EU-KI-Gesetz (AI Act)

Was ist der EU AI Act?

Der EU-Rechtsrahmen für Künstliche Intelligenz (Verordnung EU 2024/1689) trat am 1. August 2024 in Kraft und machte die EU zur ersten Rechtsordnung weltweit, die einen umfassenden, horizontalen gesetzlichen Rahmen für künstliche Intelligenz erlassen hat. Im Gegensatz zur sektorspezifischen KI-Regulierung gilt der AI Act branchenübergreifend für alle Branchen und Anwendungsfälle.

Der AI Act verwendet ein risikobasiertes Klassifizierungssystem: Je höher der potenzielle Schaden eines KI-Systems, desto strenger die Pflichten. Dies schafft vier Hauptrisikokategorien.

Die vier Risikokategorien

1. Inakzeptables Risiko (verbotene KI-Praktiken)

Diese KI-Anwendungen sind ab dem 2. Februar 2025 vollständig verboten:

• Soziales Scoring durch öffentliche Behörden
• Echtzeit-Fernbiometrie im öffentlichen Raum durch Strafverfolgungsbehörden (mit engen Ausnahmen)
• KI, die Personen durch unterschwellige Techniken manipuliert oder Schwachstellen ausnutzt
• Emotionserkennung an Arbeitsplätzen und in Bildungseinrichtungen (mit eingeschränkten Ausnahmen)
• Biometrische Kategorisierung, die auf sensible Merkmale wie Rasse, politische Meinung oder Religion schließen lässt
• KI zum Aufbau oder zur Erweiterung von Gesichtserkennungsdatenbanken durch ungezieltes Scraping
• „Predictive Policing” auf der Grundlage von Profiling

2. Hochrisiko-KI-Systeme

Diese sind erlaubt, unterliegen aber erheblichen Vormarkt- und Dauerpflichten. Hochrisiko-KI-Systeme umfassen:

• Biometrische Identifizierung und Kategorisierung
• Verwaltung kritischer Infrastrukturen (Energienetze, Wasser, Transport)
• Bildung und Berufsausbildung (Zugang, Bewertung)
• Beschäftigung und Personalmanagement (Lebenslaufscreening, Überwachung, Aufgabenzuweisung)
• Zugang zu wesentlichen privaten und öffentlichen Diensten (Kreditscoring, Versicherung, Sozialleistungen)
• Strafverfolgung (Risikobewertungen, Beweiszuverlässigkeit)
• Migration, Asyl und Grenzkontrolle
• Justizverwaltung

Pflichten für Hochrisiko-KI umfassen: Risikomanagementsystem, technische Dokumentation, Datenverwaltung, Transparenz, menschliche Aufsicht, Genauigkeit und Robustheit sowie Registrierung in der EU-KI-Datenbank.

3. Begrenztes Risiko — Transparenzpflichten

Systeme wie Chatbots, Deepfakes und KI-generierte Inhalte müssen die Nutzer darüber informieren, dass sie mit KI interagieren oder dass Inhalte künstlich generiert wurden.

4. Minimales Risiko

Die meisten aktuellen KI-Anwendungen (Spamfilter, KI in Videospielen, grundlegende Empfehlungssysteme) fallen hierunter. Es gelten keine Pflichtanforderungen, obwohl freiwillige Verhaltenskodizes empfohlen werden.

KI-Modelle mit allgemeinem Verwendungszweck (GPAI)

Der AI Act führt spezifische Regeln für GPAI-Modelle ein — große KI-Modelle, die auf breiten Daten trainiert wurden und eine Vielzahl von Aufgaben ausführen können (z. B. große Sprachmodelle). Alle GPAI-Modellanbieter müssen:

• Technische Dokumentation und Nutzungsanweisungen bereitstellen
• EU-Urheberrecht einhalten
• Zusammenfassungen der Trainingsdaten veröffentlichen

GPAI-Modelle mit systemischem Risiko unterliegen zusätzlichen Pflichten: adversarielle Tests (Red-Teaming), Meldung schwerwiegender Vorfälle an das Europäische KI-Büro und Cybersicherheitsmaßnahmen.

Compliance-Zeitplan

Pflichten nach Rolle

Der AI Act unterscheidet zwischen Anbietern (die KI-Systeme entwickeln und auf den Markt bringen oder in Betrieb nehmen), Betreibern (die KI-Systeme im beruflichen Kontext nutzen), Importeuren und Händlern. Die Pflichten sind für Anbieter am schwersten, aber auch Betreiber von Hochrisikosystemen haben erhebliche Pflichten in Bezug auf die bestimmungsgemäße Verwendung, die Umsetzung menschlicher Aufsicht und die Schulung der Mitarbeiter.

Wechselwirkung mit der DSGVO

Der AI Act ersetzt die DSGVO nicht. Beide gelten gleichzeitig, wenn KI personenbezogene Daten verarbeitet. Eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO Artikel 35 kann neben einer AI-Act-Risikobewertung erforderlich sein. Die AEPD wird voraussichtlich aufgrund ihres bestehenden Datenschutzmandats und der Überschneidung zwischen KI-Risiken und Datenschutzrisiken eine Rolle bei der Durchsetzung des AI Act spielen.

Durchsetzung und Bußgelder

Das Europäische KI-Büro (eingerichtet innerhalb der Europäischen Kommission) überwacht die Einhaltung der GPAI-Modelle. Nationale Marktüberwachungsbehörden handhaben produktspezifische Regeln; von den Mitgliedstaaten benannte nationale zuständige Behörden handhaben andere Pflichten. In Spanien wird die KI-Aufsichtsbehörde innerhalb des bestehenden Regulierungsrahmens eingerichtet.

Bußgelder:

• Verstöße gegen verbotene Praktiken: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
• Verstöße bei Hochrisikosystemen: bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
• Falsche Angaben gegenüber Behörden: bis zu 7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes

Wie BMC helfen kann

Wir beraten Unternehmen bei der AI-Act-Risikoeinstufung ihrer aktuellen und geplanten KI-Systeme, der Zuordnung von Betreiberpflichten, der Erstellung von KI-Governance-Richtlinien, der Wechselwirkung zwischen AI-Act- und DSGVO-Compliance-Programmen sowie der Regulierungsstrategie für KI-Produkteinführungen in der EU.