EU-AI-Act: Was Unternehmen wissen müssen
Der EU AI Act ist seit dem 1. August 2024 in Kraft und bildet den ersten umfassenden Rechtsrahmen für künstliche Intelligenz in Europa. Ziel ist es, KI Systeme sicher, vertrauenswürdig und grundrechtskonform zu gestalten. Die Verordnung gilt für alle Akteure, deren KI Systeme in der EU eingesetzt werden oder deren Ergebnisse in der EU wirken, unabhängig davon, wo der Anbieter sitzt.
- Was ist das Ziel des EU-AI-Act?
- Definitionen – was unterscheidet KI Systeme, KI Modelle und GPAI Modelle?
- Welche Risikoklassen gibt es und welche Regulierungsmaßnahmen gelten?
- Der Zeitplan des EU-AI-Act?
- Gibt es Ausnahmen vom Anwendungsbereich?
- Wie wird der EU-AI-Act durchgesetzt?
- Welche Sanktionen gibt es bei Verstößen?
- Welche Unterstützung gibt es für KMU und Start-ups?
- Brauchen Unternehmen KI-Kompetenz? Wissenswertes für Arbeitgeber
- Verstößt die Nutzung von künstlicher Intelligenz gegen Urheberrechte?
- Wie sind KI-Systeme mit dem Datenschutzrecht vereinbar?
Was ist das Ziel des EU-AI-Act?
KI hat das Potenzial vielfältige Vorteile für Wirtschaft und Gesellschaft hervorzubringen. Als Beispiele können genannt werden:
- Verbesserung von Prognosen
- Optimierung der Ressourcennutzung
- Personalisierung von Dienstleistungen
Dieselben KI-Faktoren, die einen sozioökonomischen Nutzen erbringen, bergen aber auch neue Gefahren und Nachteile für unsere Gesellschaft. Beispielsweise neigen KI-Systeme, die auf unzureichenden Trainingsdaten basieren, dazu, Vorurteile zu übernehmen und dadurch diskriminierende Entscheidungen zu treffen. Die EU möchte deshalb sicherstellen, dass KI immer im Einklang mit den Werten, Grundrechten und Prinzipien der EU entwickelt wird.
Erklärte Position zum AI-Act des EU-Parlaments
Die Vorschriften sollen die Entwicklung, den Einsatz und die Nutzung von menschenzentrierten, vertrauenswürdigen KI-Systemen in der EU regeln und Gesundheit, Umwelt, Sicherheit, Grundrechte und Demokratie vor schädlichen Folgen schützen.
Definitionen – was unterscheidet KI Systeme, KI Modelle und GPAI Modelle?
Damit Unternehmen ihre Pflichten richtig einschätzen können, müssen sie zuerst verstehen:
- Was unterscheidet KI‑Systeme, KI‑Modelle und GPAI‑Modelle?
- Welche Rolle habe ich im KI‑Wertschöpfungsprozess?
- Ab wann gelten welche Regeln für mich?
- Welche Pflichten hängen von der Risikoklasse ab?
Was ist ein KI Modell?
Ein KI Modell ist ein trainierter Algorithmus, der aus Eingaben Ausgaben wie Vorhersagen, Inhalte oder Entscheidungen erzeugt. Es ist das „Herzstück der KI“, aber noch keine Anwendung.
Was ist ein KI System?
Ein KI System ist eine vollständige Anwendung, die ein Modell nutzt, um Aufgaben zu erfüllen. Es umfasst:
- die technische Infrastruktur,
- die Nutzeroberfläche,
- die Zweckbestimmung und
- die Fähigkeit, physische oder virtuelle Umgebungen zu beeinflussen.
Beispiele sind: Bewerbungssoftware, Chatbots, Medizin KI, Navigationssysteme, Spamfilter.
Was ist ein GPAI Modell (General Purpose AI)?
Ein GPAI Modell ist ein allgemein einsetzbares Basismodell mit breitem Anwendungsbereich — etwa große Sprach oder Bildmodelle. Regelungen zum GPAI-Modell finden sich in Art. 51–56, z. B. Dokumentationspflichten, Angaben zu urheberrechtlich geschützten Trainingsdaten und besondere Pflichten bei systemischem Risiko.
Wichtig: Ein GPAI Modell ist noch kein KI System. Erst durch die Kombination mit Oberfläche und Zweck entsteht ein reguliertes System.
Wer ist vom EU-AI-Act betroffen?
Der EU-AI-Act unterscheidet die Pflichten nach folgende Rollen:
- Anbieter von KI-Systemen (Risikomanagement, technische Dokumentation, Transparenz, menschliche Aufsicht, Sicherheit, Konformität)
- Anwender von KI-Systemen (bestimmungsgemäßer Gebrauch, Schulung, Transparenz)
- Anbieter von GPAI Modelle (technische Dokumentation, Transparenz über Trainingdaten, systemische Risiken)
- Unternehmen außerhalb der EU, die dann in den Anwendungsbereich fallen, wenn die KI-Ergebnisse in der EU genutzt werden
Keine eigenen Verpflichtungen gibt es für Anwender von GPAI-Modellen
Der EU-AI-Act folgt dem risikobasierten Ansatz. Je höher das Risko, desto strenger die Anforderungen.
Das Conformity-Tool des Europäischen Instituts für Innovation und Technologie (EIT) ist hilfreich, um schnell herauszufinden, unter welche Risikoklasse ein KI-System fällt: EU AI Act Conformity Tool
Welche Risikoklassen gibt es und welche Regulierungsmaßnahmen gelten?
| Risikoklasse | Regulierungsmaßnahmen | Beispiel für betroffene KI-Systeme |
Verweis |
|---|---|---|---|
| Unannehmbares Risiko | Verboten |
|
Art 5 |
| Hohes Risiko |
|
|
|
| Begrenztes Risiko | Transparenzpflichten: Nutzer müssen informiert werden, dass sie mit einer KI interagieren. |
|
Art 50 |
| Minimales Risiko | Keine speziellen Anforderungen |
|
/ |
Der Zeitplan des EU-AI-Act?
Die EU-Staaten haben die Verordnung am 13. Juni 2024 verabschiedet und sie ist seit dem 1. August 2024 in Kraft. Grundsätzlich findet sie erst nach einer Übergangszeit von 24 Monaten – d.h. August 2026 – Anwendung.
KI-Systeme mit unannehmbarem Risiko sind bereits seit 2. Februar 2025 nach sechs Monaten verboten
Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck (GPAI) gelten schon seit 2. August 2025
Die Pflichten für Hoch-Risiko Systeme und die Transparentpflichten nach Art 50 gelten dann ab dem 2. August 2026
Gibt es Ausnahmen vom Anwendungsbereich?
Ausnahmen, die nicht vom Anwendungsbereich umfasst sind:
- KI-Systeme für ausschließlich militärische Zwecke
- Internationale Organisationen, die KI-Systeme im Bereich der Strafverfolgung in Zusammenarbeit mit der EU oder mindestens einem Mitgliedsstaat nutzen
- Forschungs- und Entwicklungsaktivitäten zu KI-Systemen
- Open-Source-Software unterliegt im Allgemeinen nicht der Regulierung, es sei denn, sie wird aufgrund ihrer Anwendung als verbotenes oder hochriskantes KI-System eingestuft
- Für Kleinunternehmen (in der Regel unter zehn Mitarbeitenden und Jahresumsatz unter zwei Millionen Euro) gelten Vereinfachungen (Art. 63 des AI-Act). Entsprechende Leitlinien werden noch ausgearbeitet.
Wie wird der EU-AI-Act durchgesetzt?
Jedes EU-Land musste eine nationale KI-Aufsichtsbehörde benennen. Diese Behörde hat neben der entsprechenden Überwachungsfunktion zusätzlich die Aufgabe, Innovation und Wettbewerb zu fördern. In Deutschland übernimmt diese Aufgabe gemäß KI-Marktüberwachung- und Innovationsförderung- Gesetz (KI-MIG) die Bundesnetzagentur. Eine Zusammenarbeit mit den Datenschutzbehörden ist geplant.
Auf EU-Ebene werden die nationalen Aufsichtsbehörden im Ausschuss für künstliche Intelligenz vertreten. Zusätzlich befasst sich das Amt für künstliche Intelligenz (AI-Office) mit der Überwachung, Beaufsichtigung und Durchsetzung der Anforderungen des AI-Acts an KI-Modelle mit allgemeinem Verwendungszweck (GPAI).
Welche Sanktionen gibt es bei Verstößen?
Die Strafen für Verstöße gegen die Vorschriften werden entsprechend der Größe und dem Geschäftszweck des Unternehmens festgelegt.
- Anwendung verbotener KI-Systeme: Bis 35 Mio. EUR oder 7 Prozent des Umsatzes.
- Verstöße gegen Verpflichtungen des AI-Acts: Bis 15 Mio. EUR oder 3 Prozent des Umsatzes.
- Angabe falscher Informationen: Bis 7,5 Mio. EUR oder 1,5 Prozent des Umsatzes.
Welche Unterstützung gibt es für KMU und Start-ups?
Um europäische Start-ups und KMU bei der Entwicklung von AI-Act konformen KI-Systemen zu unterstützen, sollen sogenannte KI-Reallabore entstehen. Sie sollen eine Möglichkeit bieten, KI-Systeme unabhängig und unter Regulierungsaufsicht zu entwickeln und zu testen, bevor sie auf den Markt kommen. Die KI-Reallabore sollen alle relevanten Akteure – öffentliche und private, einschließlich notifizierter Stellen, Normungsorganisationen und Forschungseinrichtungen – einbeziehen und für KMU und Startups grundsätzlich kostenfrei sein.
Brauchen Unternehmen KI-Kompetenz? Wissenswertes für Arbeitgeber
Der EU AI-Act (Art. 4) setzt voraus, dass Arbeitgeber Ihre Beschäftigten mit KI-Kompetenz ausstatten und schulen.
Lesen Sie dazu auch unseren Artikel EU AI Act 2025: Vorschriften, Anforderungen und KI-Weiterbildung und nutzen Sie unsere KI-Weiterbildungsangebote.
Verstößt die Nutzung von künstlicher Intelligenz gegen Urheberrechte?
Diese Frage stellt sich in mehrerlei Hinsicht. Zunächst ist festzuhalten, dass KI erzeugte Werke grundsätzlich nicht unter den Schutz des Urhebergesetzes fallen. Dafür fehlt es an der “geistigen Schöpfung”.
Trotzdem ist Vorsicht geboten. Zum Anlernen von Trainingsdaten dürfen urheberrechtlich geschützte Werke nicht verwendet werden. Demzufolge sind auch Ergebnisse eines KI-Systems nicht verwendbar, wenn sie auf urheberrechtlich geschützten Werken beruhen.
Lesen Sie mehr in der FAQ des BMJ zu künstlicher Intelligenz und Urheberrecht sowie in unserem Artikel zum Urheberrecht.
Funfact: Besonders aufwändig gestaltete Prompts haben die Chance vom Urheberrecht als Sprachwerk gemäß § 2Abs. 1 Nr 1 UrhG geschützt zu sein.
Wie sind KI-Systeme mit dem Datenschutzrecht vereinbar?
Im Spannungsfeld von Künstlicher Intelligenz und Datenschutz können insbesondere Transparenz, Datenminimierung und Zweckbindung stehen.
Der EU-AI-Act hat insbesondere den Schutz von Persönlichkeitsrechten zum Ziel. Wie beschrieben sind z. B. Systeme, die social scoring ermöglichen, verboten. Das Datenschutzrecht mit einer ähnliche Schutzrichtung der persönlichen Daten eines Einzelnen, bleibt parallel bestehen. Wenn ein Unternehmen mit einem KI-Anbieter einen Vertrag schließt, dann ist dieser Auftragsdatenverarbeiter.
IHK-Newsletter
Bleiben Sie up to date zum Thema Recht und Steuern. Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik ”Recht und Steuern” auswählen und Newsletter abonnieren.
Bleiben Sie up to date zum Thema Recht und Steuern. Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik ”Recht und Steuern” auswählen und Newsletter abonnieren.