Künstliche Intelligenz (KI) ist längst ein fester Bestandteil des modernen Wirtschaftslebens. Doch mit der zunehmenden Verbreitung intelligenter Systeme steigt auch der Bedarf nach klaren Regeln. Die EU reagiert darauf mit einem umfassenden KI-Gesetz: dem sogenannten AI Act. Dieses Gesetz legt erstmals verbindliche Richtlinien für die Entwicklung, den Einsatz und die Überwachung von KI-Systemen in Europa fest. Was bedeutet das konkret für Unternehmen in Deutschland? Welche Anforderungen kommen auf sie zu – und wann?
Der AI Act ist das erste umfassende Gesetz weltweit, das die Entwicklung und den Einsatz von Künstlicher Intelligenz reguliert. Er wurde vom Europäischen Parlament verabschiedet und soll sicherstellen, dass KI-Systeme in Europa sicher, ethisch vertretbar, transparent und im Einklang mit den europäischen Grundrechten eingesetzt werden. Ziel ist es, sowohl Innovation zu fördern als auch Risiken für Einzelpersonen und die Gesellschaft zu minimieren.
Der AI Act verfolgt einen risikobasierten Ansatz, bei dem KI-Anwendungen in vier Risikostufen eingeordnet werden – von unvertretbar bis minimal. Diese Kategorisierung bestimmt, welche rechtlichen Anforderungen für ein System gelten. Dazu gehören zum Beispiel Transparenzpflichten, Dokumentationsanforderungen, Risikobewertungen oder Konformitätsprüfungen. Damit will die EU eine Balance schaffen zwischen technologischer Weiterentwicklung und dem Schutz von Bürgerrechten.
Das Gesetz wurde im April 2024 vom EU-Parlament verabschiedet. Es tritt voraussichtlich Mitte 2025 in Kraft, wobei einzelne Vorschriften bereits früher gelten. Unternehmen sollten sich daher jetzt schon mit den Anforderungen auseinandersetzen, um rechtzeitig vorbereitet zu sein.
Das KI-Gesetz basiert auf einem vierstufigen Risikomodell, das den Umgang mit Künstlicher Intelligenz differenziert nach deren potenziellen Auswirkungen regelt. Dabei geht es vor allem darum, Risiken für die Gesellschaft frühzeitig zu erkennen und entsprechend zu regulieren. Die Einordnung in Risikoklassen dient als Grundlage dafür, welche Anforderungen ein KI-System erfüllen muss – von vollständigem Verbot bis hin zu weitgehender Gestaltungsfreiheit.
Das Modell unterscheidet KI-Systeme nach dem Grad des Risikos, das sie für die Gesellschaft darstellen:
In diese Kategorie fallen KI-Anwendungen, die eine erhebliche Gefahr für die Grundrechte und die Sicherheit der Bürger darstellen. Dazu zählt unter anderem Social Scoring durch staatliche Stellen – also die Bewertung von Bürgern auf Grundlage ihres Verhaltens, wie es in autoritären Systemen bereits praktiziert wird. Auch Systeme zur bewussten Manipulation von Menschen, etwa durch emotionale Beeinflussung oder verdeckte Überwachung, zählen dazu. Solche KI-Anwendungen sind im Rahmen des AI Acts grundsätzlich verboten.
KI-Systeme, die in sensiblen und gesellschaftlich relevanten Bereichen wie Gesundheit, Bildung, Justiz oder kritischer Infrastruktur eingesetzt werden, müssen strenge gesetzliche Vorgaben erfüllen. Dazu zählen unter anderem die lückenlose Dokumentation aller Prozesse, transparente Entscheidungsgrundlagen, eine umfassende Erklärbarkeit der Funktionsweise sowie regelmäßige Überprüfungen. Ziel ist es, Risiken für die betroffenen Personen zu minimieren und die Einhaltung ethischer sowie rechtlicher Standards jederzeit nachweisbar zu machen.
In diese Kategorie fallen KI-Systeme, die zwar potenziell Einfluss auf Nutzer haben, aber keine unmittelbare Gefahr für Grundrechte oder Sicherheit darstellen. Für diese Systeme gelten moderate Anforderungen – insbesondere müssen sie transparent gekennzeichnet sein. Das bedeutet zum Beispiel, dass Nutzer klar darüber informiert werden müssen, wenn sie mit einem Chatbot oder einem automatisierten System kommunizieren. Ziel ist es, Täuschung zu vermeiden und die bewusste Nutzung von KI-Systemen sicherzustellen.
In diese Kategorie fallen KI-Anwendungen mit sehr geringem Gefahrenpotenzial, wie etwa Spam-Filter oder Rechtschreibkorrekturen. Sie beeinflussen den Nutzer nicht direkt und greifen weder in Grundrechte noch in sicherheitsrelevante Prozesse ein. Solche Systeme dürfen ohne spezielle Auflagen oder Prüfverfahren eingesetzt werden, da sie weitgehend als unbedenklich gelten.
Laut AI Act umfasst der Begriff „Künstliche Intelligenz“ eine breite Palette von Technologien, darunter maschinelles Lernen, regelbasierte Systeme, statistische Modelle und logikbasierte Entscheidungsstrukturen. Diese Technologien unterscheiden sich in ihrer technischen Umsetzung, verfolgen aber ein gemeinsames Ziel: das eigenständige Erkennen von Mustern, das Ableiten von Entscheidungen oder das Geben von Empfehlungen auf Basis vorliegender Daten.
Besonders betont der AI Act, dass nicht nur die technische Funktionsweise im Vordergrund steht, sondern vor allem der konkrete Einsatzkontext. Entscheidend ist, ob die KI-Anwendung eigenständig Entscheidungen trifft oder lediglich unterstützende Funktionen bietet. Damit berücksichtigt das Gesetz sowohl die Komplexität technischer Systeme als auch ihre Auswirkungen auf Nutzer, Gesellschaft und Grundrechte. Diese ganzheitliche Sichtweise ist zentral, um Risiken realistisch einzuschätzen und adäquate regulatorische Maßnahmen zu treffen.
Die Einstufung von KI-Systemen ist ein zentraler Bestandteil des AI Acts, denn sie entscheidet über die regulatorischen Anforderungen, die ein System erfüllen muss. Dabei wird der Fokus nicht nur auf die technische Funktionalität gelegt, sondern insbesondere auf den Kontext, in dem das System eingesetzt wird. Ziel ist es, Risiken für Individuen und Gesellschaft frühzeitig zu identifizieren und gezielt zu regulieren.
Für die Klassifizierung prüft die zuständige Aufsichtsbehörde – oder in vielen Fällen das Unternehmen selbst – folgende zentrale Kriterien:
Je nachdem, wie ein System auf diese Faktoren hin bewertet wird, erfolgt die Zuordnung in eine von vier Risikoklassen: unvertretbares, hohes, begrenztes oder minimales Risiko. Die daraus resultierende Einstufung hat weitreichende Folgen für die Entwicklung, den Einsatz und die Überwachung des Systems – inklusive Pflichten zu Transparenz, Risikomanagement und Dokumentation.
Ein wichtiger Punkt: Diese Einordnung ist keine einmalige Sache, sondern muss regelmäßig überprüft und gegebenenfalls aktualisiert werden – insbesondere bei Weiterentwicklungen der Technologie oder wenn sich der Anwendungsbereich ändert.
GPAI steht für „General Purpose AI“ – also KI-Systeme mit allgemeinem Verwendungszweck wie etwa GPT-Modelle. Der AI Act sieht vor, dass GPAI-Modelle besonderen Anforderungen unterliegen, z. B. in Bezug auf Sicherheit, Transparenz, Risikomanagement und Überprüfbarkeit. Hersteller müssen dokumentieren, wofür ihre Modelle verwendet werden können und wie Missbrauch verhindert werden soll.
Das KI-Gesetz hat weitreichende Folgen für Unternehmen, die KI-Systeme entwickeln, vertreiben oder anwenden. Unabhängig von der Größe oder Branche sind alle Unternehmen verpflichtet, ihre KI-Anwendungen hinsichtlich der gesetzlichen Vorgaben zu prüfen und anzupassen. Das bedeutet: Wer eine KI einsetzt – etwa zur Analyse von Kundendaten, zur Prozessautomatisierung oder zur Bewerberauswahl – muss sicherstellen, dass die Anforderungen des AI Acts erfüllt sind.
Besonders betroffen sind Unternehmen, deren Systeme in die Kategorie „hohes Risiko“ fallen – etwa bei Einsatz in HR, im Gesundheitswesen oder in der Finanzbranche.
Unternehmen müssen unter anderem folgende Maßnahmen ergreifen:
Besonders wichtig: Auch kleine und mittlere Unternehmen sowie Start-ups, die KI-Lösungen verwenden oder integrieren, sind betroffen. Viele nutzen Drittanbieter-Software oder integrieren KI über API-Schnittstellen – auch in diesen Fällen gelten Transparenz- und Dokumentationspflichten. Das Gesetz stellt somit nicht nur große Tech-Unternehmen in die Pflicht, sondern betrifft praktisch die gesamte Unternehmenslandschaft in der EU.
Empfehlenswert ist daher, schon jetzt interne Audits durchzuführen, Prozesse zu dokumentieren und Know-how im Unternehmen aufzubauen – etwa durch Schulungen oder externe Beratung.
Wer gegen das KI-Gesetz verstößt, muss mit empfindlichen Strafen rechnen. Je nach Schwere des Vergehens können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden. Hinzu kommen Reputationsrisiken und potenzielle Einschränkungen beim Marktzugang.
Du willst nicht nur die Regeln verstehen, sondern die neue KI-Welt aktiv mitgestalten? Dann werde Prompt Engineer! Mit der passenden Weiterbildung lernst Du, KI gezielt zu steuern, sicher anzuwenden und unternehmerisch sinnvoll zu nutzen – dank staatlicher Förderung von bis zu 100 %, berufsbegleitend und vollständig digital.
Das KI-Gesetz der EU ist ein Meilenstein auf dem Weg zu einem verantwortungsvollen Umgang mit Künstlicher Intelligenz. Es schafft Sicherheit für Nutzer, setzt klare Regeln für Unternehmen und bietet gleichzeitig Spielraum für Innovation. Wer sich jetzt mit den Anforderungen des AI Act vertraut macht, ist bestens auf die Zukunft vorbereitet.