Zum Hauptinhalt springen
EU AI Act – Fristen, Pflichten & was jetzt wichtig wird
#EU AI Act #KI #Regulierung #Datenschutz #Compliance

EU AI Act – Fristen, Pflichten & was jetzt wichtig wird

Am 1. August 2024 war es so weit: Der EU Artificial Intelligence Act (AI Act, VO (EU) 2024/1689) ist offiziell in Kraft getreten. Europa hat damit als erste Weltregion ein umfassendes Gesetz zur Regulierung von Künstlicher Intelligenz verabschiedet.

Update Januar 2025: Fünf Monate nach Inkrafttreten zeigt sich: Die Umsetzung nimmt konkrete Formen an. Die ersten Fristen rücken näher, Behörden richten sich ein, und Unternehmen beginnen mit der praktischen Umsetzung. Was im September 2024 noch “Zukunftsmusik” war, wird nun zur aktuellen Realität.

Noch befinden wir uns in der mehrjährigen Übergangsphase. Viele Pflichten gelten erst später. Dennoch ist klar: Dieses Gesetz verändert die Nutzung von KI grundlegend – für Konzerne genauso wie für kleine Unternehmen, Selbstständige oder Website-Betreiber.

Im Folgenden ordnen wir ein, warum der AI Act eingeführt wurde, welche Fristen gelten, wer konkret betroffen ist – und zeigen den aktuellen Umsetzungsstand (Januar 2025).

Warum überhaupt ein KI-Gesetz?

KI-Systeme prägen immer stärker unseren Alltag: Von der Empfehlung auf Netflix über Chatbots im Online-Shop bis hin zu medizinischen Diagnosen. Chancen und Risiken liegen eng beieinander.

Die Ziele des AI Act:

  • Innovation fördern, indem klare Regeln Vertrauen schaffen.
  • Risiken eindämmen, die durch Diskriminierung, Intransparenz oder Überwachung entstehen.
  • Grundrechte schützen, insbesondere Privatsphäre, Nichtdiskriminierung und freie Meinungsbildung.

Die EU wählt damit einen „dritten Weg“ zwischen unreguliertem Einsatz (wie lange in den USA) und stark staatlich gesteuerten Systemen (wie in China).

Das Herzstück: Der risikobasierte Ansatz

Nicht jede KI ist gleich gefährlich. Deshalb stuft der AI Act Systeme nach Risiko ein:

Inakzeptables Risiko (verboten)

  • Social Scoring durch Behörden oder Unternehmen
  • Echtzeit-Massenüberwachung per Gesichtserkennung im öffentlichen Raum (mit wenigen Ausnahmen)
  • Manipulative Deepfakes, die Menschen täuschen sollen

→ Diese Systeme sind sofort nach einer Übergangsfrist (ab Februar 2025) verboten.

Hohes Risiko

  • KI in kritischen Infrastrukturen (z. B. Verkehr, Energie)
  • Medizinische Diagnosesysteme
  • Bewerber-Screening & Personalmanagement
  • Bildung (z. B. automatisierte Prüfungen)
  • Justiz & Polizei

→ Hier gelten strenge Dokumentations-, Aufsichts- und Meldepflichten.

Begrenztes Risiko / Transparenzpflichten

  • Chatbots
  • Generative Systeme (Texte, Bilder, Videos, Audio)
  • Empfehlungssysteme (Shops, Social Media, Werbung)

→ Nutzer müssen erkennen können, dass sie es mit KI zu tun haben.

Minimales Risiko

  • Spamfilter
  • Auto-Korrektur in Textprogrammen
  • KI in Videospielen

→ Keine besonderen Auflagen.

Zeitplan: Die nächsten Schritte

Stand Januar 2025: Das Gesetz ist seit 5 Monaten in Kraft. Die erste wichtige Frist (Februar 2025) steht unmittelbar bevor. Behörden und Unternehmen befinden sich in der Vorbereitungsphase.

Die Roadmap:

  • ✅ August 2024: Inkrafttreten des AI Act.
  • ⏳ Februar 2025 (in 1 Monat):
    • Verbotene KI-Systeme sind untersagt.
    • Einführung der Pflicht zu AI Literacy: Wer KI beruflich nutzt, muss über Grundkenntnisse verfügen.
    • → Vorbereitung läuft: Unternehmen inventarisieren ihre Systeme und prüfen, ob verbotene Anwendungen vorliegen.
  • August 2025 (in 7 Monaten):
    • General-Purpose-AI (GPAI)-Modelle wie GPT, Claude oder Llama werden reguliert.
    • Vorgeschrieben sind Dokumentation, Urheberrechts-Compliance und Behördenkooperation.
    • → Modellbetreiber (OpenAI, Anthropic, Meta, Google) bereiten Compliance-Dokumentation vor.
  • August 2026 (in 19 Monaten):
    • Transparenzpflichten (Art. 50) treten in Kraft.
    • Chatbots, KI-generierte Inhalte und synthetische Medien müssen für Nutzer eindeutig gekennzeichnet sein.
    • → Wichtigste Frist für Website-Betreiber, E-Commerce und Content-Ersteller.
  • August 2027 (in 31 Monaten):
    • Hochrisiko-Systeme müssen alle Pflichten erfüllen (z. B. Konformitätsbewertung, Logging, Incident Reporting).
    • → Betrifft HR, Medizin, kritische Infrastruktur, Bildung.

Wer ist betroffen?

Der AI Act unterscheidet Rollen:

  • Provider – wer KI-Systeme entwickelt und anbietet (z. B. OpenAI, Google, Mistral).
  • Deployer – wer KI-Systeme einsetzt (z. B. Website mit Chatbot oder generativen Texten).
  • Distributoren/Importeure – wer KI-Systeme in der EU vermarktet oder einführt.
  • Nutzer – Privatpersonen, die KI verwenden, haben keine Pflichten.

Besonders wichtig: Auch Unternehmen außerhalb der EU fallen unter den AI Act, sobald ihre KI-Systeme innerhalb der EU genutzt werden.

Stand Januar 2025: Wer macht was?

Provider (Modellbetreiber):

  • OpenAI, Anthropic, Google, Meta und andere arbeiten an Compliance-Dokumentation für die August-2025-Frist
  • Erste Transparenzberichte werden vorbereitet
  • Technische Maßnahmen wie Wasserzeichen werden implementiert

Deployer (Anwender):

  • Mittelständische Unternehmen beginnen mit KI-Inventarisierung
  • E-Commerce-Plattformen prüfen ihre Empfehlungssysteme
  • Marketing-Agenturen evaluieren generative Content-Workflows

Behörden:

  • EU AI Office (in Brüssel) ist operativ
  • Nationale Aufsichtsbehörden werden eingerichtet
  • Erste Leitlinien und FAQs werden veröffentlicht

Pflichten im Überblick

1. Transparenz (ab 2026)

  • Chatbots müssen klar als KI erkennbar sein.
  • Generative Inhalte (Text, Bild, Audio, Video) müssen sichtbar oder technisch markiert werden.
  • Deepfakes dürfen nicht ohne Kennzeichnung veröffentlicht werden.

2. Dokumentation & Logs (ab 2027 für Hochrisiko)

  • Nachvollziehbarkeit und Qualitätssicherung sind Pflicht.
  • Logs müssen mindestens 6 Monate gespeichert werden.

3. Incident Reporting

  • Schwere Vorfälle sind unverzüglich an Provider und Aufsichtsbehörden zu melden.

4. AI Literacy (ab 2025)

  • Mitarbeiter müssen angemessen geschult werden.

5. Grundrechts-Folgenabschätzung (FRIA)

  • Für bestimmte Hochrisiko-Systeme nötig, bevor sie eingeführt werden.

Sanktionen

Die Strafen sind erheblich:

  • Bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene KI-Systeme.
  • Bis zu 15 Mio. € oder 3 % Umsatz für Verstöße gegen Pflichten.
  • Milderung für KMU und Start-ups – aber keine Befreiung.

Chancen und Herausforderungen

Pluspunkte:

  • Einheitliche Regeln für alle EU-Staaten
  • Schutz von Grundrechten und Verbrauchern
  • Höheres Vertrauen in KI-Systeme
  • Planungssicherheit für Unternehmen

Kritische Punkte:

  • Hoher Dokumentationsaufwand, besonders für kleine Firmen
  • Verzögerte Umsetzung: Viele Pflichten greifen erst 2026/2027 – Risiko von „Grauzonen“ in der Zwischenzeit
  • Technische Marker wie Watermarking sind noch nicht zuverlässig
  • Nationale Alleingänge möglich (einige Länder wollen strengere Regeln vorziehen)

Konkrete Auswirkungen nach Branchen

  • Handel & E-Commerce: Empfehlungssysteme, personalisierte Werbung → Transparenzpflichten.
  • Medien & Marketing: Generative Inhalte müssen gekennzeichnet sein.
  • HR & Bildung: Bewerberauswahl oder Prüfungen gelten als Hochrisiko → strenge Dokumentationspflichten.
  • Öffentlicher Sektor: Besonders heikle Anwendungen bei Polizei und Justiz.

Was Unternehmen jetzt tun sollten (Januar 2025)

Die erste Frist (Februar 2025) steht unmittelbar bevor, die nächsten folgen in wenigen Monaten. Jetzt ist der Zeitpunkt für konkrete Maßnahmen:

Sofort (bis Februar 2025):

1. Verbotene Systeme identifizieren

  • Prüfen: Nutzen wir Social Scoring, biometrische Massenüberwachung oder manipulative Systeme?
  • Falls ja: Sofort einstellen oder umbauen

2. AI Literacy-Programm starten

  • Mitarbeiter schulen (Grundlagen, Risiken, Chancen)
  • Interne Richtlinien für KI-Nutzung erstellen

Kurzfristig (bis August 2025):

3. KI-Inventar erstellen

  • Vollständige Liste aller eingesetzten KI-Systeme
  • Kategorisierung nach Risiko (minimal, begrenzt, hoch)
  • Dokumentation der Provider und Vertragsverhältnisse

4. Transparenz-Strategie entwickeln

  • Für Chatbots: Klare Kennzeichnung vorbereiten
  • Für generative Inhalte: Labels und Hinweise definieren
  • Für Empfehlungssysteme: Transparenz-Texte formulieren

5. Verträge mit Providern prüfen

  • OpenAI, Google, Anthropic etc.: AI-Act-Compliance klären
  • SLAs für Incident Reporting etablieren
  • Datenschutz- und Urheberrechtsklauseln aktualisieren

Mittelfristig (bis August 2026):

6. Technische Implementierung

  • Kennzeichnungssysteme für KI-Content einbauen
  • Logging-Infrastruktur für Hochrisiko-Systeme aufbauen
  • Wasserzeichen und Metadaten implementieren

7. High-Risk-Systeme evaluieren

  • HR-Tools, Bewerbermanagement: Konformitätsbewertung vorbereiten
  • Medizinische oder kritische Systeme: Umfassende Dokumentation
  • FRIA (Fundamental Rights Impact Assessment) durchführen

Strategisch:

8. Interne Governance etablieren

  • AI-Compliance-Verantwortliche benennen
  • Regelmäßige Reviews und Audits einplanen
  • Budget für Compliance-Maßnahmen sichern

9. Externe Expertise einbinden

  • Rechtsberatung mit AI-Act-Spezialisierung
  • Technische Berater für Implementierung
  • Austausch mit Branchenverbänden

Das Wichtigste im Überblick (Stand Januar 2025)

Die “Übergangsphase” ist keine ferne Zukunft mehr – die ersten Fristen stehen unmittelbar bevor:

  • Februar 2025 (in 1 Monat): Verbotene KI-Systeme sind untersagt, AI Literacy wird Pflicht
  • August 2025 (in 7 Monaten): Große KI-Modelle (GPAI) werden reguliert
  • August 2026 (in 19 Monaten): Transparenzpflichten für alle KI-Inhalte
  • August 2027 (in 31 Monaten): Vollständiges Hochrisiko-Regime

Der AI Act ist keine ferne Regulierung für Tech-Giganten, sondern betrifft jedes Unternehmen, das KI einsetzt – vom Konzern bis zum kleinen Blog.

Was sich seit September 2024 getan hat:

✅ EU AI Office ist operativ und gibt erste Leitlinien heraus ✅ Nationale Behörden richten sich ein ✅ Große Provider (OpenAI, Google, Meta) bereiten Compliance vor ✅ Erste Branchen-Leitfäden werden veröffentlicht ✅ Unternehmen starten mit KI-Inventarisierung

Dringende Handlungsempfehlung:

Januar 2025 ist der letzte Moment, um entspannt zu starten. Die Februar-2025-Frist kommt in 4 Wochen, die wichtigen Transparenzpflichten in nur 19 Monaten.

Wer jetzt:

  1. Ein KI-Inventar erstellt
  2. Verbotene Systeme prüft
  3. AI Literacy-Schulungen startet
  4. Provider-Verträge analysiert
  5. Eine Transparenz-Strategie entwickelt

…ist gut vorbereitet und kann KI weiterhin produktiv nutzen – ohne in Compliance-Stress oder rechtliche Risiken zu geraten.

Wer bis Mitte 2025 wartet, riskiert Hektik, höhere Kosten und möglicherweise Betriebsunterbrechungen. Die Zeit zu handeln ist jetzt.