Das EU-Gesetz über künstliche Intelligenz ist nicht mehr nur eine Frage der Zeit - es ist bereits in Kraft. Die Durchsetzung schreitet voran, und die Fristen sind bereits festgelegt. Für Governance-, Risiko- und Compliance-Experten ist es jetzt an der Zeit, zu handeln und kein Risiko einzugehen.
Unabhängig davon, ob Sie ein Anbieter, ein Bereitsteller oder ein Drittpartner sind, wird diese weitreichende Verordnung die Art und Weise, wie KI-Governance in ganz Europa durchgeführt werden muss, neu gestalten. Die Uhr tickt, um KI-Risiken zu bewerten, interne Prozesse abzustimmen und die organisatorische Bereitschaft sicherzustellen.
Lassen Sie uns aufschlüsseln, was jetzt durchsetzbar ist, was als nächstes kommt und wie GRC-Teams ihre Unternehmen durch eine der wichtigsten regulatorischen Veränderungen des Jahrzehnts führen können.
Was das EU-KI-Gesetz abdeckt
Im Kern ist das EU-KI-Gesetz ein risikobasierter Rechtsrahmen. Er stuft KI-Systeme in vier Kategorien ein:
- Inakzeptables Risiko - Vollständig verboten (z. B. soziale Bewertungssysteme)
- Hohes Risiko - Erfordert Dokumentation, Audits und menschliche Aufsicht (z. B. Gesundheitswesen, Beschäftigung, öffentlicher Dienst)
- Begrenztes Risiko - Muss Transparenzverpflichtungen erfüllen (z. B. Chatbots)
- Minimales Risiko - Geringe regulatorische Belastung (z. B. Spam-Filter)
Jede Kategorie ist mit spezifischen Verpflichtungen verbunden. Bestimmte Praktiken sind grundsätzlich verboten, wie etwa die biometrische Echtzeit-Überwachung im öffentlichen Raum (es sei denn, es gibt eine enge Ausnahmeregelung). Andere, wie KI für die Strafverfolgung oder die biometrische Identitätsüberprüfung, gelten als risikoreich und sind stark reguliert.
In der Zwischenzeit können F&E-Aktivitäten, militärische Anwendungen und einige Open-Source-GPAIs je nach Anwendungsfall und Einsatzstatus ausgenommen werden.
Tipp: Wenn Sie sich in der Forschung oder in der Entwicklung von Produktprototypen befinden, prüfen Sie, ob es Ausnahmeregelungen gibt, und dokumentieren Sie dennoch Ihre Sicherheitsvorkehrungen.
Woher weiß ich, ob mein System ein hohes Risiko darstellt?
Wenn Ihre KI Entscheidungen über die Rechte von Menschen, ihre Sicherheit oder den Zugang zu Dienstleistungen beeinflusst, fallen Sie wahrscheinlich in den Anwendungsbereich. Sie müssen auch feststellen, ob Ihr Modell als Allzweck-KI (GPAI) eingestuft werden kann - eine Art von Modell, das für viele nachgelagerte Anwendungen ausgebildet wurde. Für GPAIs gelten eigene Governance-Regeln, insbesondere wenn sie systemische Risiken darstellen.
Tipp: Vergleichen Sie Ihr KI-Portfolio mit den Risikostufen in Anhang III des Gesetzes. Wenn Sie unsicher sind, gehen Sie von einer Prüfung aus und bereiten Sie sich entsprechend vor.
Gilt der EU AI Act für meine Organisation?
Höchstwahrscheinlich, auch wenn Sie nicht in der EU leben. Das Gesetz gilt extraterritorial. Wenn Ihr Unternehmen KI-Systeme verkauft, einsetzt oder bereitstellt, die Menschen in der EU betreffen, fallen Sie wahrscheinlich in den Geltungsbereich. Das gilt auch für Unternehmen mit Sitz in den USA, die SaaS-Tools oder Open-Source-GPAIs online anbieten. Ihre Rolle - ob Anbieter, Bereitsteller, Importeur oder Händler - bestimmt Ihre genauen Verpflichtungen.
Bewährte Praxis: Klären Sie die internen Rollen. Klären Sie, wer in Ihrem Unternehmen nach dem KI-Gesetz rechtlich verantwortlich ist, insbesondere wenn Sie sich auf Anbieter oder White-Label-Lösungen verlassen.
Sanktionen bei Nichteinhaltung des EU-KI-Gesetzes
Die Strafen sind hoch. Verstöße können hohe Geldstrafen nach sich ziehen. Damit steht das KI-Gesetz auf der gleichen Stufe wie die Datenschutz-Grundverordnung, hat aber weitreichendere Auswirkungen.
- Bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes bei Verstößen gegen verbotene Praktiken
- Bis zu 15 Mio. € oder 3 % des Umsatzes bei Nichteinhaltung der Vorschriften (z. B. bei Lücken in der GPAI-Dokumentation)
- Öffentliche Benennung, Produktrückrufe oder Marktverbote bei wiederholter oder systematischer Nichteinhaltung von Vorschriften
Neben Bußgeldern können Unternehmen, die sich nicht an das EU-Gesetz halten, zivilrechtlich belangt werden und Rufschädigung erleiden. Die Bürgerinnen und Bürger haben das Recht, Beschwerden über KI-Systeme einzureichen und "Erklärungen zu Entscheidungen zu erhalten, die auf risikoreichen KI-Systemen basieren und ihre Rechte beeinträchtigen". Diese Beschwerden werden von der KI-Kompetenz und dem Scharfsinn der Bürger abhängen, die durch diese Technologien geschädigt werden.
Die gute Nachricht? Die Befolgung des GPAI-Verhaltenskodex der EU kann das Risiko mindern und eine proaktive Anpassung demonstrieren - etwas, das die Behörden bei der Durchsetzung berücksichtigen können.
Ihr Schutzschild: Halten Sie sich jetzt an den freiwilligen Verhaltenskodex, um sich später nicht zu exponieren.
Wichtige Fristen für die Durchsetzung des EU-AI-Gesetzes: Und was man dagegen tun kann
Die Durchsetzung erfolgt gestaffelt, ist aber bereits im Gange.
|
Deadline |
Anforderung |
| 2. Februar 2025 | KI-Schulungen sind für alle Nutzer und Anbieter von KI-Systemen erforderlich. |
| 2. August 2025 | Die Einhaltung der Vorschriften ist für Anbieter von General-Purpose AI (GPAI) erforderlich |
| 2. August 2026 | Hochriskante AI-Verpflichtungen treten in Kraft |
| 2. August 2027 | Ausweitung der Vorschriften auf umfassendere Anhang-II-Systeme |
| Bis 2030 | Die vollständige Integration in die EU-Großsysteme muss abgeschlossen sein |
Warten Sie nicht. Selbst bei Systemen mit begrenztem Risiko kann es sein, dass Sie vor Ablauf dieser Fristen Transparenzangaben machen müssen. Lassen Sie uns näher erläutern, was diese Anforderungen für Ihr Unternehmen bedeuten können.
Anforderungen an die KI-Kompetenz: Februar 2, 2025
Alle Organisationen, die KI-Systeme einsetzen oder bereitstellen, müssen - unabhängig von der Risikostufe - sicherstellen, dass die Benutzer entsprechend geschult werden. Dies gilt für Mitarbeiter, Auftragnehmer und Dienstleister.
Eine wirksame Ausbildung in KI-Kenntnissen sollte Folgendes umfassen:
- Wie KI-Systeme funktionieren und was ihre Grenzen sind
- Wie man AI-generierte Ergebnisse bewertet
- Wie man mit rechtlichen und ethischen Überlegungen umgeht
- Wie kann die menschliche Kontrolle über automatisierte Entscheidungen aufrechterhalten werden?
Dokumentation allein reicht nicht aus. Die Schulungen müssen aktiv, rollenspezifisch und in Ihr Compliance-Programm eingebettet sein.
Sie sind sich noch nicht sicher über die Anforderungen an die KI-Kompetenz? Lesen Sie, wie die Europäische Kommission die spezifischen Bestimmungen im KI-Gesetz definiert.
Brauchen Sie Hilfe für den Einstieg?
Die KI-Schulungslösungen von Mitratech sind so konzipiert, dass sie diese sich entwickelnden Anforderungen erfüllen.
Mehr erfahrenAllgemeine KI (GPAI) Einhaltung - 2. August 2025
GPAI-Modelle, die in der Lage sind, eine Reihe von Aufgaben zu erfüllen und in verschiedenen Anwendungen eingesetzt werden, unterliegen im Rahmen des KI-Gesetzes einer Reihe von besonderen Verpflichtungen.
Wenn Ihr Unternehmen GPAI-Modelle entwickelt oder auf den EU-Markt bringt, müssen Sie dies tun:
- Führen einer detaillierten technischen Dokumentation
- Zusammenfassungen von Trainingsdaten veröffentlichen
- Umsetzung von Richtlinien zur Einhaltung des Urheberrechts
- Überwachung auf systemische Risiken
- Verfolgung und Meldung schwerwiegender Zwischenfälle
- Befolgen Sie bewährte Praktiken der Cybersicherheit
Obwohl der GPAI-Verhaltenskodex freiwillig ist, kann er dazu beitragen, die Einhaltung der Vorschriften in gutem Glauben zu demonstrieren und mögliche Strafen zu verringern.
Hochrisikosysteme unter vollständiger Aufsicht: August 2, 2026
Bis zu diesem Zeitpunkt müssen KI-Systeme, die als risikoreich eingestuft werden, umfassende Compliance-Anforderungen erfüllen. Dies beinhaltet:
- Formelle Risikobewertungen
- Zuverlässige Dokumentation
- Menschliche Aufsicht in Echtzeit
- Konformitätsbewertungen vor der Einführung
Jeder EU-Mitgliedstaat muss außerdem mindestens eine regulatorische Sandbox anbieten, um das sichere Testen von Hochrisikosystemen zu unterstützen.
Erweiterte Compliance-Anforderungen: 2. August 2027 und darüber hinaus
Ab August 2027 werden auch die in Anhang II aufgeführten KI-Systeme (einschließlich solcher mit Anwendungen mit mittlerem bis hohem Risiko) erfasst.
Bis dahin muss jedes in der EU eingesetzte KI-System - unabhängig von der Stufe - einen Nachweis erbringen:
- Transparenter Betrieb
- Laufende Risikominderung
- Human-in-the-Loop-Entscheidungsfindung
Mit Blick auf das Jahr 2030 werden KI-Systeme, die in die groß angelegte IT-Infrastruktur der EU integriert werden, strengeren Governance- und rechtlichen Beschränkungen in Bezug auf Sicherheit, Justiz und bürgerliche Freiheiten unterliegen.
Maßnahmen zur Einhaltung des EU-AI-Gesetzes
Wenn Sie KI-Systeme entwickeln oder auf dem EU-Markt in Verkehr bringen, müssen Sie dies möglicherweise tun:
- Pflege der technischen Dokumentation
- Durchführung von Konformitätsbewertungen für Hochrisikosysteme
- Einrichtung von Qualitäts- und Risikomanagementsystemen
- Schulung Ihrer Mitarbeiter in KI-Kenntnissen
- Veröffentlichung von Zusammenfassungen von Schulungsdaten und Gewährleistung der Einhaltung des Urheberrechts
Für Hochrisikomodelle sind eine detaillierte Protokollierung, menschliche Aufsicht und Überwachung nach dem Inverkehrbringen erforderlich. GPAI-Anbieter müssen außerdem systemische Risiken mindern, Cybersicherheitsprotokolle durchsetzen und schwerwiegende Vorfälle melden.
Nächster Schritt: Entwickeln Sie einen Fahrplan für die Einhaltung der Vorschriften, der auf Ihre Risikoklassifizierung abgestimmt ist. Warten Sie nicht, bis die Durchsetzung beginnt, bevor Sie Ihre Kontrollen dokumentieren.
AI Act Aktionsplan: Wie sich GRC-Führungskräfte heute vorbereiten können
Um die Fristen des EU-KI-Gesetzes einzuhalten und die organisatorische Bereitschaft zu stärken, sollten Sie die folgenden Maßnahmen in Betracht ziehen:
Erstellen Sie Ihr AI-Risikoprofil
Katalogisieren Sie alle verwendeten KI-Systeme, kategorisieren Sie sie nach Risikostufen und dokumentieren Sie die Compliance-Anforderungen für jedes System.
Aufbau rollenbasierter KI-Schulungsprogramme
Entwickeln Sie Schulungsprogramme, die auf technische, verwaltungstechnische und betriebliche Rollen zugeschnitten sind. Berücksichtigen Sie rechtliche, ethische und praktische Aspekte der KI-Nutzung.
Integrieren Sie AI-Kontrollen in GRC-Programme
Integrieren Sie KI-Kontrollen in Ihre umfassenderen Risiko- und Compliance-Rahmenwerke. Erwägen Sie die Übernahme von Standards wie ISO 42001 oder dem NIST AI RMF zur Unterstützung der Programmentwicklung.
Stärkung der Governance von Drittanbietern
Prüfen Sie Ihre KI-Lieferanten und -Partner. Nehmen Sie die Anforderungen des EU-KI-Gesetzes in die Verträge auf und überwachen Sie die Einhaltung der GPAI-Anwendungen in den nachgelagerten Bereichen.
Regulierungsänderungen verfolgen
Die Kommission könnte bald die Vorschriften für kleine und mittlere Unternehmen straffen. Bleiben Sie informiert, um agil zu bleiben.
Sind Sie bereit, bei der KI-Compliance führend zu sein?
Das EU-KI-Gesetz ist ein entscheidender Moment für die Zukunft der KI-Governance. Sie ist mehr als eine Compliance-Anforderung: Sie schafft Vertrauen, stärkt die Widerstandsfähigkeit und verbessert die betriebliche Integrität.
GRC-Experten spielen eine zentrale Rolle beim Aufbau verantwortungsvoller KI-Ökosysteme, die sicher, ethisch vertretbar und widerstandsfähig sind. Mitratech bietet integrierte Lösungen, die Sie bei der Umsetzung dieser wegweisenden Verordnung unterstützen. Laden Sie die KI-Governance-Broschüre von Mitratech herunter oder fordern Sie eine Demo unserer vernetzten Risiko- und Compliance-Lösungen an, um loszulegen.
Lassen Sie uns eine KI-Governance aufbauen, die für Menschen, Organisationen und Regulierungsbehörden funktioniert.
