KI-Verordnung in Kürze: So bereiten Sie sich vor
Mit dem 01.08.2024 trat eine EU-Verordnung in Kraft, die manche historisch nennen: Die Europäische Union reguliert mit dem AI Act (Verordnung (EU) 2024/1689, „KI-Verordnung“) umfassend die Nutzung künstlicher Intelligenz (KI). Für Unternehmen bringt es neue Anforderungen hinsichtlich der Transparenz und der Sicherheit von Produkten und Dienstleistungen mit sich. Bis zum 02.02.2025 müssen die ersten Maßnahmen umgesetzt werden – ein Fahrplan zur Umsetzung der KI-Verordnung tut deshalb Not.
Zuletzt aktualisiert am: 02. April 2025
Die KI-Verordnung in Kürze
Die KI-Verordnung (AI Act) will verhindern, dass Verbraucher in der EU durch künstliche Intelligenz (KI) inakzeptablen Risiken ausgesetzt sind. Diese Risiken durch künstliche Intelligenz kategorisiert der AI Act in
- „unannehmbar“,
- „hoch“,
- „begrenzt“
- und „gering“.
Die Eingruppierung in eine dieser Kategorien entscheidet darüber, ob ein KI-System mehr oder weniger strengen Auflagen unterliegt oder sogar verboten ist.
Sind Sie von der der KI-Verordnung betroffen?
Betroffen von der KI-Verordnung sind
- Bereitsteller,
- Produkthersteller,
- Importeure,
- Händler
- und Anbieter von KI-Systemen an europäische Verbraucher.
Mit anderen Worten: Jedes Unternehmen bzw. jede Organisation inner- und außerhalb der EU unterliegt der KI-Verordnung, sobald es an der Bereitstellung von KI-Systemen an europäische Verbraucher beteiligt ist. Der AI Act gilt nicht nur für Großkonzerne, sondern auch für kleine und mittlere Unternehmen, denn ist unabhängig von erzielten Umsätzen oder Nutzerzahlen.
Ausgenommen sind lediglich KI-Systeme für die wissenschaftliche Forschung, für Verteidigungs- oder Militärzwecke und für reine Haushaltstätigkeiten.
KI-Systeme mit unannehmbaren Risiken sind verboten
Die KI-Verordnung regelt klar, welche Anwendungen der künstlichen Intelligenz verboten sind. So sind Systeme für die vorausschauende Polizeiarbeit und biometrische Identifikationssysteme, die in Echtzeit arbeiten, verboten. Auch das gezielte Auslesen von Gesichtsbildern mit dem Ziel, eine Gesichtserkennungsdatenbank zu erstellen, ist nicht erlaubt. Ebenso KI-Systeme, die Rückschlüsse auf Emotionen von Menschen am Arbeitsplatz zulassen.
KI-Verordnung reguliert den Umgang mit Hochrisikosystemen
Anhang III der KI-Verordnung führt Anwendungen mit hohen Risiken auf. Dazu gehören KI-Systeme, die in der Biometrie, Bildung, Beschäftigung und Strafverfolgung zum Einsatz kommen oder im Bereich der kritischen Infrastruktur eine wichtige Rolle spielen.
Für diese KI-Anwendungen gibt es strenge Auflagen, wie z.B.
- eine Risikobewertung der Grundrechte,
- automatisch erstellte Protokolle, mit denen Ereignisse nachvollzogen werden können,
- die Schulung von Beschäftigten, die mit Hochrisiko-KI-Systemen umgehen.
Begrenzte Risiken – begrenzte Auflagen
Bei KI-Systemen wie Deepfake-Generatoren oder Chatbots sieht der EU-Gesetzgeber nur begrenzte Risiken und legt den Akteuren nur geringe Pflichten auf. Wer solche KI-Systeme einsetzt, bereitstellt oder verwendet, muss Nutzer darüber informieren, dass das System mit künstlicher Intelligenz arbeitet. Zudem sind Fotos, Videos und Audioaufnahmen als KI-generiert zu kennzeichnen.
KI-Systeme mit geringen Risiken laut KI-Verordnung
Beispielhaft führt der AI Act noch KI-Systeme mit „geringen Risiken“ auf, z.B. Empfehlungssysteme und Spam-Filter. Für sie gibt es keine Auflagen.
Zeitplan bis zur Anwendung der KI-Verordnung
Wie bei EU-Verordnungen üblich, wird auch der AI Act (Verordnung (EU) 2024/1689, „KI-Verordnung) zwei Jahre nach seiner Veröffentlichung im Amtsblatt der EU, also am 02.08.2026, Anwendung finden.
Allerdings gibt es eine stark verkürzte Frist für KI-Anwendungen mit inakzeptablem Risiko: Sie sind bereits ab dem 02.02.2025 verboten. Dagegen gibt es eine verlängerte Frist (bis 02.08.2027) für KI-Anwendungen mit hohem Risiko.
AI Act umsetzen: erste Schritte
Ein Aktionsplan zur Umsetzung des AI Acts in der eigenen Organisation sollte folgende erste Schritte beinhalten:
- Übersicht: Erstellung einer Gesamtliste, wo im Unternehmen und in welcher Form KI-Systeme zum Einsatz kommen
- Inakzeptable Risiken? Prüfen, ob KI-Systeme mit inakzeptablen Risiken in der Organisation eingesetzt werden und ggf. deren Ausfall planen
- Hohe Risiken? Identifikation von eingesetzten oder geplanten Hochrisiko-KI-Systemen und Analyse, wie diese gemäß der KI-Verordnung rechtskonform eingesetzt werden können
- Konformität bewerten: Planen und Durchführen des Prozesses der Konformitätsbewertung und -dokumentation
- Dokumentieren: Erstellung von präzisen technischen Dokumentationen z.B. mit detaillierten Beschreibungen der Systemarchitektur, der verwendeten Algorithmen und der geplanten oder realisierten Sicherheitsmaßnahmen
- Schulen: Feststellung des Schulungsbedarfs der Mitarbeitenden; Planung von Schulungen und Workshops
Zusammenfassung: KI-Verordnung der EU
Die KI-Verordnung (AI Act) schützt Verbraucher in der EU vor riskanten KI-Systemen! Die Einteilung erfolgt in unannehmbare, hohe, begrenzte und geringe Risiken – mit entsprechenden Regelungen. KI-Systeme mit unannehmbaren Risiken sind verboten, während Hochrisiko-KI-Systeme strenge Auflagen erfüllen müssen. Unternehmen aller Größen müssen sich darauf vorbereiten! Die Verordnung tritt 2026 in Kraft, erste Verbote gelten bereits ab 2025. Schulen Sie Ihre Mitarbeitenden und bleiben Sie konform!
