Der EU AI Act (offiziell: Verordnung über Künstliche Intelligenz, kurz KI-VO) ist die erste umfassende KI-Regulierung weltweit. Im August 2024 in Kraft getreten, schafft er rechtliche Rahmen-Bedingungen für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der EU. Wie die DSGVO im Datenschutz-Bereich setzt der AI Act Maßstäbe, an denen sich Unternehmen weltweit orientieren müssen — auch außerhalb der EU.
Risikoklassen des EU AI Act
Das Gesetz klassifiziert KI-Systeme nach ihrem Risiko: Verbotene Anwendungen: Social Scoring, manipulative Systeme, biometrische Kategorisierung nach sensiblen Merkmalen, generelles Live-Gesichtsmonitoring im öffentlichen Raum. Hochrisiko-KI: KI in Bewerbungsverfahren, Kreditscoring, Justiz, kritischer Infrastruktur, Bildung — strenge Pflichten zu Dokumentation, Transparenz, menschlicher Aufsicht. Begrenztes Risiko: Chatbots und Deepfakes — Transparenzpflicht (Nutzer müssen wissen, dass sie mit KI interagieren). Minimales Risiko: Spam-Filter, Empfehlungssysteme — keine spezifischen Pflichten.
Pflichten für Unternehmen 2026
Konkrete Anforderungen je nach Einsatz: Bei Chatbots/KI-Texten: Transparenz — Nutzer informieren, dass sie mit KI interagieren bzw. KI-generierte Inhalte konsumieren. Bei Hochrisiko-KI: Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Robustheit und Genauigkeit, Konformitätsbewertung vor Inverkehrbringen. Bei General-Purpose-KI (wie GPT, Claude): Anbieter müssen Trainingsdaten dokumentieren, Urheberrechts-Schutz beachten, technische Dokumentation bereitstellen.
Bußgelder und Durchsetzung
Bei Verstößen drohen empfindliche Bußgelder: bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes (bei verbotenen Praktiken), bis zu 15 Millionen € oder 3 % bei sonstigen Verstößen. Die Durchsetzung läuft über nationale Behörden — in Deutschland zuständig sind voraussichtlich BNetzA und BSI. Mehr im Lexikoneintrag KI-DSGVO zur Wechselwirkung mit Datenschutz.