EU AI Act

Kurz gesagt: Der EU AI Act ist die weltweit erste umfassende KI-Gesetzgebung der Europäischen Union. Er reguliert KI-Systeme nach ihrem Risiko für Menschen (verboten, hoch riskant, begrenzt riskant oder minimal riskant) und schreibt strenge Regeln vor, um Grundrechte, Sicherheit und Vertrauen zu schützen – ohne Innovation zu behindern.

EU AI Act

Der Begriff ‚EU AI Act‘ (auch EU-KI-Verordnung oder KI-Verordnung) wurde ab 2021 gebräuchlich, als die Europäische Kommission am 21. April 2021 ihren Vorschlag für eine ‚Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz‘ vorlegte. Die politische Einigung erfolgte im Dezember 2023, die endgültige Annahme durch Parlament (13. März 2024) und Rat (21. Mai 2024). Veröffentlicht im Amtsblatt der EU am 12. Juli 2024 und am 1. August 2024 in Kraft getreten.

Außerhalb der KI steht ‚Act‘ für ein Gesetz oder eine Verordnung. Der EU AI Act ist ein europäisches Gesetz, das wie andere EU-Verordnungen (z. B. DSGVO) direkt in allen 27 Mitgliedstaaten gilt und einheitliche Regeln für ein bestimmtes Thema schafft.

Im KI-Kontext ist der EU AI Act ein risikobasierter Rechtsrahmen, der KI-Systeme in vier Risikostufen einteilt: unannehmbares Risiko (verboten), hohes Risiko (strenge Pflichten), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (weitgehend frei). Er gilt für Anbieter, Betreiber und Nutzer von KI in der EU – und auch außerhalb, wenn die KI in der EU eingesetzt wird.

• Schutz vor manipulativer oder diskriminierender KI (z. B. in Bewerbungsverfahren oder Kreditvergabe)
• Sichere KI in kritischen Bereichen wie Medizin, Bildung, Justiz und Infrastruktur
• Transparenz bei Chatbots, Deepfakes und KI-generierten Inhalten
• Förderung vertrauenswürdiger KI-Innovationen durch regulatorische Sandboxes

• Wie ein TÜV für Autos: KI-Systeme müssen vor dem Einsatz geprüft werden, je nachdem, wie gefährlich sie sein könnten.
• Wie die DSGVO für Datenschutz: Ein einheitliches EU-Gesetz, das überall gleich gilt und hohe Strafen bei Verstößen vorsieht.

• Verbotene KI-Praktiken (seit Februar 2025): Soziales Scoring nach chinesischem Vorbild, manipulative KI, die Schwächen ausnutzt, oder Echtzeit-Gesichtserkennung in der Öffentlichkeit (mit Ausnahmen) sind EU-weit verboten.
• High-Risk-Systeme (ab August 2026): KI in der Personalverwaltung (z. B. Bewerber-Screening), Kreditentscheidungen, medizinische Diagnose-Tools oder autonome Fahrzeuge unterliegen strengen Anforderungen an Transparenz, Risikomanagement und menschliche Aufsicht.
• General-Purpose AI Models (z. B. ChatGPT): Seit August 2025 gelten spezielle Transparenz- und Dokumentationspflichten für große Sprachmodelle; bei ‚systemischen Risiken‘ zusätzliche Meldepflichten.

• Risikobasierter Ansatz: Vier Stufen: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenz) und minimales Risiko (keine Pflichten).
• General-Purpose AI (GPAI): Spezielle Regeln für vielseitige Modelle wie LLMs, unabhängig von der konkreten Anwendung.
• Regulatory Sandboxes: Testumgebungen der Behörden, in denen Unternehmen neue KI-Systeme unter Aufsicht risikofrei erproben können.

• Komplexe und schrittweise Umsetzung: Viele Regeln gelten erst ab August 2026 (High-Risk), es gibt aber Diskussionen um weitere Verzögerungen durch den ‚Digital Omnibus‘.
• Extraterritoriale Wirkung: Gilt auch für nicht-europäische Anbieter, wenn deren KI in der EU genutzt wird – schwierig durchzusetzen.
• Hoher Aufwand für kleine Unternehmen (Dokumentation, Konformitätsbewertung, Risikoanalysen).
• Balance zwischen Innovation und Schutz: Kritiker fürchten Bürokratie, Befürworter sehen mehr Vertrauen in KI.

• ChatGPT, Claude, Gemini etc.: Als General-Purpose AI Modelle müssen sie seit August 2025 Transparenz- und Dokumentationspflichten erfüllen.
• HR-Software mit KI (z. B. Bewerber-Screening-Tools): Oft als High-Risk-System eingestuft – muss Risikomanagement, Logging und menschliche Aufsicht nachweisen.
• Medizinische KI-Diagnose-Tools: High-Risk – strenge Qualitäts- und Sicherheitsanforderungen vor Markteinführung.

Der EU AI Act folgt dem Prinzip ‚Risiko = Aufwand‘. Statt alle KI gleich zu behandeln, wird geschaut: Wie groß ist die Gefahr für Menschen? Je höher das Risiko, desto mehr Pflichten (Datenqualität, Transparenz, menschliche Kontrolle, Nachverfolgbarkeit). Das schafft einheitliche Spielregeln für ganz Europa.

Stand April 2026 gelten bereits Verbote und GPAI-Regeln. Die meisten High-Risk-Pflichten treten voraussichtlich im August 2026 in Kraft (teilweise Diskussionen um Verschiebung auf 2027/2028). In den nächsten Jahren erwartet man: mehr Leitlinien der Kommission, nationale Umsetzungsgesetze, erste Bußgelder und eine stärkere internationale Vorbildwirkung (‚Brussels Effect‘). Langfristig könnte der Act zu mehr vertrauenswürdiger KI in Europa führen, gleichzeitig aber auch zu höheren Kosten für Entwickler.

• AGI – Der EU AI Act regelt auch zukünftige AGI-Systeme, wenn sie hohe Risiken bergen – unabhängig vom aktuellen Entwicklungsstand.
• LLM – Große Sprachmodelle fallen meist unter General-Purpose AI und haben eigene Transparenzpflichten.
• RAG – Technische Lösung, die mit den Transparenz- und Dokumentationspflichten des AI Act kombiniert werden kann.
• Hallucination – Der Act fordert indirekt Maßnahmen gegen Fehlinformationen bei High-Risk- und GPAI-Systemen.

• Offizieller Text der Verordnung (EU) 2024/1689
• Implementation Timeline – artificialintelligenceact.eu
• High-level summary of the AI Act
• EU AI Act Service Desk (offizielle EU-Plattform)