EU AI Act
by StartupBrett · Juli 18, 2025
Was ist der EU AI Act? Eine einfache Erklärung
Der EU AI Act, offiziell als KI-Verordnung bezeichnet, ist ein wegweisendes Gesetzespaket der Europäischen Union und stellt den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz dar. Für Startups und etablierte Unternehmen ist es von entscheidender Bedeutung, dieses Gesetz zu verstehen, denn es wird die Art und Weise, wie KI-Produkte und -Dienstleistungen in Europa entwickelt, angeboten und genutzt werden, grundlegend verändern. Man kann sich die Tragweite am besten vorstellen, wenn man an die Einführung der Datenschutz-Grundverordnung (DSGVO) zurückdenkt. Ähnlich wie die DSGVO den Umgang mit personenbezogenen Daten revolutioniert hat, setzt der AI Act nun einen globalen Standard für den verantwortungsvollen Einsatz von KI. Das primäre Ziel ist es, einen Binnenmarkt für sichere, vertrauenswürdige und rechtmäßige KI-Anwendungen zu schaffen. Es geht also nicht darum, Innovation zu bremsen, sondern ihr einen verlässlichen und ethischen Rahmen zu geben. Das Gesetz definiert klare Regeln für Anbieter und Nutzer von KI-Systemen, wobei die Intensität der Regulierung direkt vom potenziellen Risiko abhängt, das eine KI-Anwendung für die Gesellschaft oder den Einzelnen darstellt. Für ein Startup bedeutet das konkret: Je nachdem, in welchem Bereich Ihre KI-Lösung zum Einsatz kommt – sei es in der Personalabteilung, in der medizinischen Diagnostik oder als einfacher Chatbot – gelten für Sie unterschiedlich strenge Vorschriften.
Die Ziele des AI Acts: Mehr Sicherheit und Vertrauen in KI
Die Europäische Kommission verfolgt mit dem AI Act eine klare Vision: Europa soll zum globalen Zentrum für vertrauenswürdige Künstliche Intelligenz werden. Um dieses ambitionierte Ziel zu erreichen, wurden mehrere Kernziele definiert, die dem gesamten Gesetzeswerk zugrunde liegen. Es geht darum, eine Balance zwischen der Förderung von Innovation und dem Schutz fundamentaler Werte und Rechte zu finden. Die Bürger sollen darauf vertrauen können, dass die in der EU eingesetzte KI sicher ist und ihre Grundrechte, wie die Menschenwürde und den Schutz der Privatsphäre, respektiert. Gleichzeitig soll die Rechtsunsicherheit für Unternehmen beseitigt werden, die bisher ein großes Hemmnis für Investitionen in KI-Technologien darstellte.
Die Hauptziele des EU AI Acts lassen sich wie folgt zusammenfassen:
- Schutz der Grundrechte und Sicherheit: Es soll sichergestellt werden, dass KI-Systeme, die auf dem europäischen Markt in Verkehr gebracht und genutzt werden, sicher sind und mit dem geltenden Recht zum Schutz der Grundrechte der EU im Einklang stehen.
- Schaffung von Rechtsklarheit: Der AI Act soll Rechtssicherheit schaffen, um Investitionen und Innovationen im Bereich der KI zu erleichtern und zu fördern. Unternehmen erhalten klare Spielregeln, was erlaubt ist und welche Pflichten sie haben.
Diese Ziele sollen letztendlich dazu führen, dass die Akzeptanz von KI-Technologien in der Bevölkerung steigt und europäische Unternehmen einen Wettbewerbsvorteil durch das Gütesiegel „vertrauenswürdige KI“ erlangen. Es ist ein Versuch, einen dritten Weg zwischen dem eher unregulierten Ansatz der USA und dem staatlich kontrollierten Ansatz Chinas zu etablieren, bei dem der Mensch im Mittelpunkt der technologischen Entwicklung steht.
Wie funktioniert der risikobasierte Ansatz des AI Acts?
Das Herzstück des EU AI Acts ist sein risikobasierter Ansatz. Anstatt alle KI-Anwendungen über einen Kamm zu scheren, differenziert das Gesetz die regulatorischen Anforderungen anhand des potenziellen Risikos, das von einem KI-System für die Gesundheit, die Sicherheit oder die Grundrechte von Personen ausgeht. Man kann sich das wie eine Pyramide mit vier Stufen vorstellen: Je höher eine KI-Anwendung in dieser Pyramide angesiedelt ist, desto strenger sind die Auflagen für die Entwickler und Anbieter. Dieser Ansatz stellt sicher, dass die Regulierung verhältnismäßig bleibt und nicht unnötig jene Startups belastet, deren KI-Produkte ein geringes oder gar kein Risiko darstellen. Die überwiegende Mehrheit der KI-Systeme, wie etwa KI-gestützte Spamfilter oder Bestandsprognosen im E-Commerce, fällt in die unterste Kategorie mit minimalem Risiko und bleibt weitgehend von neuen, strengen Verpflichtungen verschont. Für Systeme mit begrenztem Risiko, wie zum Beispiel Chatbots, gelten lediglich einfache Transparenzpflichten. Der Nutzer muss also darüber informiert werden, dass er mit einer Maschine und nicht mit einem Menschen interagiert. Die volle Wucht der Regulierung entfaltet sich erst bei den Hochrisiko-Systemen, die strengen Kontrollen und Auflagen unterliegen, bevor und nachdem sie auf den Markt kommen. An der Spitze der Pyramide stehen schließlich jene KI-Anwendungen, deren Risiko als inakzeptabel eingestuft wird und die daher in der EU grundsätzlich verboten sind.
Welche KI-Systeme sind vom EU AI Act besonders betroffen?
Die konkrete Einordnung eines KI-Systems in eine der Risikoklassen ist für jedes Startup der entscheidende erste Schritt. Davon hängen alle weiteren Verpflichtungen ab. Der AI Act gibt hierfür klare Kriterien und Listen vor, die eine Selbsteinschätzung ermöglichen. Besonders im Fokus stehen Systeme, die tief in das Leben von Menschen eingreifen oder kritische Entscheidungen treffen können.
Hier ist eine Übersicht, welche Arten von KI-Systemen typischerweise in die jeweiligen Risikoklassen fallen:
- Inakzeptables Risiko (Verboten): Hierzu zählen Systeme, die eine klare Bedrohung für die Menschen darstellen. Dazu gehören staatliches Social Scoring, das das Verhalten von Bürgern bewertet, oder KI, die unterschwellige Techniken zur Manipulation von Personen einsetzt, um sie zu gefährlichem Verhalten zu verleiten. Ebenfalls verboten ist die Echtzeit-Fernidentifizierung in öffentlichen Räumen durch Strafverfolgungsbehörden, von der es nur sehr wenige, eng definierte Ausnahmen gibt.
- Hohes Risiko: Dies ist die wichtigste Kategorie für innovative Startups. Hierunter fallen KI-Systeme, die in kritischen Bereichen eingesetzt werden. Beispiele sind KI-Komponenten in Medizinprodukten, Systeme zur Steuerung kritischer Infrastruktur (z.B. Wasser- oder Stromversorgung), KI zur Bewertung von Kreditwürdigkeit, Software zur Personalauswahl (z.B. das automatische Filtern von Bewerbungen) sowie Anwendungen im Bereich der Strafverfolgung und Justiz.
- Begrenztes Risiko: Diese Kategorie umfasst KI-Systeme, bei denen ein spezifisches Transparenzrisiko besteht. Das klassische Beispiel sind Chatbots, bei denen Nutzer wissen müssen, dass sie mit einer KI kommunizieren. Auch Systeme, die Deepfakes oder andere KI-generierte Inhalte erstellen, müssen diese als solche kennzeichnen, um Täuschung zu vermeiden.
- Minimales oder kein Risiko: Dies ist die größte Gruppe und umfasst die meisten KI-Anwendungen, die heute im Einsatz sind. Dazu gehören KI-gestützte Videospiele, Spamfilter oder Systeme für die Lagerverwaltung. Für diese Systeme gibt es keine neuen rechtlichen Verpflichtungen, die Unternehmen werden aber ermutigt, freiwillig Verhaltenskodizes anzuwenden.
Besondere Regeln für Hochrisiko-KI: Was Gründer beachten müssen
Für Startups, deren KI-Produkt in die Kategorie „hohes Risiko“ fällt, bringt der AI Act einen Katalog an weitreichenden und anspruchsvollen Verpflichtungen mit sich. Diese Anforderungen müssen über den gesamten Lebenszyklus des KI-Systems erfüllt werden, von der ersten Daten-Trainingsphase bis zur Überwachung nach dem Inverkehrbringen. Das Ziel dieser strengen Regeln ist es, die Robustheit, Sicherheit und Nachvollziehbarkeit dieser Systeme zu gewährleisten und Diskriminierung zu verhindern. Gründer in diesem Bereich müssen sich frühzeitig auf einen erheblichen administrativen und technischen Mehraufwand einstellen. Es reicht nicht mehr, nur einen funktionierenden Algorithmus zu entwickeln; die Einhaltung der regulatorischen Vorgaben wird zu einem zentralen Bestandteil der Produktentwicklung und -strategie.
Für Anbieter von Hochrisiko-KI-Systemen gelten insbesondere die folgenden Pflichten:
- Einrichtung eines Risikomanagementsystems: Es muss ein kontinuierlicher Prozess etabliert werden, um die Risiken des KI-Systems zu identifizieren, zu bewerten und zu mindern.
- Hohe Qualität der Trainingsdaten: Die Datensätze, mit denen die KI trainiert wird, müssen hohen Qualitätsstandards genügen, um Voreingenommenheit (Bias) und Diskriminierung zu minimieren und eine robuste Leistung zu gewährleisten.
- Umfassende technische Dokumentation: Es muss eine detaillierte technische Dokumentation erstellt und aktuell gehalten werden, die den Behörden auf Anfrage vorgelegt werden kann, um die Konformität des Systems nachzuweisen.
- Führung von Aufzeichnungen (Logging): Das KI-System muss in der Lage sein, seine Operationen automatisch aufzuzeichnen (Logs), um die Nachverfolgbarkeit der Ergebnisse sicherzustellen.
- Transparenz und Informationspflichten: Die Nutzer des Systems müssen klare und verständliche Informationen über die Fähigkeiten und Grenzen der KI sowie über die Funktionsweise erhalten.
- Menschliche Aufsicht: Die Systeme müssen so gestaltet sein, dass sie von Menschen effektiv überwacht werden können. Dies kann Maßnahmen zur Übersteuerung oder zum Eingreifen durch eine Person umfassen.
- Hohes Maß an Robustheit, Sicherheit und Genauigkeit: Die KI-Systeme müssen widerstandsfähig gegenüber Fehlern sein und ein hohes Maß an Cybersicherheit und Genauigkeit aufweisen.
| Kennzahl | Beschreibung | Relevanz für Startups |
|---|---|---|
| Bis zu 35 Mio. € oder 7% | Maximale Strafen bei Verstößen (z.B. gegen verbotene KI-Praktiken), je nachdem, welcher Betrag höher ist. | Enormes finanzielles Risiko, das die Existenz eines Startups gefährden kann. Compliance ist unerlässlich. |
| 24 Monate | Allgemeine Übergangsfrist für die meisten Verpflichtungen des AI Acts nach Inkrafttreten. | Startups haben eine feste Frist, um ihre Produkte, Prozesse und Dokumentationen an die neuen Regeln anzupassen. |
| 6 Monate | Übergangsfrist für das Verbot von KI-Systemen mit inakzeptablem Risiko. | Systeme, die in diese Kategorie fallen, müssen sehr schnell vom Markt genommen werden. |
| Ca. 5-15% | Geschätzter Anteil der KI-Anwendungen, die als „Hochrisiko-KI“ eingestuft werden. | Zeigt, dass die strengsten Regeln nur einen kleinen Teil des Marktes betreffen, dieser aber für innovative Tech-Startups sehr relevant ist. |
FAQ zum EU AI Act
Was ist der EU AI Act in einfachen Worten?
Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Es teilt KI-Anwendungen je nach ihrem Risiko in verschiedene Klassen ein und legt für Anbieter und Nutzer entsprechende Pflichten fest, um Sicherheit und die Einhaltung von Grundrechten zu gewährleisten.
Welche Unternehmen sind vom AI Act betroffen?
Grundsätzlich sind alle Unternehmen betroffen, die KI-Systeme innerhalb der EU entwickeln, auf den Markt bringen oder nutzen. Die konkreten Pflichten hängen jedoch stark von der Risikoklasse des jeweiligen KI-Systems ab.
Was gilt laut AI Act als Hochrisiko-KI?
Als Hochrisiko-KI gelten Systeme, die in kritischen Bereichen eingesetzt werden und ein hohes Potenzial haben, die Gesundheit, Sicherheit oder Grundrechte von Menschen zu gefährden. Beispiele sind KI in Medizinprodukten, in der Personalauswahl oder zur Kreditwürdigkeitsprüfung.
Ab wann tritt der EU AI Act vollständig in Kraft?
Der AI Act tritt schrittweise in Kraft. Die Verbote für KI-Systeme mit inakzeptablem Risiko gelten bereits 6 Monate nach dem offiziellen Inkrafttreten. Die meisten anderen Verpflichtungen, insbesondere für Hochrisiko-Systeme, müssen nach einer Übergangsfrist von 24 Monaten vollständig umgesetzt sein.
