Was ist der AI Act?
Der AI Act (offiziell: Verordnung ueber Kuenstliche Intelligenz) ist die weltweit erste umfassende gesetzliche Regulierung von Kuenstlicher Intelligenz. Die Europaeische Union hat damit einen Rechtsrahmen geschaffen, der den Einsatz von KI-Systemen nach ihrem Risikopotenzial klassifiziert und reguliert. Das Gesetz wurde im Maerz 2024 vom EU-Parlament verabschiedet und tritt stufenweise bis 2027 in Kraft.
Der AI Act ergaenzt die bestehende DSGVO um spezifische KI-Regulierung und gilt fuer alle Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen -- unabhaengig davon, wo das Unternehmen seinen Sitz hat.
Die vier Risikokategorien
Das Herzstueck des AI Act ist die risikobasierte Klassifizierung von KI-Systemen:
- Unannehmbares Risiko (verboten): KI-Systeme, die als inakzeptable Bedrohung fuer Grundrechte gelten, werden vollstaendig verboten. Dazu gehoeren Social Scoring (wie in China), manipulative KI-Systeme, biometrische Echtzeit-Ueberwachung im oeffentlichen Raum (mit engen Ausnahmen fuer Strafverfolgung) und KI, die Emotionen am Arbeitsplatz oder in Bildungseinrichtungen erkennt
- Hohes Risiko: KI-Systeme in kritischen Bereichen wie Personalauswahl, Kreditvergabe, medizinische Diagnostik, Justiz oder kritische Infrastruktur. Diese Systeme duerfen eingesetzt werden, unterliegen aber strengen Auflagen
- Begrenztes Risiko: Systeme mit Transparenzpflichten, etwa Chatbots, die sich als KI zu erkennen geben muessen, oder Deepfake-Generatoren, deren Inhalte gekennzeichnet werden muessen
- Minimales Risiko: Die meisten KI-Anwendungen -- wie Spam-Filter, Empfehlungssysteme oder KI-gestuetzte Spiele -- fallen in diese Kategorie und werden kaum reguliert
- Februar 2025: Verbote fuer KI-Systeme mit unannehmbarem Risiko
- August 2025: Regeln fuer KI-Modelle mit allgemeinem Verwendungszweck (GPAI), einschliesslich Large Language Models wie GPT-4 oder Claude
- August 2026: Vollstaendige Anwendung aller Vorschriften, einschliesslich Hochrisiko-KI-Systeme
- August 2027: Regeln fuer Hochrisiko-KI-Systeme, die bereits in bestehende EU-Produktregulierung eingebettet sind
- Bestandsaufnahme: Identifizieren Sie alle KI-Systeme, die Sie einsetzen oder entwickeln, und ordnen Sie diese den Risikokategorien zu
- Hochrisiko-Pflichten: Wenn Sie KI in Bereichen wie HR-Auswahl, Kreditwuerdigkeit oder Gesundheit einsetzen, muessen Sie umfangreiche Dokumentation, Risikomanagement, menschliche Aufsicht und Qualitaetssicherung nachweisen
- Transparenzpflichten: Chatbots muessen sich als KI kenntlich machen. KI-generierte Inhalte -- besonders Deepfakes -- muessen gekennzeichnet werden
- GPAI-Pflichten: Anbieter von grossen KI-Modellen muessen technische Dokumentation bereitstellen, das EU-Urheberrecht einhalten und Zusammenfassungen der Trainingsdaten veroeffentlichen
- Bussgelder: Bei Verstoessen drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes
- Die DSGVO regelt den Schutz personenbezogener Daten
- Der AI Act regelt die Sicherheit und Zuverlaessigkeit von KI-Systemen
- Unternehmen muessen beide Regelwerke gleichzeitig beachten
- KI-Systeme, die personenbezogene Daten verarbeiten, unterliegen sowohl der DSGVO als auch dem AI Act
Zeitplan: Wann gilt was?
Der AI Act tritt stufenweise in Kraft:
Was aendert sich fuer Unternehmen?
Fuer deutsche Unternehmen ergeben sich konkrete Handlungsfelder:
AI Act und DSGVO: Zusammenspiel
Der AI Act ersetzt die DSGVO nicht, sondern ergaenzt sie:
Fazit
Der AI Act positioniert Europa als Vorreiter bei der KI-Regulierung. Fuer Unternehmen bedeutet er zusaetzliche Pflichten, schafft aber auch Rechtssicherheit und Vertrauen. Wer frueh mit der Anpassung beginnt, kann Compliance als Wettbewerbsvorteil nutzen -- denn Kunden und Geschaeftspartner werden zunehmend Wert auf verantwortungsvollen KI-Einsatz legen. Die Kombination aus DSGVO und AI Act macht den europaeischen Markt zwar regulierungsintensiver, aber auch berechenbarer als andere Maerkte weltweit.