EU AI Act – Überblick

Der EU AI Act – Überblick über das neue KI-Gesetz

2024 haben sich die EU-Institutionen auf den finalen Text des Artificial Intelligence Act (AI Act) verständigt. Dabei handelt es sich um die weltweit erste umfassende KI-Verordnung, die einen einheitlichen Rechtsrahmen für Künstliche Intelligenz in Europa schafft. Ziel der Verordnung ist es, menschenzentrierte und vertrauenswürdige KI-Systeme zu fördern und zugleich hohe Schutzstandards für Gesundheit, Sicherheit und Grundrechte zu gewährleisten.

 

Ähnlich wie bei der DSGVO verfolgt die EU damit einen Dualansatz: Innovationen sollen ermöglicht werden, aber Risiken von KI für Individuen und die Gesellschaft müssen beherrscht werden. Kritiker der neuen Gesetzgebung sehen vor allem viel Bürokratie und Regulierung, aber nur sehr wenig Innovation.

 

Im Folgenden geben wir – als Auftakt einer Artikelserie – einen verständlichen Überblick über Zweck, Inhalt und Bedeutung des AI Act.

 

Weiterführende Beiträge finden Sie bei uns zu folgenden Themen:

 

Hochrisiko-KI

Kennzeichnungspflichten für KI-Inhalte

Grundrechtefolgenabschätzung

Fortbildungspflichten

FAQ zum AI Act

 

Übersicht:

  1. Ziel und Zweck des AI Act

Der AI Act verfolgt vorrangig das Ziel, einen harmonisierten Binnenmarkt für KI-Anwendungen zu schaffen. Bisher gab es in der EU kaum spezifische Vorschriften für KI; der AI Act soll diese Lücke schließen und Rechtssicherheit für Unternehmen bieten. Dabei steht der Schutz von Grundrechten im Mittelpunkt: KI-Systeme sollen so entwickelt und eingesetzt werden, dass sie die menschliche Würde, Privatsphäre, Nicht-Diskriminierung, Demokratie und Rechtsstaatlichkeit achten.

 

Gleichzeitig soll das Gesetz Vertrauen in KI fördern, damit Bürger und Unternehmen die Technologie sicher nutzen können. Ein weiterer Zweck ist die Sicherheit von KI-Produkten. Der AI Act ist als Produktsicherheitsgesetz ausgestaltet – vergleichbar mit Regelungen für Medizinprodukte oder Maschinen. KI-Systeme, insbesondere wenn sie kritisch eingesetzt werden, müssen bestimmte Sicherheitsanforderungen erfüllen, bevor sie auf den Markt gelangen.

 

Zudem will der Gesetzgeber durch den AI Act die Innovation in Europa fördern. Unter anderem sind KI-Reallabore (regulatorische Sandboxes) vorgesehen, in denen Unternehmen – insbesondere Start-ups und KMU – neue KI-Lösungen unter Aufsicht ausprobieren können. Insgesamt soll die Verordnung Europa eine Vorreiterrolle in der KI-Regulierung sichern, ähnlich wie man es mit der Datenschutz-Grundverordnung im Bereich Datenschutz angestrebt hat.

  1. Risikobasierter Ansatz und Einteilung in Risikoklassen

Kern des AI Act ist ein risikobasierter Ansatz: KI-Systeme werden je nach Gefährdungspotenzial in vier Risikoklassen eingeteilt, für die abgestufte Regeln gelten. Diese Kategorien sind:

 

Unzulässiges Risiko (verbotene KI-Praktiken)

 

KI-Anwendungen, die eine inakzeptable Gefahr für Menschen darstellen, werden verboten. Darunter fallen z. B. Manipulationstechniken, die Menschen unbewusst beeinflussen, oder das berüchtigte Social Scoring (staatliche Bewertung des Sozialverhaltens von Bürgern). Ebenfalls untersagt sind etwa KI-Systeme zur Gesichtserkennung in Echtzeit im öffentlichen Raum durch Behörden (mit engen Ausnahmen), biometrische Kategorisierung von Personen nach sensiblen Merkmalen sowie emotionserkennende KI in Arbeitsplatz- oder Bildungs-Kontexten. Solche Anwendungen gelten als unvereinbar mit europäischen Werten und dürfen in der EU nicht eingesetzt werden.

 

Hohes Risiko

Diese Kategorie umfasst KI-Systeme mit signifikanter Auswirkung auf wichtige Lebensbereiche oder Grundrechte. Hochriskante KI-Systeme sind erlaubt, unterliegen aber strengen Auflagen. Beispiele sind KI in der Personalentscheidung (etwa Software zur Bewerberauswahl), in der Kreditwürdigkeitsprüfung, im Bildungswesen (Scoring von Prüfungen), in sicherheitskritischen Infrastrukturen oder im Gesundheitsbereich (z.B. Diagnosesoftware).

 

Auch KI-Systeme, die von Behörden für Entscheidungen über Asyl, Migration oder Strafverfolgung genutzt werden, zählen oft dazu. Die EU geht davon aus, dass nur ein kleiner Teil aller KI-Systeme (ca. 5–15 %) als hochriskant eingestuft wird – diese bedürfen dann besonderer Kontrolle.

 

Begrenztes Risiko

Hierunter fallen KI-Anwendungen, die geringe bis moderate Risiken bergen und daher keiner Zulassung oder strengen Aufsicht vorab bedürfen, jedoch Transparenzpflichten erfüllen müssen. Konkret verlangt der AI Act bei solchen Systemen, dass ihre KI-Eigenschaft offengelegt wird. Beispielsweise muss ein Chatbot oder virtueller Assistent dem Nutzer anzeigen, dass er KI-generiert ist (damit der Mensch weiß, dass er es nicht mit einer Person zu tun hat). Ebenso müssen KI-generierte Inhalte kenntlich gemacht werden – etwa wenn Texte, Bilder oder Videos durch eine KI erstellt wurden (Stichwort Deepfakes). Diese Kennzeichnungspflichten sollen verhindern, dass Personen durch KI-Ausgaben getäuscht werden. Ansonsten dürfen begrenzte KI-Systeme frei eingesetzt werden, solange sie bestehende Gesetze einhalten.

 

Minimales oder kein Risiko

Die Mehrheit heutiger KI-Anwendungen fällt in diese Klasse. Das sind KI-Systeme, die kein besonderes Gefährdungspotenzial aufweisen. Beispiele: Empfehlungsalgorithmen für Filme, Spam-Filter in E-Mails oder KI in Videospielen. Für solche Systeme setzt der AI Act keine spezifischen Auflagen an die KI selbst. Sie können ohne weitere Genehmigung genutzt werden – natürlich unter Beachtung der allgemeinen Gesetze. Der Gesetzgeber vertraut hier auf bestehende Regeln und freiwillige Maßnahmen der Anbieter, da von diesen Anwendungen kaum Risiken für die Gesellschaft ausgehen.

 

Durch diese risikobasierte Einteilung schafft der AI Act einen abgestuften Regulierungsrahmen: Je höher das Risiko einer KI-Anwendung, desto strenger die gesetzlichen Anforderungen. Unternehmen müssen also zunächst bewerten, in welche Kategorie ihr KI-System fällt, um die entsprechenden Pflichten zu kennen.

  1. Pflichten für Anbieter und Betreiber hochriskanter KI-Systeme

Hochriskante KI-Systeme stehen im Fokus der Regulierung und sind an umfangreiche Compliance-Pflichten geknüpft. Die Verordnung definiert hierfür sowohl Anforderungen an die Anbieter (Hersteller/Entwickler bzw. Inverkehrbringer) solcher Systeme als auch an die Betreiber (die Organisationen, die das KI-System letztlich einsetzen). Wichtigste Pflichten für Anbieter sind unter anderem:

 

Risikomanagement und Qualitätssicherung: Der Anbieter muss ein systematisches Risikomanagement etablieren. Über den gesamten Lebenszyklus des KI-Systems sind Risiken laufend zu analysieren, zu dokumentieren und durch geeignete Maßnahmen zu minimieren. Dazu gehört auch ein Qualitätsmanagement, damit das System verlässlich und sicher funktioniert.

 

Hochwertige Daten und Vermeidung von Bias: Die Daten, mit denen das KI-System entwickelt und trainiert wird, müssen angemessen, repräsentativ und möglichst frei von Verzerrungen sein. Insbesondere ist darauf zu achten, dass keine Diskriminierung aufgrund fehlerhafter oder einseitiger Datengrundlagen entsteht. Gegebenenfalls sind Datensätze zu bereinigen oder ergänzen, um Fairness zu gewährleisten.

 

Technische Dokumentation und Nachvollziehbarkeit: Für jedes hochriskante KI-System ist eine ausführliche technische Dokumentation zu erstellen. Darin müssen u.a. die Zweckbestimmung, Funktionsweise, eingesetzten Daten, Leistungsmerkmale und Risiken des Systems beschrieben sein. Diese Unterlagen sollen Behörden eine Überprüfung der KI ermöglichen. Außerdem muss der KI-Betreiber die Nutzung des Systems protokollieren (Logging), damit Entscheidungen und Outputs im Nachhinein nachvollzogen und geprüft werden können.

 

Transparenz und Information für Nutzer: Anbieter müssen sicherstellen, dass die Anwender (Betreiber) des KI-Systems ausreichend Informationen erhalten, um das System sachgerecht nutzen zu können. Dazu zählen klare Gebrauchsanweisungen, Angaben zu den Grenzen und möglichen Fehlerraten des Systems sowie Hinweise, welche menschlichen Aufsichtsmaßnahmen beim Einsatz vorgesehen sind. So sollen die Betreiber in die Lage versetzt werden, informierte Entscheidungen über den Einsatz des KI-Systems zu treffen.

 

Menschliche Überwachung (Human Oversight): Hochriskante KI-Systeme dürfen nicht unbegrenzt autonom agieren, sondern es müssen Mechanismen vorhanden sein, durch die Menschen das System überwachen und bei Bedarf eingreifen können. Der Anbieter muss entsprechende Funktionen oder Anleitungen vorsehen – z. B. Warnsignale bei bestimmten Unsicherheiten oder die Möglichkeit, automatische Entscheidungen zu überstimmen. Ziel ist, dass die letztliche Kontrolle über kritische Entscheidungen beim Menschen bleibt (human-in-the-loop Prinzip).

 

Robustheit, Sicherheit und Genauigkeit: Die Systeme müssen technisch robust und sicher sein. Das heißt, sie sollen auch in wechselnden Umgebungen verlässliche Ergebnisse liefern, fehlertolerant sein und gegen Angriffe (Cybersecurity) geschützt. Zudem werden Anforderungen an die Genauigkeit und Leistungsfähigkeit gestellt: Das KI-System muss das tun, wofür es entwickelt wurde, mit einer hohen Präzision und geringen Fehlerquote, damit keine unbeabsichtigten Schäden entstehen.

 

Meldung und Korrektur von Zwischenfällen: Anbieter hochriskanter KI sind verpflichtet, schwere Vorfälle oder Missbrauch im Zusammenhang mit ihrem System den zuständigen Behörden zu melden. Außerdem müssen sie ein Post-Market Monitoring betreiben, also ihre KI auch nach dem Inverkehrbringen beobachten und auftretende Risiken oder Mängel proaktiv beheben. Wenn sich etwa neue Risiken zeigen, sind Updates oder sogar ein Rückruf des Systems erforderlich, um Nutzer zu schützen.

 

Pflichten der Nutzer: Neben den Herstellerpflichten trifft der AI Act auch Betreiber/Anwender hochriskanter KI-Systeme. Wer ein solches System in seiner Organisation einsetzt (etwa ein Unternehmen, eine Bank, ein Krankenhaus oder eine Behörde), muss für den sicheren Betrieb sorgen. Dazu gehört, das System bestimmungsgemäß und gemäß der Anleitung des Anbieters einzusetzen, das vorgesehene menschliche Aufsichtspersonal zu stellen und dessen Schulung sicherzustellen.

 

Grundrechtefolgenabschätzung: In sensiblen Bereichen verlangt die Verordnung zusätzlich eine Folgenabschätzung der Grundrechte (Fundamental Rights Impact Assessment), bevor das KI-System erstmals genutzt wird. Diese Bewertung soll mögliche negative Auswirkungen auf die Rechte von Betroffenen (z. B. Diskriminierungsrisiken) identifizieren und abmildern. Insgesamt müssen Betreiber eng mit dem Anbieter zusammenarbeiten, damit die Vorgaben während des praktischen Einsatzes eingehalten werden.

 

Genauere Ausführungen zur Grundrechtefolgenabschätzung im AI Act finden Sie in einem weiterführenden Artikel.

Genauere Ausführungen zu Hochrisiko-KI im AI Act finden Sie in einem weiterführenden Artikel.

  1. Transparenz- und Kennzeichnungspflichten für bestimmte KI-Systeme

Nicht nur hochriskante, sondern auch bestimmte andere KI-Systeme unterliegen gesetzlichen Transparenzpflichten. Diese Pflichten zielen darauf ab, dass Menschen erkennen können, wenn sie es mit KI zu tun haben oder KI-generierte Inhalte konsumieren. Konkret schreibt der AI Act vor:

 

Kennzeichnung bei KI-Interaktion: Wenn ein KI-System in direkten Kontakt mit einem Menschen tritt, muss dieser darüber informiert werden. Praktisches Beispiel: Chatbots, virtuelle Assistenten oder soziale Medien-Bots müssen dem Nutzer deutlich kenntlich machen, dass sie kein menschliches Gegenüber, sondern KI sind. So soll verhindert werden, dass jemand unwissentlich mit einer Maschine kommuniziert und eventuell beeinflusst wird.

 

KI-generierte Inhalte: Inhalte, die durch KI erzeugt wurden, sind zu kennzeichnen, sofern sie den Anschein erwecken könnten, von einem Menschen zu stammen. Dies betrifft vor allem synthetische Medien wie KI-generierte Bilder, Videos oder Texte. Ein bekanntes Beispiel sind Deepfake-Videos oder -Bilder, die realistisch echte Personen und Ereignisse vortäuschen können. Künftig muss bei solchen Medien klar angegeben sein, dass es sich um künstlich erzeugtes Material handelt. Ähnliches gilt für automatisch erstellte Texte, etwa Nachrichtenartikel oder Produktrezensionen aus KI-Feder – auch hier soll der Leser erfahren, dass kein menschlicher Autor am Werk war.

 

Diese Transparenz- und Kennzeichnungspflichten sollen insgesamt Vertrauen schaffen und Täuschung vermeiden. Sie stellen sicher, dass Nutzer und Dritte im Bilde sind, wann KI im Spiel ist. Wichtig zu wissen: In bestimmten Ausnahmefällen (z.B. bei künstlerischer oder zu Zwecken der öffentlichen Sicherheit genehmigter KI-Nutzung) können von der Kennzeichnungspflicht Ausnahmen gelten. Grundsätzlich gilt jedoch: Offenheit über KI-Einsatz ist künftig der Standard – sei es im Kundenservice, in sozialen Netzwerken oder bei Medieninhalten.

Genauere Ausführungen zu Kennzeichnungspflichten im AI Act finden Sie in einem weiterführenden Artikel.

  1. Konformitätsbewertungsverfahren

Ein zentrales Instrument des AI Act ist das Konformitätsbewertungsverfahren für hochriskante KI-Systeme. Bevor ein solches System auf dem EU-Markt bereitgestellt werden darf, muss der Anbieter nachweisen, dass alle Vorschriften der Verordnung erfüllt sind. Dieser Prozess ähnelt dem Vorgehen bei klassischen Produkttests und Zertifizierungen:

 

Prüfung der Konformität: Der Hersteller (bzw. Anbieter) führt eine umfassende Überprüfung seines KI-Systems durch. Dabei wird kontrolliert, ob sämtliche Anforderungen – von Risikomanagement über Datenqualität bis hin zu Transparenz und Robustheit eingehalten werden. Viele dieser Prüfungen können anhand von künftig festgelegten harmonisierten Normen erfolgen. Ergebnis der Konformitätsbewertung ist in der Regel eine EU-Konformitätserklärung, in der der Anbieter offiziell zusichert, dass sein KI-System rechtskonform ist.

 

Einbindung Dritter bei Bedarf: In manchen Fällen muss der Anbieter eine unabhängige Stelle (sogenannte notifizierte Stelle) in das Konformitätsbewertungsverfahren einschalten. Dies ist insbesondere dann der Fall, wenn keine harmonisierten Normen vorliegen oder das KI-System neuartig und besonders sensibel ist. Die notifizierte Stelle – vergleichbar einem TÜV oder einer Zertifizierungsgesellschaft – führt dann zusätzliche Tests oder Audits durch und bestätigt die Konformität. Dieses Prinzip stellt sicher, dass bei hohen Risiken eine externe Kontrolle erfolgt.

 

Die Pflicht zur Konformitätsbewertung macht deutlich, dass der AI Act wie ein Produktsicherheitsgesetz funktioniert: Vor dem Vertrieb eines hochriskanten KI-Systems muss die “TÜV-Plakette” für KI erteilt sein. Unternehmen sollten daher frühzeitig die entsprechenden Prozesse etablieren. Nach der Marktzulassung bleibt der Anbieter übrigens in der Verantwortung: Er muss sein KI-System in ein zentrales EU-Register für hochriskante KI eintragen und auch nach dem Inverkehrbringen die Sicherheit überwachen. All dies dient dem übergeordneten Ziel, nur vertrauenswürdige und sichere KI auf Europas Märkte zu lassen.

  1. Bedeutung für Unternehmen in der EU und außereuropäische Anbieter

Der AI Act wird praktisch alle Unternehmen betreffen, die KI entwickeln, vertreiben oder einsetzen – sei es innerhalb der EU oder aus dem Ausland kommend. Für Unternehmen in der EU bedeutet die Verordnung zunächst, dass sie ihre bestehenden und geplanten KI-Systeme überprüfen müssen. Jedes Unternehmen sollte einen KI-Inventar anlegen und feststellen, welche Anwendungen unter welche Risikokategorie fallen. Beispielsweise muss eine Bank prüfen, ob ihr KI-gestütztes Kreditscoring als hochriskant einzustufen ist, oder ein Online-Anbieter analysieren, ob Chatbots mit Kunden unter die Transparenzpflicht fallen.

 

Entsprechend dieser Einstufung sind dann Compliance-Maßnahmen abzuleiten. Interne Prozesse werden sich anpassen müssen: Entwicklerteams benötigen Richtlinien für “Ethik by Design” und risikobewusste KI-Entwicklung. Qualitäts- und Risk-Manager müssen in Projekte eingebunden werden, um die vorgeschriebenen Kontrollen (Datenchecks, Dokumentation etc.) umzusetzen. Möglicherweise etablieren Unternehmen neue Rollen wie KI-Compliance-Beauftragte, analog zum Datenschutzbeauftragten unter der DSGVO.

 

Auch Vertragsbeziehungen mit Lieferanten und Kunden könnten angepasst werden – etwa wenn ein Unternehmen KI-Tools von Drittanbietern nutzt, sollte es vertraglich sicherstellen, dass diese Tools AI-Act-konform sind. Besonders betont der AI Act die gemeinsame Verantwortung entlang der Lieferkette. Hersteller, Importeure, Händler und Nutzer von KI-Systemen – alle haben Pflichten. Dadurch sollen Schlupflöcher vermieden werden.

 

Für außereuropäische Anbieter gilt: Wer KI-Systeme in der EU anbietet oder hier einsetzen lässt, muss die gleichen Regeln einhalten. Die Verordnung hat also extraterritoriale Wirkung, ähnlich wie es von der DSGVO bekannt ist. Ein US-Tech-Konzern oder asiatisches Start-up kann sich nicht entziehen – will es den EU-Markt erreichen, muss es seine KI-Produkte an die europäischen Anforderungen anpassen. Zudem muss ein nicht in der EU ansässiger Anbieter in vielen Fällen einen Bevollmächtigten in der EU benennen, der als Ansprechpartner für Behörden dient. Für Unternehmen außerhalb der EU bietet der AI Act einerseits Herausforderungen, andererseits auch Chancen: Die Einhaltung der strengen EU-Regeln könnte zum Wettbewerbsvorteil werden, da “AI made in EU” bzw. nach EU-Standards weltweit Vertrauen genießen dürfte.

 

Insgesamt wird der AI Act einen neuen Compliance-Bereich in Unternehmen begründen. Ähnlich wie der Datenschutz oder die Produktsicherheit wird KI-Compliance zu einer wichtigen Aufgabe für Geschäftsleitung, Rechtsabteilung und IT. Unternehmen sollten sich frühzeitig damit befassen, um Risiken (z.B. Strafzahlungen oder Vertriebsverbote) zu vermeiden und die Vorteile rechtskonformer KI nutzen zu können.

  1. Durchsetzung, Aufsicht und Sanktionen

Die Umsetzung des AI Act wird von staatlicher Seite durch eine aufsichtsrechtliche Infrastruktur begleitet. Auf EU-Ebene wird ein European AI Office (KI-Büro) eingerichtet – eine zentrale Koordinationsstelle, die Expertise bündelt, Leitlinien entwickelt und die Zusammenarbeit der nationalen Behörden fördert.

 

Daneben wird ein Europäischer KI-Ausschuss (AI Board) geschaffen, in dem Vertreter aller Mitgliedstaaten sitzen. Dieser Ausschuss soll für eine einheitliche Anwendung der Verordnung in ganz Europa sorgen, ähnlich wie der Europäische Datenschutzausschuss (EDSA) bei der DSGVO. Zudem berät ein wissenschaftliches Gremium (AI Scientific Panel) zu technischen Fragen.

 

Auf Mitgliedstaaten-Ebene müssen die Länder zuständige Aufsichtsbehörden benennen. Wahrscheinlich werden dies bestehende Behörden oder neu geschaffene Stellen im Technologie- oder Wirtschaftsbereich sein. Diese nationalen KI-Behörden überwachen die Einhaltung der Vorschriften vor Ort, prüfen KI-Systeme, gehen Hinweisen nach und können bei Verstößen einschreiten. Bürger und Unternehmen können sich an sie wenden, wenn sie z.B. ein rechtswidriges KI-System melden möchten.

 

Bei Verstößen gegen den AI Act drohen empfindliche Sanktionen. Die Verordnung sieht gestaffelte Bußgeldrahmen vor, die sich an der Schwere des Verstoßes orientieren (und an der Unternehmensgröße). Maximal können Geldbußen bis zu 30–35 Millionen Euro oder 6–7 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden – und zwar immer der höhere Wert. Diese Obergrenze greift insbesondere bei schwerwiegenden Verstößen, etwa wenn verbotene KI-Praktiken eingesetzt werden oder grundlegende Pflichten bei Hochrisiko-KI grob missachtet wurden.

 

Für weniger gravierende Verstöße liegen die Maximalstrafen niedriger, zum Beispiel bei 15 Millionen Euro bzw. 3 % Umsatz (etwa für Verletzungen von Auflagen bei Hochrisiko-Systemen) und 7,5 Millionen Euro bzw. 1 % Umsatz (für Verstöße gegen formale Anforderungen oder Auskunftspflichten). Wichtig: Für kleine und mittlere Unternehmen (KMU) gibt es in bestimmten Fällen Ermäßigungen, um diese nicht unverhältnismäßig zu belasten – dennoch müssen auch KMU die Kernanforderungen erfüllen.

 

Neben Bußgeldern können die Behörden weitergehende Maßnahmen anordnen. Sie dürfen z.B. die Bereitstellung eines KI-Systems untersagen oder bereits im Markt befindliche Systeme zurückrufen lassen, wenn akute Risiken bestehen. Auch zwangsgeldbewehrte Anordnungen (z.B. zur nachträglichen Erfüllung von Auflagen) sind möglich. Insgesamt soll damit sichergestellt werden, dass die Vorgaben des AI Act nicht zahnlos bleiben. Die Höhe der möglichen Strafen ist vergleichbar mit jener der DSGVO, was die Bedeutung des Themas unterstreicht. Unternehmen sind also gut beraten, die KI-Compliance ernst zu nehmen – nicht nur wegen der Strafen, sondern um reputationsschädigende Vorfälle zu vermeiden. Die Durchsetzung der Verordnung wird ab 2025/2026 zu einem neuen Schwerpunkt der Regulierungsbehörden, und man kann davon ausgehen, dass exemplarische Fälle publik gemacht werden, um abschreckend zu wirken.

  1. Zeitplan: Inkrafttreten und Übergangsfristen

Obwohl der AI Act politisch beschlossen ist, tritt er nicht sofort vollumfänglich in Kraft. Zunächst muss die Verordnung formal vom EU-Parlament und Rat verabschiedet und im EU-Amtsblatt veröffentlicht werden. Dieses Verfahren wird voraussichtlich im Laufe von 2024 abgeschlossen. Inkrafttreten wäre dann wenige Wochen nach der Veröffentlichung – vermutlich noch 2024. Ab diesem Zeitpunkt gilt der AI Act als gültiges Gesetz. Allerdings bestimmt die Verordnung, dass die meisten Verpflichtungen erst nach einer Übergangsfrist anzuwenden sind. Das bedeutet, Unternehmen und Behörden haben noch Zeit, sich vorzubereiten. Ein grober Zeitplan sieht wie folgt aus:

 

2024 (Inkrafttreten): Die KI-Verordnung wird offiziell wirksam, hat aber zunächst noch keine unmittelbaren Pflichten für Unternehmen (außer ggf. Einrichtung der Aufsichtsstrukturen auf Behördenseite).

 

Februar 2025: Verbotene KI-Praktiken (unannehmbare Risiken) sollen bereits 6 Monate nach Inkrafttreten verboten sein. Das heißt, ab Februar 2025 müssen alle Anwendungen, die in die Kategorie "unzulässiges Risiko" fallen, tatsächlich eingestellt werden. Unternehmen, die solche Systeme noch nutzen, müssen sie bis dahin außer Betrieb nehmen. Auch einige Aufklärungspflichten (z.B. Förderung von KI-Kompetenz) könnten früh greifen.

 

Herbst 2025: Nach 12 Monaten dürften die Regelungen für generelle KI-Modelle (sogenannte General Purpose AI, z.B. große Sprachmodelle) in Kraft treten, ebenso die Einrichtung des AI Office und AI Board. Das bedeutet, ab 2025 müssen Anbieter von großen KI-Modellen bestimmte Transparenz- und Sorgfaltspflichten erfüllen (wie das Kennzeichnen KI-generierter Inhalte, Offenlegung verwendeter Trainingsdaten etc.). Gleichzeitig werden ab diesem Zeitpunkt die Behörden aktiv die Überwachung aufnehmen und das Sanktionssystem steht bereit, um Verstöße (z.B. fortgesetzte Nutzung verbotener KI) zu ahnden.

 

Spätsommer 2026: Die Hauptpflichten für hochriskante KI-Systeme und die Transparenzpflichten für begrenzte KI werden nach einer Übergangsfrist von zwei Jahren wirksam. Konkret wird der AI Act voraussichtlich ab Herbst 2026 (z.B. August 2026) voll anwendbar sein, was die CE-Kennzeichnung, Konformitätsbewertungen und sonstigen Auflagen für neue hochriskante KI-Systeme angeht. Unternehmen, die solche Systeme anbieten oder nutzen wollen, müssen bis dahin alle Vorbereitungen abgeschlossen haben – ab diesem Zeitpunkt darf z.B. kein hochriskantes KI-System mehr ohne Konformitätsprüfung betrieben werden.

 

2027 und weitere Übergänge: Für bestimmte Spezialfälle gewährt die Verordnung längere Fristen. So bekommen KI-Systeme, die bereits vor Inkrafttreten auf dem Markt waren, möglicherweise bis 2027 Zeit, um nachträglich konform zu werden (Bestandsschutz mit Auflagen). Auch hochriskante KI, die als Bestandteil von bereits regulierten Produkten (z.B. Maschinen oder Medizinprodukten) dienen, könnte eine etwas längere Übergangsfrist (bis 2027) erhalten, damit sich diese Branchen anpassen können.

 

Zusammengefasst: Der AI Act kommt nicht über Nacht, sondern in gestuften Etappen. Die vollen Anforderungen werden ab 2026 greifen, mit einigen frühen Meilensteinen 2025 und vereinzelten Verlängerungen bis 2027. Diese gestaffelte Umsetzung soll allen Beteiligten genügend Zeit lassen, sich mit den neuen Regeln vertraut zu machen und technische Standards zu entwickeln. Unternehmen sollten die Übergangszeit jedoch proaktiv nutzen. Es empfiehlt sich, schon jetzt interne Projekte zur AI-Act-Compliance zu starten – z.B. Schulungen zum KI-Recht, Anpassung von Entwicklungsprozessen und Prüfung vorhandener KI-Systeme. So kann man sicherstellen, dass man bis zum Ablauf der Fristen bereit ist und die eigenen KI-Anwendungen rechtssicher und verantwortungsvoll betrieben werden.

  1. Fazit

Der EU AI Act markiert einen Meilenstein in der Regulierung von Künstlicher Intelligenz. Für Unternehmen bedeutet er neue Pflichten, bietet aber auch Chancen durch klare Regeln und gesteigertes Vertrauen in KI. Als Kanzlei für KI-Recht werden wir Sie in den kommenden Fachartikeln detailliert durch die einzelnen Themen – von der Konformitätsprüfung bis zur Vertragsgestaltung für KI-Projekte – begleiten und unterstützen. Der Startschuss für ein neues Zeitalter der KI-Governance in Europa ist gefallen, und es ist wichtig, sich frühzeitig darauf einzustellen. In diesem Sinne: Bleiben Sie informiert – wir halten Sie über die Entwicklungen rund um den AI Act auf dem Laufenden.

  1. Was wir als Kanzlei für Sie tun können

Als auf KI-Recht spezialisierte Kanzlei unterstützen Heidrich Rechtsanwälte Sie umfassend bei der rechtssicheren Umsetzung des AI Acts in Ihrem Unternehmen. Wir helfen Ihnen, Ihre KI-Systeme rechtskonform einzuordnen und zu bewerten, übernehmen die Erstellung oder Prüfung der erforderlichen technischen und rechtlichen Dokumentation und begleiten Sie bei der Durchführung von Konformitätsbewertungsverfahren.

 

Darüber hinaus entwickeln wir maßgeschneiderte Compliance-Strukturen – von internen Richtlinien über Vertragsklauseln bis hin zur Gestaltung effektiver Kontrollmechanismen. Auch bei der Vorbereitung auf behördliche Prüfungen, der Einrichtung von Risikomanagementsystemen, der Grundrechtsfolgenabschätzung oder der Schulung Ihrer Mitarbeitenden stehen wir Ihnen kompetent zur Seite.

 

Ob Start-up, Mittelstand oder international tätiger Konzern – wir sorgen dafür, dass Ihre KI-Anwendungen rechtskonform, verantwortungsvoll und zukunftssicher aufgestellt sind.

Datenschutz

Ihre Daten werden nur zweckgebunden zur Bearbeitung Ihrer Kontaktanfrage verarbeitet, weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.