KI-Verordnung (EU AI Act)
Konformer Einsatz von KI
Die EU-KI-Verordnung schafft einen verbindlichen Rechtsrahmen für den Einsatz Künstlicher Intelligenz in Europa. Unternehmen müssen prüfen, ob sie betroffen sind und sich auf neue Pflichten vorbereiten.
Kostenlose Erstberatung anfordernGrundlegendes zur KI-Verordnung
Was Sie darüber wissen sollten
Die EU-KI-Verordnung verfolgt das Ziel, eine sichere und vertrauenswürdige Nutzung von KI-Systemen in der Europäischen Union sicherzustellen. Sie legt europaweit einheitliche Anforderungen fest, um Grundrechte zu schützen und gleichzeitig Innovation zu ermöglichen. Adressiert werden insbesondere Risiken durch diskriminierende, intransparente oder sicherheitskritische KI-Anwendungen.
Für Unternehmen bedeutet das: Es ist jetzt an der Zeit zu prüfen, ob einerseits eigene Produkte, Dienstleistungen und Prozesse vom AI Act betroffen sind und andererseits auch KI-Lösungen oder -Komponenten von Dritten. Wer sich frühzeitig vorbereitet, kann Risiken minimieren, regulatorische Anforderungen rechtssicher umsetzen und sogar strategische Vorteile erzielen.
Risikobasierter Aufbau der Verordnung
Die Verordnung basiert auf einem risikobasierten Ansatz. KI-Systeme werden je nach potenziellem Schaden für Menschen und Gesellschaft in vier Risikoklassen eingeordnet:
- Verbotene KI-Systeme, zum Beispiel manipulative Technologien oder Social Scoring
- Hochrisiko-KI, etwa im Personalwesen, in der Bildung oder in der kritischen Infrastruktur
- Systeme mit begrenztem Risiko, wie etwa Chatbots
- Systeme mit minimalem Risiko, beispielsweise einfache Empfehlungssysteme oder Spamfilter
Je höher das Risiko, desto umfangreicher sind die rechtlichen und technischen Anforderungen an das betreffende KI-System.
Was gilt als KI-System im Sinne der Verordnung?
Die Verordnung versteht unter einem KI-System jede automatisierte Lösung, die durch maschinelles Lernen, statistische Methoden oder regelbasierte Entscheidungslogik Ergebnisse erzeugt. Entscheidend ist nicht die Komplexität des Systems, sondern die Art der Entscheidungsfindung. Auch einfache Tools können bereits unter die Definition fallen, wenn sie zu einer automatisierten Bewertung oder Handlung führen.
Zeitplan für das Inkrafttreten
Das formelle Inkrafttreten war am 01. August 2024. Die Anwendungspflichten beginnen mit gestaffelten Übergangsfristen:
- 6 Monate für verbotene Systeme
- 12 Monate für GPAI-Transparenzpflichten
- 24 Monate für Hochrisiko-Systeme
- 36 Monate für weitere GPAI-Anforderungen und systemische GPAI
Schnittstellen zu anderen Regelwerken
Der EU AI Act ist eng mit anderen bestehenden Regelwerken verknüpft, wobei insbesondere drei Bereiche von Bedeutung sind. Insbesondere spielt die Datenschutz-Grundverordnung (DSGVO) eine zentrale Rolle, vor allem im Hinblick auf Prinzipien wie Datenminimierung, Transparenz und die Rechte der betroffenen Personen.
Unternehmen müssen sicherstellen, dass KI-Systeme datenschutzkonform eingesetzt werden. Dazu gehören Rechtsgrundlagen wie Einwilligung oder berechtigtes Interesse, Transparenz über die eingesetzten Algorithmen und ggf. der Abschluss von Auftragsverarbeitungsverträgen. Besonders relevant: Bei KI-Anwendungen zur Bewertung persönlicher Merkmale oder zur Interaktion mit Betroffenen ist in der Regel eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich. Zudem verbietet Art. 22 DSGVO automatisierte Entscheidungen mit Rechtswirkung, sofern keine Ausnahmen greifen.
Abseits vom Datenschutz bestehen Verbindungen zum Produktsicherheitsrecht, welches Aspekte wie die CE-Kennzeichnung und die Erstellung technischer Dokumentationen regelt. Drittens sind Normen der Informationssicherheit relevant, wie beispielsweise die ISO 27001 oder der BSI IT-Grundschutz, die Schnittstellen zum AI Act aufweisen.
Relevanz für die Praxis
Was bedeutet das für Sie?
Die EU-KI-Verordnung richtet sich nicht ausschließlich an Unternehmen, die KI-Systeme selbst entwickeln oder vertreiben. Auch Betriebe, die solche Systeme einkaufen, in bestehende Anwendungen integrieren oder im eigenen Betrieb nutzen, sind vom AI Act erfasst. In der Praxis betrifft das einen breiten Querschnitt der Wirtschaft.
Gerade in kleinen und mittleren Unternehmen wird der Einsatz von KI oft nicht als solcher erkannt, weil er in alltäglichen Softwarelösungen „mitläuft“. Deshalb bleibt die Relevanz des AI Act für viele Unternehmen zunächst unsichtbar, obwohl sie bereits betroffen sind. Typische Beispiele sind:
- Industrieunternehmen, die KI zur vorausschauenden Wartung oder zur Optimierung von Fertigungsprozessen nutzen
- Einzelhändler, die personalisierte Empfehlungen oder automatisierte Chatfunktionen im Kundenservice einsetzen
- Banken und Versicherungen, die auf algorithmische Scoring-Verfahren zur Kreditvergabe oder Risikobewertung zurückgreifen
- Personalabteilungen, die Softwarelösungen zur Analyse von Bewerbungsunterlagen verwenden
In all diesen Fällen werden automatisierte Entscheidungsprozesse eingesetzt, bei denen Transparenz, Fairness und Risikoüberwachung im Sinne der Verordnung erforderlich sind.
Konkrete Auswirkungen auf Unternehmen
Welche rechtlichen und technischen Anforderungen gelten, hängt maßgeblich von der Rolle ab, die ein Unternehmen im Lebenszyklus eines KI-Systems einnimmt: Anbieter (z.B. Entwickler oder Hersteller), Betreiber (Nutzer der KI im Unternehmen), Einführer, Händler, Bevollmächtigte und Produkthersteller. Entscheidend ist nicht nur die technische Entwicklung, sondern auch der kommerzielle Vertrieb oder die Integration von KI-Systemen in eigene Produkte oder Prozesse. Wer ein bestehendes KI-System wesentlich verändert, kann damit in die Rolle des Anbieters rutschen, mit allen damit verbundenen Pflichten.
Die folgende Übersicht zeigt beispielhaft, welche Aufgaben auf Unternehmen zukommen können:
| Handlungsfeld | Pflichten gemäß AI Act |
|---|---|
Entwicklung von KI-Systemen |
Risikomanagement, technische Dokumentation, Konformitätsbewertung, Qualitätssicherung |
Einkauf oder Integration externer Systeme |
Prüfung der Anbieter, Dokumentation, vertragliche Absicherung, Transparenz für Endnutzer |
Betrieb oder Nutzung im Unternehmen |
Kennzeichnungspflicht bei KI-Interaktion, Monitoring, Meldeverfahren für schwerwiegende Vorfälle* |
Einsatz im Kundenkontakt |
Information über KI-Einsatz, Schulung der Mitarbeitenden, Aufsicht über die Entscheidungslogik |
Unabhängig von der Rolle ist in vielen Fällen eine systematische Analyse erforderlich, um Risiken zu identifizieren, gesetzliche Anforderungen umzusetzen und die Verantwortung im Unternehmen eindeutig zu regeln.
*Bei schwerwiegenden Vorfällen (z.B. Fehlfunktionen mit Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte) besteht eine Meldepflicht an die zuständige Behörde binnen 15 Tagen (Art. 62 AI Act).
Einsatz hochriskanter KI-Systeme
Hochriskante KI-Systeme sind laut AI Act solche, die ein hohes Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Menschen bergen. Das sind zum Beispiel KI-Systeme in sicherheitsrelevanten Produkten wie Autos oder Medizinprodukten, aber auch solche in wichtigen Bereichen wie Bildung, Jobsuche oder Justiz. Anbieter solcher Systeme müssen eine Reihe technischer und organisatorischer Anforderungen erfüllen. Dazu zählen unter anderem:
- Risikomanagementprozesse (Art. 9)
- Datenqualitätsprüfung und -verwaltung (Art. 10)
- Erstellung technischer Dokumentationen (Art. 11)
- Protokollierung relevanter Systemaktivitäten (Art. 12)
- Transparente Informationen für Betreiber (Art. 13)
- Sicherstellung menschlicher Aufsicht (Art. 14)
- Anforderungen an Genauigkeit, Robustheit und Cybersicherheit (Art. 15)
Diese Pflichten sind verbindlich umzusetzen und bei der Inbetriebnahme sowie im laufenden Betrieb zu dokumentieren.
KI mit allgemeinem Verwendungszweck (GPAI)
Der AI Act enthält spezielle Regelungen für KI mit allgemeinem Verwendungszweck, sogenannte GPAI (General Purpose AI). Dazu zählen KI-Modelle, die in verschiedensten Bereichen eingesetzt werden können, etwa Sprachmodelle wie ChatGPT. Abhängig vom Einfluss auf Gesellschaft und Markt gibt es zusätzliche Anforderungen, etwa bei systemischem Risiko. Anbieter solcher Modelle müssen u.a. für Transparenz, Dokumentation, Trainingsdaten und behördliche Zusammenarbeit sorgen, d.h. Modelle kennzeichnen, Trainingsdaten dokumentieren und auf Eingabeaufforderungen reagieren können, wenn Regulierungsbehörden Transparenz fordern (Art. 53). Jedoch unterliegen GPAI-Modelle nicht per se den Hochrisikopflichten, außer sie werden in Hochrisiko-Anwendungen integriert oder sind „systemische GPAI“ (Art. 51 ff.).
Typische Anwendungsfälle und Risikoklassen
Einige KI-Systeme lassen sich bereits heute klar den Risikokategorien der Verordnung zuordnen. Die folgende Auswahl zeigt, wie unterschiedlich die Einstufungen ausfallen können:
- Hochrisiko-Systeme: Dazu gehören beispielsweise HR-Software, die Bewerbungen automatisiert bewertet und sortiert. Auch biometrische Zugangssysteme mit Gesichtserkennung oder KI in der medizinischen Diagnostik fallen unter diese Klasse.
- Systeme mit begrenztem Risiko: Darunter fallen zum Beispiel Chatbots, sofern sie sich gegenüber Nutzern als solche kenntlich machen. Auch Empfehlungssysteme in Online-Shops können dazugehören.
- Minimales Risiko: Hierzu zählen viele interne Tools, wie einfache Texthilfen, Spamfilter oder Assistenzsysteme ohne Entscheidungsrelevanz.
Die genaue Einordnung hängt immer vom Anwendungskontext ab. Besonders bei gemischten Funktionen oder Systemen mit potenziellem Einfluss auf Menschen muss im Einzelfall geprüft werden, ob eine Hochrisiko-Klassifizierung zutrifft.
Haftung und regulatorische Risiken
Die EU-KI-Verordnung sieht empfindliche Sanktionen für Verstöße vor. Unternehmen, die ihrer Verantwortung nicht nachkommen, müssen mit Geldbußen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes rechnen – je nachdem, welcher Betrag höher ist. Die Höhe hängt vom Verstoß ab:
- Verstöße gegen verbotene KI oder grundlegende Pflichten: bis 35 Mio. € / 7 %
- Verstöße gegen GPAI-Pflichten: bis 15 Mio. € / 3 %
- Unvollständige Informationen: bis 7,5 Mio. € / 1,5 %
Doch auch jenseits finanzieller Strafen ist der Einsatz fehlerhafter oder intransparenter KI-Systeme riskant. Entscheidungen auf Grundlage nicht nachvollziehbarer Algorithmen können zu Diskriminierung führen, das Vertrauen von Kunden oder Mitarbeitenden beschädigen und langfristige Reputationsschäden verursachen.
Von der Herausforderung zur Lösung
Was Sie bei der Umsetzung beachten müssen
Der erste Schritt für Unternehmen ist eine sorgfältige Analyse der vorhandenen Systeme und Prozesse. Dabei sollte erfasst werden, welche Lösungen künstliche Intelligenz einsetzen, in welcher Form sie genutzt werden und welche Rolle das Unternehmen jeweils einnimmt, zum Beispiel als Entwickler, Anbieter oder Betreiber. Auf dieser Grundlage erfolgt die Risikoklassifizierung.
Je nach Risikoklasse gelten spezifische Anforderungen. Unternehmen müssen unter anderem sicherstellen, dass:
- Trainingsdaten qualitativ geeignet und diskriminierungsfrei sind
- Modelle regelmäßig validiert und überprüft werden
- Nutzer über die Nutzung von KI informiert sind
- menschliche Aufsicht in kritischen Prozessen gewährleistet ist
- alle Maßnahmen nachvollziehbar dokumentiert werden
- Technische und organisatorische Maßnahmen vorhanden sind
Der AI Act formuliert klare Anforderungen, doch viele Entscheider fragen sich: Wie lässt sich das konkret umsetzen? Um regulatorische Vorgaben in den Unternehmensalltag zu übertragen, empfehlen sich bewährte technische und organisatorische Maßnahmen. Dazu gehören unter anderem:
- Ein internes Tool zur Risikoklassifizierung, mit dem KI-Anwendungen systematisch nach den Kriterien der Verordnung eingeordnet werden – von minimal bis hochriskant.
- Checklisten zur Anbieterprüfung, um bei Einkauf oder Integration externer Systeme Transparenz, Haftungsverteilung und Dokumentation sicherzustellen.
- Ein KI-Verzeichnis, das sämtliche eingesetzten Systeme zentral erfasst, inklusive Zweck, Risikobewertung, Zuständigkeiten und getroffenen Maßnahmen.
- Regelmäßige Audits der KI-Systeme, insbesondere bei Hochrisiko-Anwendungen, um Änderungen, Fehlfunktionen oder neue Risiken frühzeitig zu erkennen.
- Standardisierte Dokumentationsvorlagen, um Schulungen, Transparenzpflichten, menschliche Aufsicht oder Meldeverfahren nachvollziehbar festzuhalten.
Diese Maßnahmen bilden das Fundament für eine strukturierte und rechtskonforme KI-Nutzung. Sie erleichtern zugleich die interne Zusammenarbeit zwischen Fachabteilungen, IT, Datenschutz und Compliance.
Aspekte, die bei der Umsetzung zu berücksichtigen sind
Umgang mit Drittanbietern
Viele Unternehmen setzen auf KI-Dienste von externen Anbietern, zum Beispiel über Software-as-a-Service-Lösungen. Hier entsteht eine besondere Verantwortung, denn auch beim Zukauf kann das eigene Unternehmen haftbar sein. Es ist daher entscheidend, klare vertragliche Regelungen zu treffen und Zulieferer zu prüfen.
Integration in bestehende Managementsysteme
Idealerweise wird KI-Compliance nicht isoliert umgesetzt, sondern in bestehende Strukturen integriert. Dazu gehören etwa das Datenschutz-Managementsystem, ein bestehendes Informationssicherheitsmanagement (ISMS) oder interne Compliance-Prozesse. So lassen sich Synergien nutzen und Redundanzen vermeiden.
Besondere Anforderungen für kleine und mittlere Unternehmen
Gerade kleinere Unternehmen stoßen bei der Umsetzung oft auf personelle und organisatorische Grenzen. Es fehlt an Ressourcen oder klaren Zuständigkeiten. Hier helfen pragmatische, skalierbare Ansätze, die sich an der tatsächlichen Nutzung orientieren und eine schrittweise Umsetzung ermöglichen.
KI-Sandboxes: Innovation unter Aufsicht testen
Der AI Act sieht vor, dass EU-Mitgliedsstaaten sogenannte Sandboxes einrichten. Das sind sichere Testumgebungen, in denen Unternehmen KI-Systeme unter behördlicher Aufsicht entwickeln und erproben können. Ziel ist es, Innovation zu fördern und gleichzeitig Risiken frühzeitig zu erkennen. Für Start-ups und KMU bieten Sandboxes einen rechtssicheren Raum, um praktische Erfahrungen mit KI-Systemen zu sammeln und Compliance-Anforderungen gezielt zu erfüllen.
Erkenntnisse aus vergleichbaren Regelungsbereichen
Erfahrungen aus der Umsetzung anderer europäischer Regulierungen wie der DSGVO oder NIS2 zeigen deutlich: Wer frühzeitig aktiv wird, sichert sich nicht nur Rechtssicherheit, sondern auch interne Klarheit, bessere Entscheidungsgrundlagen und oft auch einen Marktvorteil.
KI-Kompetenz als neue Anforderung für Unternehmen
Der AI Act verpflichtet Unternehmen, die mit KI-Systemen arbeiten – unabhängig von der Risikoklasse –, ihre Mitarbeitenden entsprechend zu qualifizieren. Laut Artikel 4 müssen Anbieter und Betreiber sicherstellen, dass das mit KI befasste Personal über ein angemessenes Maß an KI-Kompetenz verfügt. Dazu zählen technisches Wissen, Schulungen zum sicheren Umgang und Verständnis der Einsatzkontexte. Es empfiehlt sich, Schulungen zu dokumentieren und regelmäßig zu aktualisieren, insbesondere bei sicherheitskritischen Anwendungen.
Benennung eines KI-Beauftragten
Der AI Act fordert keine formale Benennung eines KI-Beauftragten. Dennoch ist die Implementierung eines zentralen Ansprechpartners oder einer verantwortlichen Stelle für KI-Compliance empfehlenswert, vergleichbar mit einem Datenschutz- oder Informationssicherheitsbeauftragten.
Mit Fördermitteln zur AI-Act-Konformität
Die Umsetzung der Anforderungen aus der EU-KI-Verordnung kann mit Aufwand verbunden sein, insbesondere im Hinblick auf technische Dokumentation, Risikobewertung oder interne Schulungen. Um Unternehmen dabei zu entlasten, existieren auf europäischer und nationaler Ebene verschiedene Förderprogramme, etwa „Digital Europe“, „Horizon Europe“, der KI-Innovationswettbewerb oder „go-digital“. Diese unterstützen die Entwicklung, Einführung und rechtssichere Gestaltung von KI-Systemen mit finanziellen Zuschüssen, besonders für kleine und mittlere Unternehmen.
Unser Angebot
Ihr Partner und Dienstleister in Sachen Compliance
Als Unternehmensberatung mit Fokus auf Informationssicherheit, Compliance und Datenschutz helfen wir Unternehmen dabei, den AI Act strukturiert und zielsicher umzusetzen. Unsere Stärken liegen in einem risikoorientierten und praxisnahen Ansatz. Dazu gehören:
- Die enge Verzahnung von KI-Compliance mit Datenschutz und Informationssicherheit
- Ein modularer Beratungsansatz, der von der ersten Sensibilisierung bis zur vollständigen Umsetzung reicht
- Erfahrung aus vielen Jahren regulatorischer Beratung für Unternehmen unterschiedlichster Branchen
- Individuelle Begleitung für kleine und mittlere Unternehmen ebenso wie für größere Organisationen
- Konkrete Unterstützung bei Workshops, Schulungen, Gap-Analysen, Erstellung eines Verzeichnisses eingesetzter KI-Systeme und Dokumentation
Jetzt vorbereiten und KI-Compliance sichern
Der AI Act zwingt Unternehmen zum Handeln. Sichern Sie sich einen Überblick über Ihre Handlungsbedarfe und profitieren Sie von einem erfahrenen Partner, der Sie fachlich, strategisch und operativ unterstützt. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch und machen Sie Ihr Unternehmen fit für die Anforderungen des AI Act.
Bereit für den nächsten Schritt?
Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren oder ein unverbindliches Angebot zu erhalten. Sie erreichen uns unter 0800 5600831 (gebührenfrei) und über unser Kontaktformular.