Zurück zum Glossar

EU AI Act: Risikoklassen, Pflichten und Zeitplan für Unternehmen

Der EU AI Act ist das erste verbindliche Rechtsrahmenwerk der Europäischen Union zur Regulierung von Künstlicher Intelligenz. Er gilt nicht nur für Unternehmen mit EU-Sitz, sondern für jede Organisation, die KI-Produkte in der EU anbietet, verkauft oder nutzt. Das Gesetz folgt einem risikobasierten Ansatz: Die Pflichten richten sich nach der Einstufung der jeweiligen KI-Anwendung – von vollständigen Verboten bis hin zu minimalen Transparenzanforderungen.

Was ist der EU AI Act?

Der EU AI Act ist ein EU-weites Rechtsrahmenwerk, das Entwicklung und Nutzung von KI-Systemen reguliert. Ziel ist ein angemessenes Schutzniveau für Sicherheit und Grundrechte sowie mehr Rechts- und Planungssicherheit für Organisationen. Das Gesetz wurde am 1. August 2024 verbindlich und tritt in mehreren Stufen bis 2027 vollständig in Kraft.

Wie funktioniert der EU AI Act?

Das Kernprinzip ist die Einordnung von KI-Anwendungen in vier Risikoklassen. Je nach Klasse gelten unterschiedliche Anforderungen:

  • Unacceptable Risk (verbotenes Risiko): Diese Anwendungen sind vollständig untersagt. Dazu zählen Systeme zur kognitiven Verhaltensmanipulation, Social-Scoring-Systeme, die Personen nach Verhalten oder sozioökonomischem Status klassifizieren, sowie biometrische Echtzeit-Identifikation im öffentlichen Raum, etwa Gesichtserkennung.
    •  
  • High Risk (hohes Risiko): KI-Systeme, die Sicherheit oder Grundrechte beeinflussen können. Das betrifft zum einen Systeme in Produkten, die unter EU-Produktsicherheitsvorschriften fallen – etwa in den Bereichen Spielzeug, Luftfahrt, Medizin oder Aufzüge. Zum anderen Systeme in Bereichen wie Bildung, Strafverfolgung oder kritische Infrastruktur, die eine Registrierung in einer EU-Datenbank erfordern.
    •  
  • Limited Risk (begrenztes Risiko): Hier stehen Transparenzpflichten im Vordergrund. Als Beispiel gilt ein KI-Assistent wie ChatGPT. Anbieter müssen offenlegen, dass Inhalte KI-generiert sind, sicherstellen, dass keine illegalen Inhalte produziert werden, und Zusammenfassungen zu urheberrechtlich geschützten Trainingsdaten veröffentlichen.
    •  
  • Minimal or No Risk (geringes oder kein Risiko): Diese Kategorie umfasst die meisten KI-Systeme. Für sie bestehen keine weiteren rechtlichen Verpflichtungen.

Wer ist betroffen?

Der Anwendungsbereich ist bewusst weit gefasst. Erfasst werden Organisationen, die KI-Produkte in der EU in den Markt bringen, sowie Nutzer von KI-Produkten und -Diensten innerhalb der EU. Auch Unternehmen außerhalb der EU fallen unter den Act, sofern ihr KI-Output für den EU-Einsatz bestimmt ist.

Zeitplan: Gestaffeltes Inkrafttreten

Der EU AI Act tritt nicht auf einmal in Kraft, sondern schrittweise:

  • 1. August 2024: Rechtsrahmen wird verbindlich.
    •  
  • 2. Februar 2025: Verbote für bestimmte KI-Systeme und Anforderungen zur AI Literacy werden wirksam.
    •  
  • 2. August 2025: Regeln für GPAI-Modelle (General Purpose AI), Governance-, Vertraulichkeits- und Sanktionsmechanismen treten in Kraft.
    •  
  • 2. August 2026: Der Großteil der verbleibenden Regelungen gilt.
    •  
  • 2. August 2027: Alle Systeme ohne Ausnahme müssen die Vorgaben des AI Acts erfüllen.

Sanktionen

Bei Verstößen drohen erhebliche Geldbußen. Verstöße gegen Verbote können mit bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Für andere Vorschriften sind bis zu 15 Mio. EUR bzw. 3 % des Jahresumsatzes vorgesehen. Wer zuständigen Stellen unvollständige, falsche oder irreführende Informationen liefert, riskiert bis zu 7,5 Mio. EUR bzw. 1 % des weltweiten Jahresumsatzes.

Praxisbeispiele und Anwendungsfälle

In der Praxis betrifft der EU AI Act unterschiedliche Unternehmensbereiche sehr konkret. Ein KI-gestütztes Bewerbungs-Screening kann beispielsweise als High-Risk-System eingestuft werden, wenn es über die Auswahl von Kandidatinnen und Kandidaten mitentscheidet. Ein Chatbot im Kundenservice fällt häufig in die Kategorie Limited Risk, da hier Transparenzpflichten im Vordergrund stehen. KI-Systeme in medizinischen Diagnoseanwendungen oder in der Luftfahrt können ebenfalls als High Risk gelten, weil sie unmittelbar Sicherheit und Grundrechte beeinflussen. Dagegen sind viele interne Automatisierungstools, etwa für Textzusammenfassungen oder einfache Datenklassifikation ohne relevanten Einfluss auf Personen, häufig im Bereich Minimal or No Risk einzuordnen.

Fazit

Der EU AI Act verpflichtet Unternehmen, ihre KI-Systeme systematisch nach Risikoklassen einzustufen und daraus konkrete Compliance-Maßnahmen abzuleiten. Die Einstufung bestimmt den gesamten Umfang der Pflichten – von der Entwicklung über das Inverkehrbringen bis zur Nutzung. Angesichts des gestaffelten Zeitplans und der hohen Bußgelder sollten betroffene Organisationen die Einordnung ihrer KI-Anwendungen frühzeitig prüfen.