FAQ: Häufige Fragen zum EU AI Act
Die wichtigsten Fragen zur EU KI-Verordnung – klar und verständlich beantwortet für Unternehmen in Deutschland, Österreich und der Schweiz.
Was ist der EU AI Act?
Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung von Künstlicher Intelligenz. Er wurde am 12. Juli 2024 im EU-Amtsblatt veröffentlicht und trat am 1. August 2024 in Kraft. Er klassifiziert KI-Systeme nach ihrem Risiko (unakzeptabel, hoch, begrenzt, minimal) und stellt entsprechende Anforderungen an Anbieter und Betreiber.
Ab wann gilt der EU AI Act?
Der EU AI Act tritt schrittweise in Kraft: Ab 2. Februar 2025 gelten die Verbote für unakzeptable Risiken. Ab 2. August 2025 gelten Pflichten für GPAI-Modelle (Allzweck-KI) und nationale Governance-Strukturen. Ab 2. August 2026 gelten alle Anforderungen für Hochrisiko-KI-Systeme vollständig. Bis 2. August 2027 haben Systeme nach dem alten Recht eine Übergangsfrist.
Welche Unternehmen müssen den EU AI Act einhalten?
Der EU AI Act gilt für: Anbieter von KI-Systemen, die in der EU auf den Markt gebracht werden, Betreiber von KI-Systemen mit Sitz in der EU, Anbieter und Betreiber außerhalb der EU, wenn ihre Systeme Ausgaben in der EU erzeugen oder Nutzer in der EU betreffen. Das bedeutet: Der EU AI Act hat – wie die DSGVO – extraterritoriale Wirkung.
Was sind Hochrisiko-KI-Systeme?
Hochrisiko-KI-Systeme sind Systeme, die in Anhang III des EU AI Act gelistet sind oder in kritischen Produkten nach Anhang I verwendet werden. Anhang III umfasst acht Bereiche: biometrische Identifikation, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung, essentielle private und öffentliche Dienste (z.B. Kredit), Strafverfolgung, Migrations- und Grenzkontrolle sowie Rechtspflege.
Welche KI-Systeme sind verboten?
Ab dem 2. Februar 2025 sind folgende KI-Anwendungen verboten: Systeme zur unterschwelligen Beeinflussung von Personen, Social Scoring durch öffentliche Stellen, biometrische Echtzeit-Fernidentifikation im öffentlichen Raum durch Strafverfolgungsbehörden (mit Ausnahmen), Systeme zur Ausnutzung von Schwächen vulnerabler Gruppen, Gesichtserkennung durch Web-Scraping, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, biometrische Kategorisierung nach geschützten Merkmalen.
Wie hoch sind die Bußgelder bei Verstößen?
Der EU AI Act sieht gestaffelte Bußgelder vor: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes bei Verstößen gegen die Verbote. Bis zu 15 Millionen Euro oder 3% des Umsatzes bei Verstößen gegen Hochrisiko-Pflichten. Bis zu 7,5 Millionen Euro oder 1,5% des Umsatzes bei falschen Angaben gegenüber Behörden. Für KMU und Startups gilt jeweils der niedrigere Betrag.
Was ist der Unterschied zwischen Anbieter und Betreiber?
Anbieter (Provider): Eine natürliche oder juristische Person, die ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen in Verkehr bringt. Betreiber (Deployer): Eine natürliche oder juristische Person, die ein KI-System im Rahmen beruflicher Tätigkeit unter eigener Verantwortung einsetzt. Ein Unternehmen kann gleichzeitig Anbieter (für selbst entwickelte Systeme) und Betreiber (für zugekaufte Systeme) sein.
Gilt der EU AI Act auch für die Schweiz?
Die Schweiz ist kein EU-Mitglied und daher nicht direkt an den EU AI Act gebunden. Allerdings: Schweizer Unternehmen, die KI-Systeme in der EU anbieten oder Nutzer in der EU bedienen, unterliegen dem EU AI Act. Zudem hat die Schweiz die Framework Convention on AI des Europarats (2024) unterzeichnet und arbeitet an einer nationalen KI-Regulierung, die EU-kompatibel sein soll.
Was müssen Betreiber von Hochrisiko-KI konkret tun?
Betreiber von Hochrisiko-KI-Systemen müssen: das System nur gemäß Anbieter-Anweisungen einsetzen, ausreichend qualifiziertes Personal einsetzen (Art. 4), menschliche Aufsicht sicherstellen (Art. 14), den Betrieb überwachen und Anomalien melden, betroffene Personen über den KI-Einsatz informieren, Logging-Daten aufbewahren und Vorfälle melden.
Was ist KI-Kompetenz nach Art. 4 EU AI Act?
Art. 4 EU AI Act verpflichtet Anbieter und Betreiber, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Diese Pflicht gilt ab dem 2. Februar 2025 und umfasst Kenntnisse zu: Funktionsweise und Grenzen des eingesetzten KI-Systems, Risiken und Möglichkeiten von KI, Meldewegen bei Problemen, Rechten betroffener Personen.
Was sind GPAI-Modelle und welche Regeln gelten für sie?
GPAI-Modelle (General Purpose AI Models, deutsch: KI-Modelle mit allgemeinem Verwendungszweck) sind Modelle wie GPT-4, Claude oder Gemini, die für eine Vielzahl von Aufgaben eingesetzt werden können. Ab August 2025 müssen GPAI-Anbieter: technische Dokumentation bereitstellen, Urheberrechtsvorgaben einhalten, Informationen über Trainingsdaten veröffentlichen. Modelle mit systemischem Risiko (über 10²⁵ FLOP Trainingsaufwand) haben zusätzliche Pflichten.
Wie viel kostet EU AI Act Compliance?
Die Compliance-Kosten variieren stark nach Unternehmensgröße und Systemtyp. Für KMU mit einem Hochrisiko-System: geschätzte interne Kosten 20.000–80.000 EUR für Erstimplementierung, laufende Kosten 5.000–20.000 EUR jährlich. Hinzu kommen ggf. Kosten für externe Beratung (500–2.000 EUR/Tag), notifizierte Stellen (15.000–80.000 EUR für Konformitätsbewertung) und Schulungen. Systeme mit minimalem Risiko verursachen kaum Zusatzkosten.
Brauche ich eine CE-Kennzeichnung für mein KI-System?
Ja, wenn Ihr KI-System ein Hochrisiko-System nach Art. 6 EU AI Act ist. Die CE-Kennzeichnung setzt voraus: vollständige technische Dokumentation, abgeschlossenes Risikomanagementsystem, Konformitätsbewertung (Selbstbewertung oder durch notifizierte Stelle), EU-Konformitätserklärung und Registrierung in der EU-KI-Datenbank. Für KI-Systeme mit minimalem oder begrenztem Risiko ist keine CE-Kennzeichnung erforderlich.
Gilt der EU AI Act für Open-Source-KI?
Open-Source-KI-Modelle genießen Erleichterungen nach Art. 2 Abs. 12 EU AI Act, wenn Gewichte, Parameter und technische Informationen frei zugänglich sind. Jedoch: Die Verbote (Art. 5) gelten auch für Open Source. Wer Open-Source-Modelle fine-tuned und in Hochrisiko-Anwendungen einsetzt, gilt als Anbieter mit vollen Pflichten. GPAI-Modelle mit systemischem Risiko sind von der Open-Source-Ausnahme ausgenommen.
Wo muss ich mein Hochrisiko-KI-System registrieren?
Hochrisiko-KI-Systeme müssen in der EU-KI-Datenbank (EUIAS) registriert werden, die vom EU KI-Büro betrieben wird. Die Registrierungspflicht gilt für Anbieter vor dem Inverkehrbringen des Systems. Bestimmte Betreiber (z.B. öffentliche Stellen) müssen ebenfalls registrieren. Die Datenbank ist öffentlich zugänglich und ermöglicht die Überprüfung der Compliance durch Behörden und Verbraucher.
Ihre Frage ist nicht dabei?
Nutzen Sie unseren kostenlosen KI-Compliance-Check für eine individuelle Einschätzung Ihres Unternehmens.
Kostenloser Compliance-Check →AI Act Compliance Tool
Ist Ihr KI-System EU AI Act-konform?
Kostenlos prüfen in 10 Minuten — spezifisch für Ihr Unternehmen und Ihre Branche.
Jetzt Risiko prüfen →