Was ist der EU AI Act?

Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Die Verordnung der Europäischen Union, formal Regulation (EU) 2024/1689, legt verbindliche Regeln für die Entwicklung, das Inverkehrbringen und den Einsatz von KI-Systemen fest. Sie trat 2024 in Kraft und wird stufenweise bis 2027 wirksam.

Risikoklassen und Pflichten

Der EU AI Act klassifiziert KI-Systeme in vier Risikostufen. Unzulässige Anwendungen wie Social Scoring sind vollständig verboten. Hochrisiko-Systeme, etwa im Personalwesen, in der Medizin oder in kritischer Infrastruktur, unterliegen strengen Anforderungen an Risikomanagement, Datenqualität, Dokumentation und menschliche Aufsicht.

Systeme mit begrenztem Risiko, zum Beispiel Chatbots, müssen Transparenzpflichten erfüllen. Minimalrisiko-Anwendungen wie Spam-Filter bleiben weitgehend frei von Auflagen. Hinzu kommen spezielle Regeln für General Purpose AI, also Basismodelle wie GPT-4 oder Claude.

Die Pflichten gelten für Anbieter, Importeure, Händler und Betreiber gleichermaßen. Maßgeblich ist, wer ein KI-System entwickelt, bereitstellt oder produktiv einsetzt.

Relevanz für Unternehmen

Jedes Unternehmen, das KI einsetzt oder anbietet, ist betroffen. Das gilt also weit über klassische KI-Anbieter hinaus. Bereits die Nutzung eines externen Modells im eigenen Prozess kann Pflichten auslösen, etwa Dokumentation, Protokollierung und Schulung von Mitarbeitenden.

Verstöße sind teuer. Die Bußgelder reichen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Eine frühzeitige KI-Governance ist daher betriebswirtschaftlich geboten und gehört in die Verantwortung der Geschäftsleitung.

Zeitplan und wichtige Meilensteine

Die Regeln greifen gestaffelt. Verbote und Regeln zur KI-Kompetenz wurden bereits 2025 wirksam, Pflichten für General Purpose AI folgten im gleichen Jahr. Die Kernregeln für Hochrisiko-Systeme gelten ab August 2026, ergänzende Anforderungen für in Produkte eingebettete KI ab August 2027. Wer Hochrisiko-Anwendungen betreibt, sollte daher jetzt mit der Umsetzung starten.

Umsetzung bei W+W Consulting

Ein strukturierter Weg beginnt mit einer Inventur aller KI-Anwendungsfälle im Unternehmen. Danach folgen Risikoklassifikation, Lückenanalyse und die Integration in bestehende Managementsysteme, etwa ISO 27001 oder ein vorhandenes Integriertes Managementsystem.

W+W verbindet regulatorisches Wissen mit praktischer KI-Erfahrung. Unsere Projekte nutzen LangChain, Azure OpenAI und Retrieval Augmented Generation (RAG) und schließen die nötige Compliance-Dokumentation direkt mit ein.

Benötigen Sie ein Vorgehen, das technische und regulatorische Anforderungen zusammenbringt, unterstützt Sie das Team KI und Automatisierung der W+W Consulting von der Bewertung bis zur konformen Umsetzung.