Zur Navigation springen Zu den Hauptinhalten springen
Logo IHK Hessen innovativ GbR
Juli 2025 / Digitalisierung & KI

Der AI Act der EU: Herausforderungen und Lösungen in der KI-Regulierung

Mit dem AI Act (EU-Verordnung 2024/1689) schafft die EU einen verbindlichen Rechtsrahmen für den Einsatz von Künstlicher Intelligenz. Ziel ist eine vertrauenswürdige, wertebasierte Nutzung von KI – bei gleichzeitiger Förderung von Innovation und Investitionen. Doch die komplexe Regulierung bringt neue Herausforderungen mit sich.

Riskobasierter Ansatz

Der AI Act verfolgt einen risikobasierten Ansatz, der klare Regeln für KI-Entwickler und -Anwender festlegt, insbesondere für Hochrisiko-Anwendungsfälle.

Systeme mit inakzeptablen Risiken sind verboten. Darunter fallen Praktiken wie soziales Scoring, Echtzeit-Gesichtserkennung in öffentlichen Räumen, zum Beispiel für die Erstellung von Gesichtserkennungsdatenbanken oder zur Strafverfolgung, Emotionserkennung am Arbeitsplatz und biometrische Kategorisierung.

Weitere Details zu den Risikostufen finden Sie in diesem Artikel der EU.

Hochrisiko-Anwendungen: Strenge Vorschriften

Hochrisiko-KI-Systeme, die signifikante Gesundheits-, Sicherheits- oder Grundrechtsrisiken bergen, sind besonders reguliert. Beispiele sind KI-Sicherheitskomponenten in kritischen Infrastrukturen, Bildungseinrichtungen und dem öffentlichen Dienstleistungszugang. Anbieter dieser Systeme müssen unter anderem Risikobewertungen, umfassende Dokumentationen und menschliche Aufsichtsmaßnahmen gewährleisten.

Die Einstufung des Risikos eines KI-Systems nimmt dabei nicht der Hersteller vor. Nutzer können durch Zweckentfremdung von KI-Anwendungen mit niedrigem Risiko durchaus in eine Kategorie mit strengen Vorschriften oder sogar verbotene Anwendungen geraten. Häufig hängt die Einstufung von den durch das KI-System genutzten Daten ab.

4 Riskostufen für KI-Anwendungen


Überschneidungen mit DSGVO und DSA

Kritik erfährt der AI Act in Bezug auf Widersprüche und Spannungen mit bestehenden gesetzlichen Regelwerken. Zum einen gibt es Unterschiede bei der Verantwortung datenschutzrechtlicher Aspekte. Während bei der Datenschutz-Grundverordnung (DSGVO) der Betreiber verantwortlich ist, wird bei dem AI Act der Anbieter eines KI-Systems haftbar gemacht.

Überschneidungen von Regelungen finden sich bei AI Act und Digital Services Act (DSA): Die Forderungen nach Risikoanalysen für große Plattformen und generative KI-Systeme überschneiden sich. Durch Ausnahmen für Hochrisiko-Systeme im AI-Act wird die Verarbeitung sensibler Daten zur Diskriminierungsvermeidung erlaubt, welche nach der DSGVO verboten ist.

Herausforderungen in einzelnen Sektoren

  • Finanzwesen: Kreditbewertungssysteme unterliegen bereits strengen Regulierungen. Der AI-Act bringt zusätzliche Vorgaben, die das Regelungsumfeld weiter verdichten.
  • Medizinprodukte: Hochrisiko-KI-Systeme, etwa zur Krebsdiagnose, unterliegen sowohl der Medizinprodukteverordnung (MDR) als auch dem AI-Act. Das führt zu Doppelverpflichtungen und möglichen Kapazitätsproblemen bei Bewertungsstellen.
  • Automobilsektor: Die traditionelle Bewertungsmethodik bleibt zentral, aber der AI-Act bringt zusätzliche Anforderungen für nicht-hochriskante Systeme.

Was kann ich tun? Checkliste für Unternehmen

1. Bestandsaufnahme und Einordnung

  • Erfasse alle eingesetzten oder geplanten KI-Systeme im Unternehmen.
  • Dokumentiere den Zweck, Anwendungsbereich und Funktionsweise jedes Systems.
  • Prüfe, ob es sich um ein "KI-System" im Sinne des AI Acts handelt

2. Risikoklassifizierung nach AI Act

  • Systeme gemäß den vier Risikostufen klassifizieren

3. Interne Governance und Compliance-Strukturen

  • Verantwortliche für KI-Compliance (z. B. Data Governance Officer, interne Kontrollstelle) bestimmen
  • Verfahren zur laufenden Prüfung und Aktualisierung von KI-Systemen festlegen
  • „Compliance by Design“ in die Produktentwicklung integrieren

4. Datenmanagement

  • für Datenminimierung, Pseudonymisierung, ggf. Anonymisierung sorgen
  • Transparente Datenherkunft und dokumentierte Datenqualität
  • Hosting in der EU (wenn erforderlich)
  • Klare Verantwortlichkeiten für Datenschutzmaßnahmen (insb. bei Hochrisiko-KI)

5. Konformitätsbewertung & Dokumentation

  • Bei Hochrisiko-KI: Konformitätsbewertung nach Anhang VII des AI Acts durchführen
  • Risikomanagement, Datenstrategien, technische Tests, menschliche Kontrolle etc. dokumentieren
  • technisches Dokumentationspaket und Registrierung des Systems in der EU-Datenbank
  • Erklärung zur Konformität mit dem AI Act. erstellen

6. Transparenz gegenüber Nutzern

  • Nutzer verständlich über die Interaktion mit KI-Systemen (Art. 52 AI Act) und KI-generierte Inhalte informieren

7. Schulung und Awareness

  • In Abhängigkeit von den eingesetzten Systemen: Sensibilisierung und ggf. Schulung von Mitarbeitenden

Nützliche Informationen

Compliance in der Praxis – Schritt für Schritt: Der Digitalverband Bitkom hat einen Umsetzungsleitfaden zur KI-Verordnung erstellt, den Sie hier nutzen können.

Umsetzungsleitfaden zur KI-Verordnung von Bitkom

Zeitlicher Rahmen

Der AI Act wurde am 13. Juni 2024 angenommen und tritt mit seiner Veröffentlichung im Amtsblatt in Kraft. Bestimmte Verbote gelten bereits sechs Monate nach Inkrafttreten, während weitere Anforderungen gestaffelt nach 24 bzw. 36 Monaten umzusetzen sind. Die vollständige Anwendung des Gesetzes ist ab August 2026 vorgesehen. Unternehmer sollten sich bereits jetzt vorbereiten, und sich über die gestaffelte Anwendung des Gesetzes informieren.

Sanktionen bei Nichteinhaltung

Bei Verstößen drohen empfindliche Geldbußen:

  • Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Systeme
  • Bis zu 15 Millionen Euro oder 3% des Jahresumsatzes für andere Verstöße
  • Bis zu 7,5 Millionen Euro oder 1 % des Jahresumsatzes für falsche, unvollständige Informationen gegenüber zuständigen nationalen Behörden auf deren Anfrage

Zukunftsaussichten

Das KI-Gesetz der EU definiert klare Verantwortlichkeiten und soll Vertrauen schaffen. Um die Weiterentwicklung sicherzustellen, wurde der KI-Pakt ins Leben gerufen, eine Initiative, die Interessengruppen zur vorzeitigen Einhaltung der Regelungen motiviert.

Ein noch zu schaffendes europäisches Amt für Künstliche Intelligenz wird in Zukunft die Durchsetzung der Vorgaben überwachen, während ein mehrstufiges Governance-System aus Expertengremien die Entwicklung und Implementierung dieses Regelwerks begleitet.

In Deutschland wird eine nationale KI-Aufsichtsbehörde eingerichtet werden, die spätestens bis zum 2. August 2025 von der Bundesregierung ernannt werden muss. Als zentrale Anlaufstelle wird die Hauptaufgabe sein, die Einhaltung der Vorgaben der KI-Verordnung in Deutschland zu überwachen.

Die amtliche Fassung der KI-Verordnung ist online einsehbar.

Quellen

  • Titelbildquelle: Fokussiert_AdobeStock_988957290

Ansprechpartner:in

janis-milde-ihk-hessen-innovativ

Janis Milde

Innovationsberater
Giessen-Friedberg

Telefon: 06031 609‑2520
janis.milde@giessen-friedberg.ihk.de

Aktuelle Veranstaltungen zum Thema Digitalisierung & KI

ki-innovationsreise-nach-dublin_tilialucida_adobestock_204951241
workshop

KI-Innovationsreise nach Dublin

21.10.2025 / Irland

Mehr erfahren
ak-digitale-experten-kammer_adobestock_465501050
beratung

Sprechtag der Digitalen Experten Kammer

21.10.2025 / Online

Mehr erfahren
grundlagen-ki-camp_adobestock_804356205
workshop

Grundlagen KI Camp: Praxis-Workshop

22.10.2025 / IHK Gießen-Friedberg

Mehr erfahren

Wir verwenden Cookies

Diese Website kann Cookies nutzen, um ein gutes Nutzererlebnis zu gewährleisten. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Datenschutzeinstellungen

Diese Website kann Cookies nutzen, um ein gutes Nutzererlebnis zu gewährleisten. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Diese Cookies sind zwingend erforderlich, damit unsere Website wie gewünscht funktioniert. Wir speichern zum Beispiel Ihre Cookie-Präferenzen in einem Cookie. Wichtig zu wissen: Wir speichern keine personenbezogenen Daten in diesen Cookies.

Cookies

Wir verwenden Matomo, um die Leistung unserer Website zu verbessern. Die zugehörigen Cookies werden benötigt, um zu verstehen, wie sich Nutzer über unsere Website bewegen und welche Seiten sie aufrufen.

Cookies

  • Matomo erfasst anonyme Statistiken über das Verhalten von Nutzern auf der Website (Anzahl der Besuche etc.).

    Name: _pk_id, _pk_ses, MATOMO_SESSID
    Ablauf: 13 Monate, 30 Minuten, Session
    Anbieter: Matomo

Diese Website kann Inhalte und Medien von externen Seiten wie YouTube anzeigen. Dabei werden Cookies von externen Seiten gespeichert.