Zum Hauptinhalt springen

Der EU AI Act entschlüsselt: Was Sie wissen müssen

Der EU AI Act ist heute die umfassendste KI-Regulierung der Welt. Hier finden Sie eine klare, praxisorientierte Übersicht der wesentlichen Punkte: Risikokategorien, Pflichten, Zeitpläne und konkrete Compliance-Maßnahmen für Organisationen.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 Min. Lesezeit
The EU AI Act Decoded: What You Need to Know

Alle sprechen über den EU AI Act. Fast niemand versteht, was er tatsächlich verlangt.

Manche glauben, er verbiete KI. Andere halten ihn für ein GDPR 2.0. Many assume it only affects “big tech.”

Die Wahrheit ist viel einfacher; und viel ernster:Wenn Ihre Organisation KI einsetzt, entwickelt oder einkauft, betrifft Sie der AI Act. Hier folgt die dekodierte, praxiserprobte Erklärung.

Der AI Act ist kein technisches Handbuch und kein philosophisches Dokument. Er ist ein Governance- und Verantwortlichkeitsrahmen, der sicherstellen soll, dass KI-Systeme sicher, erklärbar, dokumentiert und ethisch eingesetzt werden.

Der Act fordert nicht, dass Sie KI aufgeben. Er fordert, dass Sie sie kontrollieren; genauso wie wir Cybersicherheit, Finanzsysteme und kritische Infrastrukturen kontrollieren.

Lassen Sie uns das ohne Fachjargon aufschlüsseln.

1. Das gesamte Gesetz dreht sich um vier Risikostufen

Der AI Act ordnet KI-Systeme in vier Kategorien ein, jede mit unterschiedlichen Pflichten.

1. Inakzeptables Risiko → Vollständig verboten

Beispiele:

  • Social Scoring
  • manipulative/psychologische Ausnutzung
  • biometrische Kategorisierung, die sensible Merkmale offenbart
  • ungezielte Gesichtserfassung
  • Emotionserkennung an Arbeitsplätzen und in Schulen

Wenn Ihr System in diese Kategorie fällt, dürfen Sie es nicht einsetzen. Punkt.

2. Hohes Risiko → Kern des Acts (strenge Governance)

KI mit hohem Risiko umfasst Systeme, die Folgendes betreffen:

  • Grundrechte von Personen
  • Sicherheit
  • Finanzstabilität
  • kritische Dienste
  • Strafverfolgung
  • Beschäftigung
  • Gesundheitsversorgung
  • wesentliche Infrastrukturen

Hier greifen 80 % der Pflichten.

3. Begrenztes Risiko → Transparenz erforderlich

Beispiele:

  • Chatbots
  • Deepfakes
  • generierte Inhalte
  • KI-Systeme im Umgang mit Menschen

Nutzer müssen darüber informiert werden, dass sie mit KI interagieren und wann Inhalte KI-generiert sind.

4. Minimales Risiko → Freie Nutzung

Beispiele:

  • Rechtschreib- und Grammatikwerkzeuge
  • KI in Videospielen
  • Empfehlungsalgorithmen Keine besonderen Anforderungen.

Das Entscheidende: Die meisten Organisationen bewegen sich in den Kategorien 2 und 3; nicht in Kategorie 1.

2. KI mit hohem Risiko bringt erhebliche Pflichten mit sich

Wenn Ihr KI-System als hochriskant eingestuft ist, müssen Sie ein vollständiges KI-Governance-System implementieren.

Sie müssen nachweisen:

  • Risikobewertungen
  • Datenqualität und -Governance
  • Modelldokumentation (Architektur, Training, Tests)
  • Erkennung und Minderung von Verzerrungen (Bias)
  • Robustheit und Cybersicherheit
  • menschliche Aufsicht und Entscheidungsgrenzen
  • Leistungsüberwachung
  • Vorfallsprotokollierung
  • Rückverfolgbarkeit über den gesamten Lebenszyklus
  • Transparenz gegenüber Regulierungsbehörden

Das ist nicht optional.Es ist gesetzlich vorgeschrieben.

Anmerkung aus der Praxis: Several European banks already treat high-risk AI systems as “mini-regulated products,” with lifecycles mirroring financial models.

3. General-Purpose AI (GPAI) und Foundation Models haben eigene Regeln

Hier liegt das häufigste Missverständnis gegenüber dem Act. Selbst wenn Sie keine KI entwickeln, müssen Sie die Pflichten für die von Ihnen genutzten Modelle kennen.

GPAI-Anbieter (z. B. große Sprachmodelle) müssen:

  • Dokumentation veröffentlichen
  • Trainingsdatenquellen offenlegen
  • Leitlinien zur Risikominderung bereitstellen
  • Cybersicherheit gewährleisten
  • technische Bewertungen teilen
  • auf systemische Risiken testen (bei leistungsstarken Modellen)

Nutzer (also Sie) müssen:

  • den bestimmungsgemäßen Verwendungszweck verstehen
  • Risikokontrollen anwenden
  • die Wiederverwendung in hochriskanten Kontexten ohne Aufsicht vermeiden
  • sicherstellen, dass Outputs nachverfolgbar und gesteuert sind

Mit der Nutzung eines GPAI-Modells übernehmen Sie Pflichten.

4. Menschliche Aufsicht ist kein Häkchen; sie ist ein zentraler Mechanismus

Jedes hochriskante KI-System muss enthalten:

  • klare Möglichkeit zum menschlichen Eingriff
  • dokumentierte Prüfpunkte
  • Schulung für menschliche Prüfer
  • Erklärungsmechanismen

Der Act ist eindeutig: Die menschliche Aufsicht muss wirksam sein, nicht symbolisch.

Das bedeutet: Ihre Mitarbeitenden dürfen KI-Ergebnissen nicht blind vertrauen; Sie benötigen einen formalen Prozess.

5. The AI Act Requires an “AI Governance System” ; Not Just Policies

Das ist der Teil, den die meisten Organisationen unterschätzen.

Der AI Act erwartet etwas Ähnliches wie ein ISMS, aber für KI:

Ihr Governance-System muss umfassen:

  • dokumentierte Rollen und Verantwortlichkeiten
  • Lebenszyklusprozesse
  • Risikorahmen
  • Modelldokumentation
  • Überwachungsverfahren
  • Incident Response
  • internes Audit
  • kontinuierliche Verbesserung
  • KI-Schulungen für die Organisation
  • Beschaffungskontrollen
  • technische und ethische Prüfungen
  • Aufsicht auf Vorstandsebene

Genau deshalb hat ISO ISO/IEC 42001 veröffentlicht; der Standard spiegelt den Act fast vollständig wider.

The EU never uses the word “management system,” doch alles am AI Act setzt eines voraus.

6. Der AI Act enthält eine Meldepflicht für KI-Vorfälle

Wenn ein KI-System zu Folgendem führt:

  • Fehlfunktion
  • Bias
  • Schaden
  • Fehlklassifizierung
  • Rechtsverletzung
  • erheblicher Modelldrift
  • Sicherheitsvorfall mit Auswirkung auf KI

… müssen Sie die Behörden benachrichtigen.

There is no “sweep it under the rug” option.

7. Dokumentationsanforderungen sind umfangreich (aber nachvollziehbar)

Für hochriskante KI ist Folgendes zu dokumentieren und zu pflegen:

  • Dokumentation der Trainingsdaten
  • Modellarchitektur
  • Testprotokolle
  • Robustheitsprüfungen
  • Cybersicherheitsmaßnahmen
  • Minderungsmaßnahmen
  • Bias-Analysen
  • Leistungskennzahlen
  • Regeln zur menschlichen Aufsicht
  • Logs
  • versionierte Modellhistorie
  • Einsatznachweise

Das ist keine Bürokratie; es ist das, was verantwortungsvolle KI-Teams ohnehin tun sollten.

8. Der Durchsetzungszeitplan ist relevant; hier die Übersicht

Der AI Act wird stufenweise eingeführt:

2025–2026

  • Verbotene Praktiken werden illegal
  • GPAI-Transparenzpflichten greifen
  • Nationale Aufsichtsbehörden nehmen den Betrieb auf
  • Das AI Office koordiniert die Aufsicht

2026–2027

  • Pflichten für hochriskante KI treten in Kraft
  • Unternehmen müssen hochriskante Systeme registrieren
  • Governance-Systeme müssen operativ sein

2027–2028

  • Vollständige Compliance erforderlich
  • Audits und Durchsetzungsmaßnahmen beginnen
  • Bußgelder werden wirksam

Wenn Sie KI-Systeme im Jahr 2025 einsetzen oder einkaufen, müssen Sie jetzt mit der Vorbereitung beginnen.

9. Strafen sind so ernst zu nehmen wie beim GDPR

Bußgelder bei Nichteinhaltung:

  • bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes (höchste Stufe)
  • 15 Mio. € oder 3 % bei Verstößen bei hochriskanten Systemen
  • 7,5 Mio. € oder 1,5 % bei irreführender Dokumentation

Diese Zahlen sind beabsichtigt:Sie machen die AI Act-Compliance zu einer Priorität auf Vorstandsebene.

10. Was Sie tatsächlich jetzt tun müssen

Hier ist Ihre praxisnahe, schnörkellose Einstiegsliste:

  1. Identifizieren und klassifizieren Sie Ihre KI-Systeme (risikobasiert)
  2. Erfassen Sie Ihre Anbieter und GPAI-Abhängigkeiten
  3. Erstellen Sie Ihr KI-Governance-Framework
  4. Beginnen Sie mit der Dokumentation von Modellentscheidungen
  5. Implementieren Sie menschliche Aufsicht
  6. Entwickeln Sie Verfahren zur KI-Risikobewertung
  7. Bereiten Sie sich auf die Vorfallsmeldung vor
  8. Schulen Sie Ihre Teams zu KI-Pflichten
  9. Richten Sie sich an ISO/IEC 42001 aus
  10. Richten Sie Nachweisworkflows ein (AI Act ≠ “promise”; it’s “prove”)

Das ist das Minimum, um regulatorische Konsequenzen zu vermeiden.

Abschließender Gedanke

Der EU AI Act ist kein Innovationshemmnis. Er fördert Verantwortlichkeit. Er sagt eines klar:

Wenn KI das Leben von Menschen beeinflusst, muss sie erklärbar, kontrolliert und gesteuert sein.

Das ist die Zukunft des digitalen Betriebs; und Unternehmen, die dies frühzeitig annehmen, verschaffen sich einen Wettbewerbsvorteil statt einer Compliance-Last.

Wenn Sie verstehen möchten, wie Sie den EU AI Act in der Praxis umsetzen; Governance, Aufsicht, Dokumentation und ISO/IEC 42001-Ausrichtung; genau das vermitteln wir in den Cyber Academy ISO/IEC 42001 Lead Implementer- und AI Risk Manager-Programmen. Nehmen Sie an der nächsten Session teil und bereiten Sie Ihre Organisation auf Europas neues KI-Zeitalter vor.

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.