EU AI Act

9 Dez. 2025 | Haftungsrecht

Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten und gilt schrittweise bis August 2026 vollumfänglich. Er ist das weltweit erste umfassende Regelwerk zur Regulierung Künstlicher Intelligenz und betrifft Unternehmen, die KI-Systeme entwickeln, vertreiben oder einsetzen – unabhängig davon, ob sie ihren Sitz in der EU haben.

1. Was ist der EU AI Act?

Der AI Act verfolgt einen risikobasierten Ansatz: Je größer das potenzielle Schadenspotenzial eines KI-Systems, desto strengere Anforderungen gelten. Die Verordnung klassifiziert KI-Systeme in vier Risikostufen und definiert für jede Stufe spezifische Pflichten für Entwickler, Anbieter und Betreiber.

Ziel ist es, das Vertrauen in KI zu stärken, Grundrechte zu schützen und gleichzeitig Innovation in Europa zu ermöglichen. Der AI Act gilt für alle, die KI-Systeme in der EU in den Verkehr bringen oder einsetzen – auch wenn der Anbieter außerhalb der EU ansässig ist.

2. Die vier Risikostufen

Der AI Act unterscheidet vier Kategorien mit jeweils unterschiedlichen Rechtsfolgen:

Stufe 1
Inakzeptables Risiko
Vollständig verboten. z.B. Social Scoring, manipulative KI, Echtzeit-Biometrie im öffentlichen Raum (mit engen Ausnahmen).
Stufe 2
Hohes Risiko
Strenge Pflichten. z.B. KI in Medizinprodukten, Personalentscheidungen, kritischer Infrastruktur, Bildung oder Strafverfolgung.
Stufe 3
Begrenztes Risiko
Transparenzpflichten. z,B. Chatbots und Deepfakes müssen als KI erkennbar sein.
Stufe 4
Minimales Risiko
Keine spezifischen Pflichten. z.B. KI-Spam-Filter oder Empfehlungsalgorithmen.

3. Wen betrifft der AI Act?

Der AI Act unterscheidet verschiedene Rollen entlang der KI-Wertschöpfungskette:

  • Anbieter – Unternehmen, die ein KI-System entwickeln und (auch kostenlos) in Verkehr bringen oder in Betrieb nehmen
  • Betreiber – Unternehmen oder Behörden, die ein KI-System im eigenen Kontext einsetzen
  • Importeure & Händler – wer KI-Systeme aus Drittstaaten einführt oder weitervertreibt
  • Hersteller – wer ein KI-System in ein eigenes Produkt integriert

Wichtig: Auch der bloße Einsatz eines fremden KI-Systems im Unternehmen (z. B. KI-gestützte Bewerberauswahl oder automatisierte Kreditentscheidungen) kann Pflichten als Betreiber begründen.

4. Pflichten für Hochrisiko-KI im Detail

Der Schwerpunkt der Regulierung liegt auf KI-Systemen mit hohem Risiko. Für sie gelten umfangreiche Anforderungen, die vor dem Inverkehrbringen erfüllt sein müssen:

a) Risikomanagement & technische Dokumentation

Anbieter müssen ein laufendes Risikomanagementsystem etablieren und umfangreiche technische Unterlagen bereitstellen, die Aufbau, Funktionsweise und Leistungsgrenzen des Systems dokumentieren.

b) Datenqualität & Trainingsdaten

Für Training, Validierung und Tests verwendete Datensätze müssen bestimmten Qualitätskriterien genügen. Biases in den Trainingsdaten müssen identifiziert und so weit wie möglich behoben werden.

c) Transparenz & Nutzerinformation

Betreibern sind klare und verständliche Gebrauchsanweisungen zur Verfügung zu stellen. Betroffene Personen haben das Recht zu erfahren, wenn sie einer KI-gestützten Entscheidung unterliegen, und können eine menschliche Überprüfung verlangen.

d) Menschliche Aufsicht

Hochrisiko-KI-Systeme müssen so konzipiert sein, dass ein Mensch das System jederzeit beaufsichtigen, einschränken oder abschalten kann. Vollständig autonome Entscheidungen in sensiblen Bereichen sind unzulässig.

e) Konformitätsbewertung & CE-Kennzeichnung

Vor dem Inverkehrbringen ist eine Konformitätsbewertung durchzuführen. In vielen Fällen können Anbieter diese als Selbstbewertung vornehmen; bei bestimmten Anwendungen ist eine externe Prüfstelle einzuschalten. Das System ist anschließend in einer EU-Datenbank zu registrieren.

⚑ Handlungsempfehlung;

Es sollte zunächst geprüft werden, ob die eingesetzten oder entwickelten KI-Systeme als Hochrisiko-KI einzustufen sind. Der Anhang III des AI Act enthält eine abschließende Liste der betroffenen Anwendungsbereiche.

5. Besonderheit: General-Purpose AI (GPAI)

Der AI Act enthält eigene Regelungen für sogenannte Allzweck-KI-Modelle (General-Purpose AI Models), also Systeme wie große Sprachmodelle (LLMs), die für eine Vielzahl von Aufgaben eingesetzt werden können. Anbieter solcher Modelle unterliegen besonderen Transparenz- und Dokumentationspflichten.

Modelle mit besonders hoher Leistungsfähigkeit (sog. systemische Risiken) werden strengeren Anforderungen unterworfen, darunter Pflichten zu Adversarial Testing und die Meldung schwerwiegender Vorfälle.

6. Zeitplan der Anwendbarkeit

Der AI Act wird in mehreren Phasen wirksam:

1. August 2024
Inkrafttreten der Verordnung
2. Februar 2025
Verbote für KI mit inakzeptablem Risiko gelten (Stufe 1). Verpflichtung zur KI-Kompetenz für Mitarbeitende.
2. August 2025
Regeln für General-Purpose AI-Modelle (GPAI) werden anwendbar. Governance-Strukturen (KI-Behörden) sind einzurichten.
2. August 2026
Vollständige Anwendbarkeit: Alle Pflichten für Hochrisiko-KI gelten. Konformitätsbewertungen müssen abgeschlossen sein.
2. August 2027
Hochrisiko-KI-Systeme, die als Sicherheitskomponenten von Produkten reguliert sind, unterliegen ab diesem Zeitpunkt den vollständigen Anforderungen.

7. Sanktionen

Der AI Act sieht ein gestuftes Sanktionssystem vor:

  • Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die Verbote für KI mit inakzeptablem Risiko
  • Bis zu 15 Mio. € oder 3 % des Jahresumsatzes bei sonstigen Verstößen gegen den AI Act
  • Bis zu 7,5 Mio. € oder 1,5 % des Jahresumsatzes bei unrichtigen oder irreführenden Angaben gegenüber Behörden

Für KMU und Startups gelten jeweils die niedrigeren der beiden Grenzwerte. Die nationalen Marktüberwachungsbehörden – in Deutschland voraussichtlich die Bundesnetzagentur – sind für die Durchsetzung zuständig.

8. Fazit & nächste Schritte

Der EU AI Act ist kein abstraktes Zukunftsthema mehr: Die ersten Verbote gelten bereits, und die vollständige Anwendbarkeit rückt näher. Unternehmen, die KI einsetzen oder entwickeln, sollten jetzt handeln.