Die Einschätzung der Cyber Academy
Der AI Act ist die weltweit erste umfassende KI-Regulierung. Vier Risikostufen: inakzeptabel (verboten), hoch (umfangreiche Pflichten und Konformitätsbewertung), begrenzt (Transparenz), minimal. Gilt in Phasen bis August 2027. Kombinieren Sie ihn mit ISO 42001, wenn Sie eine Managementsystem-Lösung statt einer Checkliste suchen. Die GPAI-Modellregeln kommen noch hinzu.
Ein risikobasiertes Gesetz, kein Technologieverbot
Der EU AI Act reguliert künstliche Intelligenz danach, was ein System tut und wen es betreffen kann, nicht nach dem zugrunde liegenden Algorithmus. Dieselbe Technik des maschinellen Lernens kann in einem Kontext unreguliert und in einem anderen streng kontrolliert sein. Das ist der Kerngedanke der vier Risikostufen: inakzeptable Praktiken sind unmittelbar verboten, Hochrisikosysteme tragen die schwersten Pflichten, Systeme mit begrenztem Risiko schulden den interagierenden Personen Transparenz, und Systeme mit minimalem Risiko bleiben weitgehend unberührt. Der größte Teil der alltäglich genutzten KI liegt in dieser Minimalstufe, weshalb der Act besser als gezielte Regulierung folgenreicher Anwendungen zu verstehen ist als als pauschales Lizenzregime für jede KI.
Der Act ist eine Verordnung und gilt daher unmittelbar in jedem Mitgliedstaat, ohne dass ihn jedes Land in nationales Recht umsetzen muss. Seine Reichweite ist dem Geist nach auch extraterritorial: Anbieter und Betreiber außerhalb der EU fallen in den Anwendungsbereich, wenn ihr KI-System auf dem EU-Markt in Verkehr gebracht wird oder seine Ausgaben in der Union verwendet werden. Praktiker sollten ihre Systeme früh den Stufen zuordnen, denn die Einstufung bestimmt alles Weitere, von der Dokumentation bis zur Konformitätsbewertung.
Wo die Pflichten tatsächlich greifen
Nahezu das gesamte operative Gewicht entfällt auf Hochrisikosysteme. Dabei handelt es sich typischerweise um KI, die in regulierten Produkten oder in sensiblen Bereichen wie kritischer Infrastruktur, Beschäftigung, Zugang zu wesentlichen Diensten, Strafverfolgung und Rechtspflege eingesetzt wird.
Für diese erwartet der Act einen funktionierenden Satz an Disziplinen statt eines einmaligen Formulars: ein über den Lebenszyklus gepflegtes Risikomanagementsystem, Daten-Governance für Trainings- und Testdaten, technische Dokumentation, Protokollierung, Transparenz und Gebrauchsanweisungen, menschliche Aufsicht, die ein sinnvolles Eingreifen einer Person ermöglicht, sowie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit.
Bevor ein Hochrisikosystem auf den Markt gelangt, muss es eine Konformitätsbewertung bestehen, und die Anbieter führen nach der Inbetriebnahme eine Beobachtung nach dem Inverkehrbringen durch.
GPAI, Transparenz und der gestufte Zeitplan
Über den Stufen steht ein gesondertes Regime für KI-Modelle mit allgemeinem Verwendungszweck, die Basismodelle, die viele nachgelagerte Anwendungen antreiben. Anbieter von GPAI unterliegen Transparenz- und Dokumentationspflichten, mit strengeren Anforderungen für die leistungsfähigsten Modelle, denen ein systemisches Risiko zugeschrieben wird. Diese Ebene wurde gerade deshalb hinzugefügt, weil ein einziges Modell mit allgemeinem Verwendungszweck in unzählige Hochrisiko- und Anwendungen mit begrenztem Risiko einfließen kann, sodass eine Regulierung allein der Endanwendung eine Lücke hinterließe.
Pflichten bei begrenztem Risiko sind leichter, aber real. Sie konzentrieren sich auf Transparenz: Menschen sollten wissen, wann sie mit einem KI-System interagieren, und bestimmte synthetische oder manipulierte Inhalte sollten als künstlich erzeugt gekennzeichnet werden. Der Act tritt in Kraft und gilt in Phasen, wobei Verbote, GPAI-Regeln und Hochrisikopflichten zu unterschiedlichen Zeitpunkten bis 2027 in Kraft treten, was Organisationen eine Anlaufzeit gibt, aber auch eine Abfolge harter Fristen, auf die hin zu planen ist.
Wie Praktiker es operationalisieren
In der Praxis ist der Act eine Checkliste rechtlicher Pflichten, keine Managementmethode, daher koppeln Teams ihn an ein System, das diese Pflichten im Tagesgeschäft tragen kann. ISO/IEC 42001 ist die übliche Antwort: Ein KI-Managementsystem liefert die Risikobewertungen, die Daten-Governance, die Routinen der menschlichen Aufsicht und der Beobachtung nach dem Inverkehrbringen, die der Act erwartet, betrieben als wiederholbares System statt unter Termindruck improvisiert.
Das NIST AI Risk Management Framework wird oft begleitend als freiwillige Struktur zur Identifizierung und Behandlung von KI-Risiken genutzt. Keines davon macht ein System für sich allein rechtlich konform. Sie machen Konformität erreichbar und prüfbar, was den Unterschied ausmacht zwischen dem Nachweis der gebotenen Sorgfalt und der Hoffnung, dass niemand fragt.
Frequently asked questions
01Gilt der EU AI Act für Unternehmen außerhalb der EU?
Ja, das kann er. Der Act erreicht Anbieter und Betreiber, die außerhalb der Union niedergelassen sind, wenn ihr KI-System auf dem EU-Markt in Verkehr gebracht wird oder wenn die Ausgabe des Systems innerhalb der EU verwendet wird. Der Standort des Unternehmens ist nicht der entscheidende Faktor; es sind der Markt und die Verwendung.
02Was macht ein System hochriskant?
Im weiteren Sinne KI, die als Sicherheitsbauteil eines regulierten Produkts verwendet wird, oder KI, die in sensiblen Bereichen verwendet wird, die der Act aufführt, wie kritische Infrastruktur, Beschäftigung, Bildung, wesentliche Dienste, Strafverfolgung und Justiz. Die Einstufung als hochriskant löst den vollständigen Satz an Pflichten und eine Konformitätsbewertung vor dem Markteintritt aus.
03Wie verhält sich der AI Act zu ISO 42001?
Der AI Act legt die rechtlichen Pflichten fest; ISO/IEC 42001 gibt Ihnen ein zertifizierbares Managementsystem, um sie strukturiert zu erfüllen. Der Besitz von 42001 ist nicht gleichbedeutend mit rechtlicher Konformität, institutionalisiert aber das Risikomanagement, die Daten-Governance, die Aufsicht und die Überwachung, die der Act erwartet.
04Was ist GPAI und warum wird es gesondert reguliert?
GPAI steht für KI-Modelle mit allgemeinem Verwendungszweck, die Basismodelle, die viele nachgelagerte Anwendungen speisen. Sie erhalten eigene Transparenz- und Dokumentationsregeln, mit zusätzlichen Pflichten für die leistungsfähigsten Modelle, die ein systemisches Risiko tragen, weil ein einziges Modell sich in viele regulierte Anwendungen ausbreiten kann.
05Wann tritt der AI Act in Kraft?
Er gilt in Phasen statt auf einmal. Verbotene Praktiken, Regeln für KI mit allgemeinem Verwendungszweck und die Hochrisikopflichten treten zu gestaffelten Zeitpunkten nach Inkrafttreten der Verordnung in Kraft, was Organisationen Zeit zur Vorbereitung gibt, aber eine klare Abfolge von Fristen bis 2027.