Was ist der EU AI Act?
Der EU AI Act (Verordnung EU 2024/1689) ist das weltweit erste umfassende KI-Gesetz. Er trat am 1. August 2024 in Kraft und wird schrittweise bis 2027 vollstaendig anwendbar. Fuer Unternehmen, die KI-Agenten einsetzen, ergeben sich konkrete Pflichten.
Die 4 Risikostufen
| Stufe | Beispiele | Pflichten | Frist |
|---|---|---|---|
| Inakzeptabel | Social Scoring, Emotionserkennung am Arbeitsplatz, manipulative KI | Verboten | 02/2025 |
| Hoch | HR-Screening, Kreditscoring, Biometrie, Kritische Infrastruktur | Konformitaetsbewertung, Dokumentation, Monitoring, Human Oversight | 08/2026 |
| Begrenzt | Chatbots, KI-generierte Inhalte, Deepfakes | Transparenz- und Kennzeichnungspflicht | 08/2025 |
| Minimal | Spam-Filter, Empfehlungssysteme, Suchoptimierung | Keine (freiwillige Verhaltenskodizes) | — |
Wo fallen KI-Agenten rein?
Die meisten KI-Orchestrierungssysteme in Unternehmen fallen in "Begrenzt" oder "Hoch":
- Begrenzt: Sales-Chatbots, Content-Generierung, automatisierte E-Mails → Transparenzpflicht
- Hoch: HR-Screening, automatisierte Kreditentscheidungen, medizinische Triage → volle Compliance
- Meistens begrenzt: Kundenservice-Agenten, Sales-Agenten, Operations-Agenten
Pflichten fuer "Begrenzt" (ab August 2025)
- Transparenzpflicht: Nutzer muessen wissen, dass sie mit KI interagieren
- Kennzeichnung: KI-generierte Inhalte (Texte, Bilder, Audio) muessen als solche erkennbar sein
- Deepfake-Kennzeichnung: Synthetische Medien muessen klar markiert werden
Umsetzung: "Dieser Text wurde mit KI-Unterstuetzung erstellt" oder "Sie sprechen mit einem KI-Assistenten" reicht in den meisten Faellen.
Pflichten fuer "Hoch" (ab August 2026)
- Risikomanagementsystem: Dokumentiertes System zur Identifikation und Minimierung von KI-Risiken
- Datenqualitaet: Trainingsdaten muessen relevant, repraesentativ und fehlerfrei sein
- Technische Dokumentation: Vollstaendige Beschreibung des KI-Systems
- Aufzeichnungspflicht: Automatische Protokollierung aller Entscheidungen
- Transparenz: Verstaendliche Gebrauchsanweisungen fuer Nutzer
- Human Oversight: Menschliche Aufsicht muss moeglich sein
- Genauigkeit und Robustheit: System muss zuverlaessig und sicher funktionieren
- Cybersecurity: Angemessene Sicherheitsmassnahmen
Strafen bei Verstoessen
| Verstoss | Strafe |
|---|---|
| Einsatz verbotener KI | Bis 35 Mio. EUR oder 7% des weltweiten Umsatzes |
| Verstoss gegen Hochrisiko-Pflichten | Bis 15 Mio. EUR oder 3% des weltweiten Umsatzes |
| Falsche Informationen an Behoerden | Bis 7.5 Mio. EUR oder 1% des weltweiten Umsatzes |
Checkliste: EU AI Act Compliance in 8 Schritten
- KI-Inventar erstellen: Welche KI-Systeme setzen wir ein?
- Risikostufe je System bestimmen
- Transparenzpflichten umsetzen (Kennzeichnung, Nutzerinformation)
- Fuer Hochrisiko: Risikomanagementsystem dokumentieren
- Audit-Logging implementieren
- RBAC und Human Oversight einrichten
- Technische Dokumentation erstellen
- Regelmaessige Compliance-Audits einplanen (quartalsweise)
EU AI Act + DSGVO: Doppelte Compliance
Der EU AI Act ergaenzt die DSGVO, ersetzt sie aber nicht. Unternehmen muessen beide Regelwerke einhalten:
- DSGVO: Schutz personenbezogener Daten (Einwilligung, Loeschrecht, DSFA)
- EU AI Act: Sicherheit und Transparenz des KI-Systems (Risikomanagement, Dokumentation)
- Synergie: Viele Massnahmen (Audit Logs, RBAC, Transparenz) erfuellen beide Anforderungen gleichzeitig
Key Takeaways
- EU AI Act ist seit August 2024 in Kraft — Unternehmen muessen JETZT handeln
- Die meisten KI-Agenten fallen in "Begrenzt" (Transparenzpflicht ab August 2025)
- HR- und Finanz-KI oft "Hoch" (volle Compliance ab August 2026)
- Strafen bis 35 Mio. EUR oder 7% des Umsatzes
- Wer DSGVO + KI-Governance bereits implementiert hat, ist zu 60% vorbereitet
Quellen: EU AI Act (Verordnung EU 2024/1689), European Commission AI Office (2025), BfDI Positionspapier KI-Regulierung (2025).