Zwei Roboter halten eine Waage.

Vollständiger Leitfaden zum EU-Gesetz zur künstlichen Intelligenz (KI-Gesetz)

Blog /

Das EU-Gesetz über künstliche Intelligenz (Verordnung (EU) 2024/1689) legt rechtsverbindliche Regeln für alle KI-Systeme fest, die auf dem europäischen Markt eingeführt werden oder deren Ergebnisse Nutzer in der EU erreichen. Damit ist es das erste horizontale, risikobasierte KI-Gesetz überhaupt. Unabhängig davon, ob Sie Modelle erstellen, Tools von Drittanbietern integrieren oder einfach Chatbots zur Kundenbetreuung einsetzen, schafft das Gesetz neue Pflichten und setzt Sie pro Verstoß mit hohen Geldstrafen von bis zu 7 % des weltweiten Umsatzes aus. Das Gesetz trat am 1. August 2024 in Kraft; die Compliance-Verpflichtungen werden von Februar 2025 bis August 2027 schrittweise eingeführt, sodass nur wenig Zeit für die Vorbereitung bleibt.

Dieser praktische Leitfaden erklärt Ihnen ohne juristische Fachbegriffe genau, was Sie wissen müssen: den Geltungsbereich und die wichtigsten Definitionen des Gesetzes, die vierstufige Risikoklassifizierung, den Zeitplan und die Durchsetzungsmechanismen, die konkreten Pflichten für Anbieter, Nutzer, Importeure und Händler sowie die Strafen bei Verstößen. Wir ordnen die Verordnung außerdem der DSGVO, NIS2, den Produktsicherheitsvorschriften und branchenspezifischen Anforderungen zu und geben Ihnen anschließend eine schrittweise Compliance-Checkliste, die Ingenieur-, Rechts- und Führungsteams sofort umsetzen können. Wir bereiten Sie vor – lange bevor die Prüfer an die Tür kommen.

Auf einen Blick: Was der EU-KI-Act eigentlich ist

Die Verordnung (EU) 2024/1689 – besser bekannt als EU-Gesetz zur künstlichen Intelligenz – ist eine direkt anwendbare EU-Verordnung und keine Richtlinie. Das bedeutet, dass ihre Artikel automatisch in jedem Mitgliedstaat gelten, ohne dass eine nationale Umsetzung erforderlich ist, ähnlich wie die Datenschutz 2018 tat. Das Ziel ist zweierlei: Grundrechte und Sicherheit zu schützen und Unternehmen gleichzeitig Rechtssicherheit für verantwortungsvolle Innovationen im Bereich KI zu geben. Um dies zu erreichen, führt das Gesetz ein horizontales, risikobasiertes Instrumentarium ein, das alle Sektoren vom Finanzwesen bis zum Gesundheitswesen umfasst und Systeme mit entsprechenden rechtlichen Pflichten von „minimalem“ bis „inakzeptablem“ Risiko einstuft.

Umfang und Definitionen, die Sie kennen müssen

Bevor Sie einen Compliance-Plan erstellen, sollten Sie sich das Kernvokabular aneignen:

  • KI-System: „Ein maschinenbasiertes System, das für den Betrieb mit unterschiedlichen Autonomiegraden konzipiert ist und das für explizite oder implizite Ziele aus Eingabedaten ableitet, wie Ausgaben – wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen – generiert werden können, die physische oder virtuelle Umgebungen beeinflussen können.“
  • Allzweck-KI (GPAI): Ein KI-System, das eine große Bandbreite unterschiedlicher Aufgaben erfüllen kann, unabhängig davon, wie es anschließend optimiert oder eingesetzt wird.
  • Anbieter: jede natürliche oder juristische Person, die ein KI-System entwickelt oder entwickelt hat, um es unter ihrem Namen oder ihrer Marke auf den Markt zu bringen oder in Betrieb zu nehmen.
  • Benutzer (oft „Bereitsteller“ genannt): eine Person oder Entität, die ein KI-System unter ihrer Autorität verwendet, ausgenommen die private, nicht professionelle Nutzung.
  • Importeur: In der Union ansässige Partei, die ein KI-System auf dem EU-Markt in Verkehr bringt, das den Namen oder die Marke eines außerhalb der Union ansässigen Unternehmens trägt.
  • Distributor: Akteur in der Lieferkette – mit Ausnahme des Anbieters oder Importeurs –, der ein KI-System bereitstellt, ohne es zu verändern.

Die territoriale Reichweite ist groß: Jedes System, das auf dem EU-Markt in Verkehr gebracht wird oder dessen Produkte in der EU genutzt werden, fällt unter das Gesetz, unabhängig vom Sitz des Entwicklers. Ausnahmen gelten für rein militärische oder sicherheitsrelevante Anwendungen, noch nicht vermarktete F&E-Prototypen und private Hobbyprojekte.

Im Gesetz verankerte Schlüsselprinzipien

Die Verordnung bindet langjährige ethische Konzepte in durchsetzbares Recht ein:

  • Menschliche Agentur und Aufsicht
  • Technische Robustheit und Sicherheit
  • Datenschutz und Datenverwaltung
  • Transparenz und Erklärbarkeit
  • Vielfalt, Nichtdiskriminierung und Fairness
  • Gesellschaftliches und ökologisches Wohlergehen

Diese spiegeln die OECD-KI-Prinzipien und die früheren „Ethik-Leitlinien für Vertrauenswürdige KI”, verfügen nun aber über regulatorische Zähne.

Regulierung vs. bestehende Soft-Law-Richtlinien

Bis 2024 stützte sich die KI-Governance in Europa auf freiwillige Rahmenbedingungen wie den EU-KI-Pakt oder Unternehmenskodizes. Der KI-Act ändert dies: Die Einhaltung ist obligatorisch, überprüfbar und wird unterstützt durch Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes. Mit anderen Worten: Erklärungen zur „ethischen KI“ reichen nicht mehr aus – Unternehmen müssen Konformitätsbewertungen, CE-Kennzeichnungen und überprüfbare Protokolle vorlegen, sonst riskieren sie, vom EU-Markt ausgeschlossen zu werden.

Zeitplan, Rechtsstatus und Durchsetzungsphasen

Der EU-Gesetzentwurf zur künstlichen Intelligenz (KI) wurde in etwas mehr als drei Jahren vom Vorschlag zum verbindlichen Gesetz – für Brüsseler Verhältnisse in Lichtgeschwindigkeit. Da es sich um eine Verordnung handelt, gelten die meisten Artikel automatisch und ohne nationale Umsetzung im gesamten EU-Raum. Was sich im Laufe der Zeit ändert, ist, welche Verpflichtungen zuerst greifen. Der folgende Zeitplan zeigt die politischen Meilensteine, die uns bis hierher gebracht haben, und schafft die Grundlage für die schrittweisen Compliance-Pflichten, die Ihr Unternehmen nun einplanen muss.

Datum Milestone Welche Bedeutung hatte der Wiener Kongress?
21 April 2021 Kommission veröffentlicht Entwurf eines KI-Gesetzes Formeller Beginn des Gesetzgebungsverfahrens
9 Dec 2023 Parlament und Rat erzielen politische Einigung Kerntext weitgehend gesperrt
März 13 2024 Schlussabstimmung im Europäischen Parlament (523-46) Zustimmung der Demokraten gesichert
21. Mai 2024 Annahme durch den Rat der EU Letzte gesetzgeberische Hürde genommen
10 Juli 2024 Im Amtsblatt veröffentlichter Text Der juristische Countdown beginnt
1 August 2024 Verordnung (EU) 2024/1689 tritt in Kraft „Tag 0“ für alle zukünftigen Termine

Das Datum des Inkrafttretens löst eine Reihe gestaffelter Anwendungstermine über drei Jahre aus. Dieses Konzept gibt Anbietern, Nutzern, Importeuren und Händlern Spielraum, um Konformitätsprozesse aufzubauen, Modelle zu aktualisieren und Mitarbeiter zu schulen. Gleichzeitig bedeutet es aber auch, dass Prüfer deutlich vor 2027 mit nachweisbaren Fortschritten rechnen können.

Durchsetzungsfahrplan: Was gilt wann?

  • 6 Monate | 1. Februar 2025
    • Verbotene KI-Praktiken (Art. 5) müssen vom Markt genommen werden – keine Ausreden.
  • 12 Monate | 1. August 2025
    • Transparenzpflichten für Deepfakes, Chatbots und Emotionserkennung greifen.
    • Verhaltenskodizes für allgemeine KI (GPAI) werden erwartet; freiwillig, aber dringend empfohlen.
  • 24 Monate | 1. August 2026
    • Es beginnen die Anforderungen an Hochrisikosysteme: Risikomanagement, Datenverwaltung, technische Dokumentation, menschliche Aufsicht und Vorbereitungen für die CE-Kennzeichnung.
    • Anbieter müssen Hochrisikosysteme in der neuen EU-Datenbank registrieren.
  • 36 Monate | 1. August 2027
    • Es gilt das vollständige System, einschließlich biometrischer Identifikationssysteme, Konformitätsbewertungen durch benannte Stellen und einer obligatorischen EU-Konformitätserklärung für alle Hochrisiko-KI.
    • Marktüberwachungsbehörden Sie erhalten die Befugnis, den Rückruf oder die Rücknahme nicht konformer Produkte anzuordnen.

Übergangsklauseln ermöglichen es Hochrisikosystemen, die bereits vor August 2026 rechtmäßig im Einsatz waren, auf dem Markt zu bleiben, bis sie einer „wesentlichen Änderung“ unterzogen werden. Planen Sie Upgrades sorgfältig, um ein versehentliches Zurücksetzen der Compliance-Uhr zu vermeiden.

Institutionen und Aufsichtsgremien

Drei Aufsichtsebenen sorgen für die Durchsetzung des EU-Gesetzes über künstliche Intelligenz:

  1. EU-KI-Büro (Europäische Kommission) – Koordiniert die Leitlinien, pflegt das GPAI-Register und kann Geldstrafen gegen Anbieter systemischer Modelle verhängen.
  2. Nationale zuständige Behörden – Einer pro Mitgliedstaat; kümmert sich um Inspektionen, Beschwerden und die tägliche Marktüberwachung.
  3. Benannte Stellen – Unabhängige Konformitätsbewertungsorganisationen, die Hochrisikosysteme vor der CE-Kennzeichnung prüfen.

Diese Akteure arbeiten zusammen durch die Europäischer Rat für Künstliche Intelligenz (EAIB), die harmonisierte Auslegungshinweise herausgibt – betrachten Sie sie als das KI-Äquivalent zum EDPB der DSGVO. Behalten Sie deren Leitlinien im Auge; sie beeinflussen die Beurteilung Ihrer technischen Dateien und Risikobewertungen in der Praxis.

Das vierstufige Risikoklassifizierungs-Framework

Kernstück des EU-Gesetzes zur künstlichen Intelligenz (KI-Gesetz) ist ein Ampelmodell, das die Strenge der Vorschriften bestimmt: Je höher das Risiko für die Rechte und die Sicherheit der Menschen, desto höher der Compliance-Aufwand. Jedes KI-System muss einer von vier Klassen zugeordnet werden: inakzeptabel, hoch, eingeschränkt oder minimal. Die Klassifizierung bestimmt alles Weitere: Dokumentationstiefe, Testgenauigkeit, Aufsicht und letztendlich den Marktzugang.

Risikostufe Typische Beispiele Kernrechtliche Folge Datum der Erstbewerbung*
Inakzeptabel Social Scoring, biometrische Echtzeit-ID im öffentlichen Raum, manipulative „Nudge“-Engines Totalverbot; Entzug und Geldbußen bis zu 35 Mio. € / 7 % Februar 1 2025
Hoch Tools zur Lebenslauf-Überprüfung, Software zur medizinischen Diagnose, Bonitätsbewertung, Module für autonomes Fahren Konformitätsbewertung, CE-Kennzeichnung, Registereintrag, Post-Market-Monitoring 1. August 2026 (Biometrie: 1. August 2027)
Limitiert Chatbots, Deepfake-Generatoren, Widgets zur Emotionsanalyse Transparenzhinweis und grundlegende Benutzerkontrollen 1 August 2025
Minimal KI-gestützte Spamfilter, Videospiel-NPCs Keine verbindlichen Regeln; nur freiwillige Kodizes Bereits in Kraft

* Berechnet ab dem Inkrafttreten am 1. August 2024.

Das Framework ist dynamisch: Wenn Sie neue Funktionen hinzufügen oder die Zielbenutzer ändern, kann Ihr System eine Ebene überspringen und neue Aufgaben auslösen.

Inakzeptables Risiko: Verbotene KI-Praktiken

Artikel 5 zieht eine rote Linie für Nutzungen, die nach Ansicht der EU grundsätzlich unvereinbar mit den Grundrechten sind. Dazu gehören:

  • Unterschwellige Techniken, die das Verhalten wesentlich verzerren
  • Ausnutzung der Verletzlichkeit von Minderjährigen oder Menschen mit Behinderungen
  • Wahllose Echtzeit biometrische Identifizierung in öffentlich zugänglichen Räumen (es gelten enge Ausnahmen für die Strafverfolgung)
  • Soziales Scoring durch Behörden
  • Prädiktive Polizeiarbeit, die ausschließlich auf Profilerstellung oder Standortdaten basiert

Solche Systeme dürfen niemals auf den EU-Markt gelangen. Nationale Behörden können einen sofortigen Rückruf anordnen, und die Strafen übersteigen die im Gesetz festgelegte Bußgeldskala.

Hochrisiko-KI-Systeme: Kategorien gemäß Anhang III

Ein System fällt in die Kategorie „Hochrisiko“, wenn es:

  1. Eine Sicherheitskomponente eines Produkts, das bereits reguliert ist (z. B. im Rahmen der Maschinen- oder Medizinprodukteverordnung), oder
  2. Aufgeführt in den acht sensiblen Bereichen des Anhangs III – Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration und Gerechtigkeit.

Sobald ein Anbieter als Hochrisikoanbieter eingestuft wird, müssen sie ein Qualitätsmanagementsystem betreiben, einen Risikomanagementzyklus durchführen und eine Konformitätsbewertung sicherstellen – manchmal durch eine externe benannte Stelle. Die Nutzer (Bereitsteller) übernehmen die Pflichten zur Protokollierung, Überwachung und Meldung von Vorfällen.

Begrenztes Risiko: Transparenzpflichten

Tools mit begrenztem Risiko sind nicht ungefährlich, aber die EU ist überzeugt, dass die Sensibilisierung der Nutzer die meisten Gefahren mindert. Hersteller von Chatbots, generativen KI-Kunst-Engines oder synthetischen Sprachdiensten müssen:

  • Informieren Sie die Benutzer, dass sie mit KI interagieren („Dieses Bild wurde von KI generiert“)
  • Geben Sie Deepfake-Inhalte in einem maschinenlesbaren Wasserzeichen bekannt
  • Unterlassen Sie die heimliche Erfassung personenbezogener Daten, die über das unbedingt Notwendige hinausgehen

Wird die Mitteilung nicht übermittelt, wird das System sofort in den Bereich der Nichtkonformität herabgestuft und es drohen Verwaltungsstrafen.

Minimales/Vernachlässigbares Risiko: Keine verbindlichen Regeln

Spamfilter, prädiktive Texterkennung in E-Mails oder KI zur Optimierung des Energieverbrauchs von Heizungs-, Lüftungs- und Klimasystemen fallen in der Regel darunter. Der EU-Gesetzentwurf zur künstlichen Intelligenz (KI-Gesetz) schreibt zwar keine verbindlichen Verpflichtungen vor, fördert aber aktiv die Einführung freiwilliger Verhaltensregeln, regulatorischer Sandboxes und die Einhaltung internationaler Standards wie ISO/IEC 42001. Eine einfache Dokumentation und grundlegende Bias-Tests sind dennoch sinnvoll – Regulierungsbehörden können Grenzfälle neu klassifizieren, wenn Hinweise auf einen Schaden auftauchen.

Kernpflichten für Anbieter, Betreiber und andere Akteure

Der EU-Künstliche-Intelligenz-Gesetzentwurf (KI) erstreckt Compliance-Pflichten auf die gesamte Lieferkette. Da die Haftung von der Funktion und nicht von der Unternehmensgröße abhängt, müssen Sie zunächst feststellen, welche Rolle Sie spielen – Anbieter, Nutzer (Bereitsteller), Importeur oder Händler – und anschließend alle risikospezifischen Anforderungen festlegen. Eine fehlende korrekte Klassifizierung ist ein häufiges Audit-Ergebnis. Behandeln Sie die Zuordnung daher als ersten Schritt Ihres Programms.

Anbieter von Hochrisikosystemen

Die größte Last tragen die Anbieter, da sie die Designentscheidungen kontrollieren. Hauptaufgaben:

  • Richten Sie ein dokumentiertes Qualitätsmanagementsystem (QMS) ein, das Datenverwaltung, Risikomanagement, Änderungskontrolle und Cybersicherheit abdeckt.
  • Führen Sie eine Ex-ante-Konformitätsbewertung durch. Die meisten Systeme nach Anhang III können eine Selbstbewertung durchführen, für biometrische Ausweise, medizinische Geräte und andere sicherheitskritische Anwendungsfälle ist jedoch eine benannte Stelle erforderlich.
  • Stellen Sie die technische Dokumentation zusammen: Modellarchitektur, Herkunft der Trainingsdaten, Bewertungsmetriken, Robustheitstests, menschliche Kontrollmechanismen und Plan zur Überwachung nach der Markteinführung.
  • Erstellen Sie eine EU-Konformitätserklärung, bringen Sie die CE-Kennzeichnung an und registrieren Sie das System vor der ersten Inbetriebnahme in der öffentlichen KI-Datenbank.
  • Führen Sie eine kontinuierliche Überwachung nach dem Inverkehrbringen ein: Protokollieren Sie schwerwiegende Vorfälle, führen Sie bei Überschreiten von Driftschwellenwerten eine erneute Schulung durch und benachrichtigen Sie die zuständigen Behörden innerhalb von 15 Tagen.

Die Vernachlässigung eines dieser Schritte kann zu Geldstrafen von bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes führen – selbst wenn kein Schaden entsteht.

Benutzer/Betreiber von Hochrisikosystemen

Bereitsteller wandeln Code in reale Auswirkungen um, daher gibt ihnen das Gesetz eine eigene Checkliste:

  • Betreiben Sie das System strikt nach den Anweisungen des Anbieters und dem dokumentierten Anwendungsfall.
  • Führen Sie eine Folgenabschätzung für die Grundrechte (FRIA) durch, wenn es sich bei dem Benutzer um eine Behörde handelt oder wenn die KI den Zugang zu wesentlichen Dienstleistungen wie Wohnraum oder Krediten beeinflusst.
  • Sorgen Sie für eine qualifizierte menschliche Aufsicht: Das Personal muss geschult sein, die Befugnis haben, Ergebnisse außer Kraft zu setzen und in der Lage sein, den betroffenen Personen Entscheidungen zu erklären.
  • Bewahren Sie Protokolle, einschließlich Eingabedaten, Ausgabe, menschlicher Eingriffe und Leistungsanomalien, mindestens sechs Jahre lang auf.
  • Melden Sie schwerwiegende Vorfälle unverzüglich dem Anbieter und der nationalen Behörde. In der Regel wird hiermit eine Frist von 72 Stunden gemeint.

Importeure und Distributoren

Akteure, die KI-Systeme in der EU einführen oder weitergeben, haben Gatekeeping-Pflichten:

  • Überprüfen Sie, ob die CE-Kennzeichnung, die EU-Konformitätserklärung und die Anweisungen vorhanden sind und mit der vermarkteten Funktionalität übereinstimmen.
  • Verzichten Sie auf die Lieferung des Produkts, wenn Sie wissen – oder wissen sollten –, dass es nicht den Vorschriften entspricht. Informieren Sie stattdessen den Anbieter und die zuständige Behörde.
  • Führen Sie ein Register über Beschwerden und Rückrufe und stellen Sie es den Behörden auf Anfrage zur Verfügung.
  • Arbeiten Sie bei Korrekturmaßnahmen mit, einschließlich Produktrücknahmen oder Software-Patches.

Verpflichtungen für allgemeine KI (Grundlagenmodelle)

Das Gesetz fügt maßgeschneiderte Regeln für Ersteller von GPAI- oder Stiftungsmodellen hinzu, die überall eingebettet werden könnten:

  • Stellen Sie eine umfassende technische Dokumentation und eine Zusammenfassung der verwendeten Datensätze bereit, einschließlich Lizenzstatus und geografischer Herkunft.
  • Veröffentlichen Sie eine Erklärung von Einhaltung des Urheberrechts und, soweit möglich, Opt-out-Mechanismen für geschützte Werke implementieren.
  • Führen Sie systemische Risikotests durch und dokumentieren Sie diese, wenn das Modell den Rechenschwellenwert in Anhang XI überschreitet (z. B. 10^25 FLOPs). Für „systemische GPAI“ fallen zusätzliche Pflichten an, wie z. B. das Anbieten von Referenzimplementierungen und die Zusammenarbeit mit dem EU-KI-Büro.
  • Bei Open-Source-Modellen gelten weniger strenge Auflagen, dennoch müssen die generierten Inhalte mit einem Wasserzeichen versehen und Nutzungsanweisungen mit detaillierten Angaben zu vorhersehbaren Einschränkungen bereitgestellt werden.

Indem Sie Ihre internen Kontrollen an den oben aufgeführten rollenspezifischen Checklisten ausrichten, können Sie die eklatantesten Compliance-Lücken lange vor Ablauf der Durchsetzungsfristen im August 2026 und 2027 schließen.

Technische und organisatorische Anforderungen zur Erreichung der Compliance

Der EU-Künstliche-Intelligenz-Gesetzentwurf gibt keine allgemeingültigen Blaupausen vor. Stattdessen definiert er ergebnisorientierte „Grundanforderungen“ und überlässt Ihnen die freie Wahl der Kontrollen, die diese Anforderungen erfüllen. Der Trick besteht darin, bewährte technische Verfahren mit regulatorischer Hygiene zu verbinden, sodass jede Modellaktualisierung oder Datenaktualisierung automatisch in eine wiederholbare Compliance-Pipeline einfließt. Die folgenden fünf Bausteine ​​übersetzen die Rechtsartikel des Gesetzes in konkrete Aufgaben, die Ihre Produkt-, Daten- und Rechtsteams übernehmen können.

Daten-Governance und -Management

Schlechte Daten sind regulatorisches Kryptonit. Artikel 10 zwingt Anbieter von Hochrisiko-KI, jedes Byte, das in die Pipeline gelangt, zu dokumentieren und zu begründen.

  • Kuratieren Sie Datensätze, die relevant, repräsentativ, fehlerfrei und aktuell für die vorgesehene Bevölkerung.
  • Führen Sie für jedes Korpus ein „Datenblatt“: Quelle, Erfassungsdatum, Lizenzbedingungen, Vorverarbeitungsschritte, Bias-Prüfungen und Aufbewahrungszeitraum.
  • Verfolgen Sie die Herkunft in einem versionskontrollierten Repository, sodass Sie ein Rollback durchführen können, wenn eine Behörde Korrekturen verlangt.
  • Führen Sie Bias- und Ungleichgewichtstests mit statistisch fundierten Methoden durch (χ², KS-test, oder modellunabhängige Fairnessmetriken) und protokollieren Sie Maßnahmen zur Schadensbegrenzung.

Halten Sie den gesamten Verlauf – Rohdaten, Skripte, Testergebnisse – zugänglich für 10 Jahre; das Rückblickfenster des Gesetzes ist lang.

Risikomanagement-Framework

Artikel 9 erfordert eine kontinuierlicher und dokumentierter Prozess das spiegelt ISO 31000 und den Entwurf ISO/IEC 23894 wider.

  1. Identifizieren Sie Gefahren: Missbrauchsszenarien, feindliche Angriffe, Datendrift.
  2. Analysieren Sie die Auswirkungen und die Wahrscheinlichkeit und bewerten Sie sie auf einer gemeinsamen Skala (z. B. risk = probability × severity).
  3. Legen Sie Kontrollen fest: technische Sicherheitsvorkehrungen, menschliche Aufsicht, vertragliche Beschränkungen.
  4. Überprüfen Sie die Kontrollen nach jedem größeren Update und lassen Sie die Ergebnisse in den nächsten Sprint einfließen.

Speichern Sie alles in einem lebenden Risikoregister. Die Aufsichtsbehörden erwarten Zeitstempel, Eigentümer und Nachweise für die Schließung.

Menschliche Aufsicht und Transparenz durch Design

Die Artikel 14 und 52 wandeln die „Human-in-the-Loop“-Diskussion in verbindliche Designaufgaben um.

  • Definieren Sie den Überwachungsmodus: auf dem Laufenden (manuelle Genehmigung), auf der Schleife (Echtzeit-Benachrichtigungen) oder Over-the-Loop (Post-hoc-Audits).
  • Betten Sie Erklärbarkeitsebenen ein: Salienzkarten, kontrafaktische Beispiele, vereinfachte Entscheidungsregeln.
  • Stellen Sie Override- und Fallback-Optionen bereit, die beide technisch umsetzbar und organisatorisch autorisiert.
  • Bieten Sie Benutzerhinweise in einfacher Sprache an („Sie interagieren mit einem KI-System“) und geben Sie, wenn möglich, Vertrauenswerte an.

Robustheit, Genauigkeit und Cybersicherheit

Gemäß Artikel 15 müssen die Modelle die angegebenen Fehlerquoten einhalten und böswilligen Eingriffen standhalten.

  • Legen Sie Mindestleistungsschwellenwerte fest und überwachen Sie Genauigkeit, Präzision, Rückruf und Kalibrierungsdrift in der Produktion.
  • Führen Sie vor jeder Veröffentlichung Tests zur Widerstandsfähigkeit gegenüber Angriffen (FGSM, PGD, Datenvergiftung) durch.
  • Härten Sie die Infrastruktur gemäß NIS2 und ETSI EN 303 645: sichere APIs, rollenbasierter Zugriff, verschlüsselte Modell-Checkpoints.
  • Bereiten Sie Fallback-Pläne vor – Standardeinstellungen im abgesicherten Modus, Eskalation durch menschliche Überprüfung – wenn die Leistung unter die Toleranzgrenzen fällt.

Aufzeichnung, Protokollierung und CE-Dokumentation

Wenn es nicht niedergeschrieben ist, ist es nie passiert – ein Mantra, das in den Artikeln 11 und 19 zum Gesetz wird.

Dokument Wichtige Inhalte Kundenbindung
Technische Datei Modellarchitektur, Zusammenfassung der Trainingsdaten, Bewertungsmetriken, Cybersicherheitskontrollen Lebenszyklus + 10 Jahre
Logs Eingaben, Ausgaben, Override-Ereignisse, Leistungsstatistiken, Vorfälle ≥ 6 Jahre
EU-Konformitätserklärung Konformitätserklärung, angewandte Standards, Anbieterdetails Öffentlich verfügbar
Plan zur Überwachung nach dem Inverkehrbringen KPIs, Meldekanäle, Auslöseschwellen Kontinuierlich aktualisiert

Automatisieren Sie die Protokollerfassung, wo immer möglich. Verwenden Sie unveränderliche Speicher oder Ledger, die nur Anhänge enthalten, damit die Beweise der forensischen Prüfung standhalten. Sobald das Dossier vollständig ist, befestigen Sie die CE-Kennzeichnung und das System bei der EU-Datenbank anmelden – erst dann darf es auf den Markt kommen.

Indem Sie diese technischen und organisatorischen Kontrollen fest in Ihren Entwicklungslebenszyklus integrieren, verwandeln Sie die Compliance von einer Last-Minute-Hektik in eine ständig verfügbare Funktion, die von den Prüfern erkannt und belohnt wird.

Strafen, Rechtsmittel und Prozessrisiken

Der EU-Gesetzentwurf zur künstlichen Intelligenz verlässt sich nicht auf höfliche Anstöße; er setzt einen Knüppel ein, der Führungskräfte erschrecken lässt. Finanzielle Sanktionen spiegeln das Ausmaß der DSGVO wider, doch das Gesetz ermächtigt die Behörden auch dazu, Produkte aus den Regalen nehmen, Datenlöschung anordnen oder eine Neuschulung des Modells erzwingen wenn die Risiken nicht gemindert werden. Die Bußgelder sind auf den jeweils höheren Betrag begrenzt – einen absoluten Eurobetrag oder einen Prozentsatz des weltweiten Umsatzes des Vorjahres –, sodass selbst junge Start-ups nicht auf ihren Lorbeeren sitzen bleiben. Die folgende Tabelle fasst die Sanktionsstufen zusammen:

Art des Verstoßes Maximale feste Geldstrafe Max. % des weltweiten Umsatzes Typische Auslöser
Verbotene Praktiken (Art. 5) 35 Mio. € 7% Social Scoring, illegale biometrische Massenüberwachung
Risikoreiche Verpflichtungen (Art. 8–15) 15 Mio. € 3% Fehlende Konformitätsbewertung, mangelhafte Datenverwaltung
Informations- und Registrierungsfehler 7.5 Mio. € 1% Ungenaue technische Dokumente, verspätete Vorfallmeldung
Routinemäßige Mitteilung über Nichteinhaltung 500 € n/a Geringfügige Verstöße nach Abmahnung

Die Aufsichtsbehörden können tägliche Strafzahlungen verhängen, um die Sanierung zu beschleunigen. Produkte, die weiterhin ein „ernstes Risiko“ darstellen, müssen Rückruf oder Marktrücknahme– ein Reputationsschaden, den kein PR-Plan verbergen kann.

Verwaltungssanktionen vs. zivilrechtliche Haftung

Mit den Bußgeldern ist es noch nicht getan. Die kommende KI-Haftungsrichtlinie (AILiability Directive, AIL) und die überarbeitete Produkthaftungsrichtlinie (PLD) eröffnen parallele Wege für private SchadensersatzansprücheOpfer, die durch eine KI-Entscheidung geschädigt werden, profitieren von:

  • A widerlegbare Vermutung der Kausalität wenn Anbieter gegen die Pflichten des AI Act verstoßen, wodurch die Beweislast verringert wird.
  • Erweiterte Offenlegungsrechte, die es Klägern ermöglichen, Protokolle und Risikobewertungen anzufordern, die normalerweise intern verbleiben würden.
  • Harmonisierte Vorschriften in allen Mitgliedstaaten, das nationale Deliktsrecht kann jedoch noch strengere Standards vorsehen (z. B. die niederländische Doktrin zum unerlaubten Handeln).

Den Unternehmen droht daher ein Doppelschlag: eine Verwaltungsstrafe in Millionenhöhe, gefolgt von zivilrechtlichen Sammelklagen, insbesondere in Bereichen wie Kreditverweigerung oder diskriminierender Einstellung.

Rechtsbehelfsmechanismen und Hinweisgeberschutz

Einzelpersonen und NGOs können Beschwerden direkt bei ihren nationale zuständige Behörde oder das EU-KI-Büro. Die Behörden müssen innerhalb einer „angemessenen Frist“ ermitteln und können einstweilige Maßnahmen, einschließlich Aussetzungsanordnungen, erlassen. Betroffenen stehen außerdem Rechtsmittel zur Verfügung – Unterlassungsverfügungen, Schadensersatzklagen und Einsprüche gegen Aufsichtsentscheidungen.

Mitarbeiter die Missstände aufdecken, sind durch die EU geschützt Whistleblowing-Richtlinie:

  • Für Unternehmen mit mehr als 50 Mitarbeitern sind vertrauliche Meldekanäle obligatorisch.
  • Vergeltungsmaßnahmen – Entlassung, Degradierung, Einschüchterung – sind ausdrücklich verboten.
  • Wenn interne Wege scheitern, können Whistleblower den Vorfall extern an die Aufsichtsbehörden oder die Presse weiterleiten.

Die Einrichtung einer gut bekannt gemachten, anonymen Meldestelle ist daher sowohl eine gesetzliche Anforderung als auch ein Frühwarnsystem, das Sie vor kostspieligeren Maßnahmen im weiteren Verlauf bewahren kann.

Zuordnung des KI-Gesetzes zu DSGVO, NIS2, Produktsicherheit und Branchenvorschriften

Der EU-Gesetzentwurf zur künstlichen Intelligenz (KI-Gesetz) ist kein isoliertes System. Er fügt sich in ein komplexes Compliance-Ökosystem ein, das bereits Datenschutz, Cybersicherheit und vertikale Sicherheitsrahmen umfasst. Diese Querströmungen zu ignorieren, ist riskant: Ein KI-System, das alle Anforderungen des KI-Gesetzes erfüllt, kann dennoch gegen die DSGVO oder NIS2 verstoßen – und umgekehrt. Im Folgenden heben wir die wichtigsten Punkte hervor, damit Ihre Rechts-, Sicherheits- und Produktteams eine einheitliche, integrierte Kontrollkarte erstellen können, anstatt mit vier separaten Checklisten jonglieren zu müssen.

Überschneidungen mit DSGVO und ePrivacy

  • Rechtsgrundlage und Zweckbindung: Die Verarbeitung personenbezogener Daten innerhalb eines Hochrisikomodells muss mindestens einen DSGVO-Grund erfüllen (häufig ein berechtigtes Interesse oder eine Einwilligung).
  • Grenzen der automatisierten Entscheidungsfindung: Artikel 22 DSGVO schränkt vollautomatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen ein. Die im KI-Gesetz verankerte menschliche Aufsichtspflicht dient häufig als technische Schutzmaßnahme, die Ausnahmen nach Artikel 22(2)(b) oder (c) ermöglicht.
  • Joint-Controller-Szenarien: Wenn ein Deployer eine GPAI eines Anbieters optimiert, können beide Gemeinsam Verantwortlichers gemäß DSGVO – planen Sie Datenverarbeitungsvereinbarungen entsprechend.
  • Transparenzpflicht im Doppelpack: Das KI-Gesetz schreibt die Offenlegung von Daten durch den Nutzer („KI-generiert“) vor, während die Artikel 12–14 der DSGVO Datenschutzhinweise mit detaillierten Angaben zu Datenfluss, Datenspeicherung und Rechten fordern. Verfassen Sie einen mehrschichtigen Hinweis, der beides abdeckt.

Synergien zwischen Cybersicherheit und NIS2

NIS2 fordert Risikobewertungen, Incident Response und Lieferkettensicherheit für „wesentliche“ und „wichtige“ Unternehmen. Der AI Act spiegelt dies wider, indem er Robustheitstests, Schwachstellenüberwachung und die Meldung von Sicherheitsverletzungen innerhalb von 15 Tagen vorschreibt. Nutzen Sie einen SOC-Workflow:

  1. Führen Sie während der Konformitätsbewertung zum AI Act Tests zur Robustheit gegenüber Angriffen durch.
  2. Geben Sie die Ergebnisse in das NIS2-Risikoregister ein.
  3. Verwenden Sie für beide Systeme dasselbe 72-Stunden-Handbuch zur Vorfallmeldung.

Integration in bestehende Produktgesetze

Wenn Ihre KI eine Sicherheitskomponente eines regulierten Produkts (Medizinprodukt, Maschine, Spielzeug, Aufzug, Automobilsystem) ist, müssen Sie eine Single Konformitätsbewertung, die Folgendes umfasst:

  • Allgemeine Sicherheits- oder Leistungsanforderungen gemäß Branchenrecht; und
  • Wesentliche Elemente des AI Act (Risikomanagement, Datenverwaltung, menschliche Aufsicht).

Harmonisierte Normen im Rahmen des neuen Rechtsrahmens werden bald auf beide Anforderungssätze verweisen und eine technische Datei und eine CE-Kennzeichnung ermöglichen.

Branchenspezifische Beispiele

  • Finanzdienstleistungen: Kombinieren Sie die Protokollierung des AI Act mit den EBA-Richtlinien zur Bekämpfung der Geldwäsche, um die Fairness und Erklärbarkeit des Modells nachzuweisen.
  • Energienetzmanagement: Vernetzen Sie die Risikokontrollen des AI Act mit den Cybersicherheitsanforderungen von ENTSO-E für SCADA-Systeme.
  • Automobilindustrie: UNECE WP.29 schreibt eine Software-Update-Governance vor; integrieren Sie diese Update-Protokolle in Ihr AI Act-Post-Market-Monitoring.
  • Gesundheitswesen: Kombinieren Sie ISO 13485 QMS-Artefakte mit der Datensatzdokumentation des AI Act, um redundante Audits zu vermeiden.

Internationale Vergleiche

Globale Unternehmen müssen den EU-Gesetzesentwurf zur künstlichen Intelligenz (KI-Gesetz) mit den neu entstehenden Regeln an anderer Stelle in Einklang bringen:

Gerichtsstand & Anwendbares Recht Tasteninstrument Bemerkenswerte Divergenz
US Executive Order und NIST AI RMF Freiwillig, kann aber zur Grundvoraussetzung für die Bundesbeschaffung werden
China Vorläufige Gen-AI-Maßnahmen Realnamenregistrierung & Inhaltsfilterung verpflichtend
UK Innovationsfördernder Rahmen Regulierungsspezifische Leitlinien, noch kein horizontales Gesetz

Durch die frühzeitige Erfassung von Überschneidungen können multinationale Teams Kontrollrahmen entwickeln, die zunächst den strengsten Regelsatz erfüllen und dann dort, wo die lokalen Gesetze weniger streng sind, die Regeln lockern.

Praktische Compliance-Checkliste und Best Practices

Die Umsetzung der Artikel und Erwägungsgründe des EU-Gesetzes über künstliche Intelligenz (KI-Gesetz) in die tägliche Praxis kann eine Herausforderung sein. Der Trick besteht darin, den Prozess in mundgerechte Aktionen aufzuteilen, die von den Rechts-, Produkt- und Sicherheitsteams übernommen werden können. Nutzen Sie die unten stehende 12-Schritte-Roadmap als lebendigen Projektplan und überprüfen Sie sie bei jeder Sprint-Demo und Vorstandssitzung bis August 2027.

  1. Inventarisieren Sie jede KI- oder algorithmische Komponente in Produktion und F&E.
  2. Klassifizieren Sie die Risikostufe jedes Systems und Ihre Rolle als Akteur (Anbieter, Benutzer, Importeur, Händler).
  3. Ordnen Sie geltende Gesetze (DSGVO, NIS2, Branchenregeln) zu und identifizieren Sie Überschneidungen.
  4. Führen Sie eine Lückenanalyse hinsichtlich der wesentlichen Anforderungen des AI Act durch.
  5. Entwerfen oder aktualisieren Sie Ihr Qualitätsmanagementsystem (QMS).
  6. Richten Sie eine multidisziplinäre Governance-Struktur ein.
  7. Entwerfen Sie Vorlagen für technische Dokumentationen und beginnen Sie mit deren Ausfüllen.
  8. Erstellen Sie Pipelines zur Datenverwaltung und zum Testen von Vorurteilen.
  9. Führen Sie erste Konformitätsbewertungen oder Probeprüfungen durch.
  10. Schulen Sie Mitarbeiter – Ingenieure, Risikoverantwortliche und Kundensupport.
  11. Starten Sie Workflows für die Überwachung nach der Markteinführung und die Meldung von Vorfällen.
  12. Planen Sie regelmäßige Überprüfungen und kontinuierliche Verbesserungsschleifen ein.

Bereitschaftsbewertung und Lückenanalyse

Beginnen Sie mit einer Tabelle oder einem Ticketboard, in der Sie Systemname, Zweck, Schulungsdatenquellen, Risikostufe, vorhandene Kontrollen und offene Lücken auflisten. Weisen Sie jeder Lücke einen Verantwortlichen und eine Frist zu. Bewerten Sie das Restrisiko nach jeder Schließung neu. Aufsichtsbehörden freuen sich über diesen iterativen Verbesserungspfad.

Aufbau der richtigen Governance-Struktur

Übertragen Sie die Verantwortung auf Menschen und nicht nur auf die Politik:

  • KI-Compliance-Beauftragter: Eine Kehle zum Würgen.
  • Funktionsübergreifendes Ethikkomitee: Produkt, Recht, Sicherheit, Personalwesen.
  • Externer Gutachter oder Verbindungsperson einer benannten Stelle.
  • Enge Zusammenarbeit mit Ihrem Datenschutzbeauftragten und CISO, um isolierte Entscheidungsfindung zu vermeiden.

Dokumentieren Sie Besprechungsrhythmus, Entscheidungsrechte und Eskalationspfade.

Dokumentation und Tools

Standardisieren Sie Artefakte, damit Ingenieure das Rad nicht neu erfinden müssen:

Template Zweck Empfohlenes Format
Modellkarte Fähigkeiten, Grenzen, Metriken Markdown + JSON
Datenblatt Quelle, Lizenzierung, Bias-Tests Kalkulationstabelle
Transparenzbericht Benutzerorientierte Offenlegung HTML / PDF
Grundrechte-FA Öffentlicher Sektor Formularbasiertes Tool

Open-Source-Hilfe: EU AI Toolkit, Checklistenentwürfe ISO/IEC 42001 und GitHub-Repos für Bias-Metriken.

Lieferanten- und Lieferkettenmanagement

Flow AI Act-Pflichten nachgelagert:

  • Fügen Sie Konformitätsbewertungsgarantien und Auditrechte hinzu Verträge.
  • Fordern Sie von den Lieferanten, Modellkarten, Ergebnisse von Robustheitstests und Vorfallprotokolle freizugeben.
  • Richten Sie eine gemeinsame Slack- oder Ticket-Warteschlange für die schnelle Offenlegung von Sicherheitslücken ein.

Kontinuierliche Überwachung und Aktualisierungen des Modelllebenszyklus

Die Überwachung vor, während und nach der Bereitstellung sollte über denselben Telemetrie-Stack erfolgen. Lösen Sie eine Neubewertung aus, wenn:

  • Verschiebungen der Eingabedatenverteilung (KL divergence > voreingestellter Schwellenwert).
  • Die Genauigkeit fällt unter das angegebene Minimum.
  • Ein schwerwiegender Vorfall oder Beinaheunfall wird protokolliert.

Schließen Sie den Kreis mit vierteljährlichen Governance-Überprüfungen und einem jährlichen externen Audit – ein Beweis dafür, dass Compliance kein einmaliges Projekt, sondern eine dauerhafte Fähigkeit ist.

FAQ: Schnelle Antworten auf häufig gestellte Fragen

Ist das EU-KI-Gesetz bereits in Kraft?
Ja. Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft. Die meisten konkreten Verpflichtungen treten jedoch erst später in Kraft: Verbotene Praktiken verschwinden bis Februar 2025, Transparenzregeln treten im August 2025 in Kraft, risikoreiche Pflichten kommen im August 2026 (Biometrie im August 2027). Die Uhr tickt also, auch wenn die vollständige Anwendung noch stufenweise erfolgt.

Was sind die vier Risikostufen?
Der EU-Gesetzentwurf zur künstlichen Intelligenz unterteilt Systeme in (1) Systeme mit inakzeptablem Risiko – absolut verboten; (2) Systeme mit hohem Risiko – nur nach Konformitätsbewertung und CE-Kennzeichnung zulässig; (3) Systeme mit geringem Risiko – hauptsächlich Transparenzpflichten (z. B. Chatbots, Deepfakes); und (4) Systeme mit minimalem Risiko – keine festen Regeln, aber freiwillige Verhaltensregeln werden empfohlen. Ihre erste Aufgabe besteht darin, jedes Modell einer dieser Ebenen zuzuordnen.

Hat das Gesetz nationale KI-Strategien ersetzt?
Nein. Die Mitgliedstaaten können nationale Strategien, Sandboxes und Finanzierungsprogramme beibehalten oder schaffen. Das Gesetz harmonisiert lediglich Regulierungsbehörden Anforderungen, damit Unternehmen EU-weit einem einheitlichen Regelwerk unterliegen. Lokale Initiativen dürfen dem Risikorahmen der Verordnung nicht widersprechen oder deren Durchsetzungsmechanismen untergraben.

Gibt es Ausnahmen für Startups?
Nicht wirklich. Die Regeln gelten unabhängig von der Unternehmensgröße, da die Verpflichtungen vom Risiko und nicht vom Umsatz bestimmt werden. Sandboxen, eine einfachere Dokumentation für einige GPAI-Modelle und von der Kommission finanzierte Leitlinien sollen den Verwaltungsaufwand für KMU jedoch verringern. Compliance zu ignorieren, nur weil man „klein“ ist, ist ein gefährlicher Irrtum.

Wie behandelt das KI-Gesetz Open-Source-Modelle?
Die Veröffentlichung von Modellgewichten befreit Sie nicht von dieser Verpflichtung. Sie müssen weiterhin Zusammenfassungen der Trainingsdaten bereitstellen, generierte Inhalte mit Wasserzeichen versehen und Nutzungshinweise veröffentlichen. Die Verpflichtungen sind geringer als bei geschlossenen kommerziellen Modellen. Wenn Ihr Open-Source-System jedoch zu einem „systemischen GPAI“ wird, fallen zusätzliche Test- und Berichtspflichten an.

Ist das Gesetz eine Richtlinie?
Nein. Es handelt sich um eine Verordnung, die in jedem Mitgliedstaat unmittelbar und ohne nationale Umsetzung gilt. Vergleichen Sie es mit der DSGVO: Mit Inkrafttreten gelten die rechtlichen Verpflichtungen EU-weit, und nur die praktischen Umsetzungsrichtlinien können lokal variieren.

Was passiert, wenn mein Anbieter außerhalb der EU liegt?
Die territoriale Reichweite folgt Möglichkeiten für das Ausgangssignal:, nicht der Hauptsitz. Wenn das System eines ausländischen Anbieters in der EU vermarktet oder seine Ergebnisse hier verwendet werden, muss der Anbieter die Anforderungen des EU-KI-Gesetzes erfüllen und einen in der EU ansässigen Rechtsvertreter benennen. Anbieter innerhalb der Union tragen weiterhin Nutzerpflichten. Wählen Sie Ihre Lieferanten daher sorgfältig aus.

Key Take Away

Überfliegen Sie den Text noch? Hier ist der Spickzettel:

  • Der EU-Gesetzentwurf zur künstlichen Intelligenz (KI-Gesetz) ist kein Entwurf mehr – er wurde in Kraft seit 1. August 2024 und bringt das erste horizontale, risikobasierte KI-Gesetz überhaupt.
  • Die Risikoeinstufung bestimmt alles: inakzeptable Systeme sind verboten, Hochrisikosysteme benötigen CE-Kennzeichnung und Registereintrag, während für Werkzeuge mit begrenztem und minimalem Risiko geringere – aber nicht gar keine – Pflichten gelten.
  • Nichteinhaltung ist teuer: bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes für verbotene Praktiken sowie mögliche zivilrechtliche Haftung gemäß künftigen EU-Richtlinien.
  • Die Verpflichtungen erstrecken sich über die gesamte Lieferkette: Anbieter, Benutzer, Importeure und Händler verfügen jeweils über spezifische Checklisten und für allgemeine Modelle gelten mittlerweile maßgeschneiderte Regeln.
  • Das Gesetz ersetzt weder die DSGVO, NIS2 noch Produktsicherheitsgesetze. Sie müssen alle Rahmenbedingungen in einem integrierten Governance-Programm zusammenführen.

Benötigen Sie Hilfe bei der Umwandlung von Rechtstexten in funktionierende Codes, Richtlinien und Verträge? Die Technologie- und Datenschutzanwälte von Law & More kann einen schnellen AI Act-Readiness-Scan durchführen, die erforderliche Dokumentation erstellen und Sie durch die Konformitätsbewertung führen – bevor die Prüfer an die Tür klopfen.

Verwandte Artikel

Law & More