AI Act (EU-KI-Verordnung)
Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende Rechtsverordnung zur Regulierung künstlicher Intelligenz. Die am 1. August 2024 in Kraft getretene Verordnung klassifiziert KI-Systeme risikobasiert und legt je nach Gefährdungspotenzial abgestufte Pflichten für Anbieter und Betreiber fest.
Ausführliche Erklärung
Die EU-KI-Verordnung (offiziell: Verordnung (EU) 2024/1689) wurde nach mehrjährigen Verhandlungen im Mai 2024 vom Rat der Europäischen Union verabschiedet und ist seit 1. August 2024 in Kraft. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und betrifft alle Unternehmen, die KI-Systeme entwickeln, vertreiben oder nutzen – unabhängig davon, ob sie in der EU ansässig sind. Entscheidend ist, dass die KI-Systeme in der EU eingesetzt oder deren Ergebnisse in der EU verwendet werden.
Das zentrale Prinzip ist der risikobasierte Ansatz: KI-Systeme werden in vier Risikokategorien eingeteilt. Systeme mit inakzeptablem Risiko (etwa Social Scoring, manipulative KI oder biometrische Echtzeit-Überwachung im öffentlichen Raum) sind grundsätzlich verboten. Hochrisiko-KI-Systeme (etwa in kritischer Infrastruktur, im Personalwesen, bei der Bonitätsprüfung oder in der Strafverfolgung) unterliegen strengen Anforderungen: technische Dokumentation, Risikomanagementsysteme, Datenqualitätsanforderungen, Transparenzpflichten und menschliche Aufsicht sind verpflichtend. KI-Systeme mit begrenztem Risiko (etwa Chatbots oder Emotionserkennungssysteme) müssen Transparenzpflichten erfüllen. Systeme mit minimalem Risiko bleiben weitgehend unreguliert.
Die Verordnung tritt schrittweise in Kraft: Seit 2. Februar 2025 gelten die Verbote für inakzeptable Risiken sowie Schulungspflichten für Mitarbeiter (KI-Kompetenz). Ab 2. August 2025 greifen die Regelungen für KI-Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI). Die Hauptpflichten für Hochrisiko-Systeme werden ab 2. August 2026 anwendbar, für bestimmte eingebettete Systeme gilt eine verlängerte Frist bis 2. August 2027. Bei Verstößen gegen die Verbote drohen Geldbußen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für andere Verstöße sind abgestufte Sanktionen vorgesehen.
Für KMU bringt die Verordnung erhebliche Compliance-Anforderungen mit sich. Selbst wenn Sie lediglich externe KI-Tools wie ChatGPT oder automatisierte Recruiting-Software einsetzen, gelten Sie als Betreiber und müssen prüfen, welche Risikoklasse vorliegt. Die EU-Kommission sieht zwar Erleichterungen für KMU vor (etwa kostenfreie Regulatory Sandboxes, reduzierte Gebühren bei Konformitätsbewertungen), doch die Grundpflichten gelten unabhängig von der Unternehmensgröße.
Praxisbeispiel
Eine Wiener Steuerberatungskanzlei mit 25 Mitarbeitern nutzt ein KI-gestütztes Tool zur Vorsortierung von Bewerbungsunterlagen. Da dieses System im Personalwesen eingesetzt wird, gilt es gemäß Anhang III des AI Act als Hochrisiko-System. Die Kanzlei muss ab August 2026 sicherstellen, dass menschliche Aufsicht gewährleistet ist, eine technische Dokumentation des Anbieters vorliegt und die Mitarbeiter im Umgang mit dem System geschult sind. Zudem muss sie überprüfen, ob der Anbieter eine Konformitätserklärung vorgelegt hat.