Regulatorik
EU AI Act: Risikoklassen, Fristen, Pflichten
Der EU AI Act ist die Verordnung (EU) 2024/1689 über harmonisierte Vorschriften für künstliche Intelligenz. Sie ist weltweit das erste umfassende KI-Gesetz, gilt unmittelbar in allen EU-Mitgliedstaaten und entfaltet ihre Wirkung in vier Stufen ab Februar 2025 bis August 2027. Sie betrifft Anbieter, Betreiber, Importeure und Vertreiber von KI-Systemen, unabhängig vom Sitz.
Die vier Risikoklassen
Verboten (Art. 5): Praktiken, die als unvereinbar mit EU-Grundrechten gelten. Darunter Social Scoring durch öffentliche oder private Akteure, manipulative oder ausbeuterische KI, biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Raumen (mit engen Ausnahmen für Strafverfolgung), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, ungezielte Gesichtsdatenbank-Erstellung durch Scraping. Diese sind seit 2. Februar 2025 verboten.
Hochrisiko (Anhang III): KI als Sicherheitskomponente in kritischer Infrastruktur, biometrische Identifikation, Bildung und Berufsbildung, Beschäftigung (Auswahl, Beurteilung, Kündigung), Zugang zu wesentlichen privaten und öffentlichen Diensten (Kreditscoring, Risikobewertung in Versicherungen), Strafverfolgung, Migration/Asyl/Grenzkontrolle, Justizverwaltung und demokratische Prozesse. Plus Anhang I: KI in regulierten Produkten (Medizinprodukte, Maschinen, Fahrzeuge).
Begrenztes Risiko (Art. 50): Transparenzpflichten für Chatbots (Hinweis auf KI-Interaktion), Deepfakes (Kennzeichnung als künstlich erzeugt), Emotionserkennung, biometrische Kategorisierung, KI-generierte Inhalte.
Minimales Risiko: alle anderen KI-Systeme, freiwillige Selbstverpflichtung über Codes of Conduct. Hier fallen die meisten Business-Anwendungen rein, aber die Klassifizierung muss dokumentiert sein.
Pflichten für Anbieter von Hochrisiko-Systemen
Art. 9: Risikomanagement-System über den gesamten Lebenszyklus, mit dokumentierter Risikoanalyse, Mitigationen und Tests.
Art. 10: Data Governance für Trainings-, Validierungs- und Testdaten. Daten müssen relevant, repräsentativ, frei von Fehlern und vollständig sein, sofern möglich.
Art. 11: technische Dokumentation, die die Konformität mit den Anforderungen darlegt. Anhang IV listet Mindestinhalt: Beschreibung, Designentscheidungen, Trainingsdaten, Testdaten, Validierungsverfahren.
Art. 12: automatische Aufzeichnung von Ereignissen über den Lebenszyklus (Logging).
Art. 13: Transparenz und Bereitstellung von Informationen an Betreiber, inklusive Anweisungen zur Nutzung.
Art. 14: menschliche Aufsicht. Das System muss so designt sein, dass es unter sinnvoller menschlicher Aufsicht betrieben werden kann.
Art. 15: Genauigkeit, Robustheit und Cybersicherheit. Erwartete Leistungsmerkmale werden in der Doku angegeben.
Art. 17-22: Qualitätsmanagement-System, Konformitätsbewertung, CE-Kennzeichnung, EU-Datenbank-Registrierung, Post-Market-Monitoring.
Pflichten für Betreiber (Deployer)
Art. 26 Abs. 1: Einsatz gemäß Anleitung des Anbieters.
Abs. 2: menschliche Aufsicht durch qualifiziertes, geschultes Personal.
Abs. 4: angemessene Eingangsdaten.
Abs. 5: Monitoring und Meldung schwerer Vorfälle und Risiken an Anbieter und Aufsicht.
Abs. 6: Aufbewahrung der automatisch generierten Logs für mindestens 6 Monate.
Abs. 7: Information der betroffenen Personen über den Einsatz.
Abs. 11: im Beschäftigungskontext müssen Arbeitnehmervertretungen vorab informiert werden.
Art. 27: Grundrechte-Folgenabschätzung (FRIA) durch öffentliche Stellen und private Betreiber, die wesentliche Dienste erbringen. Erfolgt vor Erstinbetriebnahme.
General-Purpose AI Models (GPAI)
Art. 51-56 regeln Anbieter von Allzweck-KI-Modellen (Foundation Models wie GPT, Claude, Mistral, Llama). Pflichten ab August 2025: technische Dokumentation, Information für nachgelagerte Anbieter, Urheberrechts-Policy, Zusammenfassung der Trainingsdaten. Für Modelle mit systemischem Risiko (typischerweise über 10^25 FLOPs Training Compute) zusätzlich: Modellevaluation, adversariales Testing, Tracking schwerer Vorfälle, Cybersicherheits-Schutz. EU-Kommission veröffentlicht eine Liste der Modelle mit systemischem Risiko.
Fristen-Zeitstrahl
2. Februar 2025: Verbote (Art. 5), AI-Literacy-Pflicht (Art. 4) gelten.
2. August 2025: GPAI-Pflichten, Governance-Strukturen, Sanktionsregime für GPAI.
2. August 2026: Hochrisiko-Systeme nach Anhang III (also die Mehrheit), Transparenzpflichten Art. 50, Sanktionsregime im Vollumfang.
2. August 2027: Hochrisiko-Systeme nach Anhang I (KI-Sicherheitskomponenten in regulierten Produkten).
Praktisch bedeutet das: jedes Unternehmen, das jetzt KI in Beschäftigung, Kreditprüfung, Versicherung, Bildung, Gesundheit oder kritischer Infrastruktur einsetzt oder einkauft, muss bis August 2026 konform sein. Ein Compliance-Programm dauert 9-18 Monate.
Bußgelder
Verbotene Praktiken: bis zu 35 Mio EUR oder 7 Prozent des weltweiten Jahresumsatzes.
Anbieter-/Betreiber-Pflichten: bis zu 15 Mio EUR oder 3 Prozent des weltweiten Jahresumsatzes.
Falsche oder unvollständige Informationen an Aufsicht: bis zu 7,5 Mio EUR oder 1 Prozent des weltweiten Jahresumsatzes.
KMU und Start-ups: jeweils der niedrigere Betrag. Dennoch existenzbedrohende Höhen.
Was Unternehmen jetzt tun sollten
1. KI-Inventar erstellen: welche Systeme sind im Einsatz, welche werden eingekauft, welche gebaut. Klassifizierung nach Risikoklasse mit Begründung dokumentieren.
2. Verbote nach Art. 5 unmittelbar prüfen und ggf. einstellen. Stand 2026 sind Verbote bereits seit über einem Jahr wirksam.
3. AI-Literacy-Programm aufsetzen (Art. 4). Pflichtschulungen für Mitarbeitende, die KI-Systeme einsetzen oder verantworten.
4. Hochrisiko-Systeme identifizieren, bis August 2026 konform machen oder außer Betrieb nehmen.
5. Verträge mit KI-Anbietern auf Konformität überprüfen: technische Dokumentation, CE-Konformität, EU-Datenbank-Registrierung.
6. Strukturierte Entscheidungen bei jeder KI-Beschaffung dokumentieren: Klassifizierung, Anbieterwahl, Datenquellen, menschliche Aufsicht, Stakeholder-Alignment, Residualrisiken. Genau die Funktion eines Decision Memo.
DecisionOS und EU AI Act
DecisionOS strukturiert KI-Beschaffungs- und Einführungsentscheidungen so, dass sie die Konformitätsbewertung nach EU AI Act stützen. Jedes Memo dokumentiert Klassifizierung, gewichtete Auswahlkriterien (Datenqualität, EU-Hosting, Erklärbarkeit, Logging), Dealbreaker, Stakeholder-Alignment über IT, Legal, Datenschutz, Fachbereich, und einen Readiness Score. EU-gehostet bei Hetzner in Nürnberg. Demo unter nexalign.io/book.