EU AI Act — 20 Fragen für Entscheider

Der AI Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende Regulierung von KI-Systemen. Er trat im August 2024 in Kraft und gilt EU-weit unmittelbar — wie die DSGVO. Anders als die DSGVO regelt er nicht primär Daten, sondern KI-Systeme als Produkt.

Alle Anbieter, Importeure, Händler und Betreiber von KI-Systemen, die in der EU Wirkung entfalten — auch ohne EU-Sitz (Marktortprinzip). Kanzleien, Krankenhäuser, Banken, HR-Abteilungen und Behörden, die KI einsetzen, sind als „Betreiber" verantwortlich.

Komplementär — nicht ersetzend. AI Act regelt KI als Produkt (Sicherheit, Transparenz), DSGVO regelt personenbezogene Daten in der KI. Beide gelten parallel. Eine DSFA ist bei High-Risk-KI quasi immer Pflicht.

Vier Stufen: (1) Unacceptable Risk — verboten (Social Scoring, Realtime-Biometrie im öffentlichen Raum). (2) High-Risk — strenge Auflagen (Medizin, Verkehr, HR, Bonität, Strafverfolgung). (3) Limited Risk — Transparenzpflichten (Chatbots, Deepfakes). (4) Minimal Risk — keine Auflagen (Spam-Filter, Spielhilfen).

Anhang III listet 8 Bereiche: Biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung (HR-Tools, Bewerber-Screening), Zugang zu wesentlichen Dienstleistungen (Bonität, Krankenversicherung), Strafverfolgung, Migration, Justiz und demokratische Prozesse.

Als General-Purpose-AI-Models (GPAI) erstmal nicht — sie haben einen eigenen Pflicht-Katalog (Transparenz, Trainingsdaten-Doku, Copyright-Schutz). ABER: Sobald Du sie in einem High-Risk-Kontext einsetzt (z. B. Bewerber-Screening), wird DEIN System High-Risk und Du übernimmst die Anbieter-Pflichten.

Risk-Management-System, Datenqualitäts-Management, Technische Dokumentation, Logging-Pflicht, Transparenzpflicht gegenüber Betreibern, Human Oversight, Genauigkeit + Robustheit + Cybersicherheit. Plus CE-Kennzeichnung und EU-Datenbank-Registrierung.

Menschen müssen das KI-System überwachen, seine Output verstehen, eingreifen und stoppen können. Bei automatisierten Entscheidungen mit Folgen für Betroffene (Bewerbung abgelehnt, Kredit verweigert) braucht es einen menschlichen Override. Konkret: Stop-Button + Audit-Trail aller Entscheidungen.

High-Risk-Systeme müssen automatische Logs führen über: Input-Daten, Output, Entscheidungs-Begründung, Identität von Bedienpersonal. Aufbewahrung: 6 Monate min., bei behördlicher Anordnung länger. Logs müssen revisionssicher sein.

Anhang IV gibt 9 Punkte vor: System-Beschreibung, Entwicklungsmethodik, Trainingsdaten-Quellen + Bias-Mitigation, Performance-Metriken, Test-Verfahren, Risiko-Management-Maßnahmen, Cybersecurity, Konformitätsbewertung, EU-Konformitätserklärung.

Stufenweise: (1) Verbotene Praktiken: 2. Februar 2025. (2) GPAI-Pflichten: 2. August 2025. (3) High-Risk-Systeme + Sanktionsregime: 2. August 2026. (4) Bereits in Verkehr gebrachte High-Risk-Systeme bekommen bis 2. August 2027 Zeit zur Anpassung.

Wer als Anbieter oder Betreiber eines High-Risk-KI-Systems im Markt ist, muss spätestens dann compliance-ready sein: Conformity Assessment, CE-Kennzeichnung, Risk-Management, Doku, Logging, Human Oversight. Wer es nicht ist, riskiert Marktrückzug + Bußgeld.

Anbieter von General-Purpose AI Models (OpenAI, Anthropic, Mistral, Meta) müssen Trainingsdaten-Zusammenfassungen veröffentlichen, Copyright respektieren, technische Doku liefern. Bei „systemic risk"-Modellen (FLOPS > 10²⁵) zusätzlich Stresstest + Cyber-Risk-Mitigation.

Drei Stufen: (1) Verstoß gegen verbotene Praktiken: bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes. (2) Sonstige Pflichten (High-Risk): bis 15 Mio. € oder 3 %. (3) Falschangaben gegenüber Behörden: bis 7,5 Mio. € oder 1 %.

In Deutschland: Bundesnetzagentur als Marktüberwachungsbehörde + die jeweiligen Sektor-Regulierer (BfDI für Datenschutz, BaFin für Finanzen, BfArM für Medizinprodukte). EU-weit koordiniert das AI Office in Brüssel.

Ja. Auch US-, UK- oder Schweizer Anbieter sind betroffen, sobald ihr KI-System in der EU genutzt wird oder Output in der EU Wirkung hat. Marktortprinzip wie DSGVO. Ausnahme nur bei privater nicht-beruflicher Nutzung.

1. Inventar aller KI-Systeme im Unternehmen (auch SaaS-Tools mit KI-Features). 2. Risiko-Klassifikation jedes Systems. 3. Bei High-Risk: Gap-Analyse zu den Pflichten. 4. Datenschutz-Folgenabschätzung (DSGVO Art. 35). 5. Human-Oversight-Prozesse + Audit-Log aufbauen. 6. AVV mit allen KI-Anbietern.

Aktuell nicht explizit gefordert (anders als DSGVO mit DSB). Aber: Die Pflicht zu Human Oversight, Risk-Management und Logging zwingt de facto eine zuständige Person/Rolle. Best Practice: Doppelrolle DSB + AI-Compliance-Beauftragter.

Begrenzt. Art. 62 fordert „Berücksichtigung der Interessen kleinerer Anbieter" — z. B. priorisierte Beratung durch Behörden, vereinfachte Doku-Vorlagen, niedrigere Konformitätsbewertungs-Gebühren. KMU bleiben aber materiell vollständig in der Pflicht, sobald sie High-Risk-Systeme einsetzen.

BAIT/MaRisk haben bereits hohe Anforderungen an KI in Banken (AT 4.5, AT 7.2). AI Act ergänzt: Konformitätsbewertung als Produkt + EU-Datenbank-Registrierung. Doppel-Compliance ist möglich, wenn beide Frameworks abgebildet sind. Hier brauchst Du verlässlich nachvollziehbare Audit-Logs über jeden Modellaufruf.