EU AI Act (Verordnung zur KI)

Mit dem AI Act (Verordnung über Künstliche Intelligenz) schafft die Europäische Union erstmals ein umfassendes Regelwerk für den Einsatz und die Entwicklung von KI-Systemen. Ziel ist es, Künstliche Intelligenz sicher, transparent und menschenzentriert einzusetzen.

Für Unternehmen bedeutet das: Künstliche Intelligenz wird rechtlich reguliert und zwar verbindlich in allen Mitgliedstaaten. Spätestens ab 2026 müssen Entwickler, Anbieter und Nutzer von KI-Systemen neue Anforderungen erfüllen.

Der AI Act verfolgt einen risikobasierten Ansatz und unterscheidet zwischen verschiedenen Risikoklassen, die jeweils unterschiedliche rechtliche Anforderungen mit sich bringen. Kernelement ist eine Einstufung nach Risikoklassen:

  1. Inakzeptables Risiko: Aufgrund der Art des Eingriffs in Persönlichkeits- und Betroffenenrechte wird der Einsatz von KI-Systemen mit inakzeptablem Risiko verboten. Solche Systeme sind bspw. Social-Scoring-Systeme oder unkontrollierte Gesichtserkennung.
  2. Hohes Risiko: Als Hochrisiko-Systeme sind KI-Systeme einzustufen, welche besondere Arten personenbezogener Daten in großen Mengen verarbeitet oder zur automatisierten Entscheidungsfindung im HR-Prozess verwendet werden soll.
  3. Begrenztes Risiko: Systeme mit begrenztem Risiko sind bspw. einfache Chatbots oder Empfehlungssysteme.
  4. Minimales Risiko: Keine oder nur sehr geringe Risiken. Diese Systeme unterliegen deshalb keinen speziellen Regulierungen, z. B. Spam-Filter oder einfache Rechtsschreib- und Grammatikprüfer.

Weitreichender Anwendungsbereich der Verordnung

Der AI Act betrifft weit mehr als nur Technologieunternehmen. Auch klassische Betriebe und Behörden können erfasst sein.

  • Softwareentwickler, die KI-Lösungen erstellen oder trainieren
  • Unternehmen, die KI-Systeme im eigenen Betrieb einsetzen
  • Händler oder Importeure, die KI-Produkte auf den EU-Markt bringen
  • Dienstleister, die KI-basierte Services anbieten

Entscheidend ist, ob die KI Entscheidungen oder Prognosen mit rechtlicher Wirkung trifft.


Pflichten für Unternehmen

In Art. 3 der KI-Verordnung werden zunächst die wichtigsten Begriffe definiert, darunter auch „Anbieter“ (Nr. 1) und „Betreiber“ (Nr. 2). Abhängig davon, unter welche Gruppe das Unternehmen fällt, werden unterschiedliche Pflichten auferlegt. Eine vollständige Liste der Begriffe finden Sie in Art. 3 KI-VO.

a) Begriffsbestimmung

  • Anbieter:
    Natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die ein KI-System unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob es sich um den Entwickler handelt.
  • Betreiber:
    Person oder Organisation, die ein KI-System tatsächlich nutzt bzw. dessen Betrieb verantwortet, ohne zwingend der Inverkehrbringer zu sein.
    Hinweis: Ein „Nutzer“ klingt alltagssprachlich nach jemandem, der eine KI-Anwendung einfach benutzt, z. B. ein Mitarbeitender, der Chatbots einsetzt. Die KI-Verordnung will aber nicht nur den Endnutzer erfassen, sondern jede Organisation oder Person, die für den Einsatz verantwortlich ist. Damit ist die Pflichtadressaten-Eigenschaft klarer gefasst; ähnlich wie im Technikrecht, z. B. beim „Betreiber“ einer Maschine oder einer Anlage nach Produktsicherheitsrecht. „User“ im Englischen meint in der Verordnung tatsächlich die juristische Person oder Organisation, die ein KI-System in der Praxis einsetzt (also nicht den Arbeitnehmer/Endverbraucher). Damit im Deutschen klar wird, dass es sich nicht nur um einen „bloßen Anwender“ handelt, wurde „user“ hier meist mit „Betreiber“ statt „Nutzer“ übersetzt.

b) Pflichten im Detail (Auszug)

Im Folgenden werden die Pflichten der jeweiligen Personengruppe stichpunktartig aufgeführt, um die wesentlichen Unterschiede zwischen diesen zu veranschaulichen:

Pflichten für Anbieter und Entwickler Pflichten für Betreiber und Anwender
  • Einrichtung eines Risikomanagementsystems
  • Erstellung technischer Dokumentation
  • Implementierung von Daten-Governance-Prozessen
  • Transparenz und Nachvollziehbarkeit gewährleisten
  • Registrierung im EU-Datenbankregister für Hochrisiko-KI
  • Durchführung einer Konformitätsbewertung
  • Verwendung nur konformer KI-Systeme
  • Überwachung der Anwendung und Meldung von Fehlfunktionen
  • Schulung von Mitarbeitern im Umgang mit KI
  • Vermeidung diskriminierender Ergebnisse
  • Dokumentation und Aufbewahrung der Nachweise

c) Exkurs: Besondere Anforderungen an generative KI

Generative KI-Systeme (z. B. ChatGPT, Midjourney) gelten als Allzweck-KI (General Purpose AI, GPAI, weitergehende Informationen finden Sie unter artificialintelligenceact.eu) und unterliegen zusätzlichen Pflichten:

  • Offenlegung urheberrechtlich geschützter Trainingsdaten
  • Technische Kennzeichnung von KI-generierten Inhalten
  • Sicherheitsvorkehrungen gegen Missbrauch
  • Vermeidung von Desinformation

Sanktionen und Durchsetzung

Der AI Act sieht empfindliche Bußgelder vor:

Art des Verstoßes Bußgeldrahmen
Nutzung verbotener KI-Systeme bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Verstöße gegen Vorschriften für Hochrisiko-KI bis zu 15 Mio. € oder 3 % des Umsatzes
Falsche oder unvollständige Auskünfte bis zu 7,5 Mio. € oder 1 % des Umsatzes

Zuständig für die Überwachung werden nationale Aufsichtsbehörden sein, die eng mit Datenschutz- und Marktaufsichtsstellen zusammenarbeiten.


Handlungsempfehlungen

a) Sofortmaßnahmen

  1. Bestandsaufnahme der vorhandenen KI-Systeme
  2. Risikoeinstufung und Kategorisierung
  3. Überprüfung der Verträge auf Haftung & Datenschutz
  4. Festlegung interner Verantwortlichkeiten
  5. Dokumentation aller KI-bezogenen Prozesse

b) Langfristige Maßnahmen

  1. Aufbau einer KI-Compliance-Struktur
  2. Schulung von Fach- und Führungskräften
  3. Integration in Datenschutz- und IT-Sicherheitskonzepte
  4. Regelmäßige Audits und Risikoanalysen

Der EU AI Act markiert den Beginn einer neuen Ära verantwortungsvoller Künstlicher Intelligenz. Unternehmen, die jetzt handeln, können nicht nur Bußgelder vermeiden, sondern auch das Vertrauen von Kunden und Behörden stärken.


Unsere Leistungen im Bereich Künstliche Intelligenz und IT-Recht

  1. Beratung und Strategie
    • Rechtliche Bewertung von KI-Projekten
    • Compliance-Strategien gemäß EU AI Act
    • Risikoeinstufung und Analyse von KI-Systemen
    • Vertragsgestaltung zwischen Entwicklern, Anbietern und Nutzern
  2. Datenschutz und Governance
    • DSGVO-konforme Integration von KI-Systemen
    • Datenschutz-Folgenabschätzungen (DSFA)
    • Implementierung von Dokumentations- und Transparenzpflichten
  3. Technologie und Praxis
    • Begleitung bei Einführung generativer KI-Tools
    • Erstellung interner Richtlinien zur KI-Nutzung
    • Mitarbeiterschulungen und Awareness-Trainings
  4. Rechtssicherheit & Vertretung
    • Begleitung bei Prüfungen durch Aufsichtsbehörden
    • Vertretung bei Bußgeld- oder Haftungsverfahren
    • Erstellung und Prüfung von KI-Nutzungsbedingungen

+49 911 7903034

kontakt@it-rechtsberater.de


LinkedIn
Instagram

© 2025 IT-Rechtsberater – Kanzlei für IT-Recht und Datenschutz – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung