EU AI Act Risiko-Klassifizierer

AI Act Risk Classifier

Wo steht dein KI-Projekt im neuen EU-Gesetzrahmen?

Lädt...

Minimal Risk

Geringes Risiko

Dein Projekt scheint unter die Kategorie mit minimalem Risiko zu fallen.

Der ultimative Guide zum EU AI Act (KI-Gesetz)

Die Europäische Union hat mit dem EU AI Act (KI-Verordnung) das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz verabschiedet. Ziel ist es, Innovationen zu fördern und gleichzeitig sicherzustellen, dass KI-Systeme sicher, transparent und im Einklang mit den Grundrechten stehen. Der Kern des Gesetzes ist ein **risikobasierter Ansatz**: Je gefährlicher die Anwendung, desto strenger die Regeln. Da die Strafen bei Nichtbeachtung massiv sein können (bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes), sollten Unternehmen ihre Projekte frühzeitig klassifizieren.

Was sind die vier Risikostufen des EU AI Act?

Die EU unterscheidet vier zentrale Kategorien:

Unannehmbares Risiko (Unacceptable Risk): Diese Systeme sind in der EU verboten. Dazu gehören Social Scoring durch Regierungen, kognitive Verhaltensmanipulation und bestimmte Formen der biometrischen Echtzeit-Identifizierung.
Hohes Risiko (High Risk): Systeme in sensiblen Bereichen wie kritische Infrastruktur, Bildung, Personalwesen, Kreditwürdigkeitsprüfung oder Strafverfolgung. Diese unterliegen strengen Dokumentations-, Transparenz- und Überwachungspflichten.
Begrenztes Risiko (Limited Risk): Hier stehen Transparenzpflichten im Vordergrund. Nutzer müssen wissen, dass sie mit einer KI interagieren (z.B. Chatbots, Deepfakes oder KI-generierte Texte).
Minimales Risiko (Minimal Risk): Die Mehrheit der Anwendungen (z.B. KI-basierte Videospiele oder Spam-Filter). Hier gibt es keine neuen gesetzlichen Pflichten, aber freiwillige Standards werden begrüßt.

Welche Fristen müssen Unternehmen für die Compliance beachten?

Der AI Act ist seit 2024 stufenweise in Kraft. Die Verbote für unannehmbare Risiken greifen bereits ab Anfang 2025. Für Anbieter von General Purpose AI (GPAI) gelten Regeln ab Sommer 2025. Die meisten Pflichten für Hochrisiko-Systeme werden ab 2026 verbindlich. Unternehmen sollten nicht warten, bis die Fristen ablaufen, da die technische Anpassung (z.B. Aufbau von Risikomanagementsystemen) oft Monate in Anspruch nimmt.

Was bedeutet "General Purpose AI" (GPAI) im Gesetz?

GPAI bezieht sich auf KI-Modelle, die für eine Vielzahl von Aufgaben eingesetzt werden können (z.B. Sprachmodelle wie GPT). Das Gesetz unterscheidet hier normale Modelle und Modelle mit "systemischem Risiko" (sehr leistungsstarke Modelle). Anbieter dieser Modelle müssen technische Dokumentationen bereitstellen, Informationen über die Trainingsdaten offenlegen und Maßnahmen zur IT-Sicherheit ergreifen.

Welche Pflichten haben KMU und Startups?

Das Gesetz sieht Erleichterungen für kleine und mittlere Unternehmen (KMU) vor, um Innovationen nicht abzuwürgen. So sollen Gebühren für Konformitätsbewertungen reduziert und sogenannte "Sandboxes" (Testumgebungen) durch die Mitgliedstaaten geschaffen werden. Dennoch: Die Grundpflichten bei Hochrisiko-KI (z.B. hohe Datenqualität beim Training) gelten für alle Marktteilnehmer gleichermaßen, egal ob Weltkonzern oder Einzelunternehmer.

Was passiert bei Verstößen gegen den AI Act?

Die Sanktionen sind drakonisch und orientieren sich am Vorbild der DSGVO, gehen aber darüber hinaus. Verstöße gegen verbotene KI-Praktiken können mit bis zu 35 Mio. Euro oder 7% des Vorjahresumsatzes geahndet werden. Bei Verstößen gegen andere Pflichten (z.B. Transparenz) drohen bis zu 15 Mio. Euro oder 3% des Umsatzes. Die Aufsicht erfolgt durch nationale Behörden und das neu geschaffene European AI Office.

Gilt das Gesetz auch für KI-Modelle aus den USA oder Asien?

Ja, das sogenannte Marktortprinzip greift. Sobald ein KI-System in der EU in Verkehr gebracht wird oder das Ergebnis des Systems in der EU genutzt wird, muss es den AI Act erfüllen. Es spielt keine Rolle, wo der Anbieter seinen Sitz hat. Damit setzt die EU – ähnlich wie bei der DSGVO – einen globalen Standard für regulatorische KI-Sicherheit.

Checkliste für Entwickler: Bin ich bereit?

Stellen Sie sich folgende Fragen: 1. Fällt meine Anwendung unter einen der verbotenen Bereiche? 2. Ist mein Einsatzgebiet in Anhang III (Hochrisiko) gelistet? 3. Verfüge ich über ein Qualitätsmanagement für meine Trainingsdaten? 4. Ist eine menschliche Aufsicht (Human-in-the-loop) technisch implementiert? 5. Werden Deepfakes oder KI-Texte automatisch als solche gekennzeichnet?