Die europäische KI-Verordnung

Das Wichtigste auf einen Blick

Künstliche Intelligenz (KI) hat in der Geschäftswelt unzählige Use Cases – von automatisierten Analysen bis hin zu personalisierten Angeboten. Doch mit der europäischen KI-Verordnung gibt es nun neue Regeln für den Einsatz. Wir fassen sie zusammen.

Die Potenziale künstlicher Intelligenz für Effizienz und Innovation sind enorm. Doch als Entscheidungsträger stehen Sie vor der Herausforderung, Rechtssicherheit mit unternehmerischer Ambition in Einklang zu bringen.

Dieser Blogartikel liefert Ihnen einen kompakten Überblick über den „European AI Act“ – von den risikobasierten Regulierungsstufen über Transparenzpflichten bis hin zu konkreten Handlungsempfehlungen.

Erfahren Sie hier, welche Anforderungen von 2025 bis 2027 auf Ihr Unternehmen zukommen, wenn Sie KI einsetzen wollen, und wie Sie sich optimal darauf vorbereiten.

Der AI Act im Überblick

Der AI Act ist das erste umfassende KI-Gesetz der EU, verabschiedet am 21. Mai 2024 vom Europäischen Rat, veröffentlicht am 12. Juli 2024 im Amtsblatt und wirksam seit dem 1. August 2024. Verschiedene Pflichten treten schrittweise zwischen 2025 und 2027 in Kraft.

Die Verordnung polarisiert:

Befürworter sagen: „Der AI Act schützt Kunden und schafft Vertrauen. Ohne Regeln beim Einsatz einer so mächtigen Technologie wie KI drohen Missbrauch und Chaos.“

Kritiker meinen: „Zu viel Bürokratie bremst Innovation. Die USA und China könnten Europa überholen.“ Startups und KMUs sorgen sich zudem um die Kosten.

Wie sieht die Realität aus?

Die primären Ziele des Acts bestehen zunächst einmal in diesen vier Punkten:

  • Grundrechte und Daten schützen,
  • Sicherheit gewährleisten,
  • Diskriminierung vermeiden sowie
  • Vertrauen in KI schaffen.

Für Unternehmen bedeutet der Act jedoch auch, dass nicht alles, was durch KI (wie sie in Artikel 3 definiert ist) möglich ist, auch umgesetzt werden darf. Egal, ob Sie KI für Marketing, Produktion oder Recruiting nutzen wollen – der AI Act wird Sie in einem gewissen Maße betreffen.

Seit dem 2. Februar 2025 müssen Unternehmen zudem dafür sorgen, dass Mitarbeiter im Umgang mit KI-Tools geschult werden, wenn diese eingesetzt werden sollen (Artikel 4). Der AI Act verpflichtet Unternehmen dazu, sicherzustellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen.

Dies umfasst nicht nur technisches Wissen, sondern auch rechtliche und ethische Aspekte sowie das Verständnis für Risiken und den verantwortungsvollen Umgang mit KI-Systemen.

Ein formeller Nachweis – etwa durch ein Zertifikat – ist nicht vorgeschrieben. Es wird jedoch empfohlen, Schulungsmaßnahmen zu dokumentieren, einschließlich einer Liste der Teilnehmer.

Sandboxes und AI Pact

Der EU AI Act beinhaltet nicht nur Regulierungen. Er unterstützt Startups und KMU auch durch sogenannte „Sandboxes“: Diese isolierten Testumgebungen ermöglichen es Unternehmen, KI-Lösungen sicher zu testen, ohne dabei alle Anforderungen der Verordnung erfüllen zu müssen. Mit Unterstützung und Feedback von Aufsichtsbehörden können die Unternehmen ihre Tools nach und nach an regulatorische Standards anpassen. Dies reduziert finanzielle Risiken und fördert Innovationen, indem es kleineren Akteuren den Markteintritt erleichtert.

Zusätzlich dazu besteht im „AI Pact“ eine freiwillige Initiative, die Startups und KMU dabei hilft, sich frühzeitig auf die Anforderungen des AI Acts vorzubereiten. Durch Zugang zu Ressourcen – etwa Informationen über Best Practices – und Experten-Feedback können Unternehmen ihre Prozesse leichter anpassen und gleichzeitig von einer engeren Zusammenarbeit mit den Regulierungsbehörden profitieren.

Risikostufen: Welche Arten von KI werden wie reguliert?

Der AI Act der EU teilt KI-Systeme in vier Risikoklassen ein, für die unterschiedliche Regeln gelten.

1. Unannehmbares Risiko: Tabus für Unternehmen

Einige KI-Anwendungen sind seit dem 2. Februar 2025 verboten (Artikel 5), nämlich:

  • Manipulation, Täuschung, Ausnutzung von Schwächen: KI, die Nutzer auf subtile Weise beeinflusst, gezielt täuscht oder Schwächen ausnutzt, die das Verhalten von Personen wesentlich verzerrt, ihre Fähigkeit zur informierten Entscheidung beeinträchtigt und ihnen dadurch erheblichen Schaden zufügt oder zufügen könnte. Beispiel: Ein interaktives KI-Spielzeug ermutigt Kinder dazu, gefährliche Handlungen auszuführen, indem es ihre natürliche Neugier und ihr Vertrauen ausnutzt.
  • Biometrische Kategorisierung: KI, die Personen nach Ethnie, politischer Einstellung, sexueller Orientierung oder anderen persönlichen Merkmalen einteilt. Beispiel: Eine KI analysiert das Aussehen von Kunden in einem lokalen Geschäft, um diese Informationen zur Zielgruppendefinition im Marketing zu nutzen.
  • Social Scoring: Bewertung von Personen nach persönlichen Merkmalen und/oder Verhalten. Beispiel: Eine Versicherung nutzt KI, um die Social-Media-Posts von Kunden zu scannen und bei Posts, die auf einen riskanteren Lebenswandel hindeuten – etwa Rauchen oder gefährliche Sportarten –, die Kosten zu erhöhen.
  • Vorhersage von Straftaten durch Profiling: KI-Systeme, die das Risiko berechnen, dass eine Person eine Straftat begehen wird, basierend ausschließlich auf Profiling, also der Bewertung von Personenmerkmalen. Beispiel: Eine KI analysiert die Profile von Personen in den sozialen Medien, um vorherzusagen, ob sie eine Straftat begehen könnten.
  • Datenbanken zur Gesichtserkennung: KI-Systeme, die Abbildungen von Personen verarbeiten, um Datenbanken für die Gesichtserkennung zu erstellen. Beispiel: Eine KI sucht Fotos und Videos von Personen auf Social-Media-Plattformen wie Instagram oder TikTok und erstellt daraus eine Datenbank, die von Unternehmen oder Behörden zur Identifikation von Personen verwendet werden kann.
  • Emotionserkennung: KI-Systeme, die Emotionen von Personen am Arbeitsplatz oder in Bildungseinrichtungen erkennen, es sei denn, die Verwendung erfolgt aus medizinischen oder sicherheitstechnischen Gründen. Beispiel: Ein Unternehmen setzt KI ein, um die emotionale Verfassung von Mitarbeitern während der Arbeit zu überwachen.
  • Emotionserkennung: KI-Systeme, die Emotionen von Personen am Arbeitsplatz oder in Bildungseinrichtungen erkennen, es sei denn, die Verwendung erfolgt aus medizinischen oder sicherheitstechnischen Gründen. Beispiel: Ein Unternehmen setzt KI ein, um die emotionale Verfassung von Mitarbeitern während der Arbeit zu überwachen.

Nutzen Sie solche Anwendungen, müssen Sie gemäß Artikel 99 mit hohen Bußgeldern rechnen: bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes, je nachdem, welcher Betrag höher ist. Weitere Bußgeldstufen: 15 Millionen Euro oder 3 % und 7,5 Millionen Euro oder 1 % bei anderen Verstößen (z. B. fehlerhafte Dokumentation, fehlende Transparenz).

2. Hohes Risiko: Strenge Anforderungen für sensible Bereiche

Hochrisiko-KI (Artikel 6) ist wohl der Kern der KI-Verordnung: Wenn Sie KI in sensiblen Bereichen einsetzen, müssen Sie ab 2026 strenge Regeln einhalten. Dies sind die Bereiche, die betroffen sind:

  • HR und Bildung: Bewerberauswahl oder Leistungsbeurteilung.
  • Finanzen: Kredit-Scoring oder Risikoanalysen.
  • Gesundheitswesen: Diagnosen oder Versicherungen.
  • Kritische Infrastruktur: Produktion, Logistik oder Energie.
  • Öffentlicher Sektor: Vertragsprüfung oder Compliance.

Beispiele:

  • Eine Recruiting-KI muss erklären, warum ein Kandidat abgelehnt wurde, um Diskriminierung auszuschließen.
  • Eine KI, die für Kredit-Scoring in einer Bank eingesetzt wird, muss nachweisen, dass ihre Bewertungen objektiv und fair sind.
  • Eine KI, die für Kredit-Scoring in einer Bank eingesetzt wird, muss nachweisen, dass ihre Bewertungen objektiv und fair sind.
  • Für eine KI, die den Verkehrsfluss steuert, muss durch menschliche Aufsicht und regelmäßige Audits sichergestellt werden, dass keine Störungen auftreten, die die öffentliche Sicherheit gefährden
  • Eine KI, die Förderanträge prüft, muss nachvollziehbar darlegen und dokumentieren, nach welchen Kriterien sie Anträge ablehnt oder genehmigt.

Hochrisiko-KI erfordert ab 2026 …

  • eine angemessene Risikomanagementstrategie,
  • robuste Systeme, die sicher gegen Störungen oder Manipulationen sind,
  • eine ausführliche Dokumentation sowie
  • eine kontinuierliche Überwachung und Bewertung der Systeme.

Unternehmen, die Hochrisiko-KI verwenden wollen, müssen mit hoher Wahrscheinlichkeit Prozesse anpassen und Kosten für rechtliche Prüfungen einplanen – was besonders für Startups eine Hürde sein dürfte. Dennoch kann sich der Einsatz von KI lohnen.

Die Liste der KI-Anwendungen, die in die Kategorie der Hochrisiko-KI fallen, findet sich in Anhang III. Dieser Anhang kann gemäß Artikel 7 unter bestimmten Bedingungen aktualisiert werden.

3. Begrenztes Risiko: Flexibilität für Alltags-KI

KI mit geringem Risiko – dazu zählen Chatbots, Marketing-Tools oder Empfehlungsalgorithmen – unterliegt kaum Regularien.

Es besteht keine Pflicht zur Registrierung oder zur Überprüfung, wenn Sie als Unternehmen diese Art von künstlicher Intelligenz einsetzen. Die Systeme müssen sich lediglich als KI zu erkennen geben, beispielsweise durch einen Hinweis wie: „Ich bin ein Chatbot und werde versuchen, Ihre Fragen zu beantworten”.

Eine solche Kennzeichnung kann sogar ein Vorteil sein: Wenn Sie offen kommunizieren, dass Sie KI verwenden, macht Sie das in den Augen potenzieller Kunden vertrauenswürdiger. Andersherum könnte es – nicht nur von KI-kritischen Nutzern – als versuchte Täuschung wahrgenommen werden, wenn Sie es nicht tun.

4. Minimales Risiko: Freie Bahn für unkritische KI

Diese Kategorie umfasst alle KI‑Anwendungen, die weder verboten noch riskant sind und auch nicht unter die Transparenz­pflichten fallen (siehe unten).

Typische Beispiele:

  • Spam‑Filter für E-Mails
  • Rechtschreib‑ und Grammatik‑Korrekturen
  • Steuerung von Nicht-Spieler-Charakteren in Games oder virtuellen Akteuren in Trainings­umgebungen
  • Predictive‑Maintenance‑Algorithmen, die ausschließlich interne Maschinendaten auswerten

Dokumentieren Sie dennoch, in welchen Bereichen Sie welche Tools einsetzen. Zum einen wollen Sie den Überblick bewahren, zum anderen kann es jederzeit passieren, dass ein Update der Funktionen die KI-Anwendung auf eine höhere Sicherheitsstufe hebt oder Sie im Zuge einer umfassenden Risikobewertung auch Auskunft über (vermeintlich) risikofreie KI geben müssen, die Sie einsetzen.

Transparenzpflichten

Neben den genannten Verboten und Vorschriften ist Transparenz ein wichtiger Aspekt des AI Acts. Artikel 50 verpflichtet Anbieter und Betreiber bestimmter KI-Systeme dazu, Nutzer darüber zu informieren, dass sie mit einem KI-System interagieren, es sei denn, dies ist offensichtlich.

Zwei Aspekte sind von besonderer Bedeutung:

  • Kennzeichnung von KI-Akteuren: KI-Systeme wie Chatbots oder virtuelle Assistenten müssen sich als KI zu erkennen geben. Beispiel: Sie müssen Nutzern gegenüber deutlich machen, dass Ihr Kundenservice-Chatbot kein Mensch ist.
  • KI-generierte Inhalte: Bilder oder Videos, die echt wirken und den Betrachter so täuschen könnten, müssen gekennzeichnet sein. Ausnahmen: Kunst und Satire. Automatisch erstellter Text benötigt ein entsprechendes Label, wenn er ungeprüft veröffentlicht wird (z. B. wenn es sich um einen News-Bot handelt).

Das Ziel dieser Transparenzpflichten besteht also zum einen darin, die Auswirkungen von KI-Halluzinationen (Falschinformationen) zu begrenzen, zum anderen soll es verhindern, dass KI zu unlauteren Zwecken verwendet wird, etwa um Politiker durch Bilder und Videos zu diskreditieren.

So geht es jetzt weiter

Der europäische AI Act wird schrittweise umgesetzt. Hier noch einmal die Daten im Überblick:

  • 1. August 2024: Der AI Act tritt in Kraft.
  • 2. Februar 2025: Die Regelungen hinsichtlich verbotener KI treten in Kraft. Es besteht die Pflicht, KI-Kompetenz im Unternehmen nachzuweisen.
  • 2. August 2025: Regeln für allgemeine KI-Modelle (z. B. ChatGPT) greifen.
  • 2. August 2026: Hochrisiko-KI muss vollständig „compliant“ sein.
  • 2. August 2027: Auch einige Tools, die zuvor ausgenommen waren, müssen nun „compliant“ sein.

Wer früh handelt und sich vorbereitet, spart später Kosten und gewinnt Wettbewerbsvorteile.

Das sollten Sie jetzt tun

Wir empfehlen Ihnen die folgenden Maßnahmen als nächste Schritte:

  • Bestandsaufnahme: Machen Sie eine Bestandsaufnahme Ihrer KI-Systeme, um Risiken und Anpassungsbedarf zu identifizieren. Bewerten Sie die Risiken der Systeme.
  • Maßnahmen: Ergreifen Sie die notwendigen Maßnahmen: Machen Sie z. B. Chatbots und KI-Inhalte als solche erkennbar, führen Sie Schulungen durch, erstellen Sie Dokumentationen.
  • Audits: Planen Sie regelmäßige Audits ein, insbesondere vor den Stichtagen. Idealerweise lassen Sie Ihre KI-Systeme von Experten prüfen. Viele Kanzleien und Agenturen bieten schon heute Prüfungen im Bereich KI an. Finden Sie einen verlässlichen Partner und arbeiten Sie kontinuierlich mit ihm zusammen.
  • Informationsquellen: Stellen Sie sicher, dass Sie im Hinblick auf Gesetzesänderungen und Updates der von Ihnen eingesetzten KI-Tools immer auf dem Laufenden bleiben. Abonnieren Sie Newsletter zu diesem Thema oder speichern Sie Blogs als Lesezeichen.

Chancen und Herausforderungen der KI-Verordnung

Der EU AI Act bringt viele Veränderungen mit sich. Einige können für Unternehmen zunächst einmal eine Belastung sein:

  • Technologische und rechtliche Komplexität: Die Einhaltung der vielfältigen Vorgaben, insbesondere in Bezug auf Datenschutz, ethische Standards und Transparenz, erfordert sowohl technologisches als auch rechtliches Fachwissen, was für Unternehmen ohne spezialisierte Abteilungen eine große Hürde darstellt.
  • Compliance-Kosten: Die Umsetzung der Anforderungen des AI Acts, wie Risikobewertungen, Dokumentation und regelmäßige Audits, erfordert finanzielle und personelle Ressourcen. Das ist insbesondere für kleine und mittlere Unternehmen (KMU) problematisch, die möglicherweise nicht über die notwendigen Mittel verfügen.
  • Hohe Strafen bei Verstößen: Verstöße gegen die KI-Verordnung können zu Geldstrafen von bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes führen, was insbesondere für KMU existenzbedrohend sein kann – und den Druck erhöht, alle Vorgaben korrekt umzusetzen.
  • Neue Technologie, neue Regeln: Die rasante Weiterentwicklung von KI-Technologien und die Einführung zusätzlicher Funktionen in etablierten Tools zwingen Unternehmen dazu, die Compliance regelmäßig zu überprüfen. Auch die KI-Verordnung selbst kann angepasst werden. Das kann die langfristige Planung und Umsetzung von KI-Projekten erschweren.
  • Potenzielle Innovationsbremse: Die strengen Regulierungen, insbesondere für generative KI-Modelle, könnten die Innovationsfähigkeit europäischer Unternehmen einschränken, da sie im Vergleich zu weniger regulierten Märkten (z. B. USA oder China) Wettbewerbsnachteile haben könnten.

Jedoch hat der EU AI Act auch Vorteile für Unternehmen:

  • Rechtssicherheit für Innovationen: Der AI Act bietet eine klare Grundlage für die Entwicklung und Nutzung von KI, wodurch Unternehmen langfristig planen und investieren können, ohne unerwartete rechtliche Barrieren befürchten zu müssen
  • Rechtssicherheit für Innovationen: Der AI Act bietet eine klare Grundlage für die Entwicklung und Nutzung von KI, wodurch Unternehmen langfristig planen und investieren können, ohne unerwartete rechtliche Barrieren befürchten zu müssen
  • Internationale Standards: Durch den einheitlichen Rechtsrahmen in der EU werden Unterschiede in nationalen Vorschriften vermieden, was es KI-Anbietern einfacher macht, neue Tools und Funktionen zu prüfen und zu veröffentlichen.
  • Förderung von KMU und Start-ups: Regulatorische Sandboxes und der AI Pact ermöglichen es KMU und Start-ups, KI-Lösungen sicher zu testen und frühzeitig Feedback zu erhalten, was die Entwicklung innovationsfreundlicher Lösungen unterstützt.

Die richtige Balance zwischen Sicherheit und Innovation zu finden, ist nicht immer einfach. Die KI-Verordnung macht hierzu einen ersten Vorschlag – der zugegebenermaßen einige strenge Regeln beinhaltet, die den Einsatz von KI in Unternehmen deutlich erschweren können. Andererseits können vor allem kleine und mittelgroße Unternehmen von den zusätzlichen Maßnahmen – den Sandboxes und dem AI Pact – profitieren.

Es bleibt also abzuwarten, welche Auswirkungen die KI-Verordnung in der Praxis haben wird, nicht zuletzt, weil es noch einige Zeit dauern wird, bis sie vollständig wirksam ist.

Fazit

Der AI Act ist ein risikobasierter Ansatz. KI-Systeme werden nicht alle gleich behandelt, sondern je nach Gefahrenpotenzial unterschiedlich strengen Regeln unterworfen.

Für Unternehmen ist die Verordnung Herausforderung und Chance zugleich. Bis 2026 müssen Sie Ihre KI-Systeme prüfen, dabei vor allem Hochrisiko-Anwendungen identifizieren und Transparenz sicherstellen. Die Kosten können hoch sein, doch eine Compliance mit dieser strengen Regulierung stärkt auch das Vertrauen von Mitarbeitern, Kunden und Partnern in die eingesetzten KI-Tools und das Unternehmen insgesamt.

Auch wenn der AI Act noch nicht vollständig in Kraft getreten ist, sollten Unternehmen schon jetzt umfassende Audits vornehmen, um für die Zukunft optimal vorbereitet zu sein.