Zurück zum Glossar

KI-Verordnung (EU AI Act): Risikoklassen, Pflichten und Anwendungsbereich

Der EU AI Act wurde 2024 verabschiedet und ist das erste verbindliche Regelwerk der EU für künstliche Intelligenz. Er verpflichtet Unternehmen, die KI-Systeme entwickeln, bereitstellen oder nutzen, konkrete Anforderungen zu erfüllen – abhängig vom Risikoprofil des jeweiligen Systems. Eine Ausnahme für KMU gibt es nicht. Wer KI-Systeme in der EU einsetzt oder mit ihnen Personen in der EU beeinflusst, fällt grundsätzlich in den Anwendungsbereich.

Was ist die KI-Verordnung?

Die KI-Verordnung – offiziell: Verordnung über künstliche Intelligenz der EU – zielt darauf ab, den Einsatz von KI-Technologien sicherer und transparenter zu gestalten. Ihr Kern ist eine risikobasierte Systematik: Die Pflichten eines Unternehmens ergeben sich aus der Kombination von Rolle (Anbieter oder Betreiber) und der Risikokategorie des eingesetzten KI-Systems. Nicht erfasst sind KI-Nutzungen für rein persönliche, nicht-berufliche Tätigkeiten sowie Anwendungen für militärische, nationale Sicherheits- oder Verteidigungszwecke.

Wie funktioniert die Risikoklassifizierung?

Der AI Act unterscheidet vier Risikostufen:

  • Unzulässiges Risiko: Systeme dieser Kategorie sind seit dem 2. Februar 2025 verboten. Darunter fallen Social Scoring, kognitive Verhaltensmanipulation und KI zur Emotionserkennung am Arbeitsplatz.
    •  
  • Hohes Risiko: Systeme, die ein bedeutendes Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen. Typische Felder sind kritische Infrastruktur (Medizin, Verkehr), Personalmanagement, berufliche Bildung und das Bankwesen. Konkrete Beispiele: KI-Analysen medizinischer MRT-Bilder oder automatisierte Kreditvergabe-Analysen. Für diese Systeme gelten strenge Anforderungen an Transparenz, Robustheit, Risikobewertung und menschliche Aufsicht.
    •  
  • Begrenztes Risiko: Hier stehen Transparenzpflichten im Vordergrund. Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren – etwa bei einem Chatbot im Kundenservice.
    •  
  • Minimales Risiko: Systeme wie Rechtschreibprüfung, Spiele oder Spam-Filter fallen in diese Kategorie. Es bestehen keine zusätzlichen spezifischen rechtlichen Verpflichtungen; ein freiwilliger KI-Verhaltenskodex kann laut AI-Lab-Glossar als Orientierung dienen.

Pflichten für Anbieter und Betreiber

Die Verordnung unterscheidet zwei zentrale Rollen:

Anbieter entwickeln KI-Systeme und bringen sie unter eigenem Namen oder eigener Handelsmarke in Verkehr. Ihre Pflichten umfassen unter anderem das Sicherstellen von KI-Kompetenz, Anforderungen an Datengovernance, technische Dokumentation und Risikomanagement. Hinzu kommen Informationspflichten gegenüber nachgelagerten Akteuren sowie die Pflicht zur Zusammenarbeit mit Behörden.

Betreiber nutzen KI-Systeme im Rahmen wirtschaftlicher Tätigkeit oder integrieren sie in eigene Prozesse. Zu ihren Pflichten zählen die Kennzeichnung von Deepfakes und KI-generierten Texten mit öffentlichem Interesse sowie die Sicherstellung von KI-Kompetenz im Unternehmen.

GPAI und systemisches Risiko

Ein weiterer Regelungsbereich betrifft GPAI-Systeme (General Purpose AI, auch: Basismodelle). Dabei handelt es sich um KI mit allgemeinem Verwendungszweck, die auf großen Datensätzen trainiert wurden, sich für verschiedene Aufgaben anpassen lassen und in weitere KI-Systeme integriert werden können. Für besonders leistungsfähige und weit verbreitete Basismodelle wird zusätzlich der Begriff systemisches Risiko herangezogen, der auf mögliche weitreichende Auswirkungen solcher Modelle hinweist.

Fazit

Die KI-Verordnung schafft einen risikobasierten Rechtsrahmen für den KI-Einsatz in der EU. Sie koppelt konkrete Pflichten an Risikokategorie und Unternehmensrolle: Verbotene Praktiken wie Social Scoring sind seit Februar 2025 untersagt, Hochrisiko-Systeme unterliegen strengen Dokumentations- und Aufsichtspflichten, und Systeme mit Personenkontakt müssen transparent gekennzeichnet sein. Für Unternehmen – unabhängig von ihrer Größe – bedeutet das: Eine Einordnung der eigenen KI-Systeme in das Risikoschema ist der erste notwendige Schritt zur Compliance.