Das EU-KI-Gesetz schafft erstmals einen verbindlichen Rechtsrahmen für den Einsatz von Künstlicher Intelligenz in Europa. Ziel ist es, Innovation zu ermöglichen und gleichzeitig Grundrechte, Sicherheit und Transparenz zu schützen.

Das Gesetz wurde im März 2024 vom Europäischen Parlament verabschiedet und wird die Entwicklung, Bereitstellung und Nutzung von KI-Systemen in der EU verbindlich regeln – mit spürbaren Auswirkungen für Unternehmen.

Was regelt das EU-KI-Gesetz?

Der AI Act verfolgt einen risikobasierten Ansatz. KI-Systeme werden je nach Gefährdungspotenzial eingestuft – mit unterschiedlich strengen Anforderungen.

Die Risikostufen:

• geringes Risiko → wenige zusätzliche Pflichten
• hohes Risiko → strenge Prüf- und Dokumentationspflichten
• unzulässiges Risiko → vollständiges Verbot

Verboten werden unter anderem bestimmte Anwendungen wie Social Scoring oder besonders eingriffsintensive Überwachungsszenarien.

Zusätzlich fordert das Gesetz mehr Transparenz, Nachvollziehbarkeit von Modellen und Beachtung urheberrechtlicher Grundlagen.

Sanktionsrahmen:
Bei Verstößen drohen Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.

Bedeutung für Unternehmen

Unternehmen, die KI einsetzen oder KI-Systeme anbieten, müssen künftig stärker nachweisen, wie ihre Systeme funktionieren und kontrolliert werden.

Bei Hochrisiko-KI sind insbesondere erforderlich:

• dokumentierte Risikobewertungen
• technische Systemdokumentation
• menschliche Aufsicht (Human Oversight)
• Qualitäts- und Kontrollprozesse
• erweiterte Transparenzpflichten

KI-Governance wird damit zu einem Compliance-Thema.

Zeitplan und Umsetzung

Nach formaler Veröffentlichung tritt das Gesetz in Kraft. Die vollständige Anwendung erfolgt gestaffelt.

Geplante Fristen:

• Verbote bestimmter KI-Praktiken → nach 6 Monaten
• Verhaltenskodizes → nach 9 Monaten
• allgemeine KI-Pflichten → nach 12 Monaten
• Hochrisiko-Systeme → nach 36 Monaten

Unternehmen erhalten damit Übergangsfristen – sollten aber früh mit der Vorbereitung beginnen.

Empfohlene Vorbereitungsschritte

Organisationen sollten jetzt bereits:

• eingesetzte KI-Systeme inventarisieren
• Risikoklassen bewerten
• Dokumentationsprozesse aufbauen
• Governance-Strukturen definieren
• KI-Compliance in bestehende ISMS/GRC-Prozesse integrieren

Frühe Vorbereitung reduziert Umsetzungsaufwand und Haftungsrisiken.

Kurz-FAQ zum EU-KI-Gesetz

Was ist das EU-KI-Gesetz?
Ein EU-weiter Rechtsrahmen für Entwicklung und Einsatz von KI-Systemen auf Basis von Risikoklassen.

Gibt es verbotene KI-Anwendungen?
Ja. Bestimmte besonders eingriffsintensive oder grundrechtsgefährdende Anwendungen werden untersagt.

Welche Unternehmen sind betroffen?
Alle Anbieter und Nutzer von KI-Systemen im EU-Markt – unabhängig vom Unternehmenssitz.

Was ist Hochrisiko-KI?
KI in sensiblen Bereichen wie Sicherheit, Infrastruktur, Personalentscheidungen oder regulierten Prozessen – mit erweiterten Prüfpflichten.

Wann muss mein Unternehmen compliant sein?
Je nach Risikoklasse zwischen 6 und 36 Monaten nach Inkrafttreten – Vorbereitung sollte jedoch sofort starten.