Künstliche Intelligenz (KI) ist längst keine Zukunftstechnologie mehr. In immer mehr Unternehmen finden KI-gestützte Systeme Anwendung – ob als Chatbots, bei der Bewerberauswahl oder in der Produktion. Mit dem Inkrafttreten der EU-KI-Verordnung (AI Act) am 1. August 2024 treten erstmals verbindliche Regeln in Kraft, die den rechtskonformen Umgang mit KI regeln. Dieser Beitrag bietet einen Überblick über die wichtigsten rechtlichen Pflichten, Risiken und Chancen für Unternehmen.
1. Der EU-KI-Act – Ziel und Reichweite
Die Verordnung (EU) 2024/1689 verfolgt das Ziel, Vertrauen in KI-Systeme zu schaffen und Risiken zu minimieren. Dabei verfolgt sie einen risikobasierten Ansatz: Je größer das Risiko für Grundrechte oder Sicherheit, desto strenger die Anforderungen.
Der AI Act gilt europaweit und extraterritorial, das heißt: Auch außerhalb der EU ansässige Unternehmen müssen die Regeln einhalten, wenn ihre KI-Systeme in der EU genutzt werden. Ausgenommen sind lediglich Anwendungen im Militär oder der reinen Forschung.
2. Risikoklassen: Von niedrig bis verboten
Der AI Act unterteilt KI-Systeme in vier Risikostufen:
| Risikostufe | Beispiele | Folgen |
|---|---|---|
| Verboten | Social Scoring, emotionserkennende KI im öffentlichen Raum | Nicht zulässig (Art. 5 AI Act) |
| Hochrisiko | Bewerbermanagement, Kreditvergabe, Medizintechnik | Strenge Vorgaben: Risikomanagement, Dokumentation |
| Begrenztes Risiko | Chatbots, Textgeneratoren | Transparenzpflichten für Nutzer*innen |
| Minimales Risiko | Spamfilter, KI-unterstützte Statistiken | Keine besonderen Anforderungen |
Besonders relevant für Unternehmen sind Systeme mit Hochrisiko, etwa wenn KI bei Personalentscheidungen zum Einsatz kommt. Hier gelten weitreichende Anforderungen an Transparenz, Datenqualität, menschliche Überwachung und Sicherheitsmechanismen.
3. Wer ist betroffen?
Die Verordnung richtet sich an eine Vielzahl von Akteuren:
- Anbieter (Entwickler und Hersteller von KI-Systemen)
- Betreiber (z. B. Unternehmen, die KI intern einsetzen)
- Importeure und Händler, wenn sie KI-Systeme auf dem europäischen Markt bereitstellen
Auch Dienstleister, die KI-Dienste aus Drittländern beziehen, müssen prüfen, ob die eingesetzten Systeme AI-Act-konform sind.
4. Zentrale Compliance-Pflichten
Für Hochrisiko-Systeme gelten folgende zentrale Anforderungen:
Governance & Risikomanagement
- Einrichtung eines Risikomanagementsystems (Art. 9)
- Festlegung klarer Verantwortlichkeiten
- Regelmäßige Risikoanalyse und Aktualisierung
Technische und organisatorische Maßnahmen
- Sicherstellung von Datenqualität und technischer Robustheit
- Ermöglichung menschlicher Überwachung („Human-in-the-Loop“)
Transparenz & Nutzerinformation
- Kennzeichnung als KI-System
- Verständliche Informationen zur Funktionsweise
Dokumentation & Konformitätsbewertung
- Technische Dokumentation gem. Anhang IV AI Act
- Durchführung von internen oder externen Audits
Schulungen & Awareness
- Mitarbeitende müssen für KI-Risiken sensibilisiert werden
- Schulungspflicht für Hochrisiko-KI
5. Sanktionen bei Verstoßen
Der AI Act sieht empfindliche Sanktionen vor:
- Bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei Nutzung verbotener Systeme
- Bis zu 15 Mio. Euro oder 3 % bei Verstoßen gegen Hochrisiko-Pflichten
- Bis zu 7,5 Mio. Euro oder 1 % bei falschen oder irreführenden Informationen
Die Verordnung ist damit kein Papiertiger – sondern ein Instrument mit realer Durchschlagskraft.
6. Zeitplan und Übergangsfristen
Die Verordnung gilt seit dem 1. August 2024, aber viele Regelungen greifen stufenweise:
- Februar 2025: Verbote nach Art. 5 werden wirksam
- August 2025: GPAI-Systeme (wie ChatGPT) müssen Kennzeichnung erfüllen
- 2026/2027: Hochrisiko-KI-Pflichten gelten verbindlich
Unternehmen haben also begrenzte Zeit, ihre Systeme rechtskonform zu gestalten.
7. Warum jetzt handeln?
Frühzeitige Compliance lohnt sich doppelt:
- Rechtssicherheit: Unternehmen vermeiden Bußgelder und Reputationsschäden
- Wettbewerbsvorteil: Wer Verantwortung übernimmt, stärkt Kundenvertrauen und ESG-Rating
- Governance: Klare Prozesse fördern Innovation mit Verantwortung
8. Fazit: Was jetzt zu tun ist
Unternehmen sollten jetzt:
- Regulatory Mapping durchführen: Welche KI wird eingesetzt?
- Risikobewertung und Klassifizierung vornehmen
- Governance-Strukturen etablieren (KI-Verantwortliche, Prozesse, Kontrolle)
- Technische Dokumentation und Schulungen aufsetzen
- Verträge prüfen (z. B. mit KI-Anbietern)
9. Quellen & weiterführende Links
- activemind.legal – KI-Verordnung im Überblick
- Wikipedia: Verordnung über künstliche Intelligenz
- ArtificialIntelligenceAct.eu
- Navex.com: Compliance mit dem EU-KI-Act
- Axiom Law: EU AI Act
Tipp: Wenn Sie Beratung zur Umsetzung der KI-Compliance oder zur Risikobewertung benötigen, sprechen Sie uns gerne an.