigt. Für solche Systeme gelten künftig spezifische Anforderungen an Risikobewertung, Dokumentation und Transparenz – eine Reaktion auf die dynamische Entwicklung dieser Technologien. Zudem wurden mit dem AI Act auch klare Haftungsregelungen und Durchsetzungsmechanismen definiert, um die Einhaltung der Vorgaben effektiv zu sichern.

Ziel des EU AI Act ist es, ein einheitliches Regelwerk zu schaffen, das sowohl die Innovationskraft in Europa schützt als auch Grundrechte, Sicherheit und demokratische Werte wahrt. Das Gesetz folgt einem risikobasierten Ansatz und unterscheidet KI-Systeme je nach Gefährdungspotenzial in vier Risikokategorien:

KI-Systeme, die als Bedrohung für Sicherheit, Grundrechte oder die Gesellschaft gelten, werden verboten. Dazu zählen beispielsweise Social Scoring-Systeme nach chinesischem Vorbild sowie manipulative KI, die das Verhalten von Menschen gezielt beeinflusst. Darunter fällt beispielsweise Spielzeug mit Sprachassistenz, das Kinder zu riskantem Verhalten verleiten kann.

Darunter fallen Hochrisiko KI-Anwendungen, die in sicherheitskritischen Bereichen wie Medizin, Verkehr oder Justiz eingesetzt werden. Sie dürfen nur unter strengen Auflagen verwendet werden: Transparenzpflichten, Risikomanagement, menschliche Überwachung und umfassende Dokumentation sind Pflicht. Zudem müssen Anbieter solcher Systeme eine Konformitätsbewertung durchführen und ihr Produkt vor dem Inverkehrbringen bei einer nationalen Behörde registrieren lassen. Ein Beispiel für die Kategorie hohes Risiko ist eine KI zur Bewerberauswahl im Personalwesen: Sie muss diskriminierungsfrei funktionieren, nachvollziehbar dokumentiert sein und darf nur zur Vorauswahl der Bewerber genutzt werden. Die endgültige Entscheidung muss weiterhin von einem Menschen getroffen werden.

Diese Systeme müssen bestimmte Transparenzanforderungen erfüllen. Nutzer:innen müssen darüber informiert werden, dass sie mit einem KI-System interagieren. Unter diese Kategorie fallen unter anderem alle Chatbots wie unter anderem ChatGPT. In der Praxis bedeutet das: Unternehmen müssen Kennzeichnungen implementieren, die klar erkennbar machen, dass man mit KI interagiert sowie ggf. Schulungen für Mitarbeiter:innen anbieten.

Ein Grossteil der KI-Anwendungen zählt zu dieser niedrigsten Risikostufe und kann ohne regulatorische Auflagen frei eingesetzt werden. Beispiele hier sind Spamfilter oder KI-gestützte Rechtschreibkorrektur. Für diese Anwendungen sieht der AI Act keine regulatorischen Pflichten vor. Allerdings wird empfohlen, freiwillige Standards und ethische Leitlinien zu berücksichtigen, um Vertrauen nachhaltig zu sichern.

Die Einordnung eines KI-Systems in eine der vier Risikokategorien erfolgt anhand einer Einstufung des Einsatzzwecks sowie der potenziellen Auswirkungen auf den Menschen und der Gesellschaft. Entscheidend ist dabei nicht nur die Technologie selbst, sondern vor allem, wo und wie sie eingesetzt wird.

Die folgenden Kriterien dienen als Grundlage zur Klassifizierung – und entscheiden damit darüber, ob ein System verboten, stark reguliert oder frei verwendbar ist.

Die Anforderungen des AI Acts variieren je nach Risikokategorie, dennoch gibt es übergreifende Pflichten, die Unternehmen bei Entwicklung und Einsatz von KI beachten müssen. Besonders für Anbieter und Betreiber hochriskanter KI-Systeme gelten folgende zentrale Anforderungen:

Um zu überprüfen inwieweit der AI Act auch auf Ihr Unternehmen Anwendung findet wurde der EU AI Act Compliance Checker von der unabhängigen Organisation "Future of Life Institute" konzipiert. Es handelt sich dabei um ein interaktive Online-Tool, das Organisationen dabei unterstützt, den aktuellen Stand ihrer KI-Systeme im Hinblick auf die Anforderungen des EU AI Acts zu analysieren. Unternehmen beantworten gezielte Fragen zur Funktion, Nutzung und technischen Ausgestaltung ihrer KI-Anwendung – das Tool liefert daraufhin eine erste Einschätzung zur Risikostufe (z. B. Hochrisiko) sowie konkrete Hinweise zu notwendigen Massnahmen.

So nutzen Sie den Compliance Checker:

Das Tool ersetzt keine juristische Beratung, bietet aber eine fundierte erste Orientierung – besonders für KMUs ein wertvoller Einstieg, um interne KI-Projekte frühzeitig rechtskonform auszurichten.

Zur Überwachung der Umsetzung und Koordinierung der nationalen Aufsichtsbehörden wurde das European AI Office eingerichtet. Es soll die kohärente Anwendung des KI-Gesetzes in den Mitgliedstaaten sicherstellen, Leitlinien erarbeiten, Marktüberwachung unterstützen und internationale Kooperationen fördern. Darüber hinaus fungiert es als zentrale Anlaufstelle für Unternehmen und Behörden und koordiniert die Durchsetzung bei grenzüberschreitenden KI-Anwendungen. Die nationalen Aufsichtsbehörden – wie etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland – arbeiten dabei eng mit dem AI Office zusammen und übernehmen die konkrete Prüfung und Ahndung von Verstössen vor Ort.

Die Einhaltung des AI Acts wird durch das Europäische Amt für künstliche Intelligenz (European AI Office) sowie die nationalen Aufsichtsbehörden streng überwacht. Unternehmen, die gegen die Vorschriften verstossen – insbesondere in den Bereichen Hochrisiko-KI oder verbotene Anwendungen – müssen mit empfindlichen Sanktionen rechnen.

Die Bussgelder richten sich nach dem Schweregrad des Verstosses und können erheblich ausfallen. Je nach Art des Verstosses sieht der AI Act Geldstrafen von bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes vor. Dies findet insbesondere Anwendung bei der Nutzung verbotener Systeme, gravierenden Mängeln bei Hochrisiko-KI oder bei systematischer Missachtung von Transparenz- und Kooperationspflichten.

Neben finanziellen Sanktionen drohen zudem Einschränkungen beim Marktzugang, die Pflicht zur Rücknahme von Produkten sowie mögliche zivilrechtliche Haftungsfolgen. Unternehmen sollten deshalb frühzeitig in Compliance-Massnahmen investieren – nicht nur zur Vermeidung von Strafen, sondern auch zur Sicherung von Vertrauen und Wettbewerbsfähigkeit auf dem Markt.

Der AI Act bietet die Chance, Europa als globalen Vorreiter für vertrauenswürdige KI zu etablieren. Das Gesetz schafft Rechtssicherheit, fördert die Transparenz und unterstützt den Schutz von Grundrechten. Gerade in sensiblen Bereichen wie dem Gesundheitswesen oder der öffentlichen Verwaltung könnte dies das Vertrauen in KI-Systeme stärken.

Auf der anderen Seite steht die Gefahr einer Überregulierung. Kritiker:innen warnen, dass die strengen Anforderungen innovationshemmend wirken könnten – insbesondere für kleinere Unternehmen ohne grosse Compliance-Abteilungen. Quelle Zudem besteht das Risiko, dass europäische Unternehmen gegen weniger regulierte Konkurrenz aus den USA oder China ins Hintertreffen geraten.

Der EU AI Act ist ein Versuch, den rechtlichen Rahmen für Künstliche Intelligenz im Einklang mit europäischen Werten zu gestalten. Die kommenden Jahre werden zeigen, ob es gelingt, den Spagat zwischen Innovationsförderung und Grundrechtsschutz zu meistern. Klar ist: Unternehmen sollten sich jetzt vorbereiten – denn wer frühzeitig handelt, kann Compliance zum Wettbewerbsvorteil machen.

Originaltext des EU AI Acts: EUR-Lex