EU AI Act (KI-Verordnung der EU)

Der EU AI Act (Verordnung (EU) 2024/1689) ist die horizontale KI-Regulierung der Europäischen Union, die seit August 2024 in Kraft ist und bis 2027 schrittweise angewendet wird. Es ist das erste umfassende KI-Gesetz in einer großen Jurisdiktion und verfolgt einen risikobasierten Ansatz.

Risikoklassen:

• Inakzeptables Risiko (verboten ab Februar 2025): Social Scoring, Echtzeit-Biometrie-Identifikation im öffentlichen Raum (mit engen Ausnahmen), manipulative Dark Patterns, Ausnutzung von Schwachstellen, nicht gezieltes Face Scraping
• Hohes Risiko (vollständige Anforderungen ab August 2026): KI in Beschäftigung, Bildung, kritischer Infrastruktur, Gesundheitswesen, Strafverfolgung, Migration, essenziellen Diensten. Erfordert Risikomanagement, Daten-Governance, Transparenz, menschliche Aufsicht, Genauigkeit, Cybersicherheit, Konformitätsbewertung.
• Begrenztes Risiko: Chatbots, Emotionserkennung, Deepfakes — müssen KI-Einsatz offenlegen (Artikel 50)
• Minimales Risiko: Unreguliert (z. B. KI-Spamfilter)

General-Purpose AI (GPAI) hat einen eigenen Pfad. Alle GPAI-Anbieter müssen Zusammenfassungen der Trainingsdaten veröffentlichen, das Urheberrecht respektieren und das Modell dokumentieren. GPAI mit systemischem Risiko (Trainings-Compute > 10²⁵ FLOPs) unterliegt zusätzlichen Sicherheits-, Evaluierungs- und Red-Teaming-Pflichten.

Wesentliche Daten:

• August 2024: In Kraft getreten
• Februar 2025: Inakzeptables Risiko + KI-Kompetenzpflichten
• August 2025: GPAI-Pflichten beginnen
• August 2026: Vollständige Pflichten für hohes Risiko + Transparenz Art. 50
• August 2027: Bestehende Hochrisikosysteme müssen konform sein

Sanktionen skalieren mit dem Schweregrad, bis zu 35 Mio. EUR oder 7 % des globalen Jahresumsatzes für verbotene Praktiken. Der Act hat extraterritorialen Geltungsbereich: Jeder KI-Anbieter, der EU-Nutzerinnen und -Nutzer bedient, fällt darunter.