S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
← Blog/Regulierung
RegulierungPFLICHT

EU AI Act: Vollständiger Überblick — Fristen, Pflichten und Strafen (Stand 2024)

s
sicherheit.ai Redaktion
Basierend auf: Amtsblatt der EU, Verordnung (EU) 2024/1689
01. Oktober 2024·12 min Lesezeit
#EU AI Act#KI-Regulierung#Compliance#DSGVO#Hochrisiko-KI#GPAI

Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft. Ab Februar 2025 gelten die ersten Verbote. Welche KI-Systeme betroffen sind, welche Pflichten entstehen und was bei Verstößen droht.

Was ist der EU AI Act?

Der Artificial Intelligence Act (Verordnung (EU) 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Er wurde vom Europäischen Parlament am 13. März 2024 verabschiedet, vom Rat der EU am 21. Mai 2024 angenommen, am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft.

Der EU AI Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems für Grundrechte und Sicherheit, desto strenger die Anforderungen. Systeme mit minimalem Risiko sind praktisch unreguliert; verbotene Systeme dürfen gar nicht betrieben werden.

Geltungsbereich: Wen betrifft das Gesetz?

Der EU AI Act gilt für:

  • Anbieter (Provider): Entwickler und Unternehmen, die KI-Systeme in der EU in Verkehr bringen
  • Betreiber (Deployer): Unternehmen, die KI-Systeme im beruflichen Kontext einsetzen
  • Importeure und Händler von KI-Systemen
  • Drittlandsanbieter (z.B. US-Unternehmen), wenn die Ausgaben des KI-Systems in der EU verwendet werden

Ausgenommen sind: Militärische Anwendungen, Forschung und Entwicklung (mit Einschränkungen), private nicht-professionelle Nutzung.

Die vier Risikoklassen

1. Unannehmbares Risiko — Verboten (Art. 5)

Ab 2. Februar 2025 verboten sind unter anderem:

  • KI-Systeme zur unterschwelligen Beeinflussung (Subliminal Techniques) die Entscheidungen schaden
  • Ausnutzung von Schwächen spezifischer Gruppen (Kinder, ältere Menschen, Behinderungen)
  • Soziale Bewertungssysteme (Social Credit Scoring) durch öffentliche Stellen
  • Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen durch Strafverfolgungsbehörden (außer enge Ausnahmen)
  • Biometrische Kategorisierung nach Rasse, politischer Meinung, Religion, Gewerkschaftszugehörigkeit
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  • Vorhersage von Straftaten basierend auf Profiling

2. Hochrisiko-KI (Art. 6 und Anhang III)

Hochrisiko-KI-Systeme unterliegen strengen Anforderungen und müssen vor dem Marktzugang eine Konformitätsbewertung durchlaufen. Darunter fallen:

  • KI in kritischer Infrastruktur (Energie, Wasser, Verkehr)
  • KI in Bildung (z.B. automatische Bewertung von Prüfungsleistungen)
  • KI im Personalwesen (Rekrutierung, Leistungsbewertung)
  • KI für Kredit- und Versicherungsbewertungen
  • KI in der Strafverfolgung
  • KI für Asyl-, Visa- und Grenzentscheidungen
  • KI in Justiz und demokratischen Prozessen

Anforderungen für Hochrisiko-KI: Risikomanagementsystem, Daten-Governance, technische Dokumentation, Transparenzpflichten, menschliche Aufsicht, Genauigkeit und Robustheit, Registrierung in EU-Datenbank, Konformitätserklärung, CE-Kennzeichnung.

3. Begrenztes Risiko (Art. 50)

Hauptsächlich Transparenzpflichten:

  • Chatbots müssen sich als KI zu erkennen geben
  • Deepfake-Inhalte müssen als KI-generiert gekennzeichnet sein
  • Emotionserkennungs-KI muss auf ihre Funktion hinweisen

4. Minimales Risiko

KI-Spam-Filter, KI-gestützte Suche, Empfehlungsalgorithmen und ähnliche Anwendungen unterliegen keinen spezifischen Pflichten des EU AI Act — allerdings können andere Rechtsbereiche (DSGVO, DSA) gelten.

Allzweck-KI-Modelle (GPAI — Art. 51-56)

Der EU AI Act enthält erstmals Regeln für General Purpose AI Models (GPAI) wie GPT-4, Gemini, Claude oder Llama. Diese gelten ab 2. August 2025.

  • Alle GPAI-Anbieter: Technische Dokumentation, Zusammenfassung der Trainingsdaten, Urheberrechts-Compliance
  • GPAI mit systemischen Risiken (Training-Rechenleistung über 10^25 FLOPs): Erweiterte Modell-Evaluation, Adversarial Testing, Meldung schwerwiegender Vorfälle, Cybersicherheits-Maßnahmen

Fristen im Überblick

# EU AI Act — Zeitplan
01.08.2024  → In Kraft getreten (Verordnung (EU) 2024/1689)
02.02.2025  → Art. 5: Verbotene KI-Praktiken gelten
02.05.2025  → Art. 4: KI-Kompetenz-Pflichten für Personal
02.08.2025  → GPAI-Regeln (Art. 51-56) gelten
02.08.2026  → Hochrisiko-KI Anhang III (z.B. HR, Kredit, Bildung)
02.08.2027  → Hochrisiko-KI Anhang I (regulierte Produkte, z.B. Medizinprodukte)
02.08.2030  → Übergangsfrist für bereits im Einsatz befindliche KI endet

Strafen bei Verstößen

  • Verbotene KI (Art. 5): Bis zu 35 Millionen EUR oder 7% des weltweiten Jahresumsatzes
  • Andere Verstöße: Bis zu 15 Millionen EUR oder 3% des Jahresumsatzes
  • Falsche Angaben: Bis zu 7,5 Millionen EUR oder 1,5% des Jahresumsatzes
  • Für KMU und Startups können niedrigere Obergrenzen gelten (Verhältnismäßigkeit)

Was Unternehmen jetzt tun sollten

  1. KI-Inventar erstellen: Alle eingesetzten KI-Systeme — intern entwickelte und eingekaufte — inventarisieren und klassifizieren
  2. Risikoklassifizierung: Jeden KI-Einsatz nach Art. 6 und Anhang III prüfen (Hochrisiko ja/nein?)
  3. Verbotene Praktiken sofort prüfen: Ab 2. Februar 2025 müssen alle verbotenen Systeme abgestellt sein
  4. AI Governance aufbauen: Zuständigkeiten, Dokumentationsprozesse und Risikoüberwachung etablieren
  5. Personal schulen: Ab 2. Mai 2025 gilt Pflicht zur Sicherstellung von KI-Kompetenz bei Personal (Art. 4)
#EU AI Act#KI-Regulierung#Compliance#DSGVO#Hochrisiko-KI#GPAI
// FAQ

Häufige Fragen

Q01

Gilt der EU AI Act auch für US-Unternehmen?

Ja. Der EU AI Act gilt für alle Anbieter, die KI-Systeme in der EU auf den Markt bringen oder in Betrieb nehmen — unabhängig vom Unternehmenssitz. Das Prinzip ist analog zur DSGVO: Maßgeblich ist der Markt, nicht der Firmensitz. US-Unternehmen wie OpenAI, Google oder Microsoft müssen compliant sein, wenn sie Dienste in der EU anbieten.

Q02

Was passiert mit bestehenden KI-Systemen?

Für KI-Systeme die vor dem 2. August 2026 bereits in Verkehr gebracht wurden, gilt eine Übergangsfrist bis zum 2. August 2027 (Hochrisiko-Systeme Anhang III) bzw. 2. August 2030 (Hochrisiko-Systeme Anhang I für regulierte Produkte). Diese Übergangsfristen gelten nur, wenn die Systeme nach dem Inverkehrbringen keine wesentlichen Änderungen erfahren.

Q03

Was sind die höchsten Strafen?

Für Verstöße gegen Art. 5 (verbotene KI-Praktiken) drohen Bußgelder von bis zu 35 Millionen EUR oder 7% des weltweiten Jahresumsatzes (der höhere Wert gilt). Für andere Verstöße: bis zu 15 Millionen EUR oder 3%. Für falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen EUR oder 1,5%. Für KMU und Startups können niedrigere Obergrenzen gelten.

Q04

Welche KI-Systeme sind komplett verboten?

Ab 2. Februar 2025 verboten: Soziale Bewertungssysteme (Social Scoring), unterschwellige Manipulation (Subliminal Techniques), Ausnutzung von Schwächen vulnerabler Gruppen, Echtzeit-Gesichtserkennung im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung), biometrische Kategorisierung nach politischen Überzeugungen, KI-gestützte Emotionserkennung am Arbeitsplatz/in Bildungseinrichtungen.

s
sicherheit.ai Redaktion
Basierend auf: Amtsblatt der EU, Verordnung (EU) 2024/1689
Experte für KI-Sicherheit und Cybersecurity bei sicherheit.ai
Teilen