EU AI Act

Der EU AI Act (auf Deutsch z. B. „Verordnung über Künstliche Intelligenz“ / „KI-Verordnung“) ist ein rechtlicher Rahmen der Europäischen Union, der erstmals umfassend KI-Systeme reguliert. (AI Act)

Hier sind die wichtigsten Punkte, was der EU AI Act ist, was er regelt und welche Folgen er hat:

Was ist der EU AI Act?

  • Es handelt sich um eine EU-Verordnung (Regulation (EU) 2024/1689) (Wikipedia).
  • Sie trat am 1. August 2024 in Kraft. (Wikipedia)
  • Die Verordnung zielt darauf ab, einheitliche Regeln für den Einsatz, die Entwicklung und den Handel von KI-Systemen in der EU zu schaffen. (Digitale Strategie Europas)

Wichtige Inhalte / Regelungen

Risikobasierter Ansatz

Der AI Act unterscheidet KI-Systeme nach dem Risiko, das sie bergen. Je nach Risikoklasse gelten unterschiedliche Anforderungen:

RisikoklasseBedeutung / BeispieleRegulierung / Anforderungen
Unacceptable risk(inakzeptables Risiko)KI-Systeme, die gegen grundlegende Werte verstoßen, z. B. „Social Scoring“ durch staatliche Stellen, biometrische Echtzeit-Überwachung unter bestimmten Bedingungen usw. (Wikipedia)Diese Verwendungen sind verboten. (AI Act)
High-risk(hoch riskant)KI-Anwendungen, die wesentliche Auswirkungen auf Sicherheit oder Grundrechte haben könnten, zum Beispiel Steuerungssysteme im Verkehr, wichtige Infrastrukturen, bestimmte Prüfungssysteme, Gesundheitswesen etc. (Wikipedia)Für diese gelten strenge Anforderungen – z. B. Transparenz, Qualitätssicherung, Risikomanagement, Überprüfung durch unabhängige Stellen (conformity assessment) etc. (AI Act)
Limited risk(begrenztes Risiko)Systeme, die nicht so gefährlich sind, aber trotzdem gewisse Auswirkungen haben können – z. B. Chatbots, die Nutzer nicht klar darüber informieren, mit KI zu kommunizieren, oder Deepfakes. (Künstliche Intelligenz Gesetz EU)Hier gelten leichtere Verpflichtungen, z. B. Transparenzpflichten: Nutzer müssen informiert werden, dass sie mit einer KI interagieren etc. (Künstliche Intelligenz Gesetz EU)
Minimal risk(minimales Risiko)Viele KI-Anwendungen, die alltäglich, wenig sensibel sind (z. B. KI in Spielen, Spamfiltern) (Künstliche Intelligenz Gesetz EU)Für diese sind keine besonderen Auflagen vorgesehen. (Künstliche Intelligenz Gesetz EU)

Allgemein genutzte KI / General-Purpose AI

  • Es gibt spezielle Regeln für General-Purpose AI-Modelle (GP-AI), d.h. Modelle, die nicht auf eine bestimmte Aufgabe spezialisiert sind, sondern vielfach nutzbar. (IBM)
  • Diese Modelle müssen besondere Transparenz-, Sicherheits- und Nachweispflichten erfüllen. (Künstliche Intelligenz Gesetz EU)

Transparenz, Kontrolle & Haftung

  • Anbieter (Provider), diejenigen, die KI in Verkehr bringen oder nutzen, müssen transparente Informationen bereitstellen (z. B. über Trainingsdaten, über die Risiken). (Künstliche Intelligenz Gesetz EU)
  • Es werden Risikomanagement-Systeme vorgeschrieben und z. T. Konformitätsbewertungen (z. B. für Hochrisiko-KI) nötig. (AI Act)
  • Es gibt Aufsichtsbehörden – sowohl auf EU-Ebene als auch national – die Überwachung und Durchsetzung übernehmen. (Wikipedia)

Zeitplan / Geltungsbeginn

  • Zwar ist der Act am 1. August 2024 in Kraft getreten. (Wikipedia)
  • Aber viele Teile gelten erst später, gestaffelt je nach Risikoklasse und Art der Anforderungen. Einige Regelungen treten im Laufe der nächsten Jahre in Kraft. (Wikipedia)

Bedeutung & Ziel

  • Der EU AI Act soll sicherstellen, dass KI-Systeme vertrauenswürdig, sicher und mit dem Schutz der Grundrechte vereinbar sind. (Digitale Strategie Europas)
  • Gleichzeitig will man ein Innovationsklima schaffen, in dem Unternehmen innerhalb der EU (und auch international) klare Rahmenbedingungen haben. (IBM)
  • Da es eine Verordnung ist, gelten die Regeln in allen EU-Mitgliedstaaten direkt (nach Ablauf der Übergangsfristen) – keine nationale Umsetzung nötig. (Wikipedia)

1. Für Anbieter / Hersteller von KI-Systemen

(also diejenigen, die ein KI-System entwickeln und in Verkehr bringen)

a) Hochrisiko-KI-Systeme

Pflichten u. a.:

  • Risikomanagement-System einrichten (laufend Risiken bewerten und minimieren).
  • Qualität der Trainingsdaten sicherstellen (repräsentativ, möglichst frei von Verzerrungen).
  • Technische Dokumentation erstellen (damit Behörden die Funktionsweise nachvollziehen können).
  • Transparenz & Erklärbarkeit: Nutzer müssen verstehen können, wie das System funktioniert.
  • Aufzeichnungspflichten: Logging von Abläufen.
  • Menschliche Aufsicht: Sicherstellen, dass kritische Entscheidungen überprüfbar sind.
  • Robustheit & Cybersicherheit: Schutz vor Manipulation und Angriffen.
  • Konformitätsbewertung: Vor Inverkehrbringen durchlaufen, ähnlich wie ein CE-Prüfzeichen.

b) Generative / General-Purpose AI (wie GPT, Bildgeneratoren etc.)

  • Transparenz über Funktionsweise und Trainingsdaten (z. B. Quellenarten nennen, Urheberrechte beachten).
  • Dokumentation für nachgelagerte Nutzer (damit sie sicher einsetzen können).
  • Bei sehr leistungsstarken Modellen (Foundation Models): zusätzliche Pflichten, z. B. Risikoanalysen, Meldung von Sicherheitsvorfällen, Energieverbrauchsdaten.

2. Für Nutzer / Betreiber von KI-Systemen

(z. B. Unternehmen, die KI einkaufen und anwenden)

  • Müssen sicherstellen, dass das System im vorgesehenen Zweck genutzt wird.
  • Überwachung während des Einsatzes (z. B. Auffälligkeiten melden).
  • Pflicht zur Mitarbeit mit Behörden, wenn Prüfungen stattfinden.
  • Bei Hochrisiko-KI: Teilweise eigene Dokumentationspflichten.

3. Für Vertrieb, Händler, Importeure

  • Müssen prüfen, ob die KI-Systeme, die sie verkaufen, regelkonform sind.
  • Müssen die CE-Kennzeichnung und Konformitätserklärung vorlegen können.

4. Für begrenztes Risiko (Limited risk)

  • Transparenzpflichten:
    • Chatbots müssen klar machen, dass man mit einer KI spricht.
    • Deepfakes müssen als solche gekennzeichnet werden.

5. Für minimales Risiko

  • Keine besonderen Pflichten. Nutzung ist frei.

Zeitplan (vereinfacht)

  • Verbotene KI (z. B. Social Scoring) → gilt ca. 6 Monate nach Inkrafttreten (also ab Anfang 2025).
  • Regeln für General-Purpose AI → ca. 1 Jahr nach Inkrafttreten.
  • Hochrisiko-Pflichten → ca. 2 Jahre nach Inkrafttreten (2026).

Kurz gesagt:

  • Hohe Risiken = strenge Pflichten (Dokumentation, Aufsicht, Sicherheit, Konformitätsprüfung).
  • Begrenzte Risiken = Transparenzpflichten (z. B. Hinweis „Das ist KI“).
  • Minimale Risiken = keine besonderen Auflagen.

Überblick: Pflichten nach Risikoklassen (EU AI Act)

RisikoklasseBeispieleRegelung / Pflichten
Unakzeptables RisikoSocial Scoring, manipulative KI, bestimmte Formen biometrischer ÜberwachungVerboten – diese Systeme dürfen in der EU nicht in Verkehr gebracht oder genutzt werden.
HochrisikoMedizinische KI, autonome Fahrzeuge, kritische Infrastrukturen, Bewerber- oder Prüfungssysteme– Risikomanagement- Qualitativ hochwertige Trainingsdaten- Technische Dokumentation- Logging & Aufzeichnungspflicht- Transparenz & Erklärbarkeit- Menschliche Aufsicht- Robustheit & Cybersicherheit- Konformitätsbewertung (ähnlich CE-Kennzeichen)
Begrenztes RisikoChatbots, Deepfakes, Empfehlungssysteme– Transparenzpflichten:• Nutzer informieren, dass sie mit KI interagieren• Kennzeichnung von Deepfakes- Leichte Dokumentationspflichten
 Minimales RisikoSpiele-KI, Spamfilter, einfache AppsKeine besonderen Pflichten – freie Nutzung möglich

Zeitplan (vereinfacht)

  • Verbotene KI → Verbot gilt ca. ab Februar 2025
  • Regeln für General-Purpose AI (z. B. GPT-Modelle) → ab August 2025
  • Hochrisiko-Pflichten → ab 2026
  • Damit wird klar: Je größer das Risiko für Sicherheit und Grundrechte, desto strenger sind die Pflichten.