Was ist der EU AI Act? – Ein Überblick über das europäische KI-Gesetz

Der Artificial Intelligence Act (EU AI Act) schafft einen europaweiten Rechtsrahmen für den Einsatz von KI. Durch die Kategorisierung nach Risikostufen verfolgt er einen differenzierten Ansatz und ermöglicht einerseits Innovation, während er andererseits grundlegende Rechte schützt. Für viele Organisationen stellt er jedoch eine neue regulatorische Anforderung dar, deren Umsetzung frühzeitig vorbereitet werden sollte. 

Zielsetzung des EU AI Acts 

Der EU AI Act soll den sicheren und vertrauenswürdigen Einsatz von KI fördern und ordnet KI-Anwendungen je nach potenziellem Risiko für Menschen und Grundrechte in verschiedene Kategorien ein. Entsprechend variieren die regulatorischen Anforderungen. 

Vier Risikoklassen für KI-Systeme 

1. Unannehmbares Risiko: KI-Systeme, die als besonders gefährlich eingestuft werden – etwa Social Scoring durch staatliche Stellen oder manipulative Verhaltenssteuerung – sollen grundsätzlich verboten werden.
2. Hohes Risiko: Anwendungen, die in sicherheits- oder grundrechtsrelevanten Bereichen zum Einsatz kommen, unterliegen strengen Anforderungen. Dazu zählen unter anderem KI-Systeme in der kritischen Infrastruktur, im Bildungs- und Gesundheitswesen, in der Personalrekrutierung oder bei sicherheitsbehördlichen Aufgaben. Für diese Systeme sind unter anderem eine Risikobewertung, technische Dokumentation und Transparenzpflichten vorgesehen.
3. Begrenztes Risiko: Hierunter fallen etwa Chatbots, die klar erkennbar sein müssen, damit Nutzer:innen wissen, dass sie mit einer Maschine interagieren. Auch bei dieser Kategorie bestehen gewisse Informationspflichten.
4. Minimales Risiko: Anwendungen mit geringem oder keinem Risiko – etwa KI-gestützte Spamfilter oder Videospiel-KI – dürfen ohne besondere Auflagen eingesetzt werden.

Anwendungsbereich und Geltung des EU AI Act

Der AI Act gilt für alle Anbieter, Betreiber und Nutzer von KI-Systemen innerhalb der EU – unabhängig davon, ob sie in der EU ansässig sind. Entscheidend ist, ob die Systeme in der EU auf den Markt gebracht oder verwendet werden. Damit hat die Verordnung auch extraterritoriale Wirkung, ähnlich wie die Datenschutz-Grundverordnung (DSGVO). 

Um die Einhaltung der EU-Vorgaben sollen sich in Deutschland zwei Behörden kümmern: Für den Finanzsektor ist die BaFin zuständig, während die Bundesnetzagentur alle anderen Branchen überwacht. 

Bedeutung für Unternehmen und öffentliche Stellen 

Für Unternehmen und Behörden bedeutet der EU AI Act, dass KI-Projekte künftig stärker dokumentiert und technisch abgesichert werden müssen. Dies gilt insbesondere bei Systemen mit hohem Risiko und betrifft unter anderem die Entwicklung, das Training und den Betrieb entsprechender KI-Lösungen. 

EU AI Act tritt stufenweise in Kraft 

Der EU AI Act trat zwar bereits am 1. August 2024 in Kraft, entfaltet seine Geltung jedoch stufenweise bis 2027. Dieser gestufte Ansatz soll es Unternehmen, Behörden und anderen Akteuren ermöglichen, sich schrittweise auf die neuen Anforderungen einzustellen. 

Die Stufen im Überblick 

1. August 2024: Der EU AI Act tritt in Kraft.
2. Februar 2025: Verbote für KI-Systeme mit unannehmbarem Risiko (Artikel 5). Dazu zählen beispielsweise Social Scoring, manipulative Verhaltenssteuerung und bestimmte Formen der biometrischen Überwachung.
3. August 2025: Weitere Bestimmungen treten in Kraft. So müssen die Mitgliedstaaten bis zu diesem Zeitpunkt beispielsweise die Zuständigkeiten ihrer Behörden regeln, Strafen bei Verstößen festlegen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI Models), wie Chat GPT, müssen nun bestimmte Informationspflichten und Sicherheitsstandards einhalten. Bei besonders leistungsfähigen Modellen gelten strengere Vorgaben, z. B. in Bezug auf Cybersicherheit, Risikoanalysen oder Tests. Zudem müssen Mitgliedstaaten bis zu diesem Datum die zuständigen nationalen Behörden benennen und der EU-Kommission mitteilen.
4. August 2026: Zwei Jahre nach Inkrafttreten gelten die übrigen Bestimmungen des AI Acts, mit Ausnahme von Artikel 6 Absatz 1. Dies betrifft insbesondere Anforderungen an KI-Systeme mit begrenztem und geringem Risiko.
5. August 2027: Drei Jahre nach Inkrafttreten wird Artikel 6 Absatz 1 wirksam, der sich auf KI-Systeme mit hohem Risiko bezieht, die als Sicherheitsbauteil eines Produkts dienen oder in Anhang I der Verordnung aufgeführt sind. Ab diesem Datum gilt der AI Act als vollständig.

 Für weiterführende Informationen und aktuelle Entwicklungen empfiehlt sich ein regelmäßiger Blick auf die offizielle Website zum EU AI Act.