Alle sprechen über den EU AI Act. Fast niemand versteht, was er tatsächlich verlangt.
Manche glauben, er verbiete KI. Andere halten ihn für ein GDPR 2.0. Many assume it only affects “big tech.”
Die Wahrheit ist viel einfacher; und viel ernster:Wenn Ihre Organisation KI einsetzt, entwickelt oder einkauft, betrifft Sie der AI Act. Hier folgt die dekodierte, praxiserprobte Erklärung.
Der AI Act ist kein technisches Handbuch und kein philosophisches Dokument. Er ist ein Governance- und Verantwortlichkeitsrahmen, der sicherstellen soll, dass KI-Systeme sicher, erklärbar, dokumentiert und ethisch eingesetzt werden.
Der Act fordert nicht, dass Sie KI aufgeben. Er fordert, dass Sie sie kontrollieren; genauso wie wir Cybersicherheit, Finanzsysteme und kritische Infrastrukturen kontrollieren.
Lassen Sie uns das ohne Fachjargon aufschlüsseln.
1. Das gesamte Gesetz dreht sich um vier Risikostufen
Der AI Act ordnet KI-Systeme in vier Kategorien ein, jede mit unterschiedlichen Pflichten.
1. Inakzeptables Risiko → Vollständig verboten
Beispiele:
- Social Scoring
- manipulative/psychologische Ausnutzung
- biometrische Kategorisierung, die sensible Merkmale offenbart
- ungezielte Gesichtserfassung
- Emotionserkennung an Arbeitsplätzen und in Schulen
Wenn Ihr System in diese Kategorie fällt, dürfen Sie es nicht einsetzen. Punkt.
2. Hohes Risiko → Kern des Acts (strenge Governance)
KI mit hohem Risiko umfasst Systeme, die Folgendes betreffen:
- Grundrechte von Personen
- Sicherheit
- Finanzstabilität
- kritische Dienste
- Strafverfolgung
- Beschäftigung
- Gesundheitsversorgung
- wesentliche Infrastrukturen
Hier greifen 80 % der Pflichten.
3. Begrenztes Risiko → Transparenz erforderlich
Beispiele:
- Chatbots
- Deepfakes
- generierte Inhalte
- KI-Systeme im Umgang mit Menschen
Nutzer müssen darüber informiert werden, dass sie mit KI interagieren und wann Inhalte KI-generiert sind.
4. Minimales Risiko → Freie Nutzung
Beispiele:
- Rechtschreib- und Grammatikwerkzeuge
- KI in Videospielen
- Empfehlungsalgorithmen Keine besonderen Anforderungen.
Das Entscheidende: Die meisten Organisationen bewegen sich in den Kategorien 2 und 3; nicht in Kategorie 1.
2. KI mit hohem Risiko bringt erhebliche Pflichten mit sich
Wenn Ihr KI-System als hochriskant eingestuft ist, müssen Sie ein vollständiges KI-Governance-System implementieren.
Sie müssen nachweisen:
- Risikobewertungen
- Datenqualität und -Governance
- Modelldokumentation (Architektur, Training, Tests)
- Erkennung und Minderung von Verzerrungen (Bias)
- Robustheit und Cybersicherheit
- menschliche Aufsicht und Entscheidungsgrenzen
- Leistungsüberwachung
- Vorfallsprotokollierung
- Rückverfolgbarkeit über den gesamten Lebenszyklus
- Transparenz gegenüber Regulierungsbehörden
Das ist nicht optional.Es ist gesetzlich vorgeschrieben.
Anmerkung aus der Praxis: Several European banks already treat high-risk AI systems as “mini-regulated products,” with lifecycles mirroring financial models.
3. General-Purpose AI (GPAI) und Foundation Models haben eigene Regeln
Hier liegt das häufigste Missverständnis gegenüber dem Act. Selbst wenn Sie keine KI entwickeln, müssen Sie die Pflichten für die von Ihnen genutzten Modelle kennen.
GPAI-Anbieter (z. B. große Sprachmodelle) müssen:
- Dokumentation veröffentlichen
- Trainingsdatenquellen offenlegen
- Leitlinien zur Risikominderung bereitstellen
- Cybersicherheit gewährleisten
- technische Bewertungen teilen
- auf systemische Risiken testen (bei leistungsstarken Modellen)
Nutzer (also Sie) müssen:
- den bestimmungsgemäßen Verwendungszweck verstehen
- Risikokontrollen anwenden
- die Wiederverwendung in hochriskanten Kontexten ohne Aufsicht vermeiden
- sicherstellen, dass Outputs nachverfolgbar und gesteuert sind
Mit der Nutzung eines GPAI-Modells übernehmen Sie Pflichten.
4. Menschliche Aufsicht ist kein Häkchen; sie ist ein zentraler Mechanismus
Jedes hochriskante KI-System muss enthalten:
- klare Möglichkeit zum menschlichen Eingriff
- dokumentierte Prüfpunkte
- Schulung für menschliche Prüfer
- Erklärungsmechanismen
Der Act ist eindeutig: Die menschliche Aufsicht muss wirksam sein, nicht symbolisch.
Das bedeutet: Ihre Mitarbeitenden dürfen KI-Ergebnissen nicht blind vertrauen; Sie benötigen einen formalen Prozess.
5. The AI Act Requires an “AI Governance System” ; Not Just Policies
Das ist der Teil, den die meisten Organisationen unterschätzen.
Der AI Act erwartet etwas Ähnliches wie ein ISMS, aber für KI:
Ihr Governance-System muss umfassen:
- dokumentierte Rollen und Verantwortlichkeiten
- Lebenszyklusprozesse
- Risikorahmen
- Modelldokumentation
- Überwachungsverfahren
- Incident Response
- internes Audit
- kontinuierliche Verbesserung
- KI-Schulungen für die Organisation
- Beschaffungskontrollen
- technische und ethische Prüfungen
- Aufsicht auf Vorstandsebene
Genau deshalb hat ISO ISO/IEC 42001 veröffentlicht; der Standard spiegelt den Act fast vollständig wider.
The EU never uses the word “management system,” doch alles am AI Act setzt eines voraus.
6. Der AI Act enthält eine Meldepflicht für KI-Vorfälle
Wenn ein KI-System zu Folgendem führt:
- Fehlfunktion
- Bias
- Schaden
- Fehlklassifizierung
- Rechtsverletzung
- erheblicher Modelldrift
- Sicherheitsvorfall mit Auswirkung auf KI
… müssen Sie die Behörden benachrichtigen.
There is no “sweep it under the rug” option.
7. Dokumentationsanforderungen sind umfangreich (aber nachvollziehbar)
Für hochriskante KI ist Folgendes zu dokumentieren und zu pflegen:
- Dokumentation der Trainingsdaten
- Modellarchitektur
- Testprotokolle
- Robustheitsprüfungen
- Cybersicherheitsmaßnahmen
- Minderungsmaßnahmen
- Bias-Analysen
- Leistungskennzahlen
- Regeln zur menschlichen Aufsicht
- Logs
- versionierte Modellhistorie
- Einsatznachweise
Das ist keine Bürokratie; es ist das, was verantwortungsvolle KI-Teams ohnehin tun sollten.
8. Der Durchsetzungszeitplan ist relevant; hier die Übersicht
Der AI Act wird stufenweise eingeführt:
2025–2026
- Verbotene Praktiken werden illegal
- GPAI-Transparenzpflichten greifen
- Nationale Aufsichtsbehörden nehmen den Betrieb auf
- Das AI Office koordiniert die Aufsicht
2026–2027
- Pflichten für hochriskante KI treten in Kraft
- Unternehmen müssen hochriskante Systeme registrieren
- Governance-Systeme müssen operativ sein
2027–2028
- Vollständige Compliance erforderlich
- Audits und Durchsetzungsmaßnahmen beginnen
- Bußgelder werden wirksam
Wenn Sie KI-Systeme im Jahr 2025 einsetzen oder einkaufen, müssen Sie jetzt mit der Vorbereitung beginnen.
9. Strafen sind so ernst zu nehmen wie beim GDPR
Bußgelder bei Nichteinhaltung:
- bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes (höchste Stufe)
- 15 Mio. € oder 3 % bei Verstößen bei hochriskanten Systemen
- 7,5 Mio. € oder 1,5 % bei irreführender Dokumentation
Diese Zahlen sind beabsichtigt:Sie machen die AI Act-Compliance zu einer Priorität auf Vorstandsebene.
10. Was Sie tatsächlich jetzt tun müssen
Hier ist Ihre praxisnahe, schnörkellose Einstiegsliste:
- Identifizieren und klassifizieren Sie Ihre KI-Systeme (risikobasiert)
- Erfassen Sie Ihre Anbieter und GPAI-Abhängigkeiten
- Erstellen Sie Ihr KI-Governance-Framework
- Beginnen Sie mit der Dokumentation von Modellentscheidungen
- Implementieren Sie menschliche Aufsicht
- Entwickeln Sie Verfahren zur KI-Risikobewertung
- Bereiten Sie sich auf die Vorfallsmeldung vor
- Schulen Sie Ihre Teams zu KI-Pflichten
- Richten Sie sich an ISO/IEC 42001 aus
- Richten Sie Nachweisworkflows ein (AI Act ≠ “promise”; it’s “prove”)
Das ist das Minimum, um regulatorische Konsequenzen zu vermeiden.
Abschließender Gedanke
Der EU AI Act ist kein Innovationshemmnis. Er fördert Verantwortlichkeit. Er sagt eines klar:
Wenn KI das Leben von Menschen beeinflusst, muss sie erklärbar, kontrolliert und gesteuert sein.
Das ist die Zukunft des digitalen Betriebs; und Unternehmen, die dies frühzeitig annehmen, verschaffen sich einen Wettbewerbsvorteil statt einer Compliance-Last.
Wenn Sie verstehen möchten, wie Sie den EU AI Act in der Praxis umsetzen; Governance, Aufsicht, Dokumentation und ISO/IEC 42001-Ausrichtung; genau das vermitteln wir in den Cyber Academy ISO/IEC 42001 Lead Implementer- und AI Risk Manager-Programmen. Nehmen Sie an der nächsten Session teil und bereiten Sie Ihre Organisation auf Europas neues KI-Zeitalter vor.
