Künstliche Intelligenz

EU AI Act: Wie Europa die Nutzung von künstlicher Intelligenz reguliert

Zusammenfassung: Der EU AI Act, seit August 2024 in Kraft, ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er basiert auf einem risikobasierten Ansatz mit vier Kategorien: unannehmbares, hohes, begrenztes und minimales Risiko. Systeme mit unannehmbarem Risiko – z. B. Social Scoring, manipulative KI oder biometrische Massenüberwachung – sind verboten. Die Regelung betrifft jedoch nahezu alle Unternehmen, die KI entwickeln, betreiben oder nutzen – unabhängig von ihrer Größe. Verstöße können mit Bußgeldern von bis zu 30 Mio. € oder 6 % des weltweiten Jahresumsatzes geahndet werden. Unternehmen sollten ihre KI-Systeme daher spätestens bis August 2026 prüfen, risikobasierte Maßnahmen umsetzen, Transparenz herstellen und ggf. Zertifizierungen beantragen.

Die Entwicklungen im Bereich der Künstlichen Intelligenz (KI) haben in den letzten fünf Jahren beispiellose Fortschritte erzielt. KI ist in nahezu jedes digitale System integriert, interagiert mit uns in unserer Sprache oder gibt in Sekundenschnelle Antworten auf nahezu alle Fragen, die sich Menschen stellen.

Von personalisierten Gesundheitsempfehlungen bis hin zu autonom fahrenden Fahrzeugen hat KI die Welt nachhaltig verändert. Ein besonders bahnbrechender Fortschritt zeigt sich in der Entwicklung neuer Medikamente. Durch den Einsatz von Big Data und KI können riesige Datenmengen aus klinischen Studien und genetischen Informationen nahezu in Echtzeit analysiert werden. Vielversprechende Wirkstoffe können mit KI schneller identifiziert und kostengünstiger entwickelt werden.

Doch diese rasante KI-Revolution birgt nicht nur Potenziale und Chancen, sondern ebenso Risiken. Diskriminierung durch KI-Systeme, die unethische Nutzung und mangelnde Transparenz sind einige der zentralen Herausforderungen, die bei der Nutzung von KI entstehen. Darüber hinaus sehen die Entwickler von künstlicher Intelligenz die Gefahr, dass KI die Kontrolle übernimmt. Sam Altman, Gründer von Open-AI, und andere führende Entwickler, zusammengeschlossen in der Organisation Center for AI Safety, mahnen, dass das Risiko einer Vernichtung durch KI genauso ernstgenommen werden müsse, „wie andere Risiken gesellschaftlichen Ausmaßes sein, wie etwa Pandemien und Atomkrieg.“

Mit dem EU AI Act, dem weltweit ersten umfassenden Regelwerk für KI, möchte die Europäische Union (EU) klare Grenzen setzen, um sowohl die Risiken zu minimieren als auch die Entwicklung sicherer und transparenter KI-Anwendungen zu fördern. Dieser Artikel erklärt, was der EU AI Act ist und welche Regelungen er innerhalb der Europäischen Union vornimmt. Es wird ergründet, was die Hintergründe der Einführung sind und in welche Kategorien künstliche Intelligenz eingeordnet wird. Sie erfahren unter anderem, wie deutsche und europäische Unternehmen von den Regelungen betroffen sind, welche KI-Systeme reglementiert werden und welche Strafen bei Missachtung drohen.

Was ist der EU AI Act und was regelt er?

Der EU AI Act wurde am 21. Mai 2024 vom Europäischen Rat beschlossen. In kompletter Fassung steht die Verordnung auf den Internetseiten des Europäischen Parlaments zur Ansicht zur Verfügung .Der EU AI Act ist zum 1. August 2024 in der Europäischen Union in Kraft getreten. Die Verordnung gilt nach einer Übergangsfrist von 24 Monaten ab August 2026 vollständig. Einige Regelungen sind bereits verbindlich.

Der AI Act schafft mit seinen Vorgaben und Richtlinien einen einheitlichen Rechtsrahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz in der EU. Die europaweit geltende Verordnung verfolgt einen risikobasierten Ansatz, der besonders strenge Vorgaben für Hochrisiko-KI-Systeme und Verbote für KI mit unannehmbarem Risiko vorsieht. Für KI-Systeme, von denen nur ein geringes Risiko ausgeht, gelten Transparenzpflichten. Erklärtes Ziel des EU AI Act ist es, die Sicherheit, Gesundheit und Grundrechte der Bürgerinnen und Bürger zu schützen, das Vertrauen in KI zu stärken, Missbrauch zu verhindern und den fairen Wettbewerb und weitere digitale Innovation zu ermöglichen.

Der AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von künstlicher Intelligenz. Das Gesetz gilt für Unternehmen aller Größen, Anbieter, Betreiber, Importeure und auch Nutzer von KI-Systemen. Die rein private, nicht-kommerzielle Nutzung von KI wird durch den EU AI Act nicht reglementiert.

Welche Hintergründe zur Einführung des EU AI Act führten

Die Einführung des EU AI Act wurde durch den massiven Einsatz von KI in sensiblen Bereichen wie Gesundheitswesen, Justiz und kritischer Infrastruktur notwendig. Die EU verfolgt mit dem EU AI Act einen ähnlichen Ansatz wie bei der Datenschutz-Grundverordnung (DSGVO). Der EU AI Act soll die Bürger der Europäischen Union schützen und globale Standards setzen.

Welche Ziele der EU AI Act verfolgt, sieht man am Beispiel des in China üblichen Social-Scoring. Das Social-Scoring-System in China bewertet das Verhalten von Bürgern, Unternehmen und Organisationen mittels digital erfasster Daten. Videoüberwachung, die Auswertung von Online-Aktivitäten und Eintragungen in staatliche Register ergeben zusammengenommen und per KI ausgewertet einen Punktwert für einen Bürger.

Für wünschenswertes, systemkonformes Verhalten werden Pluspunkte vergeben. Unter anderem verdienen chinesische Bürger Punkte durch Gesetzestreue, soziales Engagement wie Freiwilligenarbeit oder wirtschaftliche Zuverlässigkeit. Eine negative Einstellung zur Regierung, Regelbruch oder schlechte Leistungen in Schule und Beruf führen zu Punktabzug. Konsequenz eines niedrigen Scores können Sanktionen wie Reiseverbote und Einschränkungen im Alltag sein.

Die chinesische, kommunistische Regierung möchte durch Kontrolle und Steuerung die Vertrauenswürdigkeit und das gesellschaftliche Verhalten ihrer Bürger verbessern. Kritiker sehen im Social Scoring jedoch eindeutig ein Instrument zur umfassenden Überwachung und Disziplinierung der Bevölkerung. Ein derartiger Einsatz von KI steht im Gegensatz zu den Grundwerten der EU, da er die Privatsphäre und die Grundrechte der Bürger massiv einschränkt.

Der EU AI Act setzt solchen und ähnlichen KI-gesteuerten Systemen klare Grenzen entgegen, um derartige Szenarien in Europa zu verhindern. Durch strenge Regeln und Transparenzanforderungen soll sichergestellt werden, dass KI-Systeme ethisch und rechtskonform eingesetzt werden.

Wie kategorisiert der EU AI Act KI-Systeme?

Der EU AI Act teilt KI-Systeme in vier Risikokategorien ein. Diese Kategorien basieren auf ihrem potenziellen Einfluss auf Menschen und Gesellschaft:

Unannehmbares Risiko: Diese Kategorie umfasst Anwendungen, die als gefährlich oder ethisch unvertretbar angesehen werden. Beispiele sind Social Scoring-Systeme oder manipulative Systeme, wie KI-gesteuertes Spielzeug, dass Kinder zu gefährlichem Verhalten animiert. KI-Spielzeuge können durch Sprachsteuerung, Kameras und Sensoren individuell auf Kinder eingehen und sie gezielt beeinflussen. Solche Anwendungen sind vollständig verboten, da sie grundlegende Rechte und Freiheiten gefährden.
Hohes Risiko: KI-Systeme mit einem hohen Risiko agieren in sensiblen Bereichen. Darunter fallen unter anderem das Gesundheitswesen, die Rüstungsindustrie, die Strafverfolgungsbehörden, die öffentlichen Verwaltung oder der Finanzbereich. Digitale Systeme und Software in diesen Sparten hat potenziell erhebliche Auswirkungen auf das Leben der Menschen in der EU. Wird KI in diesen Bereichen eingesetzt, muss sie den strengen Vorschriften des EU AI Act entsprechen. Dazu gehören Anforderungen an Transparenz, Robustheit und menschliche Aufsicht.
Begrenztes Risiko: Ein begrenztes Risiko geht gemäß EU AI Act von KI-Systeme aus, die mit Nutzern interagieren. Ein typisches Beispiel in dieser Kategorie sind Chat-Bots. Solche Anwendungen müssen transparent sein. Das bedeutet vor allem, dass Nutzer wissen, dass sie mit einer KI und nicht mit einem Menschen kommunizieren. Dies kann beispielsweise durch die Meldung passieren: „Ich bin ein KI-System.“
Minimales Risiko: Die Mehrheit der heute bekannten KI-Anwendungen fällt in die Kategorie minimales Risiko. KI-Bildbearbeitungssoftware, KI-Textgeneratoren oder eine KI-gestützte Rechtschreibprüfung sind von der Regulierung weitgehend ausgenommen. Dennoch solle ihr Einsatz den allgemeinen Prinzipien der Sicherheit und Transparenz folgen.

Kennzeichnungspflicht für KI-Inhalte

KI-generierte Bilder, Videos und Audios müssen gekennzeichnet werden, wenn sie sogenannte Deepfakes darstellen. KI-generierte Texte sind ebenfalls kennzeichnungspflichtig, wenn sie von öffentlichem Interesse sind. Das gilt beispielsweise für Nachrichten.

Mit der vierteiligen Risikoeinstufung will der EU AI Act sicherstellen, dass KI-Systeme verantwortungsvoll eingesetzt werden. Die Verordnung fokussiert sich darauf, eine Balance zwischen Sicherheit, Transparenz und technologischer Entwicklung zu wahren.

Wer ist von den Regelungen betroffen?

Die Verordnung betrifft vor allem Unternehmen, die KI-Systeme entwickeln und vertreiben. Da auch alle Konzerne und Unternehmen den EU AI Act beachten müssen, die KI in ihre Arbeitsprozesse integrieren, gilt die Verordnung für nahezu jedes Unternehmen in der Europäischen Union.

Für Anbieter von „allgemeinen KI-Modellen“ (General Purpose AI), wie beispielsweise ChatGPT von Open AI oder Gemini AI von Google gelten zusätzliche Auflagen. Sie sind verpflichtet, Trainingsdaten ihrer KI-Systeme offenzulegen und umfangreiche Transparenzvorgaben zu beachten.

Was ist ab wann verboten?

Die folgenden Übergangsfristen gelten für die verschiedenen Risiko-Kategorien in der EU:

EU AI Act tritt offiziell mit 2-jähriger Übergangsphase in Kraft	01.08.2024
Verbot der folgenden KI-Praktiken, die als unannehmbares Risiko eingestuft werden (siehe oben). Dazu gehören manipulative Techniken, Ausnutzung Schutzbedürftiger, Social Scoring, biometrische Echtzeit-Fernidentifizierung, biometrische Kategorisierung, Emotionserkennung am Arbeitsplatz ohne Zustimmung.	02.02.2025
Transparenzanforderungen für allgemeine KI-Systeme. Governance-Regeln gelten.	01.08.2025
Verpflichtungen für Hochrisiko-KI-Systeme werden implementiert.	01.08.2026
Allgemeine Übergangsphase von 2 Jahren endet.	01.08.2026
Hochrisiko-Systeme mit Sicherheitskomponente (Artikel 6) fallen ebenfalls unter die Regelung des EU AI Act. Dazu gehören autonome Fahrsysteme, KI-gesteuerte Aufzüge und biometrische Identifizierungssysteme	01.08.2027

Welche KI-Systeme sind von den Regelungen ausgeschlossen?

Nicht alle KI-Systeme fallen unter die strengen Anforderungen der EU-Regelungen. Der AI Act definiert Ausnahmen für bestimmte Anwendungen. Die Ausnahme-Projekte müssen unter klar definierten Rahmenbedingungen und im öffentlichen Interesse entwickelt und eingesetzt werden. Dazu gehören beispielsweise:

KI-Systeme für wissenschaftliche Forschung: Derartige Systeme mit künstlicher Intelligenz werden eingesetzt, um neue Innovationen zu generieren und technologische Fortschritte zu fördern. Ein unmittelbares, kommerzielles Interesse darf nicht im Vordergrund stehen.
Prototypen in regulierten Testumgebungen („Regulatory Sandboxes“): Diese speziell eingerichteten Testbereiche ermöglichen es Unternehmen, neue KI-Technologien unter kontrollierten Bedingungen zu entwickeln, zu testen und zu validieren. Die Kontrolle über die Systeme ist zu jeder Zeit bei den entwickelnden Ingenieuren. Dies reduziert Risiken und bietet gleichzeitig Raum für Innovation.

Die EU fördert diese sogenannten Regulatory Sandboxes aktiv, um die Entwicklung von KI-Technologien zu unterstützen. Jeder EU-Mitgliedstaat ist rechtlich verpflichtet, bis spätestens 2. August 2026 mindestens eine nationale KI-Sandbox einzurichten. Die EU-Kommission unterstützt die Mitgliedstaaten durch technische Beratung, Instrumente und Initiativen wie das EUSAiR-Projekt.

Um KI-Innovationen voranzutreiben, hat die Europäische Kommission 2025 zudem die Mobilisierung von Investitionen in KI in Höhe von 200 Milliarden Euro angekündigt. Davon werden 150 Milliarden Euro durch 70 private Unternehmen (EU AI Champions Initiative) und 50 Milliarden Euro durch die EU getragen.

Beispiel für eine Regulatory Sandbox

Ein Pilotprojekt in Spanien bringt Behörden und Unternehmen zusammen, um Best-Practice-Richtlinien für die Umsetzung der KI-Verordnung zu entwickeln. Die Ergebnisse werden allen EU-Mitgliedstaaten zur Verfügung gestellt, um die Einführung der KI-Regulierung zu erleichtern.

Welche Strafen drohen bei Missachtung?

Der EU AI Act sieht ähnlich wie bei der DSGVO empfindliche Strafen bei Verstößen gegen die Verordnung vor. Diese sollen vor allem abschreckend wirken.

Es drohen Geldbußen von bis zu 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ausfällt.
Im Falle von wiederholten Verstößen riskieren Unternehmer und Entwickler von KI-Systemen den vollständigen Ausschluss vom EU-Markt, bis die festgestellten Mängel behoben sind. Mit dieser klaren Strafandrohung wird klargestellt, dass die Einhaltung der Regelungen für die EU-Kommission oberste Priorität hat.

Wie können Unternehmen sicherstellen, dass ihre Systeme konform sind?

Unternehmen sollten bis zum Stichtag 01.08.2026 die folgenden drei Maßnahmen umsetzen:

Überprüfung von KI-Tools: Nutzen Sie den Compliance-Checker, um zu bestimmen, welcher Risikoklasse Ihr System zugeordnet wird. Der Compliance Checker auf artificialintelligenceact.eu ist ein interaktives Tool der EU, das automatisch ermittelt, ob ein KI-System unter das Gesetz fällt, wie es risikoklassifiziert wird und welche spezifischen Anforderungen zu erfüllen sind.
Transparenz schaffen: Legen Sie, wenn Sie mit Hochrisiko-Systemen arbeiten, alle Trainingsdaten und Verwendungshinweise offen.
Zertifizierungen beantragen: Arbeiten Sie gezielt mit den benannten Stellen zur Konformitätsbewertung zusammen, wenn Sie Hochrisiko-KI-Systeme nutzen. Zu den benannten Stellen gehören private Unternehmen und staatliche Einrichtungen, die notifiziert und geprüft sind sowie nationale Marktüberwachungsbehörden.