Begriff
EU AI Act (KI-Verordnung)
Die Verordnung (EU) 2024/1689 ist das erste umfassende KI-Gesetz der EU. Sie reguliert KI-Systeme risikobasiert in vier Stufen, von verbotenen Praktiken bis minimalem Risiko, und legt Pflichten fuer Anbieter und Betreiber fest.
Kein Rechtsrat
EU AI Act — ausfuehrlicher erklaert
Der EU AI Act (offiziell Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung von Kuenstlicher Intelligenz. Er gilt seit dem 1. August 2024 und wird stufenweise anwendbar. Ziel ist ein einheitlicher Rechtsrahmen, der Grundrechte, Sicherheit und Vertrauen schuetzt, ohne Innovation zu verhindern.
Im Zentrum steht ein risikobasierter Ansatz mit vier Stufen:
- Verbotene Praktiken (unannehmbares Risiko): Untersagt sind unter anderem Social Scoring durch oder im Auftrag von Behoerden, manipulative Systeme, die das Verhalten gezielt unterlaufen, sowie bestimmte Formen biometrischer Echtzeit-Fernidentifizierung. Diese Verbote gelten seit dem 2. Februar 2025.
- Hochrisiko-KI: Systeme in sensiblen Bereichen (z. B. Personalauswahl, Kreditvergabe, kritische Infrastruktur, Medizin). Sie unterliegen strengen Pflichten wie Risikomanagement, Daten-Governance, Protokollierung, technischer Dokumentation und menschlicher Aufsicht.
- Begrenztes Risiko: Hier greifen vor allem Transparenzpflichten — etwa die Kennzeichnung, dass Nutzer mit einer KI interagieren (Chatbots), und die Kennzeichnung KI-generierter oder manipulierter Inhalte (Deepfakes).
- Minimales Risiko: Der Grossteil alltaeglicher KI-Anwendungen. Hier gelten keine besonderen Pflichten; freiwillige Verhaltenskodizes werden empfohlen.
Pflichten fuer Anbieter, Betreiber und GPAI
Die Verordnung unterscheidet vor allem zwischen Anbietern (die ein KI-System entwickeln und in Verkehr bringen) und Betreibern (die ein KI-System unter eigener Verantwortung einsetzen). Anbieter tragen die Hauptlast der Konformitaets-, Dokumentations- und Bewertungspflichten; Betreiber muessen Systeme bestimmungsgemaess nutzen, die menschliche Aufsicht sicherstellen und auf Transparenz achten.
Eine eigene Kategorie sind GPAI-Modelle (General-Purpose AI, KI-Modelle mit allgemeinem Verwendungszweck wie grosse Sprachmodelle). Anbieter solcher Modelle muessen technische Dokumentation bereitstellen, Informationen fuer nachgelagerte Anbieter liefern, das Urheberrecht achten und eine Zusammenfassung der Trainingsdaten veroeffentlichen. Fuer Modelle mit systemischem Risiko gelten zusaetzliche Pflichten. Die GPAI-Pflichten sind seit dem 2. August 2025 anwendbar.
Zeitschiene (Stand Juni 2026)
- 1. August 2024: Inkrafttreten.
- 2. Februar 2025: Verbotene Praktiken und Pflicht zur KI-Kompetenz.
- 2. August 2025: Pflichten fuer GPAI-Modelle.
- 2. August 2026: Beginn der Vollanwendung (Governance, Sanktionen).
- 2. August 2027: Frist fuer GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden.
- 2. Dezember 2027 (vorlaeufig): Verschobene Frist fuer Hochrisiko-Systeme nach Anhang III gemaess dem Digital-Omnibus-Vorschlag (politische Einigung vom 7. Mai 2026, formale Annahme noch ausstehend).
Verstoesse koennen mit Geldbussen von bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden — der hoechste Wert ist massgeblich.
Beispiel / Praxisbezug
Ein Unternehmen nutzt ein kommerzielles Sprachmodell (LLM) ueber eine API, um Kundenanfragen vorzusortieren und Antwortentwuerfe zu erstellen. Hier ist das Unternehmen in der Regel Betreiber, der Modellanbieter ist GPAI-Anbieter.
Praktisch relevant sind dann vor allem:
- Transparenz: Endkunden sollten erkennen koennen, dass sie mit einer KI interagieren bzw. dass Inhalte KI-gestuetzt erstellt wurden.
- Einsatzkontext pruefen: Dient die KI lediglich der Textunterstuetzung (begrenztes/minimales Risiko) oder trifft sie folgenreiche Entscheidungen ueber Personen, etwa im Bewerbungsprozess (moeglicherweise Hochrisiko)? Der Anwendungsfall bestimmt die Pflichtenstufe, nicht die Technologie an sich.
- KI-Kompetenz: Mitarbeitende, die KI bedienen, brauchen ein angemessenes Grundverstaendnis (Art. 4).
- Datenschutz mitdenken: Der AI Act ersetzt nicht die DSGVO; beide gelten parallel.
Abgrenzung zu aehnlichen Begriffen
- DSGVO: Die Datenschutz-Grundverordnung regelt die Verarbeitung personenbezogener Daten. Der AI Act regelt KI-Systeme als Produkte. Beide koennen gleichzeitig anwendbar sein, ueberschneiden sich aber nicht vollstaendig.
- Cloud Act (USA): Ein US-Gesetz zum behoerdlichen Datenzugriff. Es ist kein Risiko-Klassifizierungssystem fuer KI, sondern betrifft die Datenhoheit bei US-Anbietern.
- Ethik-Leitlinien / freiwillige Kodizes: Anders als der AI Act sind sie rechtlich nicht verbindlich; der AI Act ist unmittelbar geltendes EU-Recht.
Quellen
- Verordnung (EU) 2024/1689 (EU AI Act), EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202401689
- AI Act — Shaping Europe’s digital future, Europaeische Kommission: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
Entdecke mehr
Cloud Act
US-Gesetz von 2018 (Clarifying Lawful Overseas Use of Data Act). US-Behörden können US-Anbieter zur Herausgabe von Daten zwingen, auch wenn diese außerhalb der USA — etwa in der EU — gespeichert sind. Steht im Spannungsfeld zur DSGVO.
GlossarDSGVO-konformer LLM-Einsatz
DSGVO-konformer LLM-Einsatz bezeichnet die datenschutzgerechte Nutzung grosser Sprachmodelle wie ChatGPT, Claude oder Gemini im Unternehmen — mit Rechtsgrundlage, Auftragsverarbeitungsvertrag, kontrollierter Eingabe personenbezogener Daten, EU-Hosting und Trainings-Opt-out.
BlogHeadless ohne API-Rechnung — wie kommt man 2026 an die besten KI-Modelle für Automatisierung?
Anbieter-Vergleich Mitte 2026: Wer hat Headless-Modus, wessen Abo deckt ihn noch — und warum BYOK das stabilste Fundament ist.