Cyber Legal Article

Was ist der AI Act? 

28 Jan., 2026 min Lesezeit
AI Act
Zusammenfassung:

Künstliche Intelligenz ist nichts Neues: Das Konzept reicht in die 1950er Jahre zurück, als Alan Turing seine ersten Arbeiten dazu veröffentlichte. Doch während KI lange Zeit auf Forschungslabore beschränkt blieb, ist sie heute allgegenwärtig (Netflix-Empfehlungen, GPS-Navigation, Sprachassistenten usw.).

Diese Verbreitung bringt neue Herausforderungen mit sich: algorithmische Verzerrungen, Risiken der Massenüberwachung, potenzielle Verletzungen der Grundrechte. Um diesen Herausforderungen zu begegnen, hat die EU beschlossen zu handeln und eine ehrgeizige und wegweisende Verordnung verabschiedet: den AI Act.

Sein Ziel? Sicherzustellen, dass die auf europäischem Gebiet eingesetzte KI sicher, ethisch vertretbar und grundrechtskonform ist. Inspiriert von der DSGVO schafft dieser Text einen harmonisierten Rechtsrahmen, der Innovation fördert und gleichzeitig die Bürger schützt.

Unsere Experten beantworten Ihre Fragen zum AI Act.

Was sind die Ziele des AI Act?

Der AI Act verfolgt mehrere große Ziele:

  • Schutz der Grundrechte von EU-Bürgern: Diskriminierungsfreiheit, Datenschutz, Achtung der Rechtsstaatlichkeit.
  • Förderung verantwortungsvoller Innovation, insbesondere durch regulatorische „Sandkästen“, in denen Unternehmen KI-Projekte unter Einhaltung aller Vorschriften testen können.
  • Stärkung der Wettbewerbsfähigkeit europäischer Unternehmen durch einen einheitlichen, für alle Mitgliedstaaten geltenden Rechtsrahmen.

Mit anderen Worten: Europa will zeigen, dass es möglich ist, gleichzeitig innovativ und verantwortungsbewusst zu sein.

Wann tritt der AI Act in Kraft?

Die Verordnung wurde im August 2024 offiziell verabschiedet, sie tritt jedoch schrittweise in Kraft:

  • Februar 2025: Verbot von KI-Systemen, die ein als inakzeptabel eingestuftes Risiko darstellen (z. B. soziale Bewertung, Verhaltensmanipulation, Vorhersage von Straftaten).
  • August 2025: Inkrafttreten der spezifischen Maßnahmen für Allgemeine KI (GPAI) und Benennung der zuständigen nationalen Behörden.
  • August 2026: Allgemeine Anwendung der Verordnung auf alle KI-Systeme mit einem umfassenden Rahmen für Kontrollen und Sanktionen.

In Deutschland ist kein Umsetzungsgesetz erforderlich: Wie bei der DSGVO gilt der AI Act direkt. Es muss jedoch eine nationale Behörde benannt werden, die für die Überwachung der Einhaltung zuständig ist.

Wie sieht die Governance für den AI Act aus?

Zwei Gremien werden die Umsetzung des Textes steuern:

  • Der Europäische KI-Ausschuss, ein beratendes Gremium, das sich am EDSA (Europäischer Datenschutzausschuss) orientiert. Er wird sich aus Vertretern der Mitgliedstaaten zusammensetzen und die Aufgabe haben, die Anwendung der Verordnung zu harmonisieren.
  • Das Europäische Büro für Künstliche Intelligenz (AI Office), das in die Europäische Kommission integriert ist. Dieses Kompetenzzentrum mit rund 140 Mitarbeitern wird über Untersuchungsbefugnisse verfügen und eine zentrale Rolle bei der Bewertung von KI-Systemen mit allgemeinem Verwendungszweck spielen.

Wie stuft der AI Act die mit KI-Systemen verbundenen Risiken ein?

Die Verordnung klassifiziert KI-Systeme nach ihrem Risikograd und bestimmt die damit verbundenen Verpflichtungen. Diese Abstufung ermöglicht es, die Compliance-Bemühungen auf die sensibelsten Systeme zu konzentrieren: diejenigen mit hohem Risiko, die etwa zehn Prozent der Anwendungsfälle ausmachen.

Es werden vier Kategorien unterschieden:

1. Minimales Risiko

Beispiel: Spamfilter, klassische Empfehlungssysteme.

Kaum oder keine Verpflichtungen, abgesehen von der Einhaltung von Verhaltenskodizes.

2. Begrenztes Risiko

Beispiel: Chatbots oder Deepfakes.

Transparenzpflicht: Nutzer müssen klar darüber informiert werden, dass sie mit einer KI interagieren, und KI-generierte Inhalte müssen gekennzeichnet werden

3. Hohes Risiko

Beispiel: KI, die für Personalbeschaffung, Bildung, Gesundheit oder den Zugang zu öffentlichen Dienstleistungen eingesetzt wird.

Diese Systeme unterliegen einer verschärften Regulierung mit strengen Anforderungen:

  • Daten-Governance: repräsentative und unverfälschte Datensätze.
  • Vollständige technische Dokumentation: Beschreibung des Systems, seiner Funktionsweise und seiner Interaktionen.
  • Ereignisprotokollierung: verpflichtende Nachvollziehbarkeit für Audits.
  • Menschliche Überwachung: Das System muss jederzeit von einem Menschen kontrolliert werden können.
  • CE-Kennzeichnung und Registrierung in einer europäischen Datenbank.

4. Inakzeptables Risiko

Beispiel: Soziales Rating oder Ausnutzung psychischer Schwächen.

Diese Praktiken sind strikt verboten.

Welche Unternehmen sind vom AI Act betroffen?

Die Verordnung legt die Rollen und Verantwortlichkeiten jedes Akteurs genau fest:

  • Anbieter: Unternehmen oder Personen, die ein KI-System entwickeln oder vermarkten.
  • Die Betreiber (Endnutzer): Organisationen, die KI in ihren Prozessen einsetzen.
  • Importeure und Händler: Zwischenhändler, die anderswo entwickelte Systeme auf den Markt bringen.

Jeder Status bringt unterschiedliche Verpflichtungen mit sich, insbesondere in Bezug auf Dokumentation, Transparenz und Risikomanagement.

Welche Verpflichtungen gelten für GPAI?

GPAI (General Purpose AI) stehen wie auch Large Language Models besonders im Fokus.

Ihre Leistungs- und Anpassungsfähigkeit machen es schwierig, sie zu regulieren. Gleichzeitig können ihre Auswirkungen beträchtlich sein.

Anbieter von GPAI müssen:

  • die Cybersicherheit des Systems gewährleisten
  • Urheberrechte einhalten
  • für Transparenz hinsichtlich der Funktionsweise und der Grenzen des Modells sorgen

Welche finanziellen Sanktionen drohen bei Nichteinhaltung des AI Act?

Der AI Act sieht hohe finanzielle Strafen vor:

  • Bis zu 15 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, für das Inverkehrbringen eines verbotenen Systems.
  • Zusätzliche Maßnahmen können ebenfalls beschlossen werden: Marktrückzug, Produktrückruf oder Aussetzung der Geschäftstätigkeit.

Die Sanktionshöhen erinnern an die DSGVO und sollen die Glaubwürdigkeit des europäischen Regelwerks gewährleisten.

Wie kann man die Anforderungen des AI Act erfüllen?

Unternehmen sollten schnellstmöglich eine Roadmap festlegen. Hier sind die wichtigsten Schritte, die unsere Experten identifiziert haben:

1. Bestandsaufnahme der vorhandenen KI-Systeme

  • Identifizieren Sie alle Systeme, die in der Organisation verwendet oder entwickelt werden.
  • Klassifizieren Sie diese nach den vier Risikostufen.
  • Wichtig: Die Compliance hängt direkt vom Risikograd ab.

2. Einrichtung einer Governance-Struktur

  • Ernennen Sie ein Team oder einen KI-Verantwortlichen, der für die Steuerung des Compliance-Prozesses zuständig ist.
  • Definieren Sie die Risikomanagementprozesse und die Überwachungsindikatoren.

3. Dokumentieren und nachverfolgen

  • Erstellen Sie eine vollständige technische Dokumentation.
  • Protokollmechanismen einrichten, um die Nachvollziehbarkeit zu gewährleisten und Audits zu erleichtern.

4. Transparenz und Überwachung sicherstellen

  • Benutzer informieren, wenn sie mit einer KI interagieren.
  • Die Möglichkeit einer kontinuierlichen menschlichen Kontrolle gewährleisten.

5. Compliance sicherstellen und aufrechterhalten

  • Die Bewertung der Compliance durchführen (Selbstbewertung oder benannte Stelle).
  • Eine CE-Kennzeichnung vor dem Inverkehrbringen einholen.
  • Ein kontinuierliches Überwachungssystem nach dem Inverkehrbringen unterhalten, um etwaige Abweichungen zu erkennen.

Der AI Act: ein anspruchsvoller, aber vertrauensbildender Rechtsrahmen

Wie schon die DSGVO markiert der AI Act einen neuen Meilenstein beim Aufbau eines auf Vertrauen basierenden europäischen Digitalraums.

Weit davon entfernt, Innovationen zu bremsen, fördert die Verordnung den Einsatz von verantwortungsvoller und kontrollierter Künstliche Intelligenz, die eine nachhaltige und wettbewerbsfähige Entwicklung des Sektors gewährleistet.

Das Jahr 2026 ist daher entscheidend: Unternehmen, die sich bereits jetzt auf die Einhaltung der Vorschriften vorbereiten, haben einen Vorsprung, sowohl in regulatorischer Hinsicht als auch in Bezug auf das Kundenvertrauen.

Zum gleichen Thema...

Zurück zur Seite Cyber Legal

Advens

Gemeinsam stark für eine bessere Zukunft

Kunde, Partner oder Bewerber: Engagieren Sie sich mit uns, um die Sicherheit von Organisationen zu gewährleisten und dabei unsere Werte, unsere Gesellschaft und unser Miteinander zu schützen. Gemeinsam setzen wir unsere Leistung für sinnvolle Projekte ein, die wirklich etwas bewirken.

Kontakt
Advens

Über Advens

Wir sind mehr als nur ein unabhängiger Marktführer für Cybersecurity in Europa.
Unsere Experten unterstützen Sie weltweit darin, Cyber-Bedrohungen effektiv zu meistern. Doch was uns wirklich auszeichnet, ist unser verantwortungsbewusstes Handeln. Wir schützen Ihre Daten und sorgen für eine sichere digitale Zukunft, die den Herausforderungen von heute und morgen gewachsen ist.

So bringen wir Sicherheit und Vertrauen in Einklang, damit Sie sich auf das Wesentliche konzentrieren können.

Mehr erfahren