Regulationeu-ai-actoverviewregulation

EU AI Act: Vollständiger Überblick über die europäische KI-Verordnung

Alles, was Sie über die EU-KI-Verordnung (Verordnung 2024/1689) wissen müssen — das weltweit erste umfassende KI-Gesetz mit Risikoklassifizierung, Compliance-Anforderungen und Durchsetzungszeitplan.

January 15, 20259 min read

Die EU-KI-Verordnung (Verordnung 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz. Am 13. März 2024 vom Europäischen Parlament verabschiedet und am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht, legt sie harmonisierte Regeln für die Entwicklung, den Einsatz und die Nutzung von KI-Systemen in der gesamten Europäischen Union fest.

Diese Verordnung markiert einen Paradigmenwechsel in der Art und Weise, wie Regierungen Künstliche Intelligenz regulieren. Anstatt sich auf freiwillige Leitlinien oder branchenspezifische Vorschriften zu verlassen, hat die EU einen horizontalen, risikobasierten Rahmen geschaffen, der branchenübergreifend für alle Anwendungsfälle gilt.

Die EU-KI-Verordnung ist am 1. August 2024 in Kraft getreten und folgt einem gestaffelten Umsetzungszeitplan bis zum 2. August 2027. Verschiedene Bestimmungen gelten zu unterschiedlichen Zeitpunkten, um Organisationen Zeit zur Vorbereitung zu geben.

Warum die EU-KI-Verordnung wichtig ist

Die EU-KI-Verordnung ist weit über die Grenzen Europas hinaus von Bedeutung. Ähnlich wie zuvor die Datenschutz-Grundverordnung (DSGVO) wird erwartet, dass die KI-Verordnung einen globalen Standard für die KI-Governance setzt. Es gibt mehrere Gründe, warum diese Verordnung die Aufmerksamkeit jeder Organisation erfordert, die mit KI arbeitet.

Globale Reichweite durch extraterritoriale Anwendung

Artikel 2 der KI-Verordnung legt einen breiten territorialen Anwendungsbereich fest. Die Verordnung gilt nicht nur für Anbieter und Betreiber mit Sitz in der EU, sondern auch für Anbieter und Betreiber in Drittstaaten, wenn die Ergebnisse ihres KI-Systems innerhalb der Union verwendet werden. Das bedeutet, dass ein Unternehmen mit Hauptsitz in den Vereinigten Staaten, Japan oder anderswo die Verordnung einhalten muss, wenn sein KI-System Ergebnisse erzeugt, die Menschen in der EU betreffen.

Setzung des globalen Standards

Die EU hat eine gut dokumentierte Erfolgsbilanz beim Export ihrer Regulierungsstandards. Der sogenannte "Brüssel-Effekt" bedeutet, dass multinationale Unternehmen oft EU-Standards weltweit übernehmen, anstatt separate Compliance-Regime aufrechtzuerhalten. Es wird erwartet, dass die KI-Verordnung diesem Muster folgt und de facto zur Grundlage für die KI-Governance weltweit wird.

Schutz der Grundrechte

Im Gegensatz zu Ansätzen, die sich primär auf Innovation oder wirtschaftliche Überlegungen konzentrieren, stellt die EU-KI-Verordnung die Grundrechte in den Mittelpunkt. Erwägungsgrund 1 erklärt ausdrücklich, dass der Zweck der Verordnung darin besteht, das Funktionieren des Binnenmarktes zu verbessern und gleichzeitig die Verbreitung menschenzentrierter und vertrauenswürdiger KI zu fördern sowie ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte zu gewährleisten.

Für wen gilt die EU-KI-Verordnung?

Die KI-Verordnung definiert mehrere Kategorien von Akteuren innerhalb der KI-Wertschöpfungskette. Zu verstehen, welche Rolle Ihre Organisation einnimmt, ist der erste Schritt zur Compliance.

Anbieter

Ein Anbieter ist jede natürliche oder juristische Person, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt und es unter eigenem Namen oder eigener Marke in Verkehr bringt oder in Betrieb nimmt (Artikel 3 Absatz 3). Anbieter tragen die schwerste Compliance-Last, insbesondere bei Hochrisiko-KI-Systemen.

Betreiber

Ein Betreiber ist jede natürliche oder juristische Person, die ein KI-System unter ihrer Verantwortung nutzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht-beruflichen Tätigkeit verwendet (Artikel 3 Absatz 4). Betreiber haben eigene Pflichten, einschließlich der Durchführung von Grundrechte-Folgenabschätzungen für bestimmte Hochrisikosysteme.

Einführer und Händler

Einführer bringen KI-Systeme aus Drittstaaten auf den EU-Markt, während Händler KI-Systeme auf dem Markt bereitstellen, ohne sie zu verändern. Beide haben Überprüfungs- und Dokumentationspflichten gemäß den Artikeln 26 und 27.

Bevollmächtigte Vertreter

Anbieter mit Sitz außerhalb der EU müssen einen bevollmächtigten Vertreter innerhalb der Union benennen, bevor sie ihre Hochrisiko-KI-Systeme auf dem EU-Markt bereitstellen (Artikel 22).

Wenn Ihre Organisation ein Hochrisiko-KI-System so verändert, dass dies die Konformität beeinträchtigt, oder wenn Sie Ihren Namen oder Ihre Marke darauf anbringen, können Sie gemäß Artikel 25 als Anbieter eingestuft werden — mit allen entsprechenden Pflichten.

Der risikobasierte Ansatz

Das Herzstück der EU-KI-Verordnung ist ihr risikobasiertes Klassifizierungssystem. Anstatt einheitliche Anforderungen an alle KI-Systeme zu stellen, legt die Verordnung vier Risikostufen mit jeweils verhältnismäßigen Pflichten fest.

Unannehmbares Risiko (Verbotene Praktiken)

Artikel 5 der KI-Verordnung listet KI-Praktiken auf, die vollständig verboten sind. Dazu gehören KI-Systeme, die unterschwellige, manipulative oder täuschende Techniken zur Verhaltensverzerrung einsetzen, Systeme, die Schwachstellen im Zusammenhang mit Alter, Behinderung oder sozioökonomischer Situation ausnutzen, Social Scoring durch Behörden, biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden (mit engen Ausnahmen) sowie Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen.

Hohes Risiko

Die Artikel 6 und 7 sowie die Anhänge I und III definieren Hochrisiko-KI-Systeme. Diese fallen in zwei Kategorien: KI-Systeme, die Sicherheitskomponenten von Produkten sind, die bereits der EU-Harmonisierungsgesetzgebung unterliegen (wie Medizinprodukte, Maschinen und Fahrzeuge), sowie eigenständige KI-Systeme, die in sensiblen Bereichen gemäß Anhang III eingesetzt werden, darunter biometrische Identifizierung, kritische Infrastrukturen, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration und Rechtspflege.

Hochrisiko-KI-Systeme unterliegen den umfangreichsten Compliance-Anforderungen, die in den Artikeln 8 bis 15 festgelegt sind.

Begrenztes Risiko

KI-Systeme mit begrenztem Risiko unterliegen spezifischen Transparenzpflichten gemäß Artikel 50. Dazu gehören Chatbots (die offenlegen müssen, dass der Nutzer mit einem KI-System interagiert), Deepfakes (die gekennzeichnet werden müssen) und KI-generierte Inhalte (die als solche markiert werden müssen).

Minimales Risiko

KI-Systeme, die ein minimales oder kein Risiko darstellen — die überwiegende Mehrheit der KI-Anwendungen — können ohne zusätzliche Pflichten über die bestehende Gesetzgebung hinaus entwickelt und genutzt werden. Die Verordnung empfiehlt, aber verlangt nicht, die Entwicklung freiwilliger Verhaltenskodizes für diese Systeme.

Wichtige Bestimmungen und Anforderungen

Über die Risikoklassifizierung hinaus führt die KI-Verordnung mehrere wichtige Mechanismen und Anforderungen ein.

KI-Modelle mit allgemeinem Verwendungszweck (GPAI)

Kapitel V der KI-Verordnung behandelt KI-Modelle mit allgemeinem Verwendungszweck, einschließlich großer Sprachmodelle. Alle GPAI-Modellanbieter müssen technische Dokumentation führen, nachgelagerten Anbietern Informationen zur Verfügung stellen, das Urheberrecht einhalten und eine hinreichend detaillierte Zusammenfassung der Trainingsinhalte veröffentlichen.

GPAI-Modelle mit systemischem Risiko — im Allgemeinen solche, die mit mehr als 10^25 FLOPs an Rechenleistung trainiert wurden — unterliegen zusätzlichen Pflichten einschließlich Modellbewertungen, Adversarial Testing, Vorfallmeldungen und Cybersicherheitsmaßnahmen.

Need auditable AI for compliance?

Ctrl AI provides full execution traces, expert verification, and trust-tagged outputs for every AI decision.

Learn About Ctrl AI

KI-Governance-Struktur

Die KI-Verordnung schafft eine mehrschichtige Governance-Struktur:

  • KI-Büro (Artikel 64): Eine Stelle innerhalb der Europäischen Kommission, die für die Aufsicht über GPAI-Modelle und die Unterstützung der einheitlichen Anwendung der Verordnung zuständig ist.
  • Europäischer Ausschuss für Künstliche Intelligenz (Artikel 65): Zusammengesetzt aus Vertretern jedes Mitgliedstaats, berät der Ausschuss die Kommission und erleichtert die konsistente Anwendung in der gesamten EU.
  • Nationale zuständige Behörden (Artikel 70): Jeder Mitgliedstaat muss mindestens eine notifizierende Behörde und eine Marktüberwachungsbehörde benennen.
  • Beratungsforum (Artikel 67): Ein Gremium von Interessenvertretern, das dem Ausschuss und der Kommission fachliche Expertise bereitstellt.

Regulatorische Sandkästen

Artikel 57 verlangt von jedem Mitgliedstaat, bis zum 2. August 2026 mindestens einen regulatorischen KI-Sandkasten einzurichten. Diese kontrollierten Umgebungen ermöglichen es, innovative KI-Systeme unter regulatorischer Aufsicht zu entwickeln und zu testen, mit Rechtssicherheit und strukturierter Überwachung.

Grundrechte-Folgenabschätzung

Artikel 27 verlangt von Betreibern von Hochrisiko-KI-Systemen, die Einrichtungen des öffentlichen Rechts sind oder private Einrichtungen, die öffentliche Dienstleistungen erbringen, eine Grundrechte-Folgenabschätzung durchzuführen, bevor sie ein Hochrisiko-KI-System einsetzen. Diese Bewertung muss Risiken für die Grundrechte identifizieren und die Maßnahmen beschreiben, die zu deren Minderung ergriffen werden.

Sanktionen und Durchsetzung

Die EU-KI-Verordnung legt eine gestaffelte Sanktionsstruktur fest, die die Schwere der Verstöße widerspiegelt.

Bußgelder

Gemäß Artikel 99 betragen die maximalen Verwaltungsgeldbußen:

  • Verbotene KI-Praktiken (Artikel 5): Bis zu 35 Millionen EUR oder 7 % des weltweiten Gesamtjahresumsatzes, je nachdem, welcher Betrag höher ist.
  • Nichteinhaltung der Hochrisiko-Anforderungen: Bis zu 15 Millionen EUR oder 3 % des weltweiten Gesamtjahresumsatzes.
  • Übermittlung falscher Informationen an Behörden: Bis zu 7,5 Millionen EUR oder 1 % des weltweiten Gesamtjahresumsatzes.

Für KMU und Start-ups gilt der jeweils niedrigere der beiden Beträge, was ein gewisses Maß an Verhältnismäßigkeit für kleinere Organisationen bietet.

Diese Bußgelder werden auf Basis des weltweiten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres berechnet, nicht nur auf Basis der EU-Erlöse. Für große multinationale Unternehmen könnten die prozentualen Bußgelder Strafen von Hunderten Millionen oder sogar Milliarden Euro zur Folge haben.

Marktüberwachung

Nationale Marktüberwachungsbehörden haben die Befugnis, Inspektionen durchzuführen, Korrekturmaßnahmen zu verlangen und nicht-konforme KI-Systeme vom Markt zu nehmen. Die Verordnung ermächtigt auch Einzelpersonen, Beschwerden bei Marktüberwachungsbehörden einzureichen.

Umsetzungszeitplan

Die KI-Verordnung folgt einem gestaffelten Umsetzungszeitplan:

  • 1. August 2024: Inkrafttreten.
  • 2. Februar 2025: Verbote für KI-Praktiken mit unannehmbarem Risiko gelten.
  • 2. August 2025: Pflichten für GPAI-Modelle gelten. Governance-Bestimmungen treten in Kraft.
  • 2. August 2026: Die meisten Bestimmungen gelten, einschließlich der Anforderungen an Hochrisiko-KI-Systeme gemäß Anhang III.
  • 2. August 2027: Vollständige Anwendung, einschließlich der Hochrisiko-KI-Systeme, die Sicherheitskomponenten von Produkten sind, die unter bestehende EU-Harmonisierungsgesetzgebung fallen (Anhang I).

So bereiten Sie sich auf die Compliance vor

Die Vorbereitung auf die EU-KI-Verordnung ist nichts, was über Nacht erledigt werden kann. Organisationen sollten jetzt mit einem strukturierten Ansatz beginnen.

Schritt 1: KI-Systembestandsaufnahme

Beginnen Sie mit der Katalogisierung aller KI-Systeme, die Ihre Organisation entwickelt, einsetzt oder nutzt. Identifizieren Sie für jedes System seinen Zweck, die verarbeiteten Daten, die betroffenen Personen und welche Rolle Ihre Organisation einnimmt (Anbieter, Betreiber, Einführer oder Händler).

Schritt 2: Risikoklassifizierung

Ordnen Sie jedes KI-System den in den Artikeln 5, 6 und Anhang III definierten Risikokategorien zu. Stellen Sie fest, ob eines Ihrer Systeme in die Hochrisiko- oder Verbotskategorie fällt.

Schritt 3: Lückenanalyse

Bewerten Sie bei Hochrisikosystemen Ihre aktuellen Praktiken anhand der Anforderungen der Artikel 8 bis 15. Identifizieren Sie Lücken in den Bereichen Risikomanagement, Datengovernance, technische Dokumentation, Aufzeichnungen, Transparenz, menschliche Aufsicht, Genauigkeit und Cybersicherheit.

Schritt 4: Compliance-Fahrplan

Entwickeln Sie einen priorisierten Fahrplan zur Schließung identifizierter Lücken. Konzentrieren Sie sich zunächst auf verbotene Praktiken, die bis Februar 2025 eingestellt werden mussten, dann auf GPAI-Pflichten (August 2025) und anschließend auf Hochrisikosystem-Anforderungen (August 2026).

Schritt 5: Laufende Überwachung

Die Einhaltung der KI-Verordnung ist keine einmalige Aufgabe. Artikel 9 verlangt ein kontinuierliches Risikomanagement, und Artikel 72 schreibt eine Marktüberwachung nach dem Inverkehrbringen für Hochrisiko-KI-Systeme vor. Etablieren Sie Prozesse für die fortlaufende Compliance-Überwachung und Dokumentation.

Organisationen, die frühzeitig mit der Compliance-Arbeit beginnen, werden einen erheblichen Vorteil haben. Über die Vermeidung von Strafen hinaus stärkt der Nachweis verantwortungsvoller KI-Praktiken das Vertrauen bei Kunden, Partnern und Aufsichtsbehörden gleichermaßen.

Fazit

Die EU-KI-Verordnung stellt einen grundlegenden Wandel in der Regulierung Künstlicher Intelligenz dar. Ihr risikobasierter Ansatz bietet einen verhältnismäßigen Rahmen, der Innovation mit dem Schutz der Grundrechte in Einklang bringt. Mit bereits laufender Durchsetzung und wichtigen Fristen im Laufe der Jahre 2025 und 2026 ist jetzt der Zeitpunkt zum Handeln.

Ob Sie Anbieter sind, der KI-Systeme entwickelt, Betreiber, der sie in den Betrieb integriert, oder eine Organisation, die ihre Pflichten verstehen möchte — ein systematischer Ansatz zur Compliance ist unerlässlich. Das Verständnis der Verordnung, die Klassifizierung Ihrer KI-Systeme und der Aufbau robuster Governance-Prozesse werden Ihre Organisation nicht nur für die Compliance, sondern auch für eine nachhaltige, vertrauenswürdige KI-Entwicklung positionieren.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Verwandte Artikel

Regulation10 min read

Sanktionen der EU-KI-Verordnung: Bußgelder bis zu 35 Millionen Euro erklärt

Vollständige Aufschlüsselung der Sanktionen und Bußgelder der EU-KI-Verordnung — von 35 Millionen EUR für verbotene Praktiken bis 7,5 Millionen EUR für falsche Angaben. Verstehen Sie das Durchsetzungsregime und wie Sie Strafen vermeiden.

Regulation16 min read

Hochrisiko-KI-Systeme: Vollständige Anforderungen unter der EU-KI-Verordnung

Detaillierter Leitfaden zu den Anforderungen an Hochrisiko-KI-Systeme unter der EU-KI-Verordnung — Risikomanagement, Datengovernance, Dokumentation, menschliche Aufsicht, Genauigkeit und Cybersicherheit.

Regulation12 min read

EU-KI-Verordnung Risikoklassifizierung: Vier Stufen erklärt

Vertiefte Analyse des vierstufigen Risikoklassifizierungssystems der EU-KI-Verordnung — unannehmbares, hohes, begrenztes und minimales Risiko. Erfahren Sie, in welche Kategorie Ihr KI-System fällt und was erforderlich ist.