Der EU AI Act verfolgt einen risikobasierten Ansatz, das heißt für KI-Anwendungen mit hohem Risiko gelten strengere Anforderungen als für solche mit geringem Risiko. Dafür unterscheidet das Gesetz zwischen vier Risikoklassen: 

• Verbotene AI-Praktiken 

KI-Anwendungen mit inakzeptablem Risiko sind seit dem 2. Februar 2025 verboten. Darunter fallen zum Beispiel Systeme zur Echtzeit-Gesichtserkennung sowie zur Verhaltensmanipulation, etwa Social Scoring. Auch Anwendungen, die zur Überwachung von Bürgerinnen und Bürgern dienen und damit demokratiefeindlichen Zwecken dienen können, gehören in diese Risikoklasse. 

• Hochrisiko-KI-Systeme 

KI-Anwendungen, die ein erhebliches Risiko für die Gesundheit, Sicherheit oder die Grundrechte natürlicher Personen darstellen können, gelten als Hochrisiko-Systeme. Sie unterliegen strengen Bedingungen. Organisationen müssen zahlreiche Maßnahmen ergreifen, um die damit verbundenen Risiken zu mindern. Als hochriskant gelten zum Beispiel alle KI-Systeme, die im Bereich der kritischen Infrastrukturen zum Einsatz kommen, etwa dem Gesundheitswesen oder Verkehrssektor. Auch Anwendungen, die ein Profiling natürlicher Personen vornehmen, gehören in diese Risiko-Klasse. Das betrifft zum Beispiel KI-basierte Systeme im Recruiting, die automatisiert Bewerber filtern, oder im Finanzbereich, die die Kreditwürdigkeit einer Person bewerten. 

• KI-Modelle mit allgemeinem Verwendungszweck 

In diese Kategorie fällt zum Beispiel generative KI wie ChatGPT oder Midjourney. Für solche Anwendungen gilt eine Transparenzpflicht. Das heißt Anwender müssen Deepfakes als solche kennzeichnen und offenlegen, dass ein Text KI-erzeugt wurde, sofern dieser über Angelegenheiten von öffentlichem Interesse informiert. Hersteller müssen außerdem sicherstellen, dass die KI-Anwendungen nicht für die Produktion von illegalen Inhalten verwendet werden können. 

• KI-Systeme für die direkte Interaktion mit Menschen 

Beliebte Anwendungen in dieser Kategorie sind zum Beispiel Chatbots und virtuelle Assistenten. Für sie gilt: Anbieter müssen den Anwendern gegenüber offenlegen, dass sie mit einer KI interagieren und nicht mit einem Menschen. Zählt die betroffene KI-Anwendung zusätzlich zur Hochrisiko- oder Allgemein-Klasse, müssen deren Anforderungen zusätzlich erfüllt werden. 

Grundsätzlich gilt für alle KI-Systeme eine Dokumentations- und Transparenzpflicht. Für Hochrisiko-Anwendungen macht der EU AI Act besonders strenge Vorgaben: 

• Eine Risikobewertung in Bezug auf Gesundheit, Sicherheit und Grundrechte 

• Umfassende technische Dokumentation und ein Qualitätsmanagementsystem 

• Kontrolle der verwendeten Daten, Ereignisprotokollierung, obligatorische menschliche Aufsicht sowie Anforderungen an Datengenauigkeit und -sicherheit 

• Transparenz für Nutzer und/oder betroffene Personen 

• Eine Konformitätserklärung, CE-Kennzeichnung und Registrierung in einer EU-Datenbank 

Im ersten Schritt müssen Unternehmen identifizieren, welche KI-Systeme sie überhaupt einsetzen. Anschließend müssen sie diese in die richtige Risikoklasse einstufen und die jeweils vorgeschriebenen Maßnahmen umsetzen. Eine zentrale digitale Plattform unterstützt dabei, das KI-Assessment effizient durchzuführen, ein proaktives Risikomanagement zu etablieren und eine Audit-sichere Dokumentation zu erstellen. Laut Artikel 4 EU AI Act sind Unternehmen außerdem in der Pflicht, für ausreichende KI-Kompetenz in der Belegschaft zu sorgen. Dafür sind zum Beispiel E-Learning-Kurse und Awareness-Trainings wichtig, die über Risiken aufklären und einen verantwortungsbewussten Umgang mit KI fördern. Unternehmen sollten darüber hinaus eine KI-Policy veröffentlichen und ihre Richtlinien klar kommunizieren. 

Die AI Act Compliance sicherzustellen ist keine einmalige Angelegenheit, sondern ein kontinuierlicher Prozess. Daher empfiehlt es sich, einen KI-Compliance-Verantwortlichen zu ernennen, der diesen Prozess managt und überwacht. Denn bei Verstößen gegen das Gesetz drohen Bußgelder zwischen 750.000 und 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes. 

Die Veröffentlichung von ChatGPT schlug hohe Wellen bei Fans und Kritikern der künstlichen Intelligenz. Begeisterung über erste Gehversuche mit dem Programm traf schnell auf mahnende Stimmen; schließlich folgte sogar die Warnung führender KI-Unternehmer, innezuhalten und sich auf einen Regelkatalog für die revolutionäre Technologie zu einigen. 

Bereits im Dezember 2023 erzielte die EU nach 37 Stunden Verhandlungen eine vorläufige Einigung über ihr KI-Gesetz. Thierry Breton, EU-Kommissar für den Binnenmarkt, bezeichnete diese Entwicklung als „historisch“. Die finale Fassung wurde schließlich am 12. Juli 2024 veröffentlicht und trat am 1. August 2024 in Kraft. 

Während die EU stolz auf ihre Vorreiterrolle in der KI-Regulierung ist, kommt aus der Wirtschaft Kritik. Mehr als 100 hochrangige europäische Wirtschaftsvertreterinnen und -vertreter, darunter die CEOs von Siemens, Airbus und ARM, beklagten im Juni 2023 in einem Brandbrief, das geplante Gesetz gehe zu weit. Ein besonderer Dorn im Auge war ihnen Brüssels Regulierungsansätze für generative KI. Ihre Sorge: Unternehmen müssten allein für die Transparenz-Anforderungen eigene Compliance-Abteilungen einrichten. Der damit verbundene Aufwand und die Kosten würden die Wettbewerbsfähigkeit Europas gefährden und Unternehmen dazu zwingen, ihre Aktivitäten ins Ausland zu verlagern. Auch in einer aktuellen Deloitte-Umfrage unter 500 Managern sehen mehr als die Hälfte der Befragten ihre Innovationsmöglichkeiten im Bereich KI durch die Regulierung eingeschränkt.  

Die Angst, dass Europa abgehängt werden könnte, ist durchaus berechtigt. Denn während es zunächst so aussah, als ob der EU AI Act Nachahmer in anderen Wirtschaftsräumen finden würde, hat sich die Lage mittlerweile komplett gedreht. Direkt nach seiner Amtsübernahme hat Donald Trump das zuvor von Joe Biden erlassene Dekret zur KI-Regulierung wieder aufgehoben. Mit seinem Projekt „Stargate“ will er in den nächsten Jahren 500 Millionen Dollar in den KI-Ausbau investieren – frei von regulatorischen Einschränkungen. 

Es gibt jedoch durchaus KI-Experten, die der Ansicht sind, dass der EU AI Act zum Standortvorteil für Deutschland und Europa werden könnte, weil er das Vertrauen von Kunden und Partnern in die neue Technologie stärkt. Unternehmen, die compliant sind, zeigen damit, dass sie ihre gesellschaftliche Verantwortung ernst nehmen, und gewinnen an positiver Reputation. Nicht zuletzt ist ein ethischer Umgang mit KI unverzichtbar, um nachhaltige Innovationen zu unterstützen und potenziellen Missbrauch zu verhindern.  

Wir stehen erst am Anfang der KI-Transformation. Niemand kann derzeit sagen, wohin die Reise geht. Der EU AI Act ist bewusst so angelegt, dass er weiterentwickelt werden kann, um mit den technologischen Fortschritten mitzuhalten. Daher lohnt es sich, KI-Compliance von Anfang sauber mit digitalen Prozessen und einer zentralen Plattform aufzusetzen. Umso schneller und flexibler können Unternehmen künftig auf Änderungen reagieren.