Der EU AI Act ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz: Je höher das potenzielle Schadenspotenzial eines KI-Systems, desto strenger die Anforderungen. Ziel ist es, Vertrauen in KI zu schaffen, ohne Innovation unnötig zu bremsen.
Überblick
Segment: KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck (GPAI — General Purpose AI Model)
Verabschiedet / Veröffentlicht: 13. März 2024 (EP), 21. Mai 2024 (Rat), veröffentlicht 12. Juli 2024 (ABl. EU)
Gültig ab (stufenweise Anwendung):
2. Februar 2025: Verbote für unzulässige KI-Praktiken (Titel II)
2. August 2025: Regelungen für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und Governance
2. August 2026: Anforderungen für Hochrisiko-KI-Systeme (Anhang I & III), Transparenzpflichten
2. August 2027: Vollständige Anwendung, inkl. KI-Systeme in regulierten Produkten
Gültig für:
Anbieter (Provider) von KI-Systemen und GPAI-Modellen, die in der EU in Verkehr gebracht werden
Betreiber (Deployer) von KI-Systemen, die in der EU eingesetzt werden
Importeure und Händler von KI-Systemen
Auch für Anbieter außerhalb der EU, sofern der Output in der EU genutzt wird
Nicht gültig für:
KI-Systeme, die ausschließlich für militärische oder nationale Sicherheitszwecke entwickelt werden
KI-Systeme zur ausschließlich privaten, nicht-gewerblichen Nutzung
Open-Source-Modelle (mit Einschränkungen bei Hochrisiko-Verwendung)
Grauzone:
Abgrenzung zwischen „KI-System" und klassischer Software (Definition in Art. 3 Nr. 1 und Anhang I)
Einordnung von Modellen, die sowohl GPAI als auch Hochrisiko-Anwendungen abdecken
Verantwortungsaufteilung zwischen Anbieter und Betreiber bei Feintuning oder Integration
Zentrale Forderungen
Verbotene KI-Praktiken (Art. 5)
KI-Systeme zur unbewussten Beeinflussung von Personen (Subliminal Manipulation)
Ausnützung von Schwächen vulnerabler Gruppen
Social Scoring durch staatliche Stellen
Echtzeit-biometrische Fernidentifikation im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung)
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
Biometrische Kategorisierung zur Ableitung sensibler Merkmale (Rasse, politische Meinung, etc.)
Risikomanagementsystem einrichten und dokumentieren, s. Art. 9
Daten-Governance sicherstellen: Trainings-, Validierungs- und Testdaten müssen geeignet, repräsentativ und frei von unzulässigen Verzerrungen sein, s. Art. 10
Technische Dokumentation erstellen und aktuell halten (s. Art. 11, Anhang IV)
Automatische Protokollierung (Logging) des Systemverhaltens sicherstellen, s. Art. 12
Transparenz gegenüber Betreibern gewährleisten (Gebrauchsanweisung, Zweck, Grenzen), s. Art. 13
Menschliche Aufsicht (Human Oversight) technisch ermöglichen, s. Art. 14
Genauigkeit, Robustheit und Cybersicherheit sicherstellen, s. Art. 15
Konformitätsbewertung durchführen (intern oder durch Dritte), s. Art. 43
EU-Konformitätserklärung ausstellen und CE-Kennzeichen anbringen, s. Art. 47–49
Registrierung in der EU-Datenbank (EUAI-Datenbank), s. Art. 71
KI-Modelle mit allgemeinem Verwendungszweck / GPAI (Art. 51–56)
Bereitstellung technischer Dokumentation an nachgelagerte Anbieter
Einhaltung von Urheberrechts-Verpflichtungen (s. Art. 53 c)
Veröffentlichung einer Zusammenfassung der Trainingsdaten
Für Modelle mit systemischem Risiko (> 10²⁵ FLOP): Adversarial Testing, Meldung schwerwiegender Vorfälle an die Kommission, Cybersicherheitsmaßnahmen
Transparenzpflichten (Art. 50)
KI-generierte Inhalte (Texte, Bilder, Audio, Video) müssen als solche maschinenlesbar gekennzeichnet sein (Watermarking)
Chatbots müssen sich als KI zu erkennen geben
Deepfakes müssen kenntlich gemacht werden
Sanktionsregime (Art. 99–101)
Ebene
Verstoß
Bußgeld
Tier 1
Verstoß gegen Verbote (Art. 5)
35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes (der höhere Betrag; KMU: der niedrigere)
Tier 2
Verstöße gegen Anbieter-/Betreiberpflichten, Transparenzpflichten
15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
Tier 3
Unrichtige oder irreführende Informationen an Behörden
7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes
GPAI
Verstöße gegen Art. 53/55 (via Kommission)
15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
KMU-Schutzklausel: Für kleine und mittlere Unternehmen gilt stets der niedrigere der beiden Beträge.
Wechselwirkungen mit anderen EU-Regularien
Der AI Act überlappt erheblich mit anderen Regelwerken — insbesondere bei Cybersicherheit, Dokumentation und Incident Reporting:
Pflicht
AI Act
CRA
NIS2
DORA
PLD
Risikomanagement
Art. 9, 55
Art. 13
Art. 21
Art. 6
—
Technische Dokumentation / SBOM
Art. 11, Anh. IV
Art. 13(3)
teilweise
teilweise
teilweise
Cybersicherheit
Art. 15
Kernpflicht
Art. 21
Art. 9–11
—
Schwachstellen-Management
Art. 72 (Post-Market)
Art. 13–14
Art. 21
Art. 12
—
Incident Reporting
Art. 55, 73
Art. 14 (24 h)
Art. 19 (24 h)
Art. 19 (4 h)
—
Produkthaftung
—
—
—
—
Art. 4 (fehlerhaftes Produkt)
Wichtigste Überschneidung AI Act ↔ CRA: Hochrisiko-KI-Systeme, die als digitale Produkte in Verkehr gebracht werden, unterliegen ab August/September 2026 gleichzeitig beiden Regelwerken. Eine integrierte SBOM (Art. 15 AI Act + CRA Annex I) und ein gemeinsamer Vulnerability-Disclosure-Prozess sind dringend empfohlen.
Finanzsektor (DORA): Bei KI-Systemen für Kreditwürdigkeitsbewertung, Trading oder Risikomodelle greift zusätzlich DORA mit einer Incident-Meldepflicht von 4 Stunden — der strengsten Frist aller vier Regelwerke.
Lösungsansätze & Hilfestellungen
Die EU AI Office (zuständige Behörde der Kommission) veröffentlicht Leitlinien und Codes of Practice, insb. für GPAI-Anbieter
Das BSI und die nationalen Marktüberwachungsbehörden sind die zuständigen Stellen in Deutschland
Harmonisierte Normen (CEN/CENELEC) für Hochrisiko-KI werden derzeit erarbeitet — bis dahin können ISO/IEC 42001 (AI Management System) und ISO/IEC 23894 (AI Risk Management) als Orientierung dienen
Für Open-Source-Anbieter: Prüfen, ob das Modell als GPAI mit systemischem Risiko eingestuft werden könnte — dann gelten auch für Open-Source-Anbieter umfangreichere Pflichten