Zum Inhalt springen

Was ist der EU AI Act? Der vollständige Leitfaden

Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und verfolgt einen risikobasierten Ansatz: Je höher das Risiko Ihres KI-Systems für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Die Hochrisiko-Vorschriften gelten ab dem 2. August 2026. Bei Verstößen drohen Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.

Aktualisiert: März 202615 Min. Lesezeit

Kurzfassung: Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und verfolgt einen risikobasierten Ansatz: Je höher das Risiko Ihres KI-Systems für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Die Hochrisiko-Vorschriften gelten ab dem 2. August 2026. Bei Verstößen drohen Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.

Was ist der EU AI Act?

Der EU AI Act ist die wegweisende Verordnung der Europäischen Union zur Regelung der Entwicklung, des Inverkehrbringens und der Nutzung von Systemen der künstlichen Intelligenz. Offiziell als Verordnung (EU) 2024/1689 veröffentlicht, stellt er den weltweit ersten verbindlichen, horizontalen Rechtsrahmen für KI dar.

Anders als freiwillige Leitlinien begründet er durchsetzbare Pflichten für alle Branchen. Er gilt unabhängig vom Sitz des Anbieters, sofern das KI-System Personen in der EU betrifft. Die Verordnung trat am 1. August 2024 in Kraft, die Hochrisiko-Vorschriften gelten ab dem 2. August 2026.

Warum wurde der EU AI Act geschaffen?

Vier zentrale Ziele haben den EU AI Act vorangetrieben:

  • Schutz der Grundrechte – KI-Systeme treffen oder beeinflussen zunehmend Entscheidungen über Kredite, Einstellungen, öffentliche Dienstleistungen und Strafverfolgung. Die Verordnung stellt sicher, dass diese Entscheidungen die Menschenwürde, das Diskriminierungsverbot und rechtsstaatliche Verfahren wahren.
  • Bewältigung von Sicherheitsrisiken – KI in kritischen Infrastrukturen, Medizinprodukten und Transportsystemen kann unmittelbare Risiken für Gesundheit und Sicherheit bergen. Der AI Act stellt strenge Anforderungen an solche Systeme.
  • Rechtssicherheit für Unternehmen – Statt eines Flickenteppichs nationaler Vorschriften profitieren Unternehmen von einem einheitlichen harmonisierten Rahmen in allen 27 EU-Mitgliedstaaten.
  • Der „Brüssel-Effekt“ – Wie zuvor die DSGVO soll der EU AI Act einen globalen Standard setzen. International tätige Unternehmen werden seine Anforderungen voraussichtlich als Mindestmaßstab übernehmen.

Für wen gilt der EU AI Act?

Die Verordnung definiert mehrere Rollen mit unterschiedlichen Pflichten:

  • Anbieter (Art. 3 Abs. 3) – Wer ein KI-System entwickelt oder in Verkehr bringt. Anbieter tragen die umfassendsten Pflichten, darunter Konformitätsbewertung (Art. 43) und Technische Dokumentation (Art. 11).
  • Betreiber (Art. 3 Abs. 4) – Wer ein KI-System unter eigener Verantwortung nutzt. Betreiber müssen eine Grundrechtliche Folgenabschätzung (Art. 27) durchführen und menschliche Aufsicht sicherstellen (Art. 14).
  • Einführer und Händler – Akteure, die KI-Systeme in den EU-Markt einführen oder bereitstellen, haben Überprüfungspflichten hinsichtlich der Erfüllung der Anbieterpflichten.

Räumlicher Geltungsbereich (Art. 2): Die Verordnung gilt für Unternehmen außerhalb der EU, wenn die Ausgabe ihres KI-Systems in der EU genutzt wird. Diese extraterritoriale Reichweite entspricht dem Ansatz der DSGVO.

Der risikobasierte Ansatz

Der EU AI Act stuft KI-Systeme in vier Risikokategorien ein, jeweils mit unterschiedlichen regulatorischen Anforderungen:

Unannehmbares Risiko (Art. 5) – Verboten

Bestimmte KI-Praktiken sind ausnahmslos verboten, da sie eine inakzeptable Bedrohung für Grundrechte darstellen:

  • Social-Scoring-Systeme durch Behörden
  • Unterschwellige Manipulations- oder Täuschungstechniken
  • Ausnutzung der Schutzbedürftigkeit bestimmter Gruppen (Alter, Behinderung, soziale Lage)
  • Biometrische Echtzeit-Fernidentifizierung im öffentlich zugänglichen Raum (mit engen Ausnahmen für die Strafverfolgung)
  • Biometrische Kategorisierung nach sensiblen Merkmalen (Rasse, politische Überzeugungen, sexuelle Orientierung)
  • Ungezieltes Scraping von Gesichtsbildern aus dem Internet oder von Überwachungskameras
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen

Diese Verbote sind seit dem 2. Februar 2025 durchsetzbar.

Hohes Risiko (Art. 6) – Umfassende Pflichten

Hochrisiko-KI-Systeme unterliegen den umfangreichsten Anforderungen. Dazu gehören KI-Systeme in folgenden Bereichen:

  • Kritische Infrastrukturen (Energie, Verkehr, Wasserversorgung)
  • Bildung und Berufsausbildung (Zulassungen, Bewertungen)
  • Beschäftigung (Personalauswahl, Beförderung, Kündigung)
  • Wesentliche private und öffentliche Dienstleistungen (Kreditwürdigkeitsprüfung, Versicherung, Sozialleistungen)
  • Strafverfolgung (Risikobewertungen, Predictive Policing)
  • Migration und Grenzkontrolle (Visumbearbeitung, Asylanträge)
  • Rechtspflege und demokratische Prozesse

Begrenztes Risiko (Art. 50) – Nur Transparenz

KI-Systeme, die mit Menschen interagieren oder Inhalte erzeugen, müssen Transparenzpflichten erfüllen:

  • Chatbots müssen offenlegen, dass der Nutzer mit einem KI-System interagiert
  • Deepfakes und KI-generierte Inhalte müssen eindeutig gekennzeichnet werden
  • Emotionserkennungssysteme müssen die betroffene Person informieren

Minimales Risiko – Keine Pflichten

Die Mehrheit der KI-Systeme (Spamfilter, KI-gestützte Videospiele, Bestandsmanagement) fällt in diese Kategorie und unterliegt keinen regulatorischen Anforderungen. Anbieter können freiwillig Verhaltenskodizes befolgen (Art. 95).

Hochrisiko-KI-Systeme: Was Sie brauchen

Wenn Ihr KI-System als Hochrisiko eingestuft wird, müssen Sie eine umfassende Reihe von Anforderungen erfüllen:

  1. Grundrechtliche Folgenabschätzung (FRIA) (Art. 27) – Betreiberpflicht zur Bewertung der Auswirkungen auf die Grundrechte betroffener Personen vor dem Einsatz.
  2. Technische Dokumentation (Art. 11 + Anhang IV) – Anbieterpflicht zur umfassenden Dokumentation von Konzeption, Entwicklung, Test und Validierung des Systems.
  3. Transparenzhinweis (Art. 13) – Klare Gebrauchsanweisungen für Betreiber über Funktionsweise, Leistungsfähigkeit und Grenzen des Systems.
  4. Konformitätsbewertung (Art. 43) – Formales Verfahren zur Prüfung, ob das System alle geltenden Anforderungen vor dem Inverkehrbringen erfüllt.
  5. Risikomanagementsystem (Art. 9) – Ein kontinuierlicher, iterativer Prozess zur Identifizierung, Analyse und Minderung von Risiken über den gesamten Lebenszyklus des KI-Systems.
  6. Daten-Governance (Art. 10) – Anforderungen an Trainings-, Validierungs- und Testdatensätze, einschließlich Maßnahmen zur Erkennung und Behebung von Verzerrungen (Bias).
  7. Automatische Protokollierung (Art. 12) – Das System muss Ereignisse automatisch aufzeichnen, um die Rückverfolgbarkeit seiner Funktionsweise sicherzustellen.
  8. Menschliche Aufsicht (Art. 14) – Maßnahmen, die natürlichen Personen eine wirksame Überwachung des KI-Systems und ein Eingreifen bei Bedarf ermöglichen.
  9. Genauigkeit, Robustheit & Cybersicherheit (Art. 15) – Das System muss ein angemessenes Genauigkeitsniveau erreichen, fehlertolerant sein und vor Sicherheitsbedrohungen geschützt werden.
  10. EU-Datenbankregistrierung (Art. 49) – Hochrisiko-KI-Systeme müssen vor dem Inverkehrbringen in der öffentlichen EU-Datenbank registriert werden.

Wichtige Fristen

DatumMeilensteinWas gilt
1. August 2024InkrafttretenVerordnung veröffentlicht und rechtsverbindlich
2. Februar 2025Verbote geltenVerbotene KI-Praktiken (Art. 5) durchsetzbar
2. August 2025GPAI & KI-KompetenzRegeln für allgemeine KI-Modelle und KI-Kompetenzpflichten
2. August 2026Hochrisiko-PflichtenVollständige Hochrisiko-Anforderungen durchsetzbar – noch weniger als 5 Monate
2. August 2027Anhang-I-ProdukteIn regulierte Produkte eingebettete KI-Systeme (Maschinen, Medizinprodukte usw.)

Die Frist 2. August 2026 ist für die meisten Unternehmen die kritischste, da sie sämtliche Hochrisiko-Pflichten auslöst, einschließlich FRIA, Technische Dokumentation und Konformitätsbewertung.

Sanktionen bei Verstößen

Der EU AI Act sieht drei Bußgeldstufen gemäß Art. 99 vor:

StufeHöchstbetrag% des UmsatzesGilt für
Stufe 135 Mio. €7 %Verbotene KI-Praktiken (Art. 5)
Stufe 215 Mio. €3 %Hochrisiko-Verstöße (Art. 8–15, 27, 43, 49)
Stufe 37,5 Mio. €1 %Irreführende Angaben gegenüber Behörden

Nationale Aufsichtsbehörden setzen die Verordnung in den einzelnen Mitgliedstaaten durch. Auf EU-Ebene beaufsichtigt das Europäische KI-Büro allgemeine KI-Modelle (Art. 64–68).

So starten Sie

Die Compliance mit dem EU AI Act ist ein strukturierter Prozess. Hier sind die fünf wesentlichen Schritte:

  1. KI-System klassifizieren – Nutzen Sie unseren kostenlosen Risiko-Check, um festzustellen, ob Ihr System als Hochrisiko eingestuft wird. Das dauert weniger als 2 Minuten.
  2. Rolle identifizieren – Sind Sie Anbieter oder Betreiber? Ihre Pflichten unterscheiden sich erheblich je nach Rolle in der KI-Wertschöpfungskette.
  3. Gap-Analyse durchführen – Vergleichen Sie Ihre aktuellen Praktiken mit den Anforderungen der Art. 8–15 und Art. 27. Identifizieren Sie fehlende Dokumentation, Prozesse oder technische Maßnahmen.
  4. Dokumentation erstellenGenerieren Sie Compliance-Dokumententwürfe einschließlich FRIA, Technischer Dokumentation und Transparenzhinweisen, zugeschnitten auf Ihr spezifisches KI-System.
  5. Laufende Compliance sicherstellen – Der EU AI Act verlangt ein kontinuierliches Risikomanagement (Art. 9). Richten Sie regelmäßige Überprüfungen, Monitoring und Aktualisierungsverfahren ein.

Häufig gestellte Fragen

Wann tritt der EU AI Act in Kraft?

Der EU AI Act ist am 1. August 2024 in Kraft getreten, mit einem gestaffelten Zeitplan: Verbote seit Februar 2025, GPAI-Regeln ab August 2025, Hochrisiko-Pflichten ab dem 2. August 2026 und Anhang-I-Produktvorschriften ab August 2027.

Gilt er auch außerhalb der EU?

Ja. Gemäß Art. 2 hat die Verordnung extraterritoriale Wirkung. Sie gilt für jeden Anbieter oder Betreiber, unabhängig vom Sitz, wenn die Ausgabe des KI-Systems in der EU genutzt wird.

Was ist ein Hochrisiko-KI-System?

Hochrisiko-KI-Systeme werden in Art. 6 definiert und in Anhang III aufgeführt. Dazu gehören KI in kritischen Infrastrukturen, Bildung, Beschäftigung, wesentlichen Dienstleistungen, Strafverfolgung, Migration und Rechtspflege.

Welche Dokumente benötige ich?

Für Hochrisiko-KI-Systeme benötigen Sie in der Regel eine Grundrechtliche Folgenabschätzung (FRIA), Technische Dokumentation, einen Transparenzhinweis und eine Konformitätsbewertung. Die genauen Anforderungen hängen davon ab, ob Sie Anbieter oder Betreiber sind.

Was passiert bei Nichteinhaltung?

Sanktionen können bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken betragen. Bei Hochrisiko-Verstößen drohen bis zu 15 Mio. € oder 3 %. Behörden können zudem die Marktrücknahme nicht konformer KI-Systeme anordnen.

Dokumente generieren

FRIA, Technische Dokumentation und Transparenzhinweis – KI-generierte Entwürfe in Minuten.

Jetzt generieren
Kostenlos prüfen

Bereit für EU AI Act Compliance?

KI-generierte Compliance-Dokumente als solide Arbeitsgrundlage für Sie oder Ihre Anwälte.

Dokumente generierenKostenloser Risiko-Check
Was ist der EU AI Act? Der vollständige Leitfaden (2026) | AIvunera